Inderdaad. Dat RPC gat gaat nog voor leuke problemen zorgen.
Want er zijn nog steeds van die eikels die hun machine door Nimda, Code Red en Slammer laten infecteren terwijl hier toch al heeeeeeel lang patches voor zijn.

Port 135 is bezig met een 'inhaalslag' in m'n logs, 445 nog de meest geprobeerde port, maar 135 komt er aan.
Idem voor die silly /scripts/nsiislog.dll, een goede tweede na Code Red F (ja, nog steeds een paar per uur)

Wordt het toch nog gezellig ;)

Er is een exploit for dummies, een heuse 'Kablam!' die *iedere* idioot kan gebruiken.
[zelf even *goed* zoeken, want ik ga hier geen ploitz of pointers posten :), maar veel moeite kost het niet]

Iedere *randdebiel* die nu nog een NT/2K/XP (of RPC-enabled winx) box heeft met ports 135 - 139 - 445 is het lul.

hmmz... volgens mij is het *de* lul of *het* bokje (grin)
hier trouwens geen problemen met de genoemde poorten al staan de logfiles inderdaad behoorlijk vol.

Ik heb er zowaar een gespot die aan de hand van onze response daadwerkelijk dacht dat er een shell was op 'een' port

--
MS-Crap:
--source--------- -spt- -dpt- date--------time--- ---offending host----
[@home.nl luser] 2198 135 07/28/2003 16:45:42 [hostname of luser]
[@home.nl luser] 2238 445 07/28/2003 16:45:45 [hostname of luser]
[@home.nl luser] 2240 445 07/28/2003 16:45:46 [hostname of luser]
[@home.nl luser] 2244 445 07/28/2003 16:45:46 [hostname of luser]
[@home.nl luser] 2249 445 07/28/2003 16:45:46 [hostname of luser]
[@home.nl luser] 2324 445 07/28/2003 16:45:47 [hostname of luser]
[@home.nl luser] 2337 445 07/28/2003 16:45:48 [hostname of luser]
[@home.nl luser] 2352 445 07/28/2003 16:45:48 [hostname of luser]
[@home.nl luser] 2357 445 07/28/2003 16:45:48 [hostname of luser]
[@home.nl luser] 2360 445 07/28/2003 16:45:48 [hostname of luser]
[@home.nl luser] 2366 445 07/28/2003 16:45:49 [hostname of luser]
[@home.nl luser] 2373 445 07/28/2003 16:45:49 [hostname of luser]

Syslog:
07-28-2003 16:45:42 Kernel.Debug kernel: IPT INPUT packet died: IN=eth0 OUT= MAC=[mine]
SRC=[@home.nl luser] DST=[mine] LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=19221
DF PROTO=TCP SPT=2205 DPT=45836 WINDOW=16384 RES=0x00 SYN URGP=0

07-28-2003 16:45:45 Kernel.Debug kernel: IPT INPUT packet died: IN=eth0 OUT= MAC=[mine]
SRC=[@home.nl luser] DST=[mine] LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=19441
DF PROTO=TCP SPT=2205 DPT=45836 WINDOW=16384 RES=0x00 SYN URGP=0

--
Cool ;)


Maar nog niet echt heftig, kom op met die worm. mag ik bij deze de naam 'Crapper' voorstellen ? :)


*wacht*

De 'aandacht' wordt internationaler, maar het blijft vooral bij die domme Xforce, weinig (1 op 30) die een link verderop gekeken hebben.
En al helemaal nog geen 'zelfkaas' exploits.
Blijkbaar hebben Kiddies geen gewone c-compiler ?

En een VisualBastard worm..* proest *

Ik denk dat wormage nog even op zich gaat laten wachten, tenzij iemand *datte* ook gezien heeft *wijst*.. :)

Bijna w/e :)

Lijkt wel alsof *iedereen* alleen maar op die worm heeft zitten wachten..
Feest voor de kiddies, duizenden open b0x3n voor het oprapen, en de lusers zitten er naar te staren.

Durft iemand te gokken hoeveel _JAAR_ deze blijft rondzweven ?

Die blijft nog wel even rondzingen. Code Red en Nimda doen het ook nog steeds terwijl hier toch al wat jaartjes een patch voor is.