Rpc

tomall0 · 11.08.2003, 21:05

Witam siedze na DC i ktos pyta o RPC za chwile mi się to samo przydarza, czy ktoś mógł mi coś podesłać? Pokazuje się okno z komunikatem: Trwa zam. systemu zapisz....... zamknięcie zostalo zainicjowane przez zarządzanie NT/System. System Win. musi bć ponownie uruchoimiony ponieważ usługa zdalna wywołania procedur RPC

po skanowanie antyvirusem to znalazłem. Pomocy.

Y@nkee_PL · 11.08.2003, 21:27

to samo w watku troche nizej

-> http://forum.cdrinfo.pl/showthread.p...threadid=24364
i do tego jeszcze moj kumpel z sieci to ma :o
to juz 3 osoby dzisaj

tomall0 · 11.08.2003, 21:49

Cytat:

Y@nkee_PL napisa***322;(a)
to samo w watku troche nizej -> http://forum.cdrinfo.pl/showthread.p...threadid=24364
i do tego jeszcze moj kumpel z sieci to ma :o
to juz 3 osoby dzisaj

Co to może być ja załapałem to siedząc na DC, gostek się pytał i za chwile mi wyskoczyło co ciekawe w systemie znalazłem coś takiego : msblast.exe, jestem pewien, że wcześniej tego nie miąłem bo gostek co to miał na DC prosił żebym sprawdził u siebie w systemie i nie miałem a po ok 5 min. masz i ja mam. Użyłem jv16 Power Tools i w autostarcie siedziało właśnie mblast.exe- Windows Update

co to do diabła jest? Na bank siedzi w autostarcie i po wyłączeniu komp chodzi OK, pojawił się komunikat, że system odzyskał sprawność po poważnej awarii tylko jakiej

ZiP · 11.08.2003, 22:15

Miałem to samo dzisiaj 3 razy, pojawiło się po kilkutygodniowej nieprzerwanej pracy systemu (nic nie robiłem, nic nie instalowałem). Zrestartowałem więc system, ale po kilku minutach znowu ten błąd. Pomyślałem sobie, że ktoś tu się próbuje zabawić moim kosztem i zainstalowałem Norton Antyvirus 2003, uaktualniłem bazy wirusów i wykryto "Backdoor.Sdbot" w dwóch plikach: \windows\system\netd32.exe oraz iwuachz.exe w katalogu temp. Po wyleczeniu plików miałem może godzinę przerwy, myślałem że jest po wszystkim, aż tu znowu to samo. Nigdy wcześniej mi się nie zdarzyło, żeby usługa zdalnego wywoływania procedur została wyłączona samoczynnie. Przeskanuję jeszcze raz system antywirusem, a jeżeli to nie pomoże to będę musiał reinstalować winde, bo nie mogę sobie pozwolić na restarty w losowych momentach.

tomall0 · 11.08.2003, 22:25

Cytat:

ZiP napisa***322;(a)
Miałem to samo dzisiaj 3 razy, pojawiło się po kilkutygodniowej nieprzerwanej pracy systemu (nic nie robiłem, nic nie instalowałem). Zrestartowałem więc system, ale po kilku minutach znowu ten błąd. Pomyślałem sobie, że ktoś tu się próbuje zabawić moim kosztem i zainstalowałem Norton Antyvirus 2003, uaktualniłem bazy wirusów i wykryto "Backdoor.Sdbot" w dwóch plikach: \windows\system\netd32.exe oraz iwuachz.exe w katalogu temp. Po wyleczeniu plików miałem może godzinę przerwy, myślałem że jest po wszystkim, aż tu znowu to samo. Nigdy wcześniej mi się nie zdarzyło, żeby usługa zdalnego wywoływania procedur została wyłączona samoczynnie. Przeskanuję jeszcze raz system antywirusem, a jeżeli to nie pomoże to będę musiał reinstalować winde, bo nie mogę sobie pozwolić na restarty w losowych momentach.

Miałeś msblast.exe?
Bo ja zrobiłem tak: pchał sie do autostartu, więc go odłączyłem znalazłem tą aplikacje w windows\system 32 i poprostu ją usunąłem, nie wiem czy dobrze zrobiłem, ale narazie działa ok 20 min, a tak restart co 3-4min.

krzpac · 11.08.2003, 22:33

Cytat:

tomall0 napisał(a):
Co to może być ja załapałem to siedząc na DC, gostek się pytał i za chwile mi wyskoczyło co ciekawe w systemie znalazłem coś takiego : msblast.exe, jestem pewien, że wcześniej tego nie miąłem bo gostek co to miał na DC prosił żebym sprawdził u siebie w systemie i nie miałem a po ok 5 min. masz i ja mam. Użyłem jv16 Power Tools i w autostarcie siedziało właśnie mblast.exe- Windows Update co to do diabła jest? Na bank siedzi w autostarcie i po wyłączeniu komp chodzi OK, pojawił się komunikat, że system odzyskał sprawność po poważnej awarii tylko jakiej

u mnie tez ten problem zaczął występować po tym jak uruchomiłem DC

tylko u mnie zadnego pliku mblast.exe nie ma

ZiP · 11.08.2003, 22:53

Cytat:

tomall0 napisa***322;(a)
Miałeś msblast.exe?
Bo ja zrobiłem tak: pchał sie do autostartu, więc go odłączyłem znalazłem tą aplikacje w windows\system 32 i poprostu ją usunąłem, nie wiem czy dobrze zrobiłem, ale narazie działa ok 20 min, a tak restart co 3-4min.

Nie, nie miałem nic w autostarcie. Jedynie ten wirus w tych dwóch plikach. Miałeś też tego samego wirusa?

Od tamtego czasu sytuacja powtórzyła się dwukrotnie. Skan antywirusem nie wykazał zainfekowanych plików, więc zaczynam wątpić, żeby miało to jakikolwiek związek ze zdalnym wywoływaniem procedur.

Zaraz sie wkurze i postawie nowy system, najlepiej win2003

Acha, i nie korzystam z DC, dla mnie tylko eMule.

ZiP · 11.08.2003, 23:00

Proponuję wejść na strone http://securityresponse.symantec.com...tent/8205.html. Jest to najwyraźniej bug systemowy WSZYSTKICH wersji Windows opartych na NT. To jest właśnie ten bug, patche są na tejże stronie, w moim przypadku pomogło.

Description

A buffer overrun vulnerability has been reported in Microsoft Windows that can be exploited remotely via a DCOM RPC interface that listens on TCP/UDP port 135. The issue is due to insufficient bounds checking of client DCOM object activation requests. Exploitation of this issue could result in execution of malicious instructions with Local System privileges on an affected system.

This issue may be exposed on other ports that the RPC Endpoint Mapper listens on, such as TCP ports 139, 135, 445 and 593. This has not been confirmed. Under some configurations the Endpoint Mapper may receive traffic via port 80.

Update
7-31-2003: Although spikes in activity have been reported during the past five days, the majority of this scanning activity appears to be isolated to a small number of hosts. Exploit development is continuing, but at this time there is no evidence that successful worms have been developed. Although the level of activity on this port has been climbing steadily since the announcement of the vulnerability a few weeks ago, organizations that have robust filtering, and frequent patch auditing should be relatively safe.

[...]

Recommendations
Block external access at the network boundary, unless service is required by external parties.
Hosts that can send malicious traffic to TCP port 135 can exploit this issue. External access to this port should be filtered at network perimeters. Permit access for trusted or internal hosts and networks only.

Microsoft has released patches to address this issue:
(to jest patch do XP Home oraz Pro SP1 PL, do pozostałych systemów szukać na podanej stronie)
http://microsoft.com/downloads/detai...displaylang=pl

Druss · 11.08.2003, 23:46

Proponuje zainstalowac jakiegos firewalla i odmawiac polaczen z portem z wlasnie tym RPC, wyczytalem to na jakiejs stronie.

krzpac · 11.08.2003, 23:50

http://forum.infojama.pl/viewtopic.php?t=15381

hehe... jakas plaga !

murt · 12.08.2003, 00:31

Cytat:

Od kilku dni niezwykle popularne stało się zdalne resetowanie lub wyłączanie komputerów nieświadomym niczego użytkownikom systemów Windows. Zjawisko to swoją powszechnością zaczyna przypominać już osławionego WinNuke'a. Efekt wykorzystania narzędzia eksploatującego problem dotyczący implementacji RPC to niemożliwe do zamknięcia okno informujące użytkownika o tym, że za 60 sekund nastąpi wyłączenie systemu. Metoda zabezpieczenia się jest bardzo prosta, wystarczy zainstalować łatki z biuletynu bezpieczeństwa MS03-026 (o czym informowaliśmy już w poprzednim miesiącu). Rozpoczęte przez robaka msblast.exe odliczanie można zatrzymać uruchamiając z poziomu wiersza poleceń komendę shutdown -a. Odkrycie błędu w RPC odpowiedzialnego za całe zamieszanie zawdzięczamy polskiej grupie The LSD...

Cytat z Jamy Mastaha .

12.08.2003, 13:04

podobno prog zawiera taki text
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!(w sam raz na sygnaturke)

a tu szczegoly
C:\WINDOWS\SYSTEM32\msblast.exe(wasz winowajca killowac i wywalic)
http://securityresponse.symantec.com...ster.worm.html

info z forum.tweak.pl

ms tez jakas "poprawke" zafundowal

11.08.2003, 21:05	#1
tomall0 karpiarz:) Data rejestracji: 25.09.2002 Lokalizacja: POLSKA Posty: 404	Rpc Witam siedze na DC i ktos pyta o RPC za chwile mi się to samo przydarza, czy ktoś mógł mi coś podesłać? Pokazuje się okno z komunikatem: Trwa zam. systemu zapisz....... zamknięcie zostalo zainicjowane przez zarządzanie NT/System. System Win. musi bć ponownie uruchoimiony ponieważ usługa zdalna wywołania procedur RPC po skanowanie antyvirusem to znalazłem. Pomocy. __________________ W życiu piękne są tylko chwile...

11.08.2003, 21:27	#2
Y@nkee_PL Maciek: Reaktywacja CDRinfo VIP Data rejestracji: 18.11.2002 Lokalizacja: Zielona Góra Posty: 4,776	to samo w watku troche nizej -> http://forum.cdrinfo.pl/showthread.p...threadid=24364 i do tego jeszcze moj kumpel z sieci to ma :o to juz 3 osoby dzisaj __________________ ...yea-ea-ea-ah, yea-ea, I feel hardcore yea-ea-ea-ah, yea-ea, always hardcore... The firmware page - stronka z BIOSami do napędów optycznych

11.08.2003, 22:15	#4
ZiP Wyjadacz Data rejestracji: 09.05.2002 Posty: 1,740	Miałem to samo dzisiaj 3 razy, pojawiło się po kilkutygodniowej nieprzerwanej pracy systemu (nic nie robiłem, nic nie instalowałem). Zrestartowałem więc system, ale po kilku minutach znowu ten błąd. Pomyślałem sobie, że ktoś tu się próbuje zabawić moim kosztem i zainstalowałem Norton Antyvirus 2003, uaktualniłem bazy wirusów i wykryto "Backdoor.Sdbot" w dwóch plikach: \windows\system\netd32.exe oraz iwuachz.exe w katalogu temp. Po wyleczeniu plików miałem może godzinę przerwy, myślałem że jest po wszystkim, aż tu znowu to samo. Nigdy wcześniej mi się nie zdarzyło, żeby usługa zdalnego wywoływania procedur została wyłączona samoczynnie. Przeskanuję jeszcze raz system antywirusem, a jeżeli to nie pomoże to będę musiał reinstalować winde, bo nie mogę sobie pozwolić na restarty w losowych momentach. __________________ Jeżeli mój post Ci pomógł - nie zapomnij o reputacji, przynajmniej będę wiedział, że ktoś czyta moje wypociny i nie produkuję się tu na próżno.

11.08.2003, 23:00	#8
ZiP Wyjadacz Data rejestracji: 09.05.2002 Posty: 1,740	Proponuję wejść na strone http://securityresponse.symantec.com...tent/8205.html. Jest to najwyraźniej bug systemowy WSZYSTKICH wersji Windows opartych na NT. To jest właśnie ten bug, patche są na tejże stronie, w moim przypadku pomogło. Description A buffer overrun vulnerability has been reported in Microsoft Windows that can be exploited remotely via a DCOM RPC interface that listens on TCP/UDP port 135. The issue is due to insufficient bounds checking of client DCOM object activation requests. Exploitation of this issue could result in execution of malicious instructions with Local System privileges on an affected system. This issue may be exposed on other ports that the RPC Endpoint Mapper listens on, such as TCP ports 139, 135, 445 and 593. This has not been confirmed. Under some configurations the Endpoint Mapper may receive traffic via port 80. Update 7-31-2003: Although spikes in activity have been reported during the past five days, the majority of this scanning activity appears to be isolated to a small number of hosts. Exploit development is continuing, but at this time there is no evidence that successful worms have been developed. Although the level of activity on this port has been climbing steadily since the announcement of the vulnerability a few weeks ago, organizations that have robust filtering, and frequent patch auditing should be relatively safe. [...] Recommendations Block external access at the network boundary, unless service is required by external parties. Hosts that can send malicious traffic to TCP port 135 can exploit this issue. External access to this port should be filtered at network perimeters. Permit access for trusted or internal hosts and networks only. Microsoft has released patches to address this issue: (to jest patch do XP Home oraz Pro SP1 PL, do pozostałych systemów szukać na podanej stronie) http://microsoft.com/downloads/detai...displaylang=pl __________________ Jeżeli mój post Ci pomógł - nie zapomnij o reputacji, przynajmniej będę wiedział, że ktoś czyta moje wypociny i nie produkuję się tu na próżno. Ostatnio zmieniany przez ZiP : 11.08.2003 o godz. 23:49

11.08.2003, 23:46	#9
Druss Costam Data rejestracji: 20.05.2002 Lokalizacja: Gdańsk Posty: 1,722	Proponuje zainstalowac jakiegos firewalla i odmawiac polaczen z portem z wlasnie tym RPC, wyczytalem to na jakiejs stronie. __________________ Czasami jest tak a nie inaczej Pioneer DVR-115D Liteon IHaS-124


	Nagrywarki \| Pliki \| Dyski twarde \| Recenzje \| Księgarnia \| Biosy \| Artykuły \| Nagrywanie od A do Z \| Słownik \| FAQ

	#ads
CDRinfo.pl Reklamowiec Data rejestracji: 29.12.2008 Lokalizacja: Sieć globalna Wiek: 31 Posty: 1227

11.08.2003, 23:50	#10
krzpac RTS Widzew Łódź Data rejestracji: 07.07.2000 Lokalizacja: Alex City Posty: 687	http://forum.infojama.pl/viewtopic.php?t=15381 hehe... jakas plaga ! __________________

12.08.2003, 13:04	#12
netkafejas Gość Posty: n/a	podobno prog zawiera taki text I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!(w sam raz na sygnaturke) a tu szczegoly C:\WINDOWS\SYSTEM32\msblast.exe(wasz winowajca killowac i wywalic) http://securityresponse.symantec.com...ster.worm.html info z forum.tweak.pl ms tez jakas "poprawke" zafundowal