Ständige Meldung der Firewall

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von oesi41, 7. August 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. oesi41

    oesi41 Kbyte

    Registriert seit:
    19. März 2003
    Beiträge:
    250
    :mad: Hallo Leute,

    habe SygatePro Firewall installiert. Seit geraumer Zeit erhalte ich ständig folgende Meldung:

    [181.1] Inbound DCE BIND to potentially vulnerable RPC DCOM interface attempt detected

    Die "Strenge" wird als "kritisch" richtung "Eingang" angegeben.

    Habe schon mehrfach ein Backtrace gemacht und dieses an den zuständigen Provider gemeldet-ohne Resultat, oder zum Teil ohne Antwort.



    Wer kann mir sagen was diese Meldung bedeutet und ob ich mir "Sorgen" machen muss ????

    Wäre toll, wenn ihr mir schnell helfen könntet.

    Danke und Guß

    oesi40
     
  2. Yorgos

    Yorgos Viertel Gigabyte

    Registriert seit:
    2. Februar 2003
    Beiträge:
    3.963
  3. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Zu Punkt 1 enthalte ich mich jeder Aussage...

    Zu Punkt 2 Blaster oder Sasser versuchen auf einen ungepatchten RPC-Dienst zuzugreifen. (würde ich so deuten)

    Zu Punkt 3 Dem Provider gemeldet!? LOL Was soll das bringen, außer eine allgemeine Belustigung des Papierkorbes des Mailempfängers?

    Zu Punkt 4
    Ja, Du solltest Dir Sorgen machen, wenn Du Dein System gepatcht hast ist dieser "ALARM" eine von vielen Fehlinformationen von PFW
     
  4. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo,

    diese Attacken stammen allesamt von infizierten Rechnern, die entweder mit Blaster, Welchia, Nachi, Phatbot oder Agobot kompromittiert sind und sich dementsprechend weiter verbreiten wollen.
    Da hilft es auch nichts, das du die IP den zuständigen Provider meldest, denn meistens wissen diese User gar nicht, daß sie infiziert sind.

    Deine RPC Lücke ist gepatcht, oder?
    Wenn ja, konfiguriere deine NT - Dienste sicherer und verzichte auf eine PFw.
    http://www.ntsvcfg.de/

    Und nun sind wir wieder beim Thema:
    Scheinsicherheit und/oder Verunsicherung durch eine Firewall
     
  5. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    :-P ERSTER!
     
  6. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Ja, da warst mal wieder schneller. :D;)

    Allerdings muß ich dich leider korrigieren:
    Sasser nutzt eine Sicherheitslücke Local Security Authority Subsystem Service" (LSASS) auf nicht gepatchte Systeme.
    Die Symptome des Herunterfahrens über AbortSystemShutdown-API sind wie bei Blaster und Konsorten gleich, da hast du Recht.
     
  7. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Okay, dann streich den Sasser aus der Liste ;-)

    BTW.
    Was machen eigentlich Probleme mit Fremdsoftware in einem Board, in dem es um Probleme bei XP geht?

    Hmmm...
     
  8. oesi41

    oesi41 Kbyte

    Registriert seit:
    19. März 2003
    Beiträge:
    250
    Danke für eure Tipps, ich werde es umsetzen !!!!

    Gruß oesi40
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen