[GTER] Re: W32/Blaster worm
Marcello de Lima Azambuja
azambuja at lpc.ufrj.br
Wed Aug 13 16:32:25 -03 2003
Pelo que vi o ataque de denial of service é executado a partir do dia 16.
Filtrar essas portas também só vai ajudar a evitar o Blaster, mas novos worms
podem surgir, e não tão vagabundos. O ideal é aplicar o patch. Até porque
outras portas também podem ser usadas na exploração da falha (139, 445, 539,
etc.).
A porta 4444 também é utilizada pelo primeiro exploit publicado (dcom.c) que
foi a base para o Blaster. Mas existem outros exploits que utilizam outras
portas (oc192-dcom.c que usa por default a 666).
$.02
--
Marcello de Lima Azambuja
PGP Key: FEC9 32F3 6CF4 FC57 75D9 06CF B959 F95E A5B5 649F
On Wed, Aug 13, 2003 at 03:11:58PM -0300, Fabio Oliveira wrote:
> Bloquear acesso a porta TCP número 4444 no nível do firewall e bloquear as
> seguintes portas, caso as aplicações abaixo não sejam usadas:
>
>
> Porta TCP 135, "DCOM RPC"
> Porta UDP 69, "TFTP"
>
> O worm também tenta executar um Denial of Service (DoS) no Windows Update.
> Esta tentativa evita que você instale a correção da vulnerabilidade
> explorada por ele em seu computador.
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]Em
> nome de Marcelo Costa
> Enviada em: quarta-feira, 13 de agosto de 2003 09:08
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Re: W32/Blaster worm
>
>
>
>
> na minha infra, em apenas 5 minutos:
> deny tcp any any eq 135 (4643 matches)
>
> []s
> Marcelo Costa
> > 18hs de hoje (08/11) já recebi 574 tentativas de conexão apenas na
> > > porta 135 da minha conexão a cabo virtua. :)
>
> []s
> Marcelo Costa
> ---------------------------------------------------------
> "Beam me up, Scotty..."
>
> --
> GTER list http://eng.registro.br/mailman/listinfo/gter
>
> ---
> Incoming mail is certified Virus Free.
> Checked by AVG anti-virus system (http://www.grisoft.com).
> Version: 6.0.507 / Virus Database: 304 - Release Date: 04/08/03
>
> ---
> Outgoing mail is certified Virus Free.
> Checked by AVG anti-virus system (http://www.grisoft.com).
> Version: 6.0.507 / Virus Database: 304 - Release Date: 04/08/03
>
> --
> GTER list http://eng.registro.br/mailman/listinfo/gter
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 187 bytes
Desc: not available
URL: <https://eng.registro.br/pipermail/gter/attachments/20030813/a12601e3/attachment.sig>
More information about the gter
mailing list