Viren angriff auf SBB

  • sit ich am morge im gschäft bin lauft mis internet chum
    noch dem ich wie jede morge s virusprogi abgruefe und updatet han, bini mol ins intranet go luege was so lauft
    jetzt isch noch em mb blast no en neue virus cho wo über memos das sind emails intern verteilt werdet
    han mol alli infos vo eusne siiite do postet
    gseht glaub chli noch starkem agriff us :skull1 Viren-Attacken (Portscans) "Blaster"
    ____________________________________


    Datum Fr. 22. August 2003 12:00



    Die Viren-Attacken gegen unsere Systeme bei T-Systems (und Rechnern
    weltweit) halten unvermindert an.
    Mit den bisherigen Gegenmassnahmen in den Firewalls werden im Verhältnis 10
    Meldungen aus dem Internet verworfen und 1 Meldung zur Weiterverarbeitung
    weitergereicht.
    Für Benutzer die von Aussen via Internet mit Applikationen wie CIS-Online,
    Railticketing etc. arbeiten wollen, manifestiert sich dieses Verhalten als
    Timeout in bis zu 80 % der Sessions.
    Betroffen sind aber auch Intranet Anwendungen die von Dritten gehostet
    werden, da auch dieser Verkehr über die Firewalls abgewickelt werden.


    T-Systems hat einen Krisenstab einberufen in welchem unter Anderem die
    Teams von Internet, Firewall und Netz vertreten sind.
    Seitens SBB sind Mitarbeiter der Z-IT Security sowie des Problem
    Managements von I-TC und Z-IT vertreten.


    Heute Fr. 12:00 findet die erste Sitzung des Krisenstabs bei T-Systems
    statt. Zielen sind:


    - Auflisten aller möglichen Massnahmen die zu einer Beruhigung der Lage
    beitragen könnten.
    - Beurteilung des Kataloges durch das Gremium.
    - Gemeinsamer Beschluss einzuleitender Massnahmen und sofortige Umsetzung.


    Das Systemverhalten wird mit jeder eingeleiteten Massnahme beobachtet.
    Je nach Auswirkungen werden die Massnahmen rückgängig gemacht oder weitere
    Aktionen werden umgesetzt.


    Bei der Aktivierung solcher Massnahmen ist mit vereinzelten Unterbrüchen
    bei der Systemverfügbarkeit von bis zu 15 Minuten zu rechnen.


    Nächste Informationen um 14:00 im Intratnet des Z-IT-Problem-Managements.
    Alle weiteren Informationen erfolgen ebenfalls über diesen Kanal.


    Wir bitten Sie die damit verbundenen Unannehmlichkeiten zu entschuldigen.


    Problem Management Z-IT


    *******************************************
    nächste nachricht


    TSS-Info vom 21.8.03 / 23:30
    ----------------------------


    Seit 15:45 werden immer wieder massivste Attacken auf die Firewall SBB aus
    dem Internet gefahren.


    Diese führen zu Hochlasten und Situationen in welchen auch Timeouts in
    gewissen Applikationen entstehen können.



    Das Verhältnis der Drops zu den zugelassenen Paketen ist zeitweise mit 10
    Drops zu 1er Zulassung.


    Normal ist etwa 1 drop auf 100 Zulassungen.




    Die Attacken haben die Unterschiedlichsten Ausprägungen und wir können von
    zwei Grundtypen sprechen.


    Der eine bombardiert die Port 135;137;138;139 welche zu NBT Funktionen
    verwendet werden.


    Diese Attacke konnten wir mittels Filter im Paketshaper abschwächen.


    Der Zugriff auf den Paketshaper war durch den hohen Traffik auch
    problematischer als üblich.




    Gegen 20:20 kamen weitere Attacken (Portscans) hinzu, welche mit speziellen
    Filteranalysen die Protokolle und deren Source-Port bearbeitet wurden.
    Danach wurde eine weitere Regel auf der Firewall an zweiter Stelle auf diese
    Protokolle und Source Ports implementiert. Auch diese Regel hat eine gewisse
    Beruhigung gebracht.




    Die Attacken haben trotz Filter und Drop Regeln zu einer merkbaren
    Verlangsamung geführt.




    Seit 23.15 gab es eine merkliche Beruhigung und der Rücklauf zu einer
    Situation mit 1:1 Verhältnis der Drops und Zulassungen.



    ******************************************
    nächste nachricht


    Viren-Angriffe über das Internet
    ________________________________


    < Seit mehreren Tagen wird das SBB-Internetportal durch massive
    Virenangriffe belastet. Vorderhand konnte ein Eindringen in die
    Netzwerke der SBB verhindert werden. Die Kommunikationswege über
    das Internet werden jedoch zeitweise stark beeinträchtigt. Dies
    betrifft Applikationen wie CIS-Online oder Railticketing, das
    Surfen im Internet sowie den externen Mailverkehr.


    < Eine Beruhigung dieser Angriffe kann kuzfristig nicht erwartet
    werden.
    < Wir suchen zusammen mit T-Systems mit Hochdruck nach Lösungen, um
    die Auswirkungen auf die Business-Applikationen zu minimieren.


    < Um die interene Sicherheit der Informatiksysteme nicht zusätzlich
    zu gefährden, bitten wir Sie dringend, bei eingehenden Mails
    höchste Vorsicht walten zu lassen: Öffnen Sie Attachments (Anhänge)
    mit unklarem Inhalt nicht, sondern löschen Sie sie ungelesen.


    < Wir danken Ihnen für Ihr Verständnis.


    22.8.2003
    Interne Kommunikation



    so das wärs :) i glaub si hend trozdem chli meh anig als ich immer denkt han :)
    naja, ich surfe zwar jetzt wie mit em 56k modem :) aber wenigstens lauft no alles bi mir :)

    Nicht jeder versteht alles, aber das versteht ihr nicht.
    © by Iron Man
    keine macht den dütsch fetisischten
    Meine Kiste:AMD WinXP+2000, 768MB SDRam, Atir Readon 9700pro 410MHz, 120 GB Toshiba, Asus A7V8X, Avance B 031 Titanium Window - Miditower, 6.1 Creativ Soround, Levicom ATX-450 W. min PC :D

  • Geiles Wort: Traffik
    Kann man das kaufen? :D

    Dr Cox: "I'm fairly sure that if they took all the porn off the Internet, there'd only be 1 website left, and it would be called Bring Back The Porn."

  • muahahaha :)


    darfst du einfach so firmeninfo's heir posten?

    Bremsen macht die Felge dreckig!
    Mitglied der PC4all Schlägertruppe!!!
    DutcheKa (04:41 PM) : aye, skipper ;)
    ...Weasel stopped DLS spamming-spree!
    "National sein heisst nicht, fremde Völker hassen, sondern das eigene Volk lieben." Peter Rosegger (1843 - 1918)
    Unbent, Unbowed, Unbroken! ©Hammerfall 2005 - Pain is temporary, Pride is forever ©? - ONE SHALL STAND. ONE SHALL FALL.©The Transformers 1984


    Meine Ricardo-Auktionen!

  • ka :)
    aber vorher isch es sogar im radio cho, zwar nöd so gnau vowege traffik :) und so aber isch öffentlich
    i finds geil, sit dem monet sind scho 3 arbeitstäg kaotisch gsi, tuet eifach fast nix :)

    Nicht jeder versteht alles, aber das versteht ihr nicht.
    © by Iron Man
    keine macht den dütsch fetisischten
    Meine Kiste:AMD WinXP+2000, 768MB SDRam, Atir Readon 9700pro 410MHz, 120 GB Toshiba, Asus A7V8X, Avance B 031 Titanium Window - Miditower, 6.1 Creativ Soround, Levicom ATX-450 W. min PC :D

  • hm mjetzt hend die arme infos über de mittag e krise sitzitg gha :)
    gad protokoll übercho :)


    Ausgangslage


    Seit Donnerstag, 15:45 Uhr werden immer wieder massivste Attacken auf die SBB aus dem Internet durchgeführt. Der ganze Internetverkehr ist langsam, dies betrifft den normalen Surfverkehr der SBB Benutzer als vor allem auch die B2B Applikationen CISonline und Railticketing.


    Das Verhältnis der Drops zu den zugelassenen Paketen ist zeitweise mit 10 Drops zu einer Zulassung. Normal ist etwa 1 Drop auf 100 Zulassungen. Die Attacken haben die unterschiedlichsten Ausprägungen und wir können deren Herkunft nicht klar rückverfolgen, da die Absender gespoofed sind. Zusätzlich gibt es Portscans, welche die Firewall zusätzlich belasten. Es besteht eine denied of service Attacke


    Es wurden bisher die folgenden Massnahmen eingeführt:
    - diverse Regeln auf der Firewall angepasst, damit die Drops schneller durchgeführt werden
    - die Attacken auf die Netbios-Ports (Port 137-139) werden bereits auf dem Paketshaper (vor der Firewall) gedropt (dies sind die typischen Nachwehen des Blaster Virus)
    - der Internetverkehr wurde von TC-SBB über das ERZ2 (Outgoing) und das ERZ3 (Ingoing) auf beide Router gesplittet
    - der Loadbalancer wurde ein- und ausgeschaltet

    Nachdem sich die Situation in der Nacht beruhigt hat, sind diese Attacken seit heute Morgen ca. 08:00 Uhr wieder aktiv. Grundsätzlich können wir nur eine Symptombekämpfung machen, da die Angriffe von den verschiedensten Providern her kommen. Die identifizierbaren Provider wurden informiert, dies sind jedoch die wenigsten.


    Da keine Entspannung der Situation in Aussicht ist, wurde diese Taskforce einberufen, um die weiteren Massnahmen zu definieren und hinsichtlich ihrer Risiken zu klassieren.
    . Stand Fläche SBB
    Gemäss Helpdesk gibt es nicht viele Anrufe, was vor allem darauf zurückzuführen ist, dass die Endbenutzer des CISonline und Railticketing nicht SBB-Mitarbeiter sind. Gemäss SBB IT-Problemmanagement ist das Arbeiten mit diesen Applikationen praktisch unmöglich.

    2. Stand Technik
    Aktuell hat sich die Situation leicht entspannt, es gibt aber immer noch massiv viele Drops. Während der ganzen Attacke sind solche Wellenbewegungen festzustellen.


    3. Weiteres Vorgehen
    Die Möglichkeiten werden vorgezeigt und diskutiert:
    - IP Range verringern, dh. auf dem Paketshaper alles droppen ausser Anfragen für HOST, Mailserver und NAT
    Vorteile:
    - schnell realisierbar und rückbaubar
    - ‚nur’ Regeln anpassen, an HW wird nichts gemacht
    - abgehend von SBB kann gesurft werden
    - B2B Applikationen werden entlastet
    - Firewall wird entlastet
    - KDB funktioniert
    Nachteile:
    - Risiko, dass einzelne Services nicht mehr funktionieren.
    Firewallverkehr In- und Outgoing aufteilen
    - Nutzen relativ gering
    - Outgoing SBB würde wieder funktionieren
    - Ingoing Situation unverändert


    Die IP-Range verringerung wird ab ca. 13:30 Uhr eingeführt


    3. Alternativ Szenario
    Stärkere Firewallmaschine evaluieren, falls die Attacken weitergehen


    4. Weiteres Vorgehen
    Ab 13:30 Uhr wird die IP-Rangeverringerung eingeführt und die Auswirkungen beobachtet.


    Um 16:00 Uhr ist die nächste Taskforce Sitzung.


    5. Nächste Informationen
    - nach der Taskforce um 16:00 Uhr



    für alli wo meinet ich posti do ssache wo niemert söt wüsse, ich han mol alles useglöscht wo d algemeinheti nüt agoht :)
    aber i hoffe natürli das nöd eifach jede tweaker jetzt goht go umeverzelle
    find das abe no cool das gad d sbb so massiv agriffe wird :/

    Nicht jeder versteht alles, aber das versteht ihr nicht.
    © by Iron Man
    keine macht den dütsch fetisischten
    Meine Kiste:AMD WinXP+2000, 768MB SDRam, Atir Readon 9700pro 410MHz, 120 GB Toshiba, Asus A7V8X, Avance B 031 Titanium Window - Miditower, 6.1 Creativ Soround, Levicom ATX-450 W. min PC :D

  • Zitat

    sind diese Attacken seit heute Morgen ca. 08:00 Uhr wieder aktiv


    tönt so als ob da vor allem Firmen "angreifen"

  • Zitat

    Original von kNt


    tönt so als ob da vor allem Firmen "angreifen"


    Meinst du? Naja.....eher Typen die von ner Firma aus angreiffen!?

  • Im moment haben wohl alle firmen ein bisschen Probleme mit dem:
    Scanning Time: 08/22/2003 14:49:32
    File Name: application.pif
    Virus Name: WORM_SOBIG.F
    Action Taken: Deleted


    |---> it MUST be a spoon! <---|


      

  • wir haben das prob nimmer :)


    angegriffen wird eigentlich niemand...es entsteht einfach imenser mail-verkehr, wir bekamn, weiss der geier warum, emails von anderen firmen das der wurm infiziert sei bei ihnen und solches zeug, obwohl uns das nix anging....


    aber jetzt ist RUHE bei uns :)

  • sollte das nicht denial of service heissen ?

    PC: P2 350, Asus Intel 440BX, ATI RAGE Pro 8mb + Diamond Monster 3D II X200 12mb, WD 6.4 GB , 128 mb Ram, Toshiba 36fach, Logitech MX500 (Fanta-getestet)
    Monitor: Compaq S700
    Sound: Logitech Z-560 (rockt wie die sau !), Creative MegaWorks 550


    www.dst-eSports.com

  • Zitat

    Original von [Divi]
    sollte das nicht denial of service heissen ?


    doch, ist mir auch aufgefallen, aber ich will ja die sbb nich zu gross auf die schippe nehmen da t-system hinter allem steckt und dort einer aus meiner klasse arbeitet :D


    aber item. DOS = denial of service :)


    (btw: was die für ne dos-attacke gefunden haben scheint mir rätselhaft, sowas ist mir nicht bekannt von etwelchen viren die derzeit herumschwirren, ausser blaster der windowsupdate.com ge'dos'let hatte...)

  • DoS ist was anderes, da sendet ein Tool tonnenweise anfrage und versucht den Service der angegriffen wird zu überlasten.


    Nun wir hatten an sich nicht mühe mit dem dem Virus, die IT-Crew wurde einfach mit Nachrichtenmails des Virenscanners vom Mailserver bombadiert.... einige 100 in kurzer Zeit. Reingekommen ist nichts, und wenn wärs nicht schlimm, dann gibts outbreak alert und der PC schliesst sich von selbst vom Netz weg...Aber nervig ist es denoch.


    |---> it MUST be a spoon! <---|