der Sasser und KB835732 Probleme Thread....

Maxx666

Kitemaniac

Registered: Sep 2001
Location: Longshore / West..
Posts: 712

05.05.2004 - 12:48

Hi @ all!

Mittlerweile muß es eh schon jeder mitbekommen haben, daß aufgrund einer LSASS Vulnability in diversen MS Windows Versionen, der Wurm Sasser wunderbar verbreiten konnte.

M$ bittet seit 13.April eine Patch gegen diese Schwachstelle an mit der Bezeichnung KB835732.
http://www.microsoft.com/technet/se...n/MS04-011.mspx

Seit wir unsere Systeme gepatched haben gibts aber einige Probleme:

1.) Terminal Session auf einen Windows 2000 Terminal Server funktionieren teilweise nimmer.
Workaround dazu ist es einen Registry Key zu löschen und zu rebooten. KB323497
http://support.microsoft.com/?kbid=323497

2.) Internet Information Server verwenden anstatt des Datumsformates TT.MM.JJJJ nun das Format TT/MM/JJ. Besonders toll für diverse Websites die Daten verwenden und mit diese rechnen müssen.

3.a) Alle unsere DHCP Server stellen Ihr Logfile auf "Paused"
...
02 The log was temporarily paused due to low disk space.
02,05/05/04,10:55:28,Paused,,,

obwohl genug Speicherplatz vorhanden ist....
Der DHCP vergibt aber weiterhin Adressen.

3.b) Weiters werden in der DHCP Console ca. 80% Computer mit einen Stift angezeigt.
Was bedeutet "Active lease, DNS dynamic update pending. This address is not available for lease by the DHCP server."
Kann man dageben irgendwas tun?

3.c) Weiters findet man in der DHCP Console Leases mit 24-stellige!!!! MAC Adressen...???

4.) Windows XP Clients welche den Sasser Wurm schon hatten und im Nachhinein mit dem Patch KB835732 gepached worden sind werden durch die Systemwiederherstellung wieder offen, bis man das M$ Removal Tool für die Sasser Würmer installiert hat. KB841720
http://www.microsoft.com/downloads/...;displaylang=en

:mad:

was ist euch alles aufgefallen?

Maxx666

Kitemaniac

Registered: Sep 2001
Location: Longshore / West..
Posts: 712

05.05.2004 - 12:56

hier hab auch auch noch was gefunden:

http://www.heise.de/newsticker/meldung/46716
und
http://www.securityfocus.com/archiv...02/2004-05-08/2

Bearbeitet von Maxx666 am 05.05.2004, 12:58

Silvasurfer

I do my own stunts

Registered: Feb 2002
Location: kärnten
Posts: 4595

05.05.2004 - 12:59

man stopft eine lücke und schafft andere lücken/bugs .. irgendwie a teufelskreis was microsoft da anzettelt

Oculus

void

Registered: Jun 2001
Location: schlafzimmer
Posts: 856

06.05.2004 - 11:53

@max666
bist da sicher, dasst den patch in da richtigen sprache eingespielt hast?

HaBa

Vereinsmitglied
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19771

06.05.2004 - 11:56

Zitat von Oculus
@max666
bist da sicher, dasst den patch in da richtigen sprache eingespielt hast?

Da ich den falschen runtergeladen habe (eng) und auf de installieren wollte und das nicht ging weil er "falsche Sprache" gemeldet hat nehme ich an das es nicht geht.

moidaschl

Vollzeit-Hackler

Registered: Aug 2002
Location: 1210, ABK-D/L
Posts: 4029

06.05.2004 - 16:52

jo, des geht ned der schreit gleich, wie bei anderen windows versionen.
hamms bei uns in der schul alles zweimal laden müssen :rolleyes:

serverseitige fehler kann ich ned berichten, aber clientseitig ist mir zb das mit der uhrzeit nicht aufgefallen.

Maxx666

Kitemaniac

Registered: Sep 2001
Location: Longshore / West..
Posts: 712

07.05.2004 - 20:11

stimmt, die falsche sprachversion läßt sich nicht installieren.

zum problem:

3.)a&b

es war definitiv der patch der dieses verhalten bewirkt hat. geholfen hat ein call bei der microsoft, welche mich auf diesen artikel verweisten.
http://support.microsoft.com/defaul...kb;en-us;826743
2 registry keys gesetzt mit reboot und die sache fing wieder an zu registrieren.

2.) hier hilf definitiv die ländereinstellungen - default settings auf die richtige sprache zurückzustellen. wir hatten deutsch. nach patch englisch.

das wars erstmal. aber eins kann man sicher sagen. der patch ist sehr bugy. man kanns sichs aussuchen. soll man sich ins linke oder ins rechte knie schießen - wurm oder buggy-patch? nicht gerade erbauent bei großen environments. :mad:

Bearbeitet von Maxx666 am 07.05.2004, 20:14

Luki1987

Ihr wollt Wacker sein?

Registered: Oct 2003
Location: Tirol
Posts: 1630

08.05.2004 - 11:09

Btw. der Sasser-Programmierer wurde gefasst (sorry für OT).
http://www.heise.de/newsticker/meldung/47205
MfG

~PI-IOENIX~

Pappenschlosser

Registered: Nov 2002
Location: mühl4tl / graz
Posts: 4721

08.05.2004 - 11:10

Zitat von Luki1987
Btw. der Sasser-Programmierer wurde gefasst (sorry für OT).
http://www.heise.de/newsticker/meldung/47205
MfG

is ziemlich sehr on Topic

Flex8045

formerly Flexter88

Registered: Sep 2002
Location: Graz 8045
Posts: 1042

08.05.2004 - 17:20

Zitat von Luki1987
Btw. der Sasser-Programmierer wurde gefasst (sorry für OT).
http://www.heise.de/newsticker/meldung/47205
MfG

In seiner Haut möchte ich nicht stecken!

EddieRodriguez

*AUDIO-ENGINEER*

Registered: May 2003
Location: wean
Posts: 1034

08.05.2004 - 17:22

Zitat
In seiner Haut möchte ich nicht stecken!

ich schon. wenn ich dann auch einen fett bezahlten job bei den behörden bekomme...

HaBa

Vereinsmitglied
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19771

08.05.2004 - 17:28

Das FBI hat mal geschätzt das weltweit ca. 20 Millionen Coder im Stande sind sowas zu machen.

Eigentlich erstaunlich wie viele davon dann auch noch intelligent genug sind sowas nicht loszulassen ...

Ich hab dabei gemischte Gefühle:
a) der Patch war fast 3 Wochen vorher erhältlich was die ganze Sache zu SSKM werden lässt für mich ("autoupdate", da braucht keiner meckern das es schwierig ist) (ich rede von Heimusern, nicht von Firmen wo updates/patches vorher getestet werden müssen ...)

b) hats das trotzdem nicht Not sowas zu verbreiten.

und: wenn der dann einen Job bekommt wird IMHO ein falsches Siganl gesetzt. Andererseits ist seine Leistung ja auch nicht _soooo_ hoch zu bewerten => er hat den exploit ja nicht gefunden usw. sondern "nur" ein Programm geschrieben das ihn ausnutzt.

Was ihm allerdings angerechnet weredn sollte: keine Schadensroutine ala "format c:" usw., das wäre nämlich _kein_ zusätzlicher Aufwand gewesen ..

Insgesamt: auch die Virenschreiber "können" nicht mehr so viel wie früher => ein guter Virus damals hatte Schadensfunktion, Infektionfunktion usw. in wwi 1704 byte ...
b)

.dcp

notamodbuthot

Registered: Jul 2002
Location: new
Posts: 8881

08.05.2004 - 17:29

Zitat von EddieRodriguez
ich schon. wenn ich dann auch einen fett bezahlten job bei den behörden bekomme...

träume sin scho cool, oder ? :rolleyes:

lima

Big d00d

Registered: May 2004
Location: |_4><3|\|8..
Posts: 284

09.05.2004 - 08:14

ich würd echt gerne wissen wie man sich so ein wissen erlernen kann. ich mein das kanns ja nicht sein...ich setz mich ja nicht so einfach vorm pc und sag: naja...ok...hab nix zu tun...schreib ma mal nen virus.
schon freaks diese typen. hätte schon gerne das wissen um sowas zu können

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19789

09.05.2004 - 08:50

Lern programmieren :confused:

Viel brauchts nicht zu so einem Virus, allerdings finde ich es irgendwie schade dass man solche Leute auch noch bewundert :rolleyes:

Anstatt Viren zu produzieren, könnte man ja an diversen Open-Source-Projekten weiterarbeiten ...

Edit:

Zitat von EddieRodriguez
ich schon. wenn ich dann auch einen fett bezahlten job bei den behörden bekomme...

Ganz sicher, nach so einer "Meisterleistung"

Maxx666 Kitemaniac Registered: Sep 2001 Location: Longshore / West.. Posts: 712	05.05.2004 - 12:48 Hi @ all! Mittlerweile muß es eh schon jeder mitbekommen haben, daß aufgrund einer LSASS Vulnability in diversen MS Windows Versionen, der Wurm Sasser wunderbar verbreiten konnte. M$ bittet seit 13.April eine Patch gegen diese Schwachstelle an mit der Bezeichnung KB835732. http://www.microsoft.com/technet/se...n/MS04-011.mspx Seit wir unsere Systeme gepatched haben gibts aber einige Probleme: 1.) Terminal Session auf einen Windows 2000 Terminal Server funktionieren teilweise nimmer. Workaround dazu ist es einen Registry Key zu löschen und zu rebooten. KB323497 http://support.microsoft.com/?kbid=323497 2.) Internet Information Server verwenden anstatt des Datumsformates TT.MM.JJJJ nun das Format TT/MM/JJ. Besonders toll für diverse Websites die Daten verwenden und mit diese rechnen müssen. 3.a) Alle unsere DHCP Server stellen Ihr Logfile auf "Paused" ... 02 The log was temporarily paused due to low disk space. 02,05/05/04,10:55:28,Paused,,, obwohl genug Speicherplatz vorhanden ist.... Der DHCP vergibt aber weiterhin Adressen. 3.b) Weiters werden in der DHCP Console ca. 80% Computer mit einen Stift angezeigt. Was bedeutet "Active lease, DNS dynamic update pending. This address is not available for lease by the DHCP server." Kann man dageben irgendwas tun? 3.c) Weiters findet man in der DHCP Console Leases mit 24-stellige!!!! MAC Adressen...??? 4.) Windows XP Clients welche den Sasser Wurm schon hatten und im Nachhinein mit dem Patch KB835732 gepached worden sind werden durch die Systemwiederherstellung wieder offen, bis man das M$ Removal Tool für die Sasser Würmer installiert hat. KB841720 http://www.microsoft.com/downloads/...;displaylang=en was ist euch alles aufgefallen?
Maxx666 Kitemaniac Registered: Sep 2001 Location: Longshore / West.. Posts: 712	05.05.2004 - 12:56 hier hab auch auch noch was gefunden: http://www.heise.de/newsticker/meldung/46716 und http://www.securityfocus.com/archiv...02/2004-05-08/2 Bearbeitet von Maxx666 am 05.05.2004, 12:58
Silvasurfer I do my own stunts Registered: Feb 2002 Location: kärnten Posts: 4595	05.05.2004 - 12:59 man stopft eine lücke und schafft andere lücken/bugs .. irgendwie a teufelskreis was microsoft da anzettelt
Oculus void Registered: Jun 2001 Location: schlafzimmer Posts: 856	06.05.2004 - 11:53 @max666 bist da sicher, dasst den patch in da richtigen sprache eingespielt hast?
HaBa Vereinsmitglied Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19771	06.05.2004 - 11:56 Zitat von Oculus @max666 bist da sicher, dasst den patch in da richtigen sprache eingespielt hast? Da ich den falschen runtergeladen habe (eng) und auf de installieren wollte und das nicht ging weil er "falsche Sprache" gemeldet hat nehme ich an das es nicht geht.
moidaschl Vollzeit-Hackler Registered: Aug 2002 Location: 1210, ABK-D/L Posts: 4029	06.05.2004 - 16:52 jo, des geht ned der schreit gleich, wie bei anderen windows versionen. hamms bei uns in der schul alles zweimal laden müssen serverseitige fehler kann ich ned berichten, aber clientseitig ist mir zb das mit der uhrzeit nicht aufgefallen.
Maxx666 Kitemaniac Registered: Sep 2001 Location: Longshore / West.. Posts: 712	07.05.2004 - 20:11 stimmt, die falsche sprachversion läßt sich nicht installieren. zum problem: 3.)a&b es war definitiv der patch der dieses verhalten bewirkt hat. geholfen hat ein call bei der microsoft, welche mich auf diesen artikel verweisten. http://support.microsoft.com/defaul...kb;en-us;826743 2 registry keys gesetzt mit reboot und die sache fing wieder an zu registrieren. 2.) hier hilf definitiv die ländereinstellungen - default settings auf die richtige sprache zurückzustellen. wir hatten deutsch. nach patch englisch. das wars erstmal. aber eins kann man sicher sagen. der patch ist sehr bugy. man kanns sichs aussuchen. soll man sich ins linke oder ins rechte knie schießen - wurm oder buggy-patch? nicht gerade erbauent bei großen environments. Bearbeitet von Maxx666 am 07.05.2004, 20:14
Luki1987 Ihr wollt Wacker sein? Registered: Oct 2003 Location: Tirol Posts: 1630	08.05.2004 - 11:09 Btw. der Sasser-Programmierer wurde gefasst (sorry für OT). http://www.heise.de/newsticker/meldung/47205 MfG
~PI-IOENIX~ Pappenschlosser Registered: Nov 2002 Location: mühl4tl / graz Posts: 4721	08.05.2004 - 11:10 Zitat von Luki1987 Btw. der Sasser-Programmierer wurde gefasst (sorry für OT). http://www.heise.de/newsticker/meldung/47205 MfG is ziemlich sehr on Topic
Flex8045 formerly Flexter88 Registered: Sep 2002 Location: Graz 8045 Posts: 1042	08.05.2004 - 17:20 Zitat von Luki1987 Btw. der Sasser-Programmierer wurde gefasst (sorry für OT). http://www.heise.de/newsticker/meldung/47205 MfG In seiner Haut möchte ich nicht stecken!
EddieRodriguez AUDIO-ENGINEER Registered: May 2003 Location: wean Posts: 1034	08.05.2004 - 17:22 Zitat In seiner Haut möchte ich nicht stecken! ich schon. wenn ich dann auch einen fett bezahlten job bei den behörden bekomme...
HaBa Vereinsmitglied Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19771	08.05.2004 - 17:28 Das FBI hat mal geschätzt das weltweit ca. 20 Millionen Coder im Stande sind sowas zu machen. Eigentlich erstaunlich wie viele davon dann auch noch intelligent genug sind sowas nicht loszulassen ... Ich hab dabei gemischte Gefühle: a) der Patch war fast 3 Wochen vorher erhältlich was die ganze Sache zu SSKM werden lässt für mich ("autoupdate", da braucht keiner meckern das es schwierig ist) (ich rede von Heimusern, nicht von Firmen wo updates/patches vorher getestet werden müssen ...) b) hats das trotzdem nicht Not sowas zu verbreiten. und: wenn der dann einen Job bekommt wird IMHO ein falsches Siganl gesetzt. Andererseits ist seine Leistung ja auch nicht _soooo_ hoch zu bewerten => er hat den exploit ja nicht gefunden usw. sondern "nur" ein Programm geschrieben das ihn ausnutzt. Was ihm allerdings angerechnet weredn sollte: keine Schadensroutine ala "format c:" usw., das wäre nämlich _kein_ zusätzlicher Aufwand gewesen .. Insgesamt: auch die Virenschreiber "können" nicht mehr so viel wie früher => ein guter Virus damals hatte Schadensfunktion, Infektionfunktion usw. in wwi 1704 byte ... b)
.dcp notamodbuthot Registered: Jul 2002 Location: new Posts: 8881	08.05.2004 - 17:29 Zitat von EddieRodriguez ich schon. wenn ich dann auch einen fett bezahlten job bei den behörden bekomme... träume sin scho cool, oder ?
lima Big d00d Registered: May 2004 Location: \|_4><3\|\\|8.. Posts: 284	09.05.2004 - 08:14 ich würd echt gerne wissen wie man sich so ein wissen erlernen kann. ich mein das kanns ja nicht sein...ich setz mich ja nicht so einfach vorm pc und sag: naja...ok...hab nix zu tun...schreib ma mal nen virus. schon freaks diese typen. hätte schon gerne das wissen um sowas zu können
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19789	09.05.2004 - 08:50 Lern programmieren Viel brauchts nicht zu so einem Virus, allerdings finde ich es irgendwie schade dass man solche Leute auch noch bewundert Anstatt Viren zu produzieren, könnte man ja an diversen Open-Source-Projekten weiterarbeiten ... Edit: Zitat von EddieRodriguez ich schon. wenn ich dann auch einen fett bezahlten job bei den behörden bekomme... Ganz sicher, nach so einer "Meisterleistung"

der Sasser und KB835732 Probleme Thread....

Forum Index > Software > Windows

Maxx666

Maxx666

Silvasurfer

Oculus

HaBa

moidaschl

Maxx666

Luki1987

~PI-IOENIX~

Flex8045

EddieRodriguez

HaBa

.dcp

lima

daisho