Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 125 reacties
Bron: The Register, submitter: Wouter Tinus

Het Register heeft een bericht geplaatst over de nieuwste methode die spammers gebruiken om hun vaak nutteloze en opdringerige verhalen te verspreiden onder zoveel mogelijk onschuldige computeraars. Dit keer wordt het de spammer makkelijker dan ooit gemaakt. Hij hoeft geen mailadressen meer te verzamelen, en ook niet te wachten tot een bepaalde website bezocht wordt. De 700 dollar kostende software van DirectAdviser kan namelijk hele ip-ranges bombarderen met paketten die zich richten op poorten 135, 137 en 138. Doelwit: de messenger service van Windows NT, 2000 en XP. Wie onbekend is met dit fenomeen - het gaat dus ničt over MSN Messenger - moet maar eens proberen om "net send localhost spam!" uit te voeren. Gelukkig kan deze service die deze vorm van communicatie mogelijk maakt wel uitgezet worden, en is een simpele firewall genoeg om dit soort dingen helemaal te weren, maar toch zullen weinig mensen dit als een positieve ontwikkeling beschouwen:

So we have here essentially a NetBIOS attack tool. It's capable of attacking entire IP ranges, but will not (the company says) get past a firewall or provide a hyperlink in the alert to the attacker's commercial Web site. The latter shortcoming is currently being addressed, the company says.

The quickest way to defeat it is simply to shut off Windows Messenger (not the MSN Messenger IM client), so long as it's not needed by other applications. Otherwise port 135 UDP and TCP can be filtered. If neither of these solutions is suitable, the company invites you to share with them "any questions, comments, or suggestions that you may have" at this e-mail address.
DirectAdviser
Moderatie-faq Wijzig weergave

Reacties (125)

1 2 3 ... 7
net send servers kan worden uitgezet door in de dos box ''net stop messenger'' in te type.

Maar net send is wel leuk voor over het school netwerk enzo.

Met ''net send * (text)'' kan er naar een hele werkgroep waar je inzit worden gestuurt.
leuk? ook als een of andere grapjas het volgende batch bestandje maakt en opstart:

:begin
net send all [willekeurig baldadig berichtje]
goto begin

dit soort dingen kunnen dus heel gemakkelijk misbruikt worden. en leuk is het zeker niet als je net lekker bezig bent en je krijgt iedere keer zo'n irritant popupje in beeld.
all werkt niet * wel
Ze hebben op mijn school destijds net send uitgezet nadat ik "net send * Pauze!" had gedaan...
So ken ik een bedrijf waar de productie DB 'server' still stond omdat iemand 'net send * Blah!' gedaan had. Dat is pas gammele afhandeling van je netwerk :)
wilke@bruggenmors $ net send localhost spam!
bash: net: command not found

Ik zie het probleem niet zo :P


Maareh, dit staat toch standaard uit in windows 2000, of ben ik nou gek?
Nope, staat standaard aan in windows2K

/offtopic
Ik zit gelukkig ook achter een *nix gateway :D nergens last van dus
je hebt ook nog tooltjes om netbios messages te ontvangen onder linux. Standaard niet geinstalleerd denk ik (niet bij mij tenminste). een voorbeeldje: linpopup :)
klopt, ik heb er nu al 3 van mogen ontvangen,
zal ff een screenshot opzoeken

edit: http://wanamove.nl/decramy/vrieskerel/upload/upload/webpop.JPG
dat is hem dus... heb mijn i.p. ff weggesnoept :+
Ja die heb ik ook gehad... Ik schrok me echt rot.. het leek wel of ik gehacked was ofzo.
We zijn verplicht om een firewall te gaan installeren :(

Kan zoiets niet verboden worden of beter gezegd staat hier niks over in de wet van privacy?
Ja die heb ik ook gehad... Ik schrok me echt rot.. het leek wel of ik gehacked was ofzo.
We zijn verplicht om een firewall te gaan installeren
Net zo goed als dat je ' verplicht' bent een slot op je IRL voordeur te zetten. Dit is niets anders dan een bedrijf dat een virtueel jongentje levert die virtuele briefjes naar binnen gooit door virtueel openstaande voordeuren. Misschien een twijfelachtige bezigheid, maar het is niet de maker van de software die hier dom is- een firewall hoort gewoon op ieder systeem te draaien die in verbinding staat met de rest van de wereld :z
Kan zoiets niet verboden worden of beter gezegd staat hier niks over in de wet van privacy?
Wat heeft dit met privacy te maken :?

Het is eenrichtingsverkeer, een bedrijf kan geen persoonsgegevens hiermee opvragen- dat zou een schending van privacy zijn. Wat wel voor de hand ligt is dat ISPs hiertegen optreden omdat het idioot veel verkeer over hun netwerk zou kunnen genereren. Maarja, dat wordt vast weer zo'n lekker selectieve 'block poorten 135, 137 en 138' actie :'(
I see your point...

Maar ik vind een firewall alleen maar nadelen geven dan voordelen..
Zo duurt het bij mij veel langer voordat hij mijn mail checked, hij blijft soms een min hangen terwijl zonder firewall dat in 2/3 sec gaat...

Soms blocked die dingen die niet geblocked moeten worden...
Ik heb er dus vaak last van...

En besides ik heb geen breedband dus geen vast IP :)
Net zo goed als dat je ' verplicht' bent een slot op je IRL voordeur te zetten
Dit maakt het inbreken niet minder strafbaar hoor. Alleen jij kan problemen krijgen met je verzekering, maar de politie zal het een worst wezen. Of jij wel of geen slot op je deur hebt.
Soms blocked die dingen die niet geblocked moeten worden...
Ik heb er dus vaak last van...


Een goed geconfigureerde firewall heb je meer profijt als last van... Kwestie van RTFM en even goed configureren dus...
Dan zou ik maar snel een (externe) firewall installeren, want blijkbaar staat je NetBIOS open voor de hele wereld...
tcp/ip settings daar ergens netbios over tcp/ip uitzetten
wil je netbios gebruiken doe dat dan over ipx ofzo en natuurlijk externe connectie alleen tcp/ip toestaan
Ja, laten we maar even geen IPX gaan gebruiken. Mensen die NetBIOS gebruiken hebben over het algemeen shares. Zo niet, dan kun je het sowieso uitzetten. Als je shares hebt, dan is dat waarschijnlijk voor een beperkt aantal computers toegankelijk, zoals bijvoorbeeld de computers in je eigen thuis-/flat-/campus-/universiteits-/bedrijfsnetwerk. Dan heb je ook bijna altijd te maken met een afzienbare IP-range voor je netwerk. Dan kun je twee dingen doen: alle IP's die toegang mogen hebben expliciet deze toegang toewijzen, en alle andere IP's de toegang ontzeggen, of je staat alleen de range van je netwerk toe die poorten te gaan gebruiken. 2k en XP hebben hiervoor de tool Local Security Policy (onder Administrative Tools). Wat je dan moet doen is een nieuwe Security Policy aanmaken waarbij je via een netmask de pakketjes van jouw netwerk eruit filtert en die wel toegang verleent. De rest wordt dan geblokkeerd. Ik heb zo bijvoorbeeld een rule om @Home en Chello abonnees te weren (ons netwerk is vrij groot, maar niet bedoeld voor andere mensen en hoewel de meeste ISP's NetBIOS verkeer blokkeren, doen/deden @Home en Chello dat niet. Tegenwoordig blokkeert onze eigen ISP actief NetBIOS verkeer) en daarnaast nog wat mensen die het leuk vinden om binnen ons netwerk hun UPS iedereen te laten vertellen wat de huidige toestand is...
Je kan natuurlijk ook gewoon 2 NIC's in je PC hebben zitten. 1 voor Internet (en dus ook de shared NIC) waar je de netbios compleet van afzet (en ook tevens file&printer sharing als we dan toch bezig zijn) en de 2de NIC voor je intern netwerkje doe je mee wat je wilt :)
Dan heb je je machine niet goed dicht gezet. Volgens mij kan iedereen dan ook je shares zien. :+

Sim-pel
If you are connected to the Internet through a router the message will not be delivered to your computer. You need to have direct connection to the Internet for the message to get through.
Fierwalls should be blocking these messages.
Make sure you have File and Printer sharing installed on your computer.
If you don't receive the demo messages from this website you will not be able to to send messages either.
Van de week hadden ze het op deze website nog over NetBEUI ipv. "File and Printersharing".

En ze vragen nog $ 700,- voor een net send tooltje...ha ha ha, la me niet lachen!!
Dan heb je je machine niet goed dicht gezet. Volgens mij kan iedereen dan ook je shares zien.
der zijn programmetjes die poort 139 afscannen en laten zien of je dan wel niet shared. als je dit op een willekeurige provider en range afvuurt heb je 70% kans dat je een hit hebt.
Dit messenger geval is zeer bekend snap niet dat men er eerder aan gedacht heeft ik kan alleen zeggen dom

maar ja ach .. ik zit achter een *nix NAT machine en die hebben der weinig last van :)
[quote]
If you don't receive the demo messages from this website you will not be able to to send messages either.
[\quote]
Dat betekent dus dat je iedere message kan beantwoorden met een eigen "net send"-bom? Hmm, leuke manier van adverteren, wordt je vervolgens zelf doodgegooid met SPAM :) Bijvoorbeeld SPAM over normen en waarden op het Internet, acceptabele manieren van adverteren, anti-SPAM sites. Goh, dan heb je zowaar toch nog een nuttig doel voor je IRC drones :)
klopt... server moest ff een fijne reinstall hebben
en om toch niet zonder internet te zitten, de modum voor tijdje aan mijn pc gehangen, natuurlijk te lui om firewall of leuke routing software te installeren.... :7
Je moet gewoon Micrsoft Networking uitzetten dan is er nix aan de hand...
zow die dingen zijn wel erg groot lijkt mij echt waar irritant
zijn ze dus ook enorm
deed laatst (Tijdens ontvangen van pop-up nr 3 :'() een potje Yuri over het netwerk, (800 * 600), moet je dan bedenken wat er gebeurd als dat pop-upje even in Yuri binnenvalt (hij sprint niet eens terug naar windows).... :(
Aha. Vandaar al die NetBIOS Name meldingen van mijn firewall die ik de afgelopen weken heb ontvangen. Ik krijg er tientallen per week, voor die tijd zelden.

ZoneAlarm zegt dan bijvoorbeeld:

The firewall has blocked Internet access to your computer (NetBIOS Name) from 216.208.52.xxx (UDP Port 1025).

Time: 16-10-2002 17:02:58


[edit]
Euhhh, hoewel...

Ik lees net op http://www.visualizesoftware.com/visualzone/20021001.htm


Many users have noticed an enormous increase in port 137 probes in their logs since September 27th. At the moment this increase is being contributed to the 'Bugbear/Tanatos' virus and the 'Opaserv/Scrup' worm.
ik krijg gemiddeld 1 melding per minuut in mijn logs
maar zitten denk ik ook Brodcasts bij op 137, 138 , 139
Wednesday, October 16, 2002 5:58:38 PM Unrecognized access from 81.65.53.226:3990 to UDP port 137

Wednesday, October 16, 2002 5:59:12 PM Unrecognized access from 81.65.53.226:3990 to UDP port 137


Tot 10 minuten gelden (12:50u) 140, jawel honderveertig keer, vanaf bovenstaand IP adres. Zullen we nu maar met zijn allen massaal gaan pingen, of zoiets flauws....?

grz Gover
debianfirewall:~# grep 207.46.230.218:137 /var/log/kern.log|grep 'Oct 17' |wc -l
15 :)
Iets meer dan 1 per uur. Valt hard mee. Op poort 139 iets minder. De nimba worm stond op z'n piek 6 x per minuut voor de deur om een brakke IIS van MS aan te vallen (inclusief broadcast packages).
je kunt op de site van Direct Advertiser testen of jij wel of niet kunt ontvangen

http://www.directadvertiser.com/demo.html

* 786562 Vrieskerel
Ik vraag me toch echt af hoe hoog het nivo van de gemiddelde tweaker hier nou echt ligt. Dit is een van de echt super oude geintjes in windows. Standaard staat deze service aan. En voor het geval dat mensen ook nog niet eens weten wat een service is. Een service is een windows programma zonder echte user interface wat gewoon zonder dat de gebruiker het echt mertk op de achtergrond draait om zo een bepaald doel te bereiken.

Met het leuke commando 'net stop messenger' schakel je deze service TIJDELIJK uit. Om hem volledig uit te schakelen:
+ Rechter muisknop op My Computer
+ Manage
+ Services and applications
+ Services
+ Vraag eigenschappen op van Messenger
+ Stop hem
+ en zet hem op of manual of disabled.

KLAAR.

Snap niet dat de meeste tweakers dit niet wisten. Maarja ik zal wel teveel weten 8)7
Zo.. Net Stop Messenger ook maar uitgevoerd voor alle zekerheid...

Het valt me trouwens nog wel mee dat dit niet veel eerder gedaan werd... Want deze "feature" zit er toch al een behoorlijke tijd in..

Maarja.. simpele firewall en "net stop messenger" doet al wonderen..
messenger service in je services panel disablen werkt iets permanenter..
NET STOP MESSENGER werkt tot de volgende reboot
Het lijkt me niet zo verstandig om nu allemaal de messenger service uit te gaan schakelen. Er zijn meerdere onderdelen van windows die deze service gebruiken. Hij staat dan ook niet voor niets standaard aan.

Je kan beter de poorten van de messenger service filteren, zoals ook in het bericht staat.
vraagie welke onderdelen dan? ik heb het alleen nog maar in combo met deze spam gezien dus uit met die handel toch?
Allerlei interne (localhost) windows processen maken gebruik van deze service om onderling te communiceren.
Als je die service dus uitschakelt kunnen die services niet goed meer draaien, waardoor je dus problemen _kan_ krijgen.
Je moet zoals Rene59 al zegt gewoon de inkomende netbios poorten blokkeren, of gewoon netbios helemaal uitschakelen.
Ook zo lekker schijnheilig:
Notice: Please do not use this software for spamming. If you do so, you will take full responsibility for your actions.
Waar kun je het anders voor gebruiken dan voor spammen?
iedereen in huis vertellen dat het eten klaar is :Y)
iedereen met Windows die Messenger Service aan heeft staan bedoel je zeker :o
Gepost door Vrieskerel woensdag 16 oktober 2002 - 22:48 Score: 2 (Informatief)
je kunt op de site van Direct Advertiser testen of jij wel of niet kunt ontvangen

http://www.directadvertiser.com/demo.html

* Vrieskerel zit sinds een halve dag weer achter zijn winroute, dus ik ontvang nix meer
Due to heavy server load the online demo is unavailable at the momemnt. Please check back later!
offtopic:
ach jee...

wat erg }>


Maar goed, het blijft vervelend...
En zoiets is niet verboden :?
Spammer: "Hoi, ik heb hier een berichtje in de vorm van wat packets gericht aan jouw IP adres."
Computer: "Tnx! Aangezien mijn admin zijn Netbios poorten wagenwijd open heeft staan, ga ik er vanuit dat het de bedoeling is dat [hz]ij deze dingen ontvangt. Ik zal je berichtje dan ook maar meteen op zijn/haar scherm zetten aangezien het protocol wat wij nu gebruiken hiervoor is bestemd."

Maargoed, ik ga er vanuit dat het net zo verboden is als SMTP spam. In wezen is het precies hetzelfde systeem. Spam wordt in beide gevallen door de spammer aangeboden en (automatisch) door de ontvanger geaccepteerd. Wel raar dat deze methode nu pas "ontdekt" wordt; ik heb er in mijn 31337 h4x0r tijd n paar jaar terug best wel lol mee gehad :)
[ff off topic]

[quote]
nu pas "ontdekt" wordt; ik heb er in mijn 31337 h4x0r tijd n paar jaar terug best wel lol mee gehad
[Reactie gewijzigd door N8w8]

Welk leuk al die getallen maar waar staan ze voor

[ff off topic]
\[off-topic]N8W8 betekent bijvoorbeeld nACHTwACHT
Ik vraag me dan nog steeds af, wat ze met die TV-zender bedoelen...V8... }>

\[/off-topic]
Welk leuk al die getallen maar waar staan ze voor
Dat vinden sommige stoer, een soort van geheimtaal. spreek ze maar eens uit of kijk naar de vorm.

N8W8 betekent bijvoorbeeld nACHTwACHT
das niet helemaal juist
3=E
1=L
7=T

dat word dus:
31337=ELEET=ELITE
h4x0r=haxor=hacker

edit:

moest natuurlijk als reactie op Vrieskerel
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True