Lovesan / Blaster | DoS=smurf?

[poiin2000]

http://board.protecus.de/showtopic.php?threadid=5311&time=1060870180

Hier schreiben einige User das ihre DesktopFW smurf-attacken bemerkt.

Wäre es möglich das der RPC-Wurm einen smurf-angriff verwendet?

 

[Gulliver]

Unwahrscheinlich, da smurf auf ICMP basierte und daher auch nicht portgebunden war.

mfg

 

[Rushjo]

@poin2000

Eigentlich nicht, aber es gibt mittlerweile noch eine zweite Möglichkeit und
zwar existiert eine zweite Wurm-Variante, die den gleichen Bug nutzt und
spybots etc. installiert. Siehe mal hier .

MfG Rushjo

 

[sieben]

Ich frag mir nur langsam oder sich ob es nicht die absulte Panikmache ist. Ich hab gerade mal in den Logs gegrept und kommte fuer Heute gerade auf 12 Anfragen an Port 135, und die Kiste war den ganzen Tag online.

Naja, spaetestens am 16. wissen wir mehr.

 

[Gulliver]

ich denke auch eher panikmache. Wo sich der wurm einnistet wird er ärger bereiten, allerdings scheint er nicht gerade sehr "professionell" gecodet worden zu sein, so dass er 1. sehr schnell auffällt und 2. sich nicht wirklich schnell verbreitet, was auch auf 1. zurückzuführen ist.

mfg

 

[Chris]

Ich finde es strange, dass als Stichtag fuer einen DoS-Angriff ein Samstag gewaehlt wird, an dem die meisten Firmenrechner offline und aus sind.

 

[poiin2000]

thx to all

@ rushjo
dein link ist interessant.

mfg p2k

 

[Gulliver]

@chris
dafür hat aber auch der admin wochenende oder das RZ ist schlecht besetzt
Und in mittleren Läden wird keiner Server fürs Wochenende runtergefahren.
Ausserdem haben die meisten Leute am Wochende frei und es sind (vermutlich) einfach mehr Leute in der Lage im internet zu surfen.
Ich würde ihn auch am WE loslegen lassen.

mfg

 

[Chris]

Naja, dass der Admin von MS am WE frei hat glaube ich nicht. Wenn doch, dann sparen die an der falschen Stelle *rofl*

 

[Gulliver]

stimmt ja )

*schäm*

 

[sieben]

Also ich wuerde sogar Microsoft zutrauen das sie mitbekommen haben das morgen etwas komisches passieren wird. Andererseits, einer Firma die es geschafft hat alle Nameserver in ein Netz zu stellen (bis einer DoS auf den Router gefahren hat) ist irgendwie alles zuzutrauen.

Samstag ist in der Tat clever gewaelt. Fuer DDoS sind Firmennetze uninteressant, da dort doch meist ein gelangweilter Admin sitzt der vieleicht mal ein Bugfix installiert. dafuer sind am Wochenende potentiell viele Privatnutzer unterwegs die weit hinter dem Mond leben. Gerade weil eben entsprechend viel Fruehwarnzeit fuer MS da ist, koennte das relevant sein.

Nachtrag: ich ziehe meinen letzen Beitrag hier zurueck, der regex war verbuggt. Seit dem letzen logcycle um 16.00 CET komme ich auf 57 Zugriffe.