"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

der Sasser und KB835732 Probleme Thread....

Maxx666 05.05.2004 - 12:48 1644 22
Posts

Maxx666

Kitemaniac
Avatar
Registered: Sep 2001
Location: Longshore / West..
Posts: 712
Hi @ all!

Mittlerweile muß es eh schon jeder mitbekommen haben, daß aufgrund einer LSASS Vulnability in diversen MS Windows Versionen, der Wurm Sasser wunderbar verbreiten konnte.

M$ bittet seit 13.April eine Patch gegen diese Schwachstelle an mit der Bezeichnung KB835732.
http://www.microsoft.com/technet/se...n/MS04-011.mspx


Seit wir unsere Systeme gepatched haben gibts aber einige Probleme:

1.) Terminal Session auf einen Windows 2000 Terminal Server funktionieren teilweise nimmer.
Workaround dazu ist es einen Registry Key zu löschen und zu rebooten. KB323497
http://support.microsoft.com/?kbid=323497


2.) Internet Information Server verwenden anstatt des Datumsformates TT.MM.JJJJ nun das Format TT/MM/JJ. Besonders toll für diverse Websites die Daten verwenden und mit diese rechnen müssen.


3.a) Alle unsere DHCP Server stellen Ihr Logfile auf "Paused"
...
02 The log was temporarily paused due to low disk space.
02,05/05/04,10:55:28,Paused,,,

obwohl genug Speicherplatz vorhanden ist....
Der DHCP vergibt aber weiterhin Adressen.

3.b) Weiters werden in der DHCP Console ca. 80% Computer mit einen Stift angezeigt.
Was bedeutet "Active lease, DNS dynamic update pending. This address is not available for lease by the DHCP server."
Kann man dageben irgendwas tun?


3.c) Weiters findet man in der DHCP Console Leases mit 24-stellige!!!! MAC Adressen...???


4.) Windows XP Clients welche den Sasser Wurm schon hatten und im Nachhinein mit dem Patch KB835732 gepached worden sind werden durch die Systemwiederherstellung wieder offen, bis man das M$ Removal Tool für die Sasser Würmer installiert hat. KB841720
http://www.microsoft.com/downloads/...;displaylang=en


:mad:

was ist euch alles aufgefallen?

Maxx666

Kitemaniac
Avatar
Registered: Sep 2001
Location: Longshore / West..
Posts: 712
Bearbeitet von Maxx666 am 05.05.2004, 12:58

Silvasurfer

I do my own stunts
Avatar
Registered: Feb 2002
Location: kärnten
Posts: 4595
man stopft eine lücke und schafft andere lücken/bugs .. irgendwie a teufelskreis was microsoft da anzettelt

Oculus

void
Avatar
Registered: Jun 2001
Location: schlafzimmer
Posts: 856
@max666
bist da sicher, dasst den patch in da richtigen sprache eingespielt hast?

HaBa

Legend
Dr. Funkenstein
Avatar
Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19731
Zitat von Oculus
@max666
bist da sicher, dasst den patch in da richtigen sprache eingespielt hast?

Da ich den falschen runtergeladen habe (eng) und auf de installieren wollte und das nicht ging weil er "falsche Sprache" gemeldet hat nehme ich an das es nicht geht.

moidaschl

Vollzeit-Hackler
Avatar
Registered: Aug 2002
Location: 1210, ABK-D/L
Posts: 4029
jo, des geht ned der schreit gleich, wie bei anderen windows versionen.
hamms bei uns in der schul alles zweimal laden müssen :rolleyes:

serverseitige fehler kann ich ned berichten, aber clientseitig ist mir zb das mit der uhrzeit nicht aufgefallen.

Maxx666

Kitemaniac
Avatar
Registered: Sep 2001
Location: Longshore / West..
Posts: 712
stimmt, die falsche sprachversion läßt sich nicht installieren.

zum problem:

3.)a&b

es war definitiv der patch der dieses verhalten bewirkt hat. geholfen hat ein call bei der microsoft, welche mich auf diesen artikel verweisten.
http://support.microsoft.com/defaul...kb;en-us;826743
2 registry keys gesetzt mit reboot und die sache fing wieder an zu registrieren.

2.) hier hilf definitiv die ländereinstellungen - default settings auf die richtige sprache zurückzustellen. wir hatten deutsch. nach patch englisch.

das wars erstmal. aber eins kann man sicher sagen. der patch ist sehr bugy. man kanns sichs aussuchen. soll man sich ins linke oder ins rechte knie schießen - wurm oder buggy-patch? nicht gerade erbauent bei großen environments.:mad:
Bearbeitet von Maxx666 am 07.05.2004, 20:14

Luki1987

Ihr wollt Wacker sein?
Avatar
Registered: Oct 2003
Location: Tirol
Posts: 1630
Btw. der Sasser-Programmierer wurde gefasst (sorry für OT).
http://www.heise.de/newsticker/meldung/47205
MfG

~PI-IOENIX~

Pappenschlosser
Avatar
Registered: Nov 2002
Location: mühl4tl / graz
Posts: 4700
Zitat von Luki1987
Btw. der Sasser-Programmierer wurde gefasst (sorry für OT).
http://www.heise.de/newsticker/meldung/47205
MfG

is ziemlich sehr on Topic

Flexter88

1080p owner
Avatar
Registered: Sep 2002
Location: Graz 8045
Posts: 1034
Zitat von Luki1987
Btw. der Sasser-Programmierer wurde gefasst (sorry für OT).
http://www.heise.de/newsticker/meldung/47205
MfG

In seiner Haut möchte ich nicht stecken!

EddieRodriguez

*AUDIO-ENGINEER*
Avatar
Registered: May 2003
Location: wean
Posts: 1034
Zitat
In seiner Haut möchte ich nicht stecken!

ich schon. wenn ich dann auch einen fett bezahlten job bei den behörden bekomme...

HaBa

Legend
Dr. Funkenstein
Avatar
Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19731
Das FBI hat mal geschätzt das weltweit ca. 20 Millionen Coder im Stande sind sowas zu machen.

Eigentlich erstaunlich wie viele davon dann auch noch intelligent genug sind sowas nicht loszulassen ...

Ich hab dabei gemischte Gefühle:
a) der Patch war fast 3 Wochen vorher erhältlich was die ganze Sache zu SSKM werden lässt für mich ("autoupdate", da braucht keiner meckern das es schwierig ist) (ich rede von Heimusern, nicht von Firmen wo updates/patches vorher getestet werden müssen ...)

b) hats das trotzdem nicht Not sowas zu verbreiten.

und: wenn der dann einen Job bekommt wird IMHO ein falsches Siganl gesetzt. Andererseits ist seine Leistung ja auch nicht _soooo_ hoch zu bewerten => er hat den exploit ja nicht gefunden usw. sondern "nur" ein Programm geschrieben das ihn ausnutzt.

Was ihm allerdings angerechnet weredn sollte: keine Schadensroutine ala "format c:" usw., das wäre nämlich _kein_ zusätzlicher Aufwand gewesen ..


Insgesamt: auch die Virenschreiber "können" nicht mehr so viel wie früher => ein guter Virus damals hatte Schadensfunktion, Infektionfunktion usw. in wwi 1704 byte ...
b)

.dcp

notamodbuthot
Avatar
Registered: Jul 2002
Location: new
Posts: 8881
Zitat von EddieRodriguez
ich schon. wenn ich dann auch einen fett bezahlten job bei den behörden bekomme...

träume sin scho cool, oder ? :rolleyes:

lima

Big d00d
Avatar
Registered: May 2004
Location: |_4><3|\|8..
Posts: 284
ich würd echt gerne wissen wie man sich so ein wissen erlernen kann. ich mein das kanns ja nicht sein...ich setz mich ja nicht so einfach vorm pc und sag: naja...ok...hab nix zu tun...schreib ma mal nen virus.
schon freaks diese typen. hätte schon gerne das wissen um sowas zu können

daisho

SHODAN
Avatar
Registered: Nov 2002
Location: 4C4
Posts: 19690
Lern programmieren :confused:

Viel brauchts nicht zu so einem Virus, allerdings finde ich es irgendwie schade dass man solche Leute auch noch bewundert :rolleyes:

Anstatt Viren zu produzieren, könnte man ja an diversen Open-Source-Projekten weiterarbeiten ...

Edit:

Zitat von EddieRodriguez
ich schon. wenn ich dann auch einen fett bezahlten job bei den behörden bekomme...

:bash: Ganz sicher, nach so einer "Meisterleistung"
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz