Siehe:
http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-010.htm
oder: http://cert.uni-stuttgart.de/ticker/article.php?mid=1124
Evtl. den dortigen Admin darauf hinweisen, daß er verantwortlich für das
Einspielen der aktuellen Patches ist? (Der Exploit ist vom September 2003).
Wie es mit dem unnötigen Traffic auf Deine Kosten aussieht, weis ich
nicht, da sind hier bestimmt kompetentere Mitleser unterwegs.

Andi

Hallo Werner!

Vorweg einen kostenersatz für Traffic kannst du nicht erhalten, da unter
bestimmten Umständen das anfragen an deinen Rechner / Proxy auch gewollt
ist, wir sind ja im Internet unterwegs und dort werden Anfragen und
Antworten über Rechner vergeben, das hast du sicherlich bemerkt, den den
Port 135 hättest du ja sperren können, jedoch hättest du dann selber die
Tür zum Hofe zu gemacht, oder den Briefkasten an der Tür abgehangen,
grins.
Das ist im Internet normal, hilft nur ein Schutz nach aussen! Software
oder
Hardware- lösungen gell
Die Zuordnung spielt im weitesten Sinne keine Rolle, da du nicht weißt
woher die Ursprünge der Pakete her kommen ( Deren Server ggf. nur
verteiler?).
Mit Software dagegen halten oder es dabei belassen, da es immer wieder
welche geben wird die die Ports abklopfen oder besser legal Abfragen
werden!
Wieso finanzeller Schaden? (Erkläre das mal genauer???).
Traffic nicht immer Gleich finanzeller Schaden ist.
NT4 Server i.o
MS Proxy gibt bessere Proxys oder?

der Rest währe ein zu langer Rattenschwanz es hier zu erklären.

Gruß

Sven Böhnke

Tach alle zusammen,

diese Firma Meske-Internethandel scheint a.) sich entweder nicht um Ihre
Server zu kümmern wer oder was ihre Server mißbraucht. Denn heute ist
der 3.Juli und ich habe von denen heute von verschiedenen Adressen aus
dem Bereich 217.6.60.64 - 217.6.60.127 (er ganze Bereich gehört dieser
Firma) solche schönen Nachrichten bekommen.
Oder b.) sie verschicken sie mit Absicht. Das darf sich jetzt jeder
aussuchen.
Wenn der Server allerdings "Kerstin21" heißt (siehe weiter unten), und
eine Webseite www.kerstin.bz beworben wird, liegt die Vermutung nahe,das
es b.) ist, oder?

Kleiner Auszug aus dem Logfile meines Sniffers:
Internet Protocol, Src Addr: 217.6.60.102 (217.6.60.102), Dst Addr:
62.134.176.38 (62.134.176.38)
User Datagram Protocol, Src Port: 1986 (1986), Dst Port: epmap (135)
Source port: 1986 (1986)
Destination port: epmap (135)
Length: 308
Checksum: 0x50b7 (correct)
DCE RPC
Microsoft Messenger Service, NetrSendMessage
Operation: NetrSendMessage (0)
Server
Max Count: 10
Offset: 0
Actual Count: 10
Server: KERSTIN21
Client
Max Count: 14
Offset: 0
Actual Count: 14
Client: 62.134.176.38
Message
Max Count: 156
Offset: 0
Actual Count: 156
Message: du willste mal ein Bild von mir sehen ohne
Slip???\r\n Schaut mal kurz auf meine\r\n
Homepage: >>>> http://www.kerstin.bz\r\n

Klar kann man sich mit Firewall und so davor schützen, aber schönere
wäre es, wenn man das nich machen müßte.
Die IP Adressen gehören übrigens der Telekom, die sie an Meske
weitergegeben hat.
Ich habe mal, rein intressehalber (und ohne große Hoffnung), eine Email
an ***@t-ipnet.de und an den Herrn Meske geschickt. Mal neugierig was
passiert...

Schönes Wocheneden noch...

SveN