Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

Verfolgung starten Optionen

Noch mal: Angriff aus Milano

jueki / 18 Antworten / Flachansicht Nickles

Ich hatte dazu schon mal einen Thread gestartet. Hier.
Leider blieben da mehr Fragen übrig, als beantwortet werden konnten.
NIcht zuletzt wurde -so habe ich es jedenfalls verstanden- die Wirsamkeit von Firewalls überhaupt in Frage gestellt.
Nun ist es keinesfalls so, das ich auf meinem PC Geheimnisse der CIA speichere. Aber, wie schon gesagt, ich habe etwas dagegen, wenn in meinem Haus einer so einfach an allen Türen klinkt, ob sie denn offen sind. Dem würde ich dann nämlich irgendwann paar aus M hauen.
Mir lies das also keine Ruhe und ich habe mich privat um Rat an jemand gewendet, der von Berufs wegen auf meine Fragen eine Antwort geben kann.
Dieser Mann heißt Andylol. Er hat mein Vertrauen wegen seiner sachlichen und fachlich fundierten Zuschriften hier auf dem Brett.
Seine Antwort war recht lehrreich für mich. Und deswegen stelle ich diese -mit seiner Genehmigung- hier mal rein.

>>>Das, was zum Thema Firewall bislang hier erzählt wurde, ist meiner Meinung nach nicht ganz korrekt.
Natürlich macht eine Firewall Sinn (auch wenn mir Deine „Sygate“ momentan nicht ganz geläufig ist), denn OHNE eine solche bist Du allen, wie auch immer gearteten "Attacken" schutzlos ausgesetzt [Nebenbei: mit einer falsch konfigurierten übrigens auch ;-) ]
BLASTER war/ist das beste Beispiel dafür
- Sie sollte als MINIMALSCHUTZ aber zumindest(!) den INCOMING Traffic der Ports UDP und(!) TCP : 135,137,138,139,445,593 blockieren! Dann bist Du zumindest gegen die derzeit geläufigsten "Viecher" abgesichert! ].-

Ein aktueller Virenscanner ist ohnehin Pflicht :-)

Zu Deiner Meldung:
Woher die Meldung kommt ist irrelevant (irgendwelche "Idioten" suchen eh oft wechselnde offene Server als Ausgangspunkt auf).
Deine Firewall scheint über so etwas wie "Intrusion Detection" zu verfügen und sperrt daher für 10 Minuten den jeweiligen Absender, weil er öfters als normal auf Deine IP-Adresse/Rechner zugreifen will.
Gedanken darüber , würde ich mir ohne Grund keine allzu großen machen, da das Internet STÄNDIG von irgendwelchen Portscannern nach offenen Ports abgesucht wird (der gesamte IP-Adressbereich großer Provider, wie z.B. T-online sowieso). Und eine entsprechend konfigurierte Firewall wertet so etwas dann halt als "Angriff" -- die Meldungen kann man aber bestimmt in den Einstellungen abstellen, d.h. verwerfen/ignorieren lassen.... Portscans in großem Maße sind heutzutage leider an der Tagesordnung ;-(

Trotzdem könnte auf Deinem Rechner ein (von Dir unbemerktes) Server-Programm irgendeiner Art laufen, dass Du Dir z.B. von E-Mule etc. einmal eingefangen hast: darum solltest Du vorsichtigerweise Deinen Rechner auch einmal nach laufenden Prozessen untersuchen!
1)
Das machst Du entweder in einer DOS-Eingabeaufforderung mit dem Befehl "netstat -a" -> alles wobei "ABHÖREN" gezeigt wird, lauscht auf einem Port auf eine Verbindung (kann aber auch ganz harmlos sein); kontrolliert mit "netstat -n" sollte dort OHNE Surf-/Downloadaktivität Deinerseits aber NICHTS angezeigt werden!!!

2)
Als Administrator unter "Ausführen" den befehl "msconfig" eingeben:
Zeigt dir alle laufenden Prozesse/Dienste an, die gerade laufen. Bei allen, das Du nicht genau zuordnen kannst probehalber das Häkchen aus dem katen herausnehmen und Neustarten -sind meist ohnehin nur speicherfressende und überflüssige Programme, die zur Soundkarte,Grafikkarte,Office,Acrobat oder Brennprogramm gehören- und nicht bei JEDEM Systemstart AUTOMATISCH mitlaufen müssen, sondern erst, wenn das zugehörige Programm auch wirklich gestartet wird ;-)
(Anm.: ctfmon ist unbedenklich -> zeigt Dir nur das "DE" in der Taskleiste an), der rest kann meist raus -> d.h. haken rausnehmen -> neustarten- schauen, ob ales nocht läuft! (falls irgendetwas nicht -sehr selten- einfach wieder "msconfig" eingeben und den entsprechenden Haken wieder setzen. kann man beliebig oft wiederholen-hauptsache den jeweiligen Neustart nicht vergessen ;-) und bei dem jedesmal erscheinenden Fenster "Systemkonfigurationsprogramm ......blabla" das Kästchen: NICHT MEHR STARTEN jedesmal setzen....sonst erscheint das nervige Fenster nämlich imer wieder, bis es endlich abgehakt wird. :-)

3)
Das kostenlose Programm "Autoruns" von www.sysinternals.com downloaden (braucht KEINE Installation) -> einfach draufklicken und Du siehst ALLE auf Deinem Rechner laufenden Programme incl. ihrer Registry-Einträge! Was Du nicht kennst oder was wie Spyware etc. aussieht -> Im Internet den Prozessnamen eingeben (In einer Suchmaschine) und schauen, ob es evt. als Malware bekannt ist -> dann natürlich den registry-eintrag löschen ;-), sonst überlegen , was für ein programm das denn sein könnte (vielleicht ja irgendeines, das Dein Soundkartentreiber etc. installiert hat....)
Die Prüfung kann ich Dir leider nicht abnehmen. ;-))

Aber wie gesagt:
Meistens sind diese "Angriffsmeldungen" nichts weiter als normale Portscans.
Wen Du dann noch die Punkte 1) bis 3) beherzigst, bist Du auf der sicheren Seite und solltest die vermeintliche Meldung in Deiner Firewall einfach abschalten.....dann verunsichert sie Dich auch nicht mehr über Gebühr!

Hoffe geholfen zu haben. Gruß
Andylol

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Endlich finde ich Bestätigung zu meinen Ansichten. Danke für diesen Beitrag! Bomania
.... dann war die Tipperei wenigstens nicht umsonst :- Gruß Andyloln Andylol
@jüki ...Meistens sind diese Angriffsmeldungen nichts weiter als normale ... GarfTermy
Habs mir natürlich gleich mal zu Gemüte geführt, @garf, das BlackICE ... jueki
...@jüki... nein - das ist kein zusatz, sondern ein gesamtpaket. es läßt ... GarfTermy
Freu mich drauf! Danke! jueki
Moin, @garftermy ABER... ein portscan kann die vorbereitung eines angriffs ... Andylol
Bevor das ganze wieder zu einer Schlacht zwischen Gegnern und Befürwortern ... XPectIT
In Deiner Auflistung, @XPectIT, Der Eine / Der Andere / Der Dritte bin ich ... jueki
Die Behauptung, dass man ohne PF allen möglichen Gefahren schutzlos ... Tyrfing
Danke auch Dir, @Tyrfing. Das, was Du unter Anleitungen verborgen hast, habe ... jueki
Ein Wort zu den Scripten Bomania
Andylol Tyrfing „Die Behauptung, dass man ohne PF allen möglichen Gefahren schutzlos ausgesetzt...“
Optionen

Moin,

@Tyrfing
"Die Behauptung, dass man ohne PF allen möglichen Gefahren schutzlos ausgesetzt ist, stimmt definitiv nicht."
--> VETO!
Eine starke Behauptung ist zwar besser als ein schwaches Argument...sagt der Volksmund...trifft aber nicht immer zu.
Ein frisches Windows ist offen wie ein Scheunentor!, leider!

Aber, Ich kann Dir jetzt auch einmal zustimmen:
"Bei einem gut konfigurierten System sind nur die wirklich nötigen per Netzwerk erreichbaren Dienste gestartet und demensprechend alle nicht benötigten Ports geschlossen"
--> da hast Du grundsätzlich recht!
(es sei denn die Dienste SELBST bieten Sicherheitslücken auf ihren benötigten Ports- unter Windows aber auch Linux gar nicht so selten... dann hilft auch diese Strategie leider nichts.

DENN z.B. ein "normaler"-Webserver braucht nun mal Port 80 TCP, ein Webserver mit Sicherheitslücke ist aber auch GENAU auf diesem Port angreifbar, wenn zudem falsch konfiguriert (siehe IIS oder Apache ;-)). Aber da erzähle ich Dir ja nichts Neues.
Und wenn der Cracker erst einmal Systemzugriff unter dem Dienstkontext hat (möge es nicht "LOKALES SYSTEM" oder "ROOT" sein, sondern ein speziell abgespeckter Kontext ;-).. dann kann er auch herumwildern und u.a. auch spezielle Software instalieren, die dann doch noch nach Hause telefonieren will.
Eine Firewall kann dieses (entsprechend konfiguriert) bei Verbindungsaufnahmeversuch noch abfangen.... ein "vermeintlich" sicherer Rechner mit nur benötigten Diensten aber i.d.R. NICHT!
Es sei denn, man ist so clever und hat jeglichen Eingriff per chroot-Umgebung oder abgespecktem Dienstekontext für DIESEN Dienst von vorneherein etabliert!!!

Aber der normale User wird dieses aus Unbewußtheit der Gefahr eher nicht tun! -> Dann kann er nur froh sein über eine konfigurierte (Personal)Firewall, die dann noch Schlimmeres verhindern kann!

Aber egal, welches Konzept man auch als "sicherer" betrachtet:
Ohne das Wissen um das, was da eigentlich wie,wo,warum einzustellen ist, hat man ohnehin schlechte Karten!
Dann hilft wirklich nur sich umfassend schlau zu machen!

Gruß
Andylol

bei Antwort benachrichtigen
Ein frisches Windows ist offen wie ein Scheunentor!, leider! Tyrfing
Moin, @Tyrfing Und wenn ein unbedingt benötigter Dienst Sicherheitslücken ... Andylol
Moin, @jüki -- Danke für die Blumen -- Ich hatte Dich doch gebeten, mir ... Andylol
Ouiii - Bitte schön: Geantwortet per Antwort- Button Von: Jürgen An: ... jueki
Moin, @jüki nevermind :- Gruß Andylol Andylol