Augen auf!

Scans auf Ports 443 und 80 deuten auf Botnetz hin

Das SANS Internet Storm Center hat Berichte von Lesern bekommen, dass deren Cisco IPS große Anzahlen von ungewöhnlichen Port-Scans anzeigen.

Interessant an der Geschichte, die seit nunmehr fast vier Tagen andauert ist, wenn Administratoren eine Quell-IP-Adresse blockieren, gehen die Scans sofort von einer anderen Adresse aus.

Die Betreiber der Webseite haben mittlerweile Beispiel-Logs bekommen. Diese würden fast sicher bestätigen, dass ein Botnetz hinter den Scans steckt. Ein Leser hat darauf aufmerksam gemacht, dass die Scans bei ihm http://www.snort.org/search/sid/12709?r=1 ausgelöst werden. Dies sei ein Remote Exploit für Microsoft ASN.1 oder CVE-2005-1935 (auch Kill Bill genannt). SANS will die Augen weiter offen halten und die Anwender bei Neuigkeiten informieren. (jdo)