Nuke Angriff?!

[Germanica]

hallo zusammen,

hab eben bei meiner FW im protokoll lesen können:


02.09.2003 13:36:57 Nuke Angriff 62.214.0.182 -> 62.214.0.182

und:

02.09.2003 13:36:57 Nuke Angriff 62.214.0.182 -> 62.214.0.182

ich bin ziemlich verunsichert und wüsste gerne, was das genau zu bedeuten hat. Hab die Firewall auch noch nicht soo wirklich lange, dass ich mich damit genau auskenne würde...
Auch bin ich noch neu hier im Forum.
Wäre sehr dankbar, wenn ihr mir helfen könntet...

Liebe Grüße,

Germanica

 

[technofreak]

Als erste Info: (bin selber kein FW Spezialist )
http://www.canisianum.de/bisher/projekte/mill/sicherh/sicherhe.htm

Wenn ein ungeschützter Recher mit einem »Nuke-Angriff« angegriffen wird, sendet
der Angreifer ein fehlerhaftes IP-Paket über Port 139 an den Computer. Windows reagiert
mit einem »Bluescreen« und dem Absturz des Netzwerkmoduls.

und
http://www.hamsports.com/

Win XP Bug
geschrieben von Ham|w33d am 12.08.03 um 02:15 Uhr » comments (2)

Seit einiger Zeit klagen immer mehr WinXP- & Win2k-Nutzer ( mich hat es heute erwischt )über plötzliche Shutdowns ihrer PCs, die sich mit einem 60 Sekunden CountDown ankündigen.



Es handelt sich hierbei um einen Nuke-Angriff der einen einfachen Windows-Bug ausnutzt.
Das Herunterfahren des PCs lässt sich durch mehrere Methoden vermeiden.

1. Ihr ladet euch den neusten Microsoft Patch runter und installiert ihn.
2. Ihr versteckt eure IP im IRC mit /mode "nick" +x um es Hackern schwerer zu machen eure IP heraus zufinden.
3. Durch eine einfache Einstellung in der Systemsteuerung wird der Neustart verhindert: Systemsteuerung -> Verwaltung -> Dienste -> Remoteprozedurverwaltung -> Wiederherstellung -> Keine Aktion durchführen.

Diese 3 Lösungsmöglichkeiten sollten euch vor weiteren "ungewollten" Neustarts schützen

tf

 

[Germanica]

huhu...

woher kommen denn dieser angriffe?! kann ich herausfinden, wer das ist???

aber da stand doch garnichts davon, dass die über port 139 rein wollten oder hab ich da jetzt was falsch verstanden...

es steht ja in dem artikel, dass das system mit einem bluescreen reagiert... bei mir war aber nichts mit bluescreen...
und wie macht sich ein absturz des netztwerkmoduls bemerkbar???

 

[technofreak]

da mußt du dich etwas gedulden, unsere FW-Spezialisten gehen einer lästigen aber leider nicht vermeidbaren
Tätigkeit nach : ihre Brötchen verdienen!
Gruß
tf

 

[Germanica]

ich verstehe...

muss ja auch sein...

dann schau ich neute abend nochmal ins forum...

danke für die erste hilfe...

Grüße,
Germanica

 

[AmiRage]

Was für ein Betriebssystem mit welchem Aktualisierungsstand (Service Packs o.ä.) und welche Firewall benutzt Du überhaupt?

 

[Germanica]

win XP home plus das runtergeladene patch von MS wegen diesem Blaster wurm

und

Outpost 1.0

das ist auch schon alles, was ich dazu sagen kann, da ich nicht so bewandert bin... :-?

 

[Heiko]

Nach dem Log-Auszug nuked sich Dein Rechner grade selber...

 

[Germanica]

selber? wie geht denn das?! :-?

 

[Heiko]

selber? wie geht denn das?! :-?

Nuke Angriff 62.214.0.182 -> 62.214.0.182

Die erste Adresse sollte die Quelle darstellen, die zweite das Ziel. Beide sind identisch.

Das sollen allerdings UDP-Pakete sein, deren Absender sich sehr leicht fälschen lässt...

 

[Germanica]

ich hab mal aus neugier die ip bei whois eingegeben und hab da auch ein ergebnis bekommen. -----------> hatte aber nichts mit meinem anbieter zu tun, für den fall das sich mein rechner selbst nuked.


hat denn die FW den angriff geblockt?

was kann ich denn dagegen tun? muss ich jetzt irgendwas beachten?!

 

[Heiko]

Die IP gehört zu Komtel.

Guckst Du:
http://computerbetrug.de/whois/whois.php?62.214.0.182

 

[AmiRage]

hat denn die FW den angriff geblockt?

was kann ich denn dagegen tun? muss ich jetzt irgendwas beachten?!

Wenn die Firewall den Vorfall erkennt, wird sie ihn auch entsprechend geblockt haben.

Aber wenn Du jetzt bei jedem Eintrag im Log Dir solche Sorgen machst, dann mach' Dich auf etwas gefasst. Du solltest Dir besser Sorgen machen, wenn die Firewall keine Angriffsversuche o.ä. meldet.

 

[Heiko]

Du solltest Dir besser Sorgen machen, wenn die Firewall keine Angriffsversuche o.ä. meldet.

Ich stell die Firewalls grundsätzlich auf stumm.
Anscheinend gehen die Hersteller mittlerweile dazu über, den Nutzen ihrer Firewalls über sinnlose Meldungen zu belegen.

 

[Germanica]

das die ip komtel gehört, weiß ich ja schon, ich meinte, ob man heraus finden kann, wem die ip genau gehört?! komtel wird sicher nur irgendsoeine tel-gesellschaft sein... kenn ich aber nicht wirklich...

musss ich komtel denn jetzt irgendwie drauf aufmerksam machen?!
gibt es denn jetzt irgendwelche weiteren schritte die ich machen muss???




meine FW scheint den Angriff ja geblockt zu haben, oder? wie kann ich denn neue angriffe verhindern, insofern das überhaupt irgendwie möglich ist?!


[/quote]

Nach dem Log-Auszug nuked sich Dein Rechner grade selber...


ist er das nun selber oder ist das tatsächlich irgendein fieser mensch??? :evil:

 

[AmiRage]

Du musst überhaupt nichts und wenn Du in Zukunft jeden "Angreifer" irgendwo melden willst, dann würde ich bereits jetzt kündigen und die Verlängerung des Tages auf 48 Stunden beantragen.

Warum hast Du Dir überhaupt eine Firewall installiert?

 

[Germanica]

hö? wie warum hab cih mir die FW installiert? damit sie böse menschen abhält?!

 

[technofreak]

Über den Sinn und Unsinn von Firewalls:
http://www.sicherheit-online.net/html/firewall.html

Wichtig: Allein die Tatsache, dass Sie auf Ihrem Rechner eine Firewall laufen haben,
wird Sie niemals vor echten Angriffen - gleich welcher Art - schützen können.
Denn eine Firewall ist immer nur so gut wie ihr Benutzer. Wer sich also tatsächlich mit einer
Firewall absichern will, sollte zumindest die Grundbegriffe des Datenverkehrs im Internet kennen.

tf

 

[Germanica]

ich weiß, ich muss noch vieles lernen...

aber erstmal ist doch noch nichts schlimmes passiert... oder? wurde doch geblockt?!