[PureHatred]

Abend,

wie gesagt, mein Kaspersky meldet seid Gestern mehrmals den Angriff von diesem Wurm:
Win.MSSQL.worm.Helkern

Habe auch schon Googel bemüht, und herausgefunden, das dieser Wurm nur Win SQL Server betrifft und/oder befallen kann.
Ist das richtig?
Muss ich mir sorgen machen?

Kann mir jemand was genaueres dazu sagen?

So long

Hatred

[Erdgeist]

Welcher Bestandteil deines Virenscanner meldet dieses ?
Die Firewall ?
Ist dein Pc hinter einem Router ?

[PureHatred]

Die Firewall gibt diese Meldung aus, via Popup.
Ja sitze hinter einem Router (Speedport W501V), allerdings sind dort Ports für CounterStrike freigegeben.

[Erdgeist]

Eventuell interpretiert die Firewall die Kontaktversuche deines Routers falsch, dann wäre es ein klassischer Fehlalarm. Schau dazu mal in den Report deiner Firewall, von welcher IP die Meldung kommt.

Um das ganze zu Testen, kannst du ev. mal den Port für Counter Strike schließen.

Mit diesem Test kannst du mal einen Portscan machen:
Schalte dazu die Firewall von KIS aus:
http://www.heise.de/security/dienste...html?scanart=1

Es müsste überall gefiltert stehen.

Schalte die Firewall von KIS wieder ein, und test genau den Port, den du für Counter Strike geöffnet hast. Wenn jetzt wieder die Meldung kommt, das du ein Angriff hast, findet der Angriffsversuch über diesen Port statt.

[PureHatred]

Die IPs sind immer unterschiedliche.
Kaspersky nennt mir die Quelle (IPs) und den Port (UDP1434) der Angriffe.
Freigegeben hab ich aber nur folgende Ports.

UDP : 1200
UDP : 26900
UDP : 27000-27020
TCP : 27015
TCP : 27030-27039

Edit: Habe die Ports, sowohl von Win als auch vom Router, gescannt.
Mit KIS Firewall und ohne.
Als Ergebniss immer geschlossen oder gefilter

Edit2 Wenn ich die CS Ports scanne, schlägt KIS nicht an

[PureHatred]

Entschuldigt meinen push,
aber leider werde ich immernoch von dem Wurm heimgesucht.
Inzwischen sogar, so ca. 4-7 mal pro Tag.


Keiner ne Idee?

[aNtiCHrist]

Bist du sicher, dass du in deinem Router deinen Rechner nicht als Exposed Host (eventuell fälschlich als Demilitarized Zone benannt) eingerichtet? Sonst dürften die Datenpakete nämlich gar nicht aus dem Internet bis zu deinem System vordringen. Oder lauft in deinem eigenen Netz vielleicht eine Windows-Kiste mit einem MSSQL-Server, die von SQL-Slammer/Helkern befallen ist?

Aus deinen beiden Ergänzugen im vorletzten Beitrag werde ich nicht schlau. Welche Ports hast du von wo gescannt? Was soll das überhaupt für einen Sinn haben? Diese effekthascherische Meldung kommt doch schon dann, wenn ein UDP-Paket eingeht, egal ob da ein Dienst lauft, der das Paket annehmen würde. Zumindest wäre es aber interessant gewesen, ob es auf den nicht explizit weitergleiteten Ports einen Unterschied durch das Deaktivieren der Software gab. Wenn ja, hast du wohl einen Exposted Host. Wirklich vernünftige Ergebnisse bekommst du aber nur, wenn du mal auf dem entsprechenden Port netcat oder ähnliches laufen lasen würdest, sodass man sehen kann, ob man tatsächlich aus dem Internet bis dort hin kommt. Syntax dazu:

Zitat:

nc -l -u -p 1434

Gefiltert oder Geschlossen kann ja insbesondere bei UDP sonstwas bedeuten.

Scanne dann aber vorher bei getrenntem Zugang zum Internet und bei abgeschalteter Personal Firewall in deinem eigenen Netz, ob da nicht neben dem einen zum Testen gewünschten Dienst noch andere laufen, die möglicherweise verletzlich sind oder aber generell nicht aus dem Internet erreichbar sein sollten. Anders gesagt: netstat sollte keine (bzw. nur bekannte und ausdrücklich erwünschte) Dienste auf 0.0.0.0 anzeigen.

[PureHatred]

Zitat:

Zitat von aNtiCHrist 

Bist du sicher, dass du in deinem Router deinen Rechner nicht als Exposed Host (eventuell fälschlich als Demilitarized Zone benannt) eingerichtet?

Und wie finde ich das heraus?

Zitat:

Oder lauft in deinem eigenen Netz vielleicht eine Windows-Kiste mit einem MSSQL-Server, die von SQL-Slammer/Helkern befallen ist?

Bei dem Netz, welches ich nutze, handelt es sich um ein Wlan Netz.
Insgesamt nutzen 2 Windows XP Rechner diese Internetverbindung.
Ein Rechner mit MSSQL ist mir nicht bekannt.

Zitat:

Aus deinen beiden Ergänzugen im vorletzten Beitrag werde ich nicht schlau. Welche Ports hast du von wo gescannt? Was soll das überhaupt für einen Sinn haben?

Die Ports habe ich mit dem Link von Erdgeist gescannt.
Was für einen Sinn das haben soll, keine Ahnung, wenn ich das wüsste müsste ich hier nicht nach hilfe fragen

Zitat:

Wenn ja, hast du wohl einen Exposted Host.

Bedeutet was?

Zitat:

Wirklich vernünftige Ergebnisse bekommst du aber nur, wenn du mal auf dem entsprechenden Port netcat oder ähnliches laufen lasen würdest, sodass man sehen kann, ob man tatsächlich aus dem Internet bis dort hin kommt. Syntax dazu:

Das habe ich gemacht. Allerdings schliest sich das DOS Fenster nach der Eingabe wieder.
Ohne irgendetwas zu machen.

Zitat:

Scanne dann aber vorher bei getrenntem Zugang zum Internet und bei abgeschalteter Personal Firewall in deinem eigenen Netz, ob da nicht neben dem einen zum Testen gewünschten Dienst noch andere laufen, die möglicherweise verletzlich sind oder aber generell nicht aus dem Internet erreichbar sein sollten. Anders gesagt: netstat sollte keine (bzw. nur bekannte und ausdrücklich erwünschte) Dienste auf 0.0.0.0 anzeigen.

Was heisst den mein eigenes Netz scannen?
Internetzugang war getrennt, Kaspersky war ebenfalls deaktiviert.

[aNtiCHrist]

Zitat:

Und wie finde ich das heraus?

Mal das Konfigurationsmenü des Routers durchgucken. Da der ja praktisch nichts kann, sollte das nicht so schwer zu finden sein. Eventuell hilft auch ein Blick ins Handbuch. Ich befürchte bloß, das das komische T-Com-Interface da noch einen ganz anderen Namen verwendet.

Zitat:

Bei dem Netz, welches ich nutze, handelt es sich um ein Wlan Netz.

Nur für den Fall der Fälle: Du nutzt WPA/WPA2 mit einem sehr langen Schlüssel und nicht etwa WEP oder gar keine Verschlüsselung? Nicht, dass ich hier ewig an der falschen Stelle herumrate und die Angriffe über das WLAN reinkommen.

Zitat:

Bedeutet was?

Warum fragst du das nicht schon weiter oben, dort erwähnte ich den Begriff doch auch schon. Die eingabe des Begrifs in eine Suchmaschine liefert aber schnell Treffer wie http://de.wikipedia.org/wiki/Demilit...o-DMZ.E2.80.9C oder http://www.heise.de/glossar/entry/221866e0593e5763 - Kurz: Dein Rechner wäre komplett vom Internet aus anprechbar und du könntest dir die Portforwardings auch schenken. Dadurch könnten dann aber eben auch bösartige Pakete wie die von SQL-Slammer bis zu deinem Rechner vordringen, wo dann deine Internet-"Security"-Suite eine Gefahr zu erkennen glaubt.

Die Pakete sind zwar vollkommen harmlos, solange du keinen uralten MSSQL-Server betreibst, aber weil eben auch alle anderen Angriffe, für die dein Rechner möglicherweise verwundbar ist, direkt zu deinem Rechner vordringen können, ist ein Exposed Host dennoch keine gute Idee.

Zitat:

Das habe ich gemacht. Allerdings schliest sich das DOS Fenster nach der Eingabe wieder.

Du hast offenbar die Syntax nicht genau beachtet. Wenn du das in der Eingabeaufforderung eingegeben hättest, hättest du zumindest eine sinnvolle Fehlermeldung lesen können ...

Zitat:

Was heisst den mein eigenes Netz scannen?

Ich dachte, das hast du bereits gemacht, weil du schriebst:

Zitat:

Habe die Ports, sowohl von Win als auch vom Router, gescannt.

aber das bezog sich bei näherem Nachdenken wohl auf die dadurch zu treffende Portauswahl auf der Heise-Site.

Gemeint war damit, dass du so einen Scan, den eben auch die Heise-Site anbietet mal in deinem eigenen Netz laufen lässt, um zu gucken, wo gefiltert wird, bzw. ob der Scan von "außen" vielleicht (wider Erwarten) doch nur auf dem Router aufläuft. Solche Portscans macht man z. B. mit nmap. Geeignete Syntax dazu:

Code:

nmap -sS -sU 192.168.2.100

wobei du die IP-Adresse durch die deines zu scannenden Rechners ersetzen musst.

Zitat:

Internetzugang war getrennt, Kaspersky war ebenfalls deaktiviert.

Als du was gemacht hast? Gescannt hat du ja offenbar nicht?

Tipp, bevor das hier immer weiter in die Tiefe geht und du immer weniger verstehst: Setz deinen Router einfach auf die Werkseinstellungen und nimm zunächst nur die nötigsten Einstellungen vor. Dann nämlich wird der Router die Angriffe nicht mehr weiterleiten. Wenn du das dann verifizieren konntest, kannst du immer noch deine Portforwardings (aber eben sinnvollerweise keinen Exposed Host) einrichten.

[PureHatred]

Habe gerade mal meinen Router durch forstet, hab da etwas gefunden, wo meine IP eingetragen war.
Nennt sich IP-Routen, könnte das die Fehlerquelle sein?

[aNtiCHrist]

Klingt seltsam. Vor allem weil es eh keine Einträge in einer eventuell konfigurierbaren Routingtabelle geben sollte, du wirst ja mit deinem Wissen kaum mehrere Netze an der Kiste betreiben. Aber wenn da eh die IP-Adresse des Rechners eingetragen war, stehen die Chancen gar nicht so schlecht, dass es das war. Ich habe eben extra noch einen Blick ins Handbuch geworfen, das schweigt aber über die Einstellmöglichkeiten des Webinterfaces und somit leider völlig unbrauchbar. IIRC gibt es aber in dem Webinterface eine automatisch erscheinende Dokumentation zu den einzelnen Punkten. Was sagt denn die zu diesem Punkt?

Für die Zukunft: Spiel nicht an irgendwelchen Einträgen herum, von denen du offenbar keine Ahnung hast.

[PureHatred]

Das IP Routing hatte ich aber garnicht eingeschaltet, vllt. der T-Com Techniker, keine Ahnung?
Habe mich bisher mit solchen sachen, wie Router etc. nie wirklich auseinadnergesetzt.

Was wäre denn, wenn es der Wurm auf mein System schaft?
Habe ja XP Pro, alle Updates, KIS7 usw.

Und wenn ich das richtig verstehe, bräuchte ich ja wegen des Routers eigentlich keine Desktopfirewall, oder?
NAT ist im Router aktiviert.

[aNtiCHrist]

Zitat:

Das IP Routing hatte ich aber garnicht eingeschaltet, vllt. der T-Com Techniker, keine Ahnung?

Ok, wenn das irgendjemand anders eingerichtet hat, trifft dich wohl keine Schuld. Du solltest aber noch mal gucken, den Exposed Host wird man vermutlich in der Nähe der Portforwardings einrichten können. Eventuell wurde ja versucht, die Einstellung irgendwie ins Deutsche zu übersetzen, und dort ist von "Weiterleitung" oder "Umleitung" die Rede? Hat denn das Entfernen des Eintrags die Meldungen denn nun verschwinden lassen? Als miesen Workaround könntest du auch einfach dafür sorgen, dass dein Rechner in Zukunft eine andere (freie) interne IP-Adresse aus dem gleichen Netz nutzt, dann laufen Anfragen auf den Exposed Host ja ins Leere. Dann müsstest du aber sicherstellen, dass kein anderer Rechner die Adresse erhält und dass es keine Kollisionen mit dem DHCP-Server gibt. Daher mein Rat: Setz das Ding auf die Standardeinstellungen zurück und konfiguriere es neu. Das ist bei den T-Com-Kisten idiotensicher, da kommt so ein komischer Assistent, wo man eigentlich nur die T-Online-Daten eingeben muss. Bei WLAN dann halt WPA/WPA2 auswählen und den genutzten Schlüssel angeben. Telefone hast du da ja vermutlich nicht angeschlossen? Dann ist der Exposed Host nämlich mit Sicherheit verschwunden und du hast Ruhe.

Zitat:

Was wäre denn, wenn es der Wurm auf mein System schaft?

Solange du nicht gerade wie oben angesprochen einen uralten MSSQL-Server laufen hast, passiert gar nichts. Deine Internet-"Security"-Suite nervt dich dann halt nur. Das Problem ist dann bloß: Jede andere Art von Angriff läuft ebenfalls auf deiner Windows-Kiste auf und der Router schützt dich exakt gar nicht. Das können auch Angriffe auf (idR. unnötig) laufende Dienste sein, die nicht direkt zu Windows gehören und somit nicht durch Updates versorgt werden. Du müsstest also unbedingt sicherstellen, dass der selbst sicher ist. Da ist NAT ohne Exposed Host wesentlich einfacher und zuverlässiger.

Zitat:

Und wenn ich das richtig verstehe, bräuchte ich ja wegen des Routers eigentlich keine Desktopfirewall, oder?

Ja, solange du eben keinen Exposed Host nutzt, kann man keine Verbindungen zu deinem Rechner herstellen. Das ist bei dir aber offenbar gerade der Fall. Daher müsstest du dafür sorgen, dass dein Rechner keine unnötigen Dienste anbietet oder aber diese mit einer Personal Firewall unerreichbar machen. Beides ist komplizierter, fehleranfälliger und unzuverlässiger.

Zitat:

NAT ist im Router aktiviert.

Natürlich, sonst könntest du das Ding ja gar nicht nutzen. Ich frage mich, ob man das da überhaupt ausschalten kann.

[PureHatred]

Habe jetzt noch etwas interessantes gefunden und zwar das:

Wenn ich Dich jetzt richtig verstanden habe, dürfte das doch diese Weiterleitung sein?
Die war nämlich angeschaltet, ebenfalls auf meine IP

[aNtiCHrist]

Jop, genau das ist der gesuchte Punkt. Warum T-Com den nicht mit seinem üblichen Namen benennen kann, ist mir ein Rätsel. Ohne die Erläuterung an der Seite wäre ich mir nicht sicher gewesen, dass es das richtige ist. Abschalten und du bist vor Angriffen (außer vor denen auf die explizit weitergeleiteten Ports) geschützt und hast Ruhe.

Jetzt frage ich mich bloß, was sich hinter dem Punkt NAT aus/an befindet und was das mit dem komischen Eintrag deiner IPAdresse in der Routingtabelle auf sich hatte.

Solche Screenshots macht man übrigens besser als PNG (kleineres Dateivolumen und zudem verlustfrei) und mit Alt+Druck kann man den Bereich auf das aktuelle Fenster einschränken.

[PureHatred]

Dort steht, wenn ich den/das NAT ausschalte, das der Router dann nur noch als Bridge bzw. DSL Modem genutzt werden kann, und den Netzwerkbetrieb beeinflusst.

Gut, wenn das der Punkt war, dann danke ich Dir für Deine Mühen.
Endlich Ruhe.

Hast echt was gut. Tausend Dank!!!!

[ak436]

Hi,

ich muss jetzt auch nochmal dumm nachfragen...ich habe keinen Router sondern nur ein normals Modem. Aber ich kriege auch mehrmals am Tag diese Fehlermeldung

[aNtiCHrist]

Ja, du bekommst die Meldung eben gerade weil du direkt am Netz hängst. Wenn du dich dadurch nicht mehr nerven lassen möchtest, kannst du diese Meldungen auch abschalten. Angeblich geht das zumindest in Version 6 über Einstellungen->Service->Interaktion mit dem Benutzer->Erweitert->Erkennen von Netzwerkangriffen. In Version 7 wird es zumindest ähnlich sein.

[ak436]

ok...danke. werde ich dann mal so einstellen

[geilo]

In letzter Zeit hat Kaspersky mühe mit Popups . Kaspy meldet das ein Popup geblockt wurde. Das Fenster geht aber trotzdem auf!

Seht mal hier...

http://mirror2.ge-server.to/index.php

[aNtiCHrist]

Nicht unbedingt verwunderlich. Popups blockt man auch sinnvollerweise im Browser und nicht in einer Internet-"Security"-Suite, letztere müssten hier ja den Code manipulieren, was leider bei radikalerem Vorgehen sehr fehleranfällig wäre. Browser müssen einfach nur ihre Popup-Funktion unterdrücken.

Was hat dein Beitrag überhaupt mit diesem Tread zu tun? Außer Kaspersky sehe ich da keine Übereinstimmungen.

[bendaman48]

hab auch seit heute die meldung über den helkern-wurm, innerhalb der letzten zwei stunden 2 mal (Intrusion.Win.MSSQL.worm.Helkern 222.210.88.56 UDP 1434).

Gut ist zwar nich so wild aber nerven tut das trotzdem. Kann zwar auch n zufall sein, da das ja bisher die einzigen 2 male waren aber wenns so weiter geht wäre das nicht so schön...

hab auch mal danach gegoogelt und festgestellt dass mich das anscheinen auch nicht sonderlich jucken braucht, wenn ich keinen win2000 SSQL-Server betreibe, was ich auch nicht tue.

Nun aber zu meiner Frage: hinterlässt der Angriff eigentlich irgendwelche spuren (Dateien) auf meinem rechner, kaspersky sagt ja nur dass ein angriff auf meinen pc entdeckt wurde. Ich finde das missverständlich ausgedrückt, soll heissen: wurde der nun abgeblockt oder nur bemerkt, dass da was böses im gange ist?

Gruß bendaman48

Nachtrag: hab grad bemerkt, dass die angriffe natürlich abgewehrt wurden, nicht nur entdeckt, hab wohl bei meinem post mein gehirn auf standby gehabt.

[bendaman48]

immer noch selbe situation, weiss niemand, wie ich den mist abstellen kann, das suckt!

edit: oh, hier oben stehts ja
wer lesen kann ist klar im vorteil und so^^

[Pennywise1911]

ich hab das selbe problem aber keinen router oO^^