Notícia publicada por brain em agosto 12, 2003 10:32 AM
| TrackBack
O Andrei Drusian (drusian@linuxbsd.com.br) mandou ontem uma mensagem extensa sobre os worms que já estão explorando a nova falha descoberta no DCOM/RPC de várias versões de Windows. A princípio hesitei em publicar, mas como sei que muitos de vocês convivem em redes mistas, acho que vale a pena. Antes de chegar à mensagem dele, segue uma explicação e dicas.
Aos fãs de Windows, um alerta: não se trata de "falar mal do Windows". Neste momento creio que todos nós temos que nos ajudar - prometo que não vou sugerir que ninguém mude de sistema operacional por causa deste incidente ;-)
Informações sobre os primeiros worms você encontra no ISC e na McAffee, e um programa para removê-lo rapidamente em máquinas já infectadas você encontra aqui. O site do ISC dá informações bem completas, inclusive com strings para o snort.
Na matéria anterior sobre este mesmo assunto, já demos dicas sobre como barrar no roteador o acesso deste worm à sua rede interna, mas vou repetir: feche todos os acessos externos à porta 135/tcp (e se possível também às portas 135-139, 445 e 593). Monitore tráfego estranho nas portas 4444 e 69. Aplique o patch da Microsoft em todas as máquinas Windows da sua rede, e se não der tempo de fazer isto rapidamente, desabilite o DCOM nas máquinas que ainda não possuem o patch. Atualize os antivírus e rode o stinger em todas as máquinas Windows com suspeita de contaminação.
Ontem de noite resolvi experimentar. Peguei um PC e instalei o Windows XP original (sem patch) nele, e conectei à Internet através de um provedor discado gratuito. Em 8 minutos ele estava infectado e mandando o worm para dezenas de outros computadores, o que na minha opinião indica que esta infecção está bastante ativa. Aproveitei para testar o stinger, e de fato ele remove a infecção rapidamente - fica a dica para quem tiver parentes, amigos e clientes infectados nos próximos dias.
Agora a mensagem do Andrei: " Augusto, foi publicado a algums dias aqui no LIB uma materia sobre vulnerabilidades no serviço RPC do Windows. Eu mantenho instalado um W2K sobre uma VirtualMachine para fins de suporte e testes, hoje pela manhã notei diversos comportamentos estranhos no sistema, tais como: o IE se recusava a abrir os links, surgiu um frame no painel de controle onde os icones ficavam todos aglomerados na tela, perda da area de transferencia, queda no serviço SVCHOST.EXE, problemas no serviço COM+. Como já estava esperto por causa da noticia aqui divulgada sobre os problemas do RPC do windows, fui ao site da MS onde encontrei a correção. Logo após detectado o problema em minha maquina, encontrei mais 4 maquinas da rede que rodavam Windows com o mesmo problema. Também falei com 3 clientes do provedor que reclamaram dos mesmo problemas. Ao que parece, é alastrado de uma maquina para outra, + ou - como o Codered. "
Para o Windows, existe um aplicativo chamado "Zone Alarm", da ZoneLabs.com, que realmente é um dos melhores que eu já vi, e é gratuito.
Ele monitora o tráfego da rede, e te avisa quando alguém está tentando fazer um port scan, ou quando algum programa tenta fazer contato com algum site sem que você ficasse sabendo.
O que pode ser feito no Linux para se ter a mesma funcionalidade?
tem o scanlogd, o snort e até mesmo configurações um pouco mais avançadas do próprio iptables.
Vale a pena ver sempre essa página aqui:
http://linuxshop.ru/linuxbegin/win-lin-soft-en/
Procure por ZoneAlarm.
alguem sabe se ele infecta win98/95 ?
pois tenho uma rede mista com maquinas linux e win9x.
Sem querer causar flames:
Eu acho até legal esses worms violentos que acabam com o Windows. Eles mostram os problemas desse sistema operacional.
Po, mas todo sistema operacional está sujeito a bugs e ao surgimento de worms. Isso acontece.
O negócio é ganhar com base nos pontos fortes do que a gente defende, e não nos pontos fracos da concorrência.
e aproveitando para responder ao Guo, aparentemente o win9x não é afetado por este worm.
Este worm e velho .Como podem citar informações sobre ele ainda ?
Todo administrador de sistemas deveria ja estar precavido contra ele.
Como assim velho? Ele foi identificado ontem! Você não está confundindo com algum dos outros worms de Windows não?
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/ms03-026.asp
Acima tira a sua duvida.
Originally posted: July 16, 2003
E abaixo a revisao do documento para a data atual na qual administradores nao qualificados so ficaram sabendo agora.
Revised: August 12, 2003
PRECISO falar mais algo ?
So tenho de lamentar isto. Vejam so o que ele escreve :
=Ontem de noite resolvi experimentar. Peguei um PC e instalei o Windows XP original (sem patch) nele, e conectei à Internet através de um provedor discado gratuito. Em 8 minutos ele estava infectado e mandando o worm para dezenas de outros computadores=
Senhor Augusto Campos eu pensei que ja nao usasses Windows. Alias como tu mesmo dizes, aonde quer que vas usas sempre e levas um Kurumin . Bem se tu dizes : =O negócio é ganhar com base nos pontos fortes do que a gente defende, e não nos pontos fracos da concorrência.=
Ve-se mesmo que estas a lutar pelos pontos fortes do que defendes.
Estou saturado de nunca encontrar em um site como esse uma alusao a uma pequena coisa negativa do sistema operacional Linux. Tudo perfeito nao ? Ao contrario de outros sitios e sito particularmente (Linuxit) onde tudo fica divulgado sem parcialidade este sitio fica muito a dever em questoes de parcialidade. Parece um autentico covil de perfeiticidade, tudo sem bugs, todo Kernel Limpinho nao ? Ja cansei de descutir esse assunto aqui e postar links e links, nem adianta referir o que se passa, ou seja a tendenciosidade em continuar a querer demonstrar uma perfeiticidade que nao existe. Abra o olho Senhor Augusto Campos, nem todo mundo tem o olho tapado para notar que o senhor sempre foi tendencioso, em atacar os pontos fracos do sistema operacional mais usado do mundo.
Me sinto um cobarde em ter colocado servidores rodando open-source para depois ter que aturar a falta de coerencia por parte dessa gente.
Nao da para continuar assim, Nos nunca vemos no site do Baboo manchete: FALHA DO KERNEL DO LINUX PODE PERMITIR ATAQUE LOCAL. Nao, nao nos vamos preocupar em tentar transmitir o que de errado se ve nos outros, vamos limpar a casa por dentro e atirar o lixo para fora.
Nunca vi voce colocar algo positivo(vai dizer que nao tem nada positivo) sobre win, voce so mete tudo negativo, porque ?
Que coisa Augusto !!! Porque voce nao inicia assinando uma lista de security e vai publicando apenas os bugs relacionados com a malta do open-source ? Parece desespero de quem quer ver a todo custo algo q nunca sera real, e que para ser real seria necessario retirar as camadas cinzentas de 95 % do pessoal que mexe com Wins .
SOU CONTRA A POSTAGEM DE NOTICIAS DESSE GENERO!!!
Sergio, a vulnerabilidade realmente é antiga - eu até já a tinha noticiado aqui em outras ocasiões.
Já o worm está ativo em grande escala há menos de 48h, por mais que essa informação possa te deixar decepcionado :) É possível que ele exista há um pouco mais de tempo, mas até o final de semana passada ainda estava discreto e restrito.
Mas se você quer dizer que sou um administrador menos qualificado de redes Windows, não vou nem tentar me defender ;-) Só que não vai ser por este motivo!
Abraços
Augusto
Complementando a resposta ao crítico, você será muito bem vindo se quiser me mandar sugestões para a publicação de notícias sobre falhas e vulnerabilidades graves de softwares livres...
Abraços
Augusto
Esse critico é engraçado, a gente tem que conviver com as merdas que o windows faz e ele ainda vem reclamar quando dizemos a verdade. O Augusto ta muito certo em avisar sobre esses worms porcarias ate pq vc mesmo critico é um dos primeiros a dizer que o linux tem um monte de falhas.
O linux tem falhas sim, mas ao contrario de outros sistemas operacionais, as falhas são abertas ao publico para que rapidamente o adm de sistemas se previna.
Eu não entendo oq vc faz aqui nesse site critico, vai acessar o babãoo mesmo que é o melhor que vc faz.
hoje, em *todos* os newgroups, foruns e listas de e-mail que eu frequento/participo, teve alguem, contando um relato ou uma historia de alguem que foi afetado de alguma forma por essa vulnerabilidade, e, principalmente pelo worm.
isso nao eh um ataque a microsoft, exploits e "auto-rooters" estao "on the wild" o worm esta sendo comparado ao CodeRed, e qualquer pessoa que tenha um pingo de conhecimento e um minimo de sensatez, vai realizar que a situacao eh calamitosa e ateh mesmo nossas "linux box" podem ser atingidas por um dos milhares de efeitos colaterais que uma falha com a dimensao dessa, deixa para traz. o critico ai eh muito ingenuo ou muito fundamentalista radical pro-microsoft.
Augusto,
realmente o worm e novo mas deixo pensar com meus botoes aqui :-) . O worm se propaga explorando essa falha correto ? Se nao existe a falha o Worm nao infecta a maquina, portanto qualquer administrador que tiver seus sistemas atualizados nao seria infectado desde 16 de julho :-)
Agora em relacao a ser administrador de sistema eu Sou ADM de Sistemas isso quer dizer WINDOWS+*NIX+BSD mas que eu adoraria que so fosse *NIX+BSD. Mas sabe como é , a corda sempre arrebenta do lado mais fraco que no meu caso seria no WIN se nao tivesse atualizado o sistema em 16 de julho.
Hoje em dia dou risada sobre o bug , SAIU ate no jornal de hoje :-) e posso dizer com certeza : ESTE nao pegou aqui .
abracos
E parabens pelo portal.
Sergio, é por isso que eu avisei sobre a vulnerabilidade varias vezes. Quando eu avisei há 2 semanas atras, por exemplo, muito "administrador" deve ter lido, pensado "ainda não tem exploit" e deixado de lado. Mas ontem, com um worm à solta, até estes devem ter tomado atitude.
Augusto.
Concordo com voce e acho que estamos de acordo. Eu dizendo que a noticia e velha e voce com a preocupacao e a boa vontade de ter colocado a noticia a duas semanas atrasa alertando os adms menos precavidos .
Parabens.
Não, na verdade eu sustento que ela não é velha. A notícia é sobre os worms, e não sobre a vulnerabilidade. E os worms não são de semanas atrás - eles foram divulgados na segunda-feira, e eu publiquei a notícia explicando seu funcionamento e como se livrar deles na terça. De brinde ainda mencionei em um parágrafo a vulnerabilidade, que de fato é velha e já tinha sido mencionada aqui mesmo semanas antes.
Se a materia e sobre worms entao voce esta correto, mas dai a so ontem fechar as portas dos roteadores !!!
:-)
Acho que cada um faz o que e necessario na sua rede, eu como nao gosto de ter trabalho dobrado ou ficar com meus sistemas comprometidos resolvi o problema dia 17 de julho.
No meu caso as portas afetadas (139, etc) estão fechadas desde 1998 :)
Comentários desativados: Esta discussão é antiga e foi arquivada, não é mais possível enviar comentários adicionais.