Ports
Ports sind die Türen des Rechners nach aussen. Es gibt davon etwa 65 Tausend. Die ersten 1024 sind festgelegten Programmen zugeordnet, die restlichen kann der Benutzer verwenden, etwa um ins Internet zu gehen.
Von besonderer Bedeutung im diesem Text ist der Port 135, der im Microsoft Active Directory eine zentrale Rolle spielt, aber auch von etlichen Trojanern benutzt wird.
Protokolle
Die im wichtigsten Protokolle sind UDP, welches für die Namensauflösung Verwendung findet und
TCP, mittels dessen die Datenübertragung bewerkstelligt wird.
SYN-Flag
Das SYN-Flag wird im Netz verwendet, um einen TCP-Verbindungswunsch zu signalisieren.
|
|
Die Grafik zeigt die Häufigkeit von Firewall-logs pro Online-Stunde.
Der deutliche Anstieg von 20 auf etwa 100 Meldungen pro Stunde im Jahresvergleich kommt überwiegend von TCP Verbindungsversuchen auf Port 135.
Gegenüber der Flut von Meldungen auf Port 135 sind die restlichen Meldungen zahlenmäß kaum noch von Bedeutung.
Die angegriffenen Ports in meinem Logfile nach Häufigkeit:
- 135 :71%
- 137 : 9%
- 445 : 3%
- 6346: 3%
- 6129: 2%
Unter zwei Prozent blieben die Ports:
21, 80, 139, 554, 1026, 1080, 1214, 1433, 1434, 3389, 4128, 4662, 4898, 4899, 12345 und 17300
Port 135
Die sinnlosen Versuche, meinen Linux-Rechner auf Port 135 zu kontaktieren, kommen zumeist nicht aus irgendwelchen entfernten Ecken des Netzes, sondern aus der Nachbarschaft.
Es scheint fast so, als quakten überall dieselben Frösche:
Hat die Telekom mir eine 62.227er Adresse zugeteilt, kommen die Anfragen zu drei Vierteln auch aus dem 62.227er Adressraum.
Habe ich eine 217er Adresse, kommen die weitaus meisten Verbindungsversuche von 217er Adressen.
Auch der Inhalt der Botschaften ist ziemlich uniform:
78 % schicken mir die OPT (020405B401010402).
Port 135 dient dem "Remote Procedure Call" Service, auf dem in Windows Umgebungen unter anderem das Active Directory aufbaut. Ende Juli 2003 tauchten Programme auf, die einen Fehler im Windows RPC-Dienst ausnützen, um wie es hieß Rechner zu kompromittieren. Kurz darauf hatte auch der Wurm Blaster diese Fähigkeit und verbreitete sich über Port 135. Betroffen waren vor allem winXP und win2000 Maschinen.
Schlussfolgerung
Für mich sieht es so aus, als seien diese Angriffe Kontaktversuche von infizierten Rechnern. Das ergibt sich meiner Meinung nach aus der Gleichförmigkeit des Vorgehens und der großen Häufigkeit der Ereignisse.
Aus den Source-Adressen ist weiter zu schließen, dass sehr viele Rechner im t-online Adressraum infiziert sind.
Sollte es sich wirklich nur um den Blaster-Wurm handeln, wäre dieser nach wie vor extrem verbreitet.
Möglicherweise beobachte ich auch gerade das Entstehen eines Trojaner-Chatrooms, wo sich Viren, Würmer und dergleichen zweck wechselseitigem Update kontaktieren.
|