image

"Universele" exploit code voor Veritas Backup Exec

donderdag 13 januari 2005, 13:56 door Redactie, 9 reacties

Beheerders van Veritas Backup Exec 8.x of 9.x die verkeer naar port 6101/tcp niet blokkeren of hun software nog niet hebben gepatched, kunnen dit beter zo spoedig mogelijk doen. De afgelopen dagen is er een behoorlijke toename in het aantal scans van port 6106 waargenomen en sinds vandaag is er zelfs een "universele" exploit code beschikbaar die van het lek in Backup Exec misbruik maakt. Het lek zou inmiddels actief misbruikt worden en er gaan geruchten dat er een worm in de maak is. (ISC)

Reacties (9)
13-01-2005, 14:09 door FL4TLiN3R
Patch het schip, of het zal zinken!

Ook hier Backup Exec 9.x en al gepatcht... hopen dat ie niet door een ander
lek zal zinken... :)
13-01-2005, 14:35 door Anoniem
Whoops... ik was nog niet gepatched, maar had gelukkig de firewall netjes
dicht staan. Toch maar ff gedaan, ik ken de gebruikers hier :)
13-01-2005, 15:01 door FL4TLiN3R
ik ken de gebruikers hier :)
Is dat zo?
Ik denk dat het hier wel mee valt... de echte jongens hebben andere
resources dan security.nl (no offense guys!)
14-01-2005, 00:05 door Anoniem
Door FL4TLiN3R
ik ken de gebruikers hier :)
Is dat zo? Ik denk dat het hier wel mee valt... de echte
jongens hebben andere resources dan security.nl (no offense
guys!)

Als hij eigenlijk de gebruikers van het netwerk waar hij wat
beheert bedoeld (en niet de security.nl bezoekers) is het al
geen onverstandige stap. Veel aanvallen komen nog altijd van
binnenuit.
En al vertrouwde hij die lokale gebruikers 100% omdat hij
het bijvoorbeeld zelf alleen is: met beweren dat het wel
meevalt voorkom je geen problemen. Nodeloos niet patchen is
nog altijd onveiliger dan nodeloos patchen. Gevaren komen
vaak uit onverwachte hoek op het moment dat je het net niet
verwacht. Dan kan je het maar beter wel verwachten en er op
inspelen.
14-01-2005, 09:01 door FL4TLiN3R
Als hij eigenlijk de gebruikers van het netwerk waar hij wat
beheert bedoeld (en niet de security.nl bezoekers) is het al
geen onverstandige stap. Veel aanvallen komen nog altijd van
binnenuit.
Absoluut waar!!! Ik formuleerde het niet helemaal zo, maar idd, het is nu
eenmaal een feit dat je harder op je bek kan gaan, als je je beveiliging voor
de buitenwereld voor elkaar hebt, maar tegen je eigen gebruikers(intern
dus) niet!

Tnx voor de verduidelijking anoniem! ;)
17-01-2005, 15:12 door Anoniem
Wij zijn dus de pineut. Er draait inmiddels een FTP server op port 444, die
we overigens niet via Fport kunnen zien (vreemd). Alles is verder
gepatched e.d. maar FTP draait nog steeds. Heel irritant. Zeker omdat we
niet kunnen achterhalen welke applicatie port 444 gebruikt.
Bruikbare suggesties zijn welkom
18-01-2005, 08:27 door splatx
Door FL4TLiN3R
de echte jongens hebben andere resources dan security.nl (no offense
guys!)

Zoals de 1337-&-BreEzAh-NicKNAm3 Cr34t0r
05-02-2005, 13:58 door Anoniem
Door Anoniem
Wij zijn dus de pineut. Er draait inmiddels een FTP server op port 444, die
we overigens niet via Fport kunnen zien (vreemd). Alles is verder
gepatched e.d. maar FTP draait nog steeds. Heel irritant. Zeker omdat we
niet kunnen achterhalen welke applicatie port 444 gebruikt.
Bruikbare suggesties zijn welkom

Installeer DameWare tools en maak remote verbinding naar deze server
en controleer alle services. Waarschijnlijk is door de hacker een rootkit
geinstalleerd die alles hide. Als dit geen resultaat oplevert, installeer de
server opnieuw. Je bent gehacked en de server opnieuw installeren is de
beste oplossing.
05-02-2005, 14:06 door raboof
Wij zijn dus de pineut. Er draait inmiddels een FTP
server op port 444, die we overigens niet via Fport kunnen
zien (vreemd). Alles is verder gepatched e.d. maar FTP
draait nog steeds. Heel irritant. Zeker omdat we niet
kunnen achterhalen welke applicatie port 444 gebruikt.
Bruikbare suggesties zijn welkom

Onder linux gaat het met `lsof' en/of `netstat', dat helpt
je misschien bij googlen naar windows-equivalenten van die
software.

Als ze echter al op je systeem zitten weet je niet in
hoeverre er al rootkits en andere achterdeurtjes aangebracht
zijn, dus is een herinstallatie geen overbodige luxe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.