Intrusion.Win.MSSQL.worm.Helkern

Internet Internet Sicherheit
#1

Hallo Leute,

Kann jemand diese Meldung der Firewall definieren?

Die Mitteilung lautet in etwa wie folgt:

Intrusion.Win.MSSQL.worm.Helkern Angriff an Port 1434. Der Angreifer wurde geblockt. Der Computer wurde nicht geblockt. Seine Adresse ist
vermutlich gefälscht.

Diese Meldung erscheint teilweise mehrmals täglich

unter www.viruslist.com kann ich dazu nichts konkretes finden.

Hat von Euch schon mal jemand Erfahrung mit diesem " Freund " gemacht?

Über Eure Hilfe möchte ich mich schon im Vorraus bedanken.

Mfg

nutzlos

#2

Hallo,

Kann jemand diese Meldung der Firewall definieren?

Welche Firewall meldet das denn überhaupt?

Die Mitteilung lautet in etwa wie folgt:
Intrusion.Win.MSSQL.worm.Helkern Angriff an Port 1434. Der
Angreifer wurde geblockt. Der Computer wurde nicht geblockt.
Seine Adresse ist vermutlich gefälscht.

Betreibst du einen MS SQL Server? Nein. Also ist diese Mitteilung für dich absolut irrelevant, da dieser Port ohnehin nicht offen ist bei dir.

Diese Meldung erscheint teilweise mehrmals täglich

Ja, da will sich deine „Firewall“ halt etwas wichtig machen, damit du sie nächstes mal auch wieder brav installierst oder gar kaufst.

Hat von Euch schon mal jemand Erfahrung mit diesem " Freund "
gemacht?

Zunächst mal muss das überhaupt kein Angriff gewesen sein, sondern vielleicht einfach nur ein verirrtest Paket. Und ansonsten gibt es dutzende Würme die versuchen alte SQL-Server zu befallen. Das ist nichts neues und nichts weltbewegendes. Obiges Verhalten ist absolut normal. Wenn du hinter einem Router sitzen würdest, dann würdest du nicht mal was davon mitkriegen…

#3

Hallo

Betreibst du einen MS SQL Server? Nein. Also ist diese
Mitteilung für dich absolut irrelevant, da dieser Port ohnehin
nicht offen ist bei dir.

Oder falls ein SQL-Server betrieben wird, ist die Mitteilung dann irrelevant, wenn das entweder ein Nicht-MS-SQL-Server ist bzw. wenn der MS-SQL-Server in aktueller Version bzw. mit allen verfügbaren Updates betrieben wird.

Helkern oder auch SQL-Slammer stammt von 2003. Wer heute noch einen MS-SQL-Server 2000 ohne die längst verfügbaren Updates/Patches/Service Packs betreibt, handelt grobfahrlässig.

Diese Meldung erscheint teilweise mehrmals täglich

Ja, da will sich deine „Firewall“ halt etwas wichtig machen,
damit du sie nächstes mal auch wieder brav installierst oder
gar kaufst.

ACK.

Deshalb sollte man solche Meldungen lesen und sich darüber informieren, was da genau los ist, damit man einschätzen kann, ob es einen selber betrifft. Wenn nicht, ist das meldende Programm so zu konfigurieren, dass es solche irrelevanten Ereignisse künftig nicht mehr meldet bzw. protokolliert. Das sorgt dafür, dass deutlich weniger überflüssige Meldungen aufpoppen bzw. das Logfile nicht so gross wird…

CU
Peter

#4

Hallo Leutz,

danke für eure Antworten.

Die Meldung kommt über die Kapersky FW.
Steht aber auch nichts weiter dazu erwähnt.
Ich wollte mal über einen Proxy ins Netz, aber dann funzen manche Seiten nicht. ( Programm " Proximitron " …ist aber inaktiv …)

Meine Updates für das OS ( Vista )und Browser hole ich wenn vorhanden,
Antivirus aktualisiere ich täglich.

Mfg

nutzlos

#5


ich habe gerade mal nachgesehen, das SQL - Server 2005 herstellerseitig
installiert und aktiv war…dann habe ich jetzt es mal deinstalliert.

Abschließend habe ich noch die Frage:

Welchem Zweck dient dieses Programm eigentlich?

Mfg

nutzlos

#6

ich habe gerade mal nachgesehen, das SQL - Server 2005
herstellerseitig installiert und aktiv war…dann habe ich jetzt es mal
deinstalliert.

Das kommt mir reichlich komisch vor. Sowas kommt normal niemals vorinstalliert mit.

Abschließend habe ich noch die Frage:
Welchem Zweck dient dieses Programm eigentlich?

Das ist ein Datenbank-Server. Sowas läuft deshalb eigentlich nur auf eben solchen speziellen Servern.

Lief denn dieser Server überhaupt oder war der nur installiert? Nachdem du offensichtlich dann wohl auch nie einen Sicherheits-Patch für das Ding eingspielt hast, hatte diese Software eine Reihe von Sicherheitslücken so dass es leicht sein könnte, dass diese schon längst von irgendwelchen Schadprogrammen genutzt wurden.

Wann hast du denn das Betriebssystem dieses Rechners zuletzt installiert? Also wie lange könnte der SQL-Server denn schon auf deinem Rechner installiert sein?

#7

Hallo deconsruct,

Ich hatte mir diesen Rechner Anfang dieses Jahres mit vorinstalliertem Vista neu im Elektro - Fachhandel zugelegt.

Der PC - Hersteller hatte alle Anwendungen installiert ( auch O.S.) und
das Ganze in den Karton gelegt…( versiegeltes Produkt )
Eine CD / DVD des OS lag nicht bei…das habe ich ohne vorherige WWW -
Anbindung mit dem installierten Recovery - Progi selber erstellt und
auf Datenträger ( im Auslieferungszustand ) gebrannt.
( WINDOWS war bereits aktiviert )

Aufgrund Eurer Postings habe ich aber im Taskman festgestellt, das der
SQL - Server in 3 aktiven Anwendungen vorhanden war.
Die Software war im Startmenü auch vorhanden…Daher Deinstalliert.

Habe aber seit meinem WWW - Zugang über diesen PC alle Updates des
OS und der Virensoftware täglich überprüft und ggf. installiert.
Den Browser halte ich auch aktuell.

( Nur dieser "MSSQL Worm " klopft halt täglich an die Tür )

Mfg

nuzlos

#8

Hallo deconsruct,

Ich hatte mir diesen Rechner Anfang dieses Jahres mit vorinstalliertem Vista neu im Elektro - Fachhandel zugelegt.

Der PC - Hersteller hatte alle Anwendungen installiert ( auch O.S.) und
das Ganze in den Karton gelegt…( versiegeltes Produkt )
Eine CD / DVD des OS lag nicht bei…das habe ich ohne vorherige WWW -
Anbindung mit dem installierten Recovery - Progi selber erstellt und
auf Datenträger ( im Auslieferungszustand ) gebrannt.
( WINDOWS war bereits aktiviert )

Aufgrund Eurer Postings habe ich aber im Taskman festgestellt, das der
SQL - Server in 3 aktiven Anwendungen vorhanden war.
Die Software war im Startmenü auch vorhanden…Daher Deinstalliert.

Habe aber seit meinem WWW - Zugang über diesen PC alle Updates des
OS und der Virensoftware täglich überprüft und ggf. installiert.
Den Browser halte ich auch aktuell.

( Nur dieser "MSSQL Worm " klopft halt täglich an die Tür )

Habe auch 2 originale Versionen von XP…nach Hardwarewechsel der
grundlegenden Systemtechnik mußte ich 1X bei Microsoft meine XP Home nach totaler Neuinstallation neu registriestrieren lassen.
Dei 2. Registrierung erfolgte nach dem Kauf einer XP - CD nach Installation auf einem weiteren Rechner. ( XP Prof. im WWW gekauft )

Ergo 3 Rechner mit 3 verschiedenen Windows` …

nuzlos