Hallo!
Wer kann mir helfen? Seit ein paar Tagen kriege ich nach kurzen Surfzeit eine Meldung:
Nachricht von Systemsteuerung an 145.254.222.175 am 12.06.03
Achtung:
Ihr Computer weist einen offenen Port (139) zum Internet auf.
Um diese Sicherheitslücke zu schliessen gehen sie bitte auf
Ja, wenn ich auf die Site gehe will jemand Zugangsoftware auf meinem Rechner instalieren. Wie kann ich das abblocken?
Habe Outpost Firewall und trotzdem passiert sowas.
Kann mir jemand helfen?
Vielen Dank
Benny
Teletom Bernhard6 „Warnung beim Surfen“
Hi,
bitte kontrollieren, ob Netbios und die Drucker- und Dateifreigabe für den Internetadapter nicht gebunden ist!
Ansonsten kann ich mir das als einen sehr aggressiven Dialer-Trojaner vorstellen.
Gruß
Teletom
Tyrfing Bernhard6 „Warnung beim Surfen“
Nachrichtendienstnachricht...völlig harmlos, gerne zum Spammen verwandt (In diesem Falle wurde einfach als Name des absendenden PCs "Systemsteuerung" verwandt, damit es authentisch aussieht).
Lösung:
Systemsteuerung-> Verwaltung -> Dienste "Nachrichtendiesnt" auf deaktiviert stellen
Amenophis IV Bernhard6 „Warnung beim Surfen“
-IRON- Amenophis IV „ Völlig harmlos - es ist bei einigen Leuten auf dem Brett hier Mode, 90 der...“
Nicht die Sorgen werden als völlig harmlos klassifiziert sondern die in der Tat irreführende und verunsichernde Meldung eines Spammers über den unnötigerweise laufenden Nachrichtendienst.
Die Meldung selbst IST harmlos. Die Folgen eines Fehlverhaltens des verunsicherten Users natürlich nicht. Wenn der dann dämlicherweise auf die Seite geht, die ihm in der Meldung genannt wird, kann es natürlich bei IE als Webbrowser, womöglich noch mit laschen Sicherheitseinstellungen bzgl. ActiveX und ActiveScripting, durchaus zu unerwünschten Dialer-Installationen oder Schlimmerem kommen.
Polemik deiner Art ist unangebracht. Bleib cool...draußen ist es warm genug.
Tyrfing Amenophis IV „ Völlig harmlos - es ist bei einigen Leuten auf dem Brett hier Mode, 90 der...“
Die Nachricht an sich ist nervig aber harmlos (sie kann einige Programme zum Absturz bringen, aber richtet keinen bleibenden Schaden an), genau wie eine Spam-Mail an sich komplett harmlos ist, solange man nicht das "kostenlose Zugangsprogramm" installiert.
Wenn dir Aufregung Marke "ACHTUNG!!! ÜBERALL BÖSE HACKER" lieber ist, dann empfehle ich hiermit allen Usern, per Firewall TCP/IP zu blocken, auf die Art installiert sich garantiert kein "Dialer-Trojaner" mehr...achso, weder Internet noch LAN werden funktionieren, aber wo gehobelt wird...;)
-IRON- Tyrfing „Die Nachricht an sich ist nervig aber harmlos sie kann einige Programme zum...“
xafford Bernhard6 „Warnung beim Surfen“
als erstes: nie eine seite besuchen, auf die derart hingewiesen wird. es gibt keine windowsfehlermeldung, die auf eine seite (außer der ms-eigenen) verweist.
als nächstes solltest du dir das handbuch oder die hilfe deiner firewall zu gemüte führen, wie man sie einrichtet und wie man die zonen richtig definiert, weiterhin schau unter netzwerk nach , ob die datei und drukcerfreigabe installiert ist, falls du kein netzwerk zuhause hast, kannst du diese getrost entfernen und als letztes, falls du NT/2000/XP einsetzt unter verwaltung, dienste den nachrichtendienst ab.
Teletom Bernhard6 „Warnung beim Surfen“
Nur der Nachrichtendienst und das Nachrichten-Fenster sind harmlos.
Der Inhalt ist jedoch NICHT harmlos. Es handelt sich um eine Aufforderung in der Art eines Trojaners. Wenn die aufgeführte URL aufgesucht wird, wird ein Dialer installiert.
ACHTUNG!!! Beim IE unbedingt die Sicherheits- und Datenschutzstufe auf mindestens Mittel einstellen, ansonsten wird der Dialer ohne weitere Sicherheitsabfragen installiert.
Das Schlechte an einem Trojaner ist, dass die Ausführung aggressive Schäden verursachen kann.
Das Gute an einem Trojaner ist, dass der Trojaner oder die aufgefühten Anweisungen erst ausgeführt werden müssen, um einen Schaden zu verursachen. Also nachdenken und nicht alles ausführen!
Damit der Nachrichtendienst nicht unnötige Spam-Nachrichten anzeigt, ist es unumgänglich, einen Firewalldienst zu installieren.
Bei XP:
Netzwerkeigenschaften für DFÜ-Verbindung bzw. Breitband > Erweitert >Haken im oberen Abschnitt bei Firewall setzen.
Bei NT oder W2000:
http://www.looknstop.com/En/LooknStop_Lite_Setup_104.exe
Look 'n' Stop Lite mit Srvany (http://sebastien.portebois.free.fr/lingo/smus/installation/installSmusAsNTService_uk.htm) als Dienst einrichten.
Gruß
Teletom
Teletom Nachtrag zu: „Nur der Nachrichtendienst und das Nachrichten-Fenster sind harmlos. Der Inhalt...“
Bei Outpost
kannst Du folgendes einstellen:
Rechtsklick Outpost Sysmbol Optionen> System > ICMP Einstellungen:
(Haken bedeutet zulassen)
# 8 Echo Request eingehend nicht zulassen
# 13 Timestamprequest eingehend nicht zulassen
# 17 Mask Request eingehend nicht zulassen RFC 950
(# Routeranforderung eingehend nicht zulassen RFC 1256)
# 3 Destination unreachable ausgehend nicht zulassen
# 4 Source Quench ausgehend nicht zulassen
# 12 Parameter Problem ausgehend nicht zulassen
# 11 Zeitüberschreitung ausgehend nicht zulassen
# 5 Redirect (Umleiten) nicht zulassen
Alles andere zulassen.
Gruß
Teletom
XPectIT Teletom „Bei Outpost kannst Du folgendes einstellen: Rechtsklick Outpost Sysmbol Optionen...“
Kann es sein, das du das Internet zu einem "auf irgendwelche Standards lege ich keinen Wert, sollen die Anderen doch sehen wie sie zurecht kommen hauptsache ich kann surfen"-Chaos umwandeln willst?
Ist ja nicht Böse gemeint, aber WAS BRINGT DAS? Ausser, das du die Pakete blockst?
Wenn es darum geht "unsichtbar" zu sein (oder ansatzweise den Versuch zu unternehmen es zu werden) klappt das nicht so recht.
Einfaches aber Treffendes Beispiel:
Du willst zum Herrn XY im Finanzamt, da er dir einen Brief geschrieben hat. Dieser Herr sitzt in einem Zimmer das ein Vorzimmer hat durch das du durch musst. Du gehst ins Vorzimmer und fragst die hübsche Blonde ob XY da ist, sie nickt. Also gehtst du an die Türe und klopfst. Es kommt keine Antwort. Du klopfst wieder - nichts. Jetzt fragst du die VoZiDa (Vorzimmerdame) nochmal ob er da ist. Sie sagt wieder ja. ... so funktioniert das mit den Rechnern. Die VoZiDa muss sagen, das da niemand ist sonst wirst du es nicht glauben. ... Also was bringt es diese ganzen Unterstützenden Pakete zu blocken?
Ich will keinen Flame starten, davon gab es die letzten Paar Tage echt genug hier (viel zu viel für meinen Geschmack!).
Gruss
XPectIT
GarfTermy XPectIT „Kann es sein, das du das Internet zu einem auf irgendwelche Standards lege ich...“
feststellungen:
1. mein nachrichtendienst und auch netbios ist aktiviert
2. ich bekomme solche nachrichten nicht
3. der balckice defender ist aktiviert und konfiguriert
4. ich bin zb sonntags 24h online
warum also bekomme ich solche nachrichten nicht? (...da darf man jetzt mal drüber nachdenken...)
;-)
ps: blackice defender ist ein intrusion detection system mit app kontrolle und firewall.
Teletom GarfTermy „feststellungen: 1. mein nachrichtendienst und auch netbios ist aktiviert 2. ich...“
Genau... :)
entweder machen das die Firewalls, in dem einfach die Standard-ICMP-Einstellungen bei der Installation eingerichtet werden, oder ich muss (wie bei Outpost) die ICMP-Einstellungen korrigieren.
Die Kunst besteht darin, eben nicht alle ICMP-Typen zu sperren, so dass beispielweise notwendige mtu-Anpassungen über ICMP durchgeführt werden können und trotzdem "Zeitüberschreitung der Anforderung" beim Ping-Sender erscheint. Und es kommen keine Spam-Nachrichten-Fenster mehr sowie andere direkte Angriffe werden erst gar nicht unternommen.
Gruß
Teletom
XPectIT Teletom „Genau... : entweder machen das die Firewalls, in dem einfach die...“
Bernhard6 XPectIT „Und es kommen keine Spam-Nachrichten-Fenster mehr ... Dann mache ich wohl etwas...“
Vielen Dank euch alölen!
Benny
Teletom XPectIT „Und es kommen keine Spam-Nachrichten-Fenster mehr ... Dann mache ich wohl etwas...“
Dann hast Du einen externen Router oder eine Firewall. ;oÞ
Zu -no comment-:
Es zeugt nicht von Weisheit, wenn Du davon ausgehst, dass der Eingang von Pings und anderen Paketen am Internetadapter in jedem Fall prinzipiell nichts Gefährliches ist.
Gruß
Teletom
Tyrfing Teletom „Dann hast Du einen externen Router oder eine Firewall. oÞ Zu -no comment-: Es...“
Es IST prinzipiell nichts gefährliches, ausser man hat ein Programm auf dem Rechner, dass den "Angriff" annimmt.
Von mir aus kann man mich anpingen und Portscannen wie man lustig ist, es schadet nichts.
Teletom Tyrfing „Es IST prinzipiell nichts gefährliches, ausser man hat ein Programm auf dem...“
Naja, musst ja ein ganz schön dickes Fell haben, wenn Dich beispielsweise Spam-Nachrichtem-Pakete oder DoS-Attacken von sich langweilenden Script-Kiddies nicht stören.
Aber trotzdem gilt auch für Dich:
Es zeugt nicht von Weisheit, wenn Du davon ausgehst, dass der Eingang von Pings und anderen Paketen am Internetadapter in jedem Fall prinzipiell nichts Gefährliches ist.
Gruß
Teletom
Tyrfing Teletom „Naja, musst ja ein ganz schön dickes Fell haben, wenn Dich beispielsweise...“
>>Naja, musst ja ein ganz schön dickes Fell haben, wenn Dich beispielsweise Spam-Nachrichtem-Pakete oder DoS-Attacken von sich langweilenden Script-Kiddies nicht stören. Ich muss sagen, die Antwort entbehrt nicht einer gewissen Komik...
Die paar KB Nachrichtendienstpaket sind definitiv keine Gefahr, wenn man den Diesnt einfach abgedreht hat, und von DoS-"Angriffen" von Scriptkiddies habe ich irgendwie noch nie etwas gehört, außerdem würde eine Einzelperson damit wohl ihren Rechner genau so lahmlegen wie meinen...
Wo wir gerade beim Thema sind habe ich allerdings eine nette Story: Ich hatte neulich wohl eine IP erwischt, die vorher ein Emule-Server hatte und bekahm deshalb innerhalb von 10 Minuten knapp 300 UDP-Pakete an den Port von Emule (Emule-Server und -Clients benutzen UDP-Signale, um nachzufragen, ob die Gegenstelle noch existiert und noch für einige andere Sachen), es dürften wohl noch einige mehr gekommen sein, aber nach 10 min habe ich Ethereal abgestellt.
Bei meinem System folgte auf jedes Paket ein ICMP 3, Code 3 (Destination unreachable: Port unreachable) und gut war, der Internetzugang wurde auch nicht merkbar langsamer. Hätte ich jetzt eine PF gehabt, die ICMP 3 blockt, hätte jeder Client mangels Antwort vier oder fünf mal angefragt, bis er sich irgendwann zufrieden gegeben hätte und jedes einzelne dieser 1200-1500 Pakete wäre zusätzlich von der PF erst einmal analysiert und protokolliert worden...DAS hätte definitiv die Auswirkungen einer DoS-Attacke gehabt.
Und was den Nachrichtendienst angeht: Auch nach einem guten Dutzend Versuchen kann ich nicht bestätigen, dass man innerhalb eines großen Zeitraumes (30-40 min) vor dem Erhalt einer Nachrichtendienstnachricht angepingt wird, egal woher.
Teletom Tyrfing „ Naja, musst ja ein ganz schön dickes Fell haben, wenn Dich beispielsweise...“
Hi,
"Destination unreachable" wird immer dann gesendet, wenn die IP online ist und irgendwas nicht stimmt (z.B. wenn die Subnet-Mask nicht dazu passt). Besser ist "Zeitüberschreitung der Anforderung", diese Ausschrift erscheint, wenn die IP nicht online ist oder wenn die ICMP-Einstellungen beim Firewalldienst entsprechend vorgenommen wurden. Die Ausschrift "Destination unreachable" wird im Übrigen auch vier mal vorgenommen und könnte darüber hinaus die Ursache sein, um weitere Angeriffe zu unternehmen.
Einmal (4 mal) "Zeitüberschreitung der Anforderung" und null mal weitere Angriffe, um das noch einmal vereinfacht darzustellen.
Die neueste Version Ethereal 0.9.13a kommt mit Sicherheit mit Windows XP noch nicht so richtig zu recht:
- Es wird nur ein Netzwerkadapter erkannt (der Loopback-Adapter)
- Zu rund 95% werden nur UDP-Pakete und zu 0% werden TCP-Pakete erkannt, das ist offensichtlich falsch, im Internet wird meistens TCP verwendet.
"Die paar KB Nachrichtendienstpaket sind definitiv keine Gefahr". Die Pakete an sich nicht, allein der Inhalt kann eine Gefahr sein. Darüber hinaus nervt einfach dieser Nachrichten-Spam.
Gruß
Teletom
Tyrfing Teletom „Hi, Destination unreachable wird immer dann gesendet, wenn die IP online ist und...“
>>"Destination unreachable" wird immer dann gesendet, wenn die IP online ist und irgendwas nicht stimmt (z.B. wenn die Subnet-Mask nicht dazu passt). Besser ist "Zeitüberschreitung der Anforderung", diese Ausschrift erscheint, wenn die IP nicht online ist oder wenn die ICMP-Einstellungen beim Firewalldienst entsprechend vorgenommen wurden. Irgendwie gewinne ich mehr und mehr den Eindruck, dass du nicht so recht verstehst, wovon ich überhaupt rede...nochmal für dich: Wenn ein Emule-Client keinerlei Antwort erhält, wird er nach dem Timeout (deiner tollen "Zeitüberschreitung der Anforderung") davon ausgehen, dass das Paket verloren ging und es noch einmal senden, nach vier Versuchen erscheint dann die Meldung, dass der Server offenbar tot sei. Anders gesagt: mit Verhindern der Antwort erhöht sich der Traffic durch Emule und allen anderen legitmen Vorgänge, die keine Antwort bekommen, um den Faktor 4.
>>- Zu rund 95% werden nur UDP-Pakete und zu 0% werden TCP-Pakete erkannt, das ist offensichtlich falsch, im Internet wird meistens TCP verwendet. Scheint ein Fehler in der neuesten Version zu sein, meine Version zeigt zwar in der Zusammenfassung (und nur dort) manchmal fast alles als "other" an, aber auch dann werden überall sonst TCP als TCP und UDP als UDP angezeigt, auch in den korrekten Verhältnissen (sprich nur selten UDP).
Ausserdem waren erstens die Zugriffe definitv auf Port 4665, sprich den UDP-Port von Emule und zweitens gibt es auf TCP-Pakete kein ICMP 3, Code 3, sondern ein RST, ACK und drittens wäre es auch ziemlich egal gewesen, wenn es TCP-Pakete gewesen wären, wenn bei Anfragen per TCP das RST, ACK blocken würde, würde der Effekt derselbe sein.
Teletom Tyrfing „ Destination unreachable wird immer dann gesendet, wenn die IP online ist und...“
>Irgendwie gewinne ich mehr und mehr den Eindruck, dass du nicht so recht verstehst, wovon ich überhaupt rede...
Das beruht leider auf Gegenseitigkeit.
"Zeitüberschreitung der Anforderung" bekommt man nur als Ausschrift, wenn ein Ping gesendet wurde und beutet das Ziel ist nicht da.
"Destination unreachable" bekommt man als Antwort genau dann, wenn
1. ein Ping gesendet wurde und bedeutet die IP ist da, aber nicht zu erreichen.
Im Internet heißt das: Hier ist ein Host mit falsch eingestellter Firewall.
2. ein UDP-Paket an ein Port gesendet wurde und der Port ist nicht erreichbar.
TCP hat eine eigene Fehlerkontrolle und erzeugt somit keine ICMP-Fehlermeldungen.
Wenn man die Firewall richtig konfiguriert hat bzw. einfach die Standardeinstellung beibehält (zumindest bei der XP-Firewall), kommt bei Emule entweder "Destination unreachable" genau dann, wenn UDP-Pakete gesendet wurden und der Port nicht erreichbar ist.
Wird von Emule ein Ping gesendet, kommt "Zeitüberschreitung der Anforderung". Beides führt dazu, dass Emule keine Pakete an die IP sendet. Bei "Zeitüberschreitung der Anforderung" erhöht sich nicht der Traffic um den Faktor 4, sondern ist genauso groß wie bei "Destination unreachable", weil auch vier mal "Destination unreachable" erscheint.
>und zweitens gibt es auf TCP-Pakete kein ICMP 3, Code 3
Es ist offensichtlich, dass nur Du ICMP 3, Code 3 erwähnt hast. Hast Du Dich damit etwa selber korrigiert?
Allgemein muss man leider sagen, bitte unterlasse einfach Unterstellungen. Unterstellungen suggerieren, dass derjenige, der die Unterstellung äußert, keine Argumente mehr hat oder Falsches darstellt.
Bei mir kommen vor wie nach Pings (direkte Internetverbindung, kein Router, keine Firewall). Warum sollen denn bei Dir keine Pings empfangen werden?
Gruß
Teletom
Tyrfing Teletom „ Irgendwie gewinne ich mehr und mehr den Eindruck, dass du nicht so recht...“
>>"Zeitüberschreitung der Anforderung" bekommt man nur als Ausschrift, wenn ein Ping gesendet wurde und beutet das Ziel ist nicht da. Und die Ursache dieser Meldung ist ebenfalls ein Timout...Nickles hat eine schöne Erklärung des Begriffes "Timeout" und ob die darauf folgende Meldung jetzt "Zeitüberschreitung der Anforderung", wie in meinem Beispiel, oder "Sever antwortet nicht" lautet oder ob gar nichts kommt, ist egal.
>>"Destination unreachable" bekommt man als Antwort genau dann, wenn Wieder falsch, es gibt viel mehr Arten von destination unreachable
>>Wenn man die Firewall richtig konfiguriert hat bzw. einfach die Standardeinstellung beibehält (zumindest bei der XP-Firewall), kommt bei Emule entweder "Destination unreachable" genau dann, wenn UDP-Pakete gesendet wurden und der Port nicht erreichbar ist. Bei der XP-Firewall ist standardmäßig die Option "nicht verfügbares ausgehendes Ziel zulassen" (übrigens eine grottenschlechte Formulierung) nicht aktiviert und du selbst rätst du den Leuten zur PF-Konfiguration:
[...]
# 3 Destination unreachable ausgehend nicht zulassen
[...]
>> Bei "Zeitüberschreitung der Anforderung" erhöht sich nicht der Traffic um den Faktor 4, sondern ist genauso groß wie bei "Destination unreachable", weil auch vier mal "Destination unreachable" erscheint. Und wieder falsch. Wenn ein "destination unreachable" kommt, weiss der Client, dass da nichts ist und lässt es schon nach dem ersten Versuch sein.
>>Es ist offensichtlich, dass nur Du ICMP 3, Code 3 erwähnt hast. Hast Du Dich damit etwa selber korrigiert? wie an dem "erstens...zweitens...drittens" eigentlich klar zu erkennen sein müsste, war das eines meiner Argumente dafür, dass Ethereal richtig anzeigte, denn wären es TCP-Pakete gewesen, wären keine ICMP-Pakete als Antwort gekommen...wie du schon sagtest "TCP hat eine eigene Fehlerkontrolle und erzeugt somit keine ICMP-Fehlermeldungen."
Teletom Tyrfing „ Zeitüberschreitung der Anforderung bekommt man nur als Ausschrift, wenn ein...“
Dass Du mir recht gibst ist OK. Sind wir doch noch auf einer Linie.
Das da oben drüber sieht eher so aus, als wenn Du Dein Freischwimmerzeugnis erlangen möchtest.
Wäre ja nicht auszudenken, wenn Du nicht Kernsätze, wie
"es gibt viel mehr Arten von destination unreachable", verwendest, sondern endlich mal Fakten oder einfach mal das aufführst, was zu dem Inhalt gehört, nämlich welche Arten von "destination unreachable" es Deiner Meinung nach gibt. Oder ist hier etwa ein Wissensdefizit vorhanden?
Für meinen Geschmack polemisierst und theoretisierst Du mir schon wieder zu viel. Fakten und Praxis ist gefragt. Bernhard6 hat sich doch schon längst bedankt.
Bin aber mal neugierig, wer diesen Thread-"Winkelzug" überhaupt noch liest. Bitte einfach mal mit "ich lese noch" (oder so) antworten!
Gruß
Teletom
-IRON- Teletom „Dass Du mir recht gibst ist OK. Sind wir doch noch auf einer Linie. Das da oben...“
Ich lese noch...und amüsiere mich köstlich über deine Antwortversuche.
Olaf19 Teletom „Dass Du mir recht gibst ist OK. Sind wir doch noch auf einer Linie. Das da oben...“
Teletom Olaf19 „Bitte einfach mal mit ich lese noch oder so antworten! Antwortbenachrichtigung...“
Hi,
das mit dem "Freischwimmerzeugnis" ist gar nicht mal so von der Hand zu weisen. Ich gehe davon aus, dass Tyrfing (nicht wahr?) schon längst mit Hilfe seiner Netzwerkanalyseprogramme festgestellt hat, dass ich bezüglich ICMP-Ping 100% ACK recht habe.
Bitte beachtet folgenden Protokollauszug:
W98 DFÜ-Internetverbindung meine IP (temporär) 217.4.89.102
10 | 08:36:05.804065 | 444553-540000 | 205352-430000 | IP: 62.134.76.54 => 217.4.89.102 (28) | ICMP: Echo Request
<ICMP>
<Type value="8"/>
<Code value="0"/>
<Checksum value="0xBF89"/>
</ICMP>
11 | 08:36:05.808120 | FFFFFF-FFFFFF | 444553-540000 | ARP: Hardware type= 1, Protocol Type = IP (0800h) | ARP Request [Who has 62.134.76.54 tell 217.4.89.102]
12 | 08:36:05.809985 | 205352-430000 | 444553-540000 | IP: 217.4.89.102 => 62.134.76.54 (28) | ICMP: Echo reply
<ICMP>
<Type value="0"/>
<Code value="0"/>
<Checksum value="0xC789"/>
</ICMP>
13 | 08:36:06.033892 | 444553-540000 | 205352-430000 | IP: 62.134.76.54 => 217.4.89.102 (332) | UDP: Length= 312, Port (2608 => 135)
[DEST.. SRC....E.]
[.L....t...>.L6..]
[Yf.0...8K.......]
[................]
[....{Z........O.]
[....%bZ.IO.g....]
[................]
[................]
[......SunnyGirl1]
[9w..............]
[..217.4.89.102..]
[..............Ha]
[llo,....hab mein]
[ neues Bild auf ]
[meiner Homepage,]
[ schau es dir ..]
[mal an unter: h]
[ttp://www.sunny.]
[cc....Schau dir ]
[es mal an und me]
[ld dich !....Gru]
[. Sunny !.]
14 | 08:36:07.014921 | 444553-540000 | 205352-430000 | IP: 62.134.76.54 => 217.4.89.102 (108) | UDP: Length= 88, Port (2608 => 135)
15 | 08:36:07.973747 | 444553-540000 | 205352-430000 | IP: 62.134.76.54 => 217.4.89.102 (108) | UDP: Length= 88, Port (2608 => 135)
16 | 08:36:09.983746 | 444553-540000 | 205352-430000 | IP: 62.134.76.54 => 217.4.89.102 (108) | UDP: Length= 88, Port (2608 => 135)
17 | 08:36:14.004139 | 444553-540000 | 205352-430000 | IP: 62.134.76.54 => 217.4.89.102 (108) | UDP: Length= 88, Port (2608 => 135)
18 | 08:36:22.074923 | 444553-540000 | 205352-430000 | IP: 62.134.76.54 => 217.4.89.102 (108) | UDP: Length= 88, Port (2608 => 135)
19 | 08:36:38.017648 | 444553-540000 | 205352-430000 | IP: 62.134.76.54 => 217.4.89.102 (116) | UDP: Length= 96, Port (2608 => 135)
Analyseprogramme: Snipherev1.3 und Analyser v2.2
Zusammenfassung:
ICMP-Ping Echo Request von SunnyGirl1
ARP
ICMP-Ping Echo Reply von Host
UDP Paket Port 2608 von SunnyGirl1 an Host Port 135
RemoteProcedureCall-Port (RPC) Inhalt die Spam-Winpopup-Nachricht
Danach werden mehrere UDP-Pakete nachgeschoben, mit Sicherheit aus dem Grunde, um nachzukontrollieren, ob die Nachricht auch angekommen ist.
1. Vielen Dank an SunnyGirl1.
2. Port 139 (siehe Threadstarter-Posting) nicht frei zu geben, bringt absolut nichts.
3. Was ich noch sage:
Richtet doch einen Firewalldienst ein, der folgende ICMP-Einstellungen genau für den Internetadapter verwirklicht:
# 8 Echo Request eingehend nicht zulassen
# 13 Timestamprequest eingehend nicht zulassen
# 17 Mask Request eingehend nicht zulassen RFC 950
(# Routeranforderung eingehend nicht zulassen RFC 1256)
# 3 Destination unreachable ausgehend nicht zulassen
# 4 Source Quench ausgehend nicht zulassen
# 12 Parameter Problem ausgehend nicht zulassen
# 11 Zeitüberschreitung ausgehend nicht zulassen
# 5 Redirect (Umleiten) nicht zulassen
Alle anderen ICMP-Typen zulassen.
Damit erscheint "Zeitüberschreitung der Anforderung" beim ICMP-Ping-Sender (SunnyGirl1), genauso als wenn die IP nicht online wäre. Somit wird beispielsweise Winpopup-Spam erst gar nicht gesendet.
4. Das Deaktivieren des Nachrichtendiensts ist nicht nötig.
Winpopup-Spam gelangt auch auf W98-Rechner und da läuft kein Nachrichtendienst.
Völlig abzuraten und sogar davor zu warnen ist, dass der RPC- und der DCOM-Dienst deaktiviert werden. RPC und DCOM werden dafür benötigt, wofür sie programmiert wurden, also NICHT deaktivieren!
Gruß
Teletom
[Diese Nachricht wurde nachträglich bearbeitet.]
Max Payne Teletom „Hi, das mit dem Freischwimmerzeugnis ist gar nicht mal so von der Hand zu...“
Mal für die Allgemeinheit formuliert:
Warum sollte jemand diesen enormen Aufwand betreiben, vor dem Aussenden von Spam-Nachrichten via UDP erst noch sämtliche IPs abzuPINGen?
Wenn ich in der Verlegenheit wäre, solchen ND-Spam versenden zu müssen, würde ich den automatisiert an komplette IP-Nummernblöcke (z.B. 217.0.0.0 - 217.5.127.255) verschicken. Denn da es sich um UDP-Pakete handelt, muß ich nicht mit viel eingehendem Traffic (Fehlermeldungen) rechnen, mit denen ich bei TCP zu kämpfen hätte.
Dazu kommt, daß ich trotz erfolgreichem PING immer noch nicht sicher sein kann, daß dort ein Rechner mit aktiviertem Nachrichtendienst oder seinen Win9x/Linux-Entsprechungen läuft.
Bei eMails kann man - soweit der Mailserver es erlaubt - mittels VERIFY überprüfen, ob eine eMail-Adresse existiert. Spammer nutzen diese Funktion aber normalerweise nicht. Statt dessen werden einfach Namen und Domänen aufs Geratewohl kombiniert. So bekomme ich z.B. Mails, welche an "max.kummer@gmx.de" und im cc an "max.kummer@hotmail.com", "max.kummer@aol.com", "max.kummer@t-online.de", "max.kummer@web.de" etc. adressiert sind.
Bei dieser Technik ist der Traffic für Fehlermeldungen bei der Menge der zu erwartenden Bounces natürlich sehr hoch. Macht nix - als Absender wird eine nicht existierende Adresse angegeben; sollen sich andere um den Traffic kümmern...
Oder bekommst Du auch keine Spam-eMails mehr, seit Du bei Deinem Mailserver VERIFY deaktiviert hast?
Teletom Max Payne „Mal für die Allgemeinheit formuliert: Warum sollte jemand diesen enormen...“
Warum das so ist, da könnte ich nur mutmaßen
(Vielleicht erregt das ständige Spam-Nachrichten an einen Adressbereich ein öffentliches Ärgernis - überstaatliche Organisationen).
Fakt ist eins: Das ist so.
Das obige Protokoll habe ich in analoger Form mehrfach aufgezeichnet.
ICMP-Firewallinterneteinstellungen verhindern z.B. Winpopup-Spam. Und ich kann den Nachrichtendienst sogar über Internet betreiben. Darüber hinaus ist die Systemsicherheit höher als ohne Firewalldienst.
Man sollte jedoch immer beachten, dass es nie eine 100%ige Sicherheit gibt. Ein Firewallsicherheitskonzept besteht nicht nur aus einem Firewalldienst, aber das wurde hier schon mehrfach dargestellt.
Gruß
Teletom
Olaf19 Teletom „Hi, das mit dem Freischwimmerzeugnis ist gar nicht mal so von der Hand zu...“
Hi Teletom!
Wenn ich mir im Dienste-Fenster die Eigenschaften vom RPC anschaue, stelle ich fest, dass ein ganzes "Büschel" anderer Dienste davon abhängig ist - es wäre also Harakiri, diesen Dienst zu deaktivieren.
Einen Dienst DCOM habe ich allerdings nicht gefunden - so dass es gar nicht möglich gewesen wäre, das zu deaktivieren.
CU
Olaf
Tyrfing Bernhard6 „Warnung beim Surfen“
Der Faden wurde mir zu lang, da der Thread ja sonst unbenutzt ist, mach ich mal neu weiter..
>>Für meinen Geschmack polemisierst und theoretisierst Du mir schon wieder zu viel. Fakten und Praxis ist gefragt. Bernhard6 hat sich doch schon längst bedankt. Sag doch einfach, dass du keien Argumente mehr hast, statt schon wieder mit der "Fakten, Baby"-Masche anzukommen
Ich weiss, dass ist wieder eine böse Unterstellung, aber Antworten wie
"Destination unreachable" bekommt man als Antwort genau dann, wenn"
"DoS-Attacken von sich langweilenden Script-Kiddies"
"Ansonsten kann ich mir das als einen sehr aggressiven Dialer-Trojaner vorstellen."
können beim Leser schon den Eindruck erwecken, dass du eher wenig Ahnung vom Thema hast, vor allen Dingen in der Praxis...sonst müsstest du eigentlich wissen, dass es diverse Arten von "destination unreachable" gibt (Link), dass Scriptkiddies in der Praxis keine DoS-Attacken starten und dass der Nachrichtendienst den Namen des absendenden Computers (in diesem Fall "Systemsteuerung") im Kopf der Nachricht angibt.
>> einfach mal das aufführst, was zu dem Inhalt gehört, nämlich welche Arten von "destination unreachable" es Deiner Meinung nach gibt. Oder ist hier etwa ein Wissensdefizit vorhanden? Siehe Link, ich hatte zu deutsch gesagt keinen Bock, den ganzen Kram aufzuschreiben. Ich gehe einfach mal davon aus, dass jeder hier mit Google umgehen kann.
>>Damit erscheint "Zeitüberschreitung der Anforderung" beim ICMP-Ping-Sender (SunnyGirl1), genauso als wenn die IP nicht online wäre. Somit wird beispielsweise Winpopup-Spam erst gar nicht gesendet. "Um eine allgemeingültige Behauptung zu wiederlegen, benötigt man lediglich ein Gegenbeispiel" (Und ein Beispiel ist?.....Richtig! Praxis und Fakten!)
Mein Ethereal-Beispiel zeigt, dass es bei mir keine Pings von ND-Nachrichten gibt -> deine Behauptung ist zumindest nicht allgemeingültig.
>># 3 Destination unreachable ausgehend nicht zulassen Wozu das nun führen kann, habe ich ja nun schon an meinem praktischen Beispiel gezeigt...wenn keine Antwort auf ein UDP-Paket kommt, gibt es imwesentlichen drei Möglichkeiten:
-Das Paket wurde angenommen
-Das "Port unreachable" wurde unterdrückt
-Das Paket ging verloren
Eine legitimes Programm wird (weil es als legitimes Programm kaum von Firewalls geblockt werden sollte) vom eher unwahrscheinliche Fall ausgehen, dass das Paket verlorenging es es noch einmal senden, ingesamt vier Mal, bis es sich zufrieden gibt.
Wenn jemand nur die Existenz eines PCs herausfinden will, wird er von den sehr viel wahrscheinlicheren ersten beide Fällen ausgehen, und damit fast 100%ig wissen, dass an IP 0.8.1.5 ein Rechner läuft.
Wenn jetzt ein "Port unreachable" zurückkommt, würde auch eine legitime Anwendung nach einem Versuch Schluss machen, weil bekannt ist, dass jeder neue Kommunikationsversuch sinnlos wäre.
Plazebo Tyrfing „Der Faden wurde mir zu lang, da der Thread ja sonst unbenutzt ist, mach ich mal...“
Das ganze erinnert mich mittlerweile an die japanische Tröpfchenfolter. Ich weiß ja nicht, ob ihr's kennt, auf jeden Fall geht das so, dass der zu Folternde mit Fesseln etc. fixiert wird und dann in regelmäßigen Abständen Wassertropfen auf seinen Kopf fallen. Klingt harmlos und human, aber davon wird man irgendwann bescheuert und das Opfer wird nachgeben.
Und genauso geht es mir mittlerweile mit diese Diskussion. Ich höre dauernd dasselbe und jedesmal heißt am Ende das Thema wieder XP-Firewall, ICMP-Ping, Destination Unreachable blablabla. Und wenn jemand antwortet, dann erzählt beispielsweise Teletom genau dasselbe wie zwei Postings zuvor, ohne näher auf die Antwort einzugehen. Dabei wird dem anderen vorgeworfen keine Argumente zu haben, überliest diese aber selber und ignoriert sie, oder im besten Fall werden sie zur Kenntnis genommen, aber nicht anerkannt. Naja, so dreht sich das ganze im Kreis und wenn ich das so lese und immer neugierig auf eine passende Antwort oder einer Übereinstimmung warte, kommt doch wieder dasselbe. Davon werde ich auch noch bescheuert. Eben die japanische Tröpfchenfolter als Ersatz für Überzeugungsarbeit, denn wenn man immer wieder dasselbe hört, dann glaubt man es irgendwann wirklich :-D.
Teletom Plazebo „Das ganze erinnert mich mittlerweile an die japanische Tröpfchenfolter. Ich...“
Hi Plazebo und hi Tyrfing,
Ihr könnt Euch weiterhin drehen und wenden, wie ihr wollt. Ihr könnt die chinesische Töpferfolter erwähnen und noch mehr was-wäre-wenn-Aussagen knüpfen sowie theoretisieren. Wenn keine Überzeugung kommen soll, kommt auch keine Überzeugung.
Das was ich dargestellt habe, sind Tatsachen, Fakten und die Praxis.
Wenn ihr es nicht glaubt, installiert und konfiguriert doch einfach einen Firewalldienst wie oben beschrieben, dann bekommt ihr keine unnötigen Netzwerk-Pakete auf Euer System. Nichts anderes hat Bernhard6 als Antwort erwartet.
Und wenn ihr es nicht machen wollt, dann ist das Euer Problem, warum kommen dann trotzdem immer und immer wieder wenn-das-ist,-kommt-das-Aussagen und wichtige Kommentare. Ist wohl nicht einfach, wenn andere Personen andere Meinungen vertreten.
Gruß
Teletom
[Diese Nachricht wurde nachträglich bearbeitet.]
Plazebo Teletom „Hi Plazebo und hi Tyrfing, Ihr könnt Euch weiterhin drehen und wenden, wie ihr...“
Kommt die aus China? Naja, ist ja auch egal.
Teletom Plazebo „Kommt die aus China? Naja, ist ja auch egal.“
SunnyGirl1 ist nicht aus China.
Naja ist ja auch nur für alle anderen wichtig und offensichtlich nicht für Dich.
Und viel Spaß
Teletom
Tyrfing Teletom „Hi Plazebo und hi Tyrfing, Ihr könnt Euch weiterhin drehen und wenden, wie ihr...“
>>Nichts anderes hat Bernhard6 als Antwort erwartet. Und mal wieder wird irgendeine These aufstellt und aller Welt als unumstößlicher Fakt verkauft, ohne dabei auch nur irgendwie auf vorhergehende Postings einzugehen...
PS: Die Pakete kommen so oder so auf dein System, solange der Filter nicht DAVOR hängt
Teletom Bernhard6 „Warnung beim Surfen“
>Die Pakete kommen so oder so auf dein System, solange der Filter nicht DAVOR hängt.
Du magst theoretisch recht haben, aber praktisch sieht es eben genau so aus, wie ich es in diesem Thread beschrieben oder besser gesagt wiedergegeben habe.
Gruß
Teletom
Bernhard6 Nachtrag zu: „Warnung beim Surfen“
Es tut mir sehr leid. Mit meinen kleinen Problemmchen habe ich ganz heiße Diskusion angefangen.Aber dadurch erfährt man immer was neues.Übrigens, nach dem ich den Nachrichten Dienst deaktiviert habe kamen die Meldungen nicht mehr. Nochmal, vielen Dank.
Olaf19 Bernhard6 „Es tut mir sehr leid. Mit meinen kleinen Problemmchen habe ich ganz heiße...“
Hi Bernhard!
Die Nachrichten kamen durchaus noch - Du hast sie durch das Abschalten nur nicht mehr bemerkt...
aber das wär bei einer Firewall auch nicht prinzipiell anders gewesen.
CU
Olaf
Triggle Bernhard6 „Warnung beim Surfen“
Hallo Leute .
Viel Gerede mit wenig Sinn.Ich bekomme den selben Scheiss auf meinem Computer zu sehen,
doch Eure Tipps haben noch nicht gefruchtet.(Trotz Norton personal Firewall,Ad-aware,Trojancheck,Antivir PE,etc.)Das einzige was halbwegs hilft,war den Nachrichtendienst abzuschalten.Doch das sollte ja nicht Sinn der Sache sein,denn dann bringt mir Norton die Meldung,dass ein Remotesystem auf meinem Computer zugreifen will.
Ich bezeichne diesen Trojandialer als hochkriminell , geht mir voll auf den Sack,und klaut mir Zeit.Ich besuche keine illegalen oder aussergewöhnlich Seiten(meist eBay,Kazaa,Bücherforen,etc).Dann habe ich noch Netscape auf der Platte.Das gleiche Thema.
Falls mir wirklich einer einen Tipp geben kann,dann herzlichen Dank dafür.
See you.
pager75 Triggle „Hallo Leute . Viel Gerede mit wenig Sinn.Ich bekomme den selben Scheiss auf...“
Moin,
da nimmt mir jemand das Wort vom Munde bzw. von der Tastatur.
Ich habe das gleiche Problem, genauso harmlos wie es (hoffentlich) ist, so lästig und irritierend (wollte nicht beängstigend schreiben) ist es für einen "Otto-Normal-Ebay-Surfer" mit Horrormeldungen über Telefonrechnungen im Hinterkopf.
Hat jemand die Antwort auf die Frage: "Wie werde ich diesen Müll für immer los" und kann diese ohne Fachchinesisch (auch Tröpfchenfolter)formulieren. Bis jetzt hat nichts geklappt.
Danke, Danke...!
