[linux-l] Port 135

[Oliver Beck]

On Tue, 7 Oct 2003 15:38:15 +0200 (CEST)
Tobias Schlottke <toby at schlottke.net> wrote:

> Moin,

Mahlzeit,
 
> ich habe jüngst ein trace auf meinem
> ppp-dial-in-Interface gemacht (sogar mehrmals) und habe
> da unglaubliche Mengen an SYN's nach TCP 135 (RPC)
> gesehen. Wat soll'n dat?
> Verschiedene Würmer was weiß ich verbreiten sich
> ja wohl über den 135. Aber das man da gleich nach der
> Einwahl damit zugeschüttet wird.... (ich gehe über
> Arcor).. find ich ja schon merkwürdig. (Die SYNs kamen
> von einem anderen DialIn bei Arcor)
> Ist das normal, seht ihr das auch?

Also, als normal würde ich das nicht bezeichnen, aber dank MS muss man
es das wohl notgedrungen so bezeichnen :)

Wie Du schon vermutest hast, werden es Würmer oder sonstige
Schad-Programme sein, die die Schwachstelle von MS's RPC-Implementation
ausnutzen (MS-03-026). Das Du ein SYN-Paket empfängs ist in sofern
normal, da ein SYN-Paket nun mal ein Verbindungaufbauen signalisiert. Ob
dieser zu stande kommt, liegt ganz allein an Deiner konfiguration der
Dienste (schliesslich kann man ja auch apache auf TCP/135 horchen
lassen). Da auf diesem Port aber kein Dienst(standartmäßig auf *niX)
horcht, wird aber kein ACK-Paket geschickt, was demzufolge keine
Verbindung aufbaut.

So weit ich weiß, kann man daran auch nicht viel ändern.
Erhalten wirst Du es weiterhin, da selbst Netfilter das Paket anschaut,
bevor es entscheidet, was mit diesem geschehen soll.


MfG/Regards Oliver Beck

-- 
 /"\ -ASCII-Ribbon-Campaign- |
 \ /    Against HTML Mail    | -Linux on an VIA EPIA-M9000-
  X      Against nontext     |    http://epia.std-err.de
 / \       attachments       |        (german only)