[GTER] Re: W32/Blaster worm

Marcello de Lima Azambuja azambuja em lpc.ufrj.br
Quarta Agosto 13 16:32:25 BRT 2003


Pelo que vi o ataque de denial of service é executado a partir do dia 16.

Filtrar essas portas também só vai ajudar a evitar o Blaster, mas novos worms
podem surgir, e não tão vagabundos. O ideal é aplicar o patch. Até porque 
outras portas também podem ser usadas na exploração da falha (139, 445, 539, 
etc.). 

A porta 4444 também é utilizada pelo primeiro exploit publicado (dcom.c) que
foi a base para o Blaster. Mas existem outros exploits que utilizam outras
portas (oc192-dcom.c que usa por default a 666).

$.02

-- 
Marcello de Lima Azambuja
PGP Key: FEC9 32F3 6CF4 FC57 75D9  06CF B959 F95E A5B5 649F

On Wed, Aug 13, 2003 at 03:11:58PM -0300, Fabio Oliveira wrote:
> Bloquear acesso a porta TCP número 4444 no nível do firewall e bloquear as
> seguintes portas, caso as aplicações abaixo não sejam usadas:
> 
> 
> Porta TCP 135, "DCOM RPC"
> Porta UDP 69, "TFTP"
> 
> O worm também tenta executar um Denial of Service (DoS) no Windows Update.
> Esta tentativa evita que você instale a correção da vulnerabilidade
> explorada por ele em seu computador.
> 
> 
> -----Mensagem original-----
> De: gter-bounces em eng.registro.br [mailto:gter-bounces em eng.registro.br]Em
> nome de Marcelo Costa
> Enviada em: quarta-feira, 13 de agosto de 2003 09:08
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Re: W32/Blaster worm
> 
> 
> 
> 
> na minha infra, em apenas 5 minutos:
>       deny tcp any any eq 135 (4643 matches)
> 
> []s
> Marcelo Costa
>  > 18hs de hoje (08/11) já recebi 574 tentativas de conexão apenas na
> > > porta 135 da minha conexão a cabo virtua. :)
> 
> []s
> Marcelo Costa
> ---------------------------------------------------------
> "Beam me up, Scotty..."
> 
> --
> GTER list    http://eng.registro.br/mailman/listinfo/gter
> 
> ---
> Incoming mail is certified Virus Free.
> Checked by AVG anti-virus system (http://www.grisoft.com).
> Version: 6.0.507 / Virus Database: 304 - Release Date: 04/08/03
> 
> ---
> Outgoing mail is certified Virus Free.
> Checked by AVG anti-virus system (http://www.grisoft.com).
> Version: 6.0.507 / Virus Database: 304 - Release Date: 04/08/03
> 
> --
> GTER list    http://eng.registro.br/mailman/listinfo/gter
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: não disponível
Tipo: application/pgp-signature
Tamanho: 187 bytes
Descrição: não disponível
URL: <http://eng.registro.br/pipermail/gter/attachments/20030813/a12601e3/attachment.pgp>


More information about the gter mailing list