Viren, Spyware, Datenschutz 11.213 Themen, 94.186 Beiträge

Hackerproblem im LAN

Shinji Ikari / 49 Antworten / Flachansicht Nickles

Hi!


Ich bin mit meinem Rechner in einem Lokalem Netzwerk und benutze die freeversion von der outpost firewall. Und meine Firewall blockt sehr viel Angriffe(portscanns/verbindungsversuche). Dabei hat es jemand wahrscheinlich durch einen Fehler von mir Zugriff auf meinem Rechner zu bekommen, denn ich hatte ausversehen eine Verbindung für scheinbar ie erlaubt. Und ein paar Stunden später hat sich jemand bei mir beschwer, dass ich bei ihm Portscans machen würde, was defintiv nicht ich seien kann, weil ich solche Progs nicht auf dem Rechner habe. Mein Fehler, der wahrscheinlich dazu führte wurde mir auch erst etwas später bewusst, als ich den rechner schon wieder runtergefahren hatte, aber outpost hatte am nächsten tag die anwendung iexplorer zweimal aufgeführt, einmal den "richtige" und einmal die falsche freigabe von mir. Dummerweise habe ich die sofort gelöscht, damit der nicht eventuell wieder sowas macht. Kann ich jetzt im Nachhinein noch irgendwie nachvollziehen, was genau der auf meinem Rechner gemacht hat???Denn der portscann war bestimmt nicht das einzige...


Und wie bekomme ich mein System vielleicht noch sicherer, denn nach pro stunde blockt outpost mindestens 3.000 "angriffe". Gibt es vielleicht auch Programme, mit denen man offene ports blockt/schliesst??


Denn ich hab auf dem Pc auchnoch das Problem, dass mir mIRC mit Invision bei dem localen portcheck, der bei jedem start gemacht wird, u.a. den prot 3456 als offen angibt. Aber weder Norton antivirus noch TrojanHunter haben etwas auf meinem PC entdeckt. Die Angabe von mIRC muss eigentlich richtig sein, denn auf meinem zweiten rechner(der nicht im Netzwerk ist) zeigt mir mIRC diesen Port nicht an.


 


Wie sollte ich eurer Meinung nach meinen Sachen noch absichern, damit mir in dem Netzwerk nicht wieder sowas passiert???


 


Ich hoffe ihr könnt mir wenigstens teilweise weiterhelfen :)

bei Antwort benachrichtigen
Rika Shinji Ikari „Hackerproblem im LAN“
Optionen

Die einfachste Möglichkeit wäre, dass du dir erstmal 'ne Beruhigungsspritze gehen lässt :-)

Bei den etwa 3000 Zugriffen solltest du 4 verschiedene Dinge unterscheiden:

1. Ein Zugriff ist meistens nur die Antwort von einem Server, von dem du Daten angefordert hast. Um solche Zusammenhänge im In- und Out-Traffic zu erkennen, nutzt die Firewall das sogenannte Stateful Inspection. Konkret: Du schickst zur Auflösung per DNS jeweils ein TCP und ein UDP Packet an den DNS-Server. Nach kurzer Zeit schickt er dir die Antwort als UDP-Packet an Port 53. Die Firewall würde das Packet blockieren, aber da sie ja weiss, dass du vorher 'ne DNS-Anfrage abgeschickt hast, lässt sie es durch.
(Ich z.B, wundere mich nicht, dass selbst, wenn ich eD*nkey wieder geschlossen habe, trotzdem noch einige Anfragen auf Port 4661 und 4665 eintrudeln.)

2. Blindgänger: Ein Packet ging an Person X, Person X wählt sich aus, du wählst dich ein, bekommst seine vorherige IP, und schon kommt das Packet an dich. Oder irgednjemand hat die falsche IP angegeben, oder 'ne Routing-Tabelle hat 'nen Fehler etc.

3. Bewusste Anfragen: In 'nem Windoof-Netzwerk mit Freigaben läuft dies alles über TCP/UDP Port 137, UPD Ports 138 und 139. Hier sollte die Firewall auch aufmerksam sein; Anfragen aus dem LAN sind OK, Anfragen aus dem Internet sollten blockiert werden.

4. Portscans: genau dann der Fall, wenn genau ein jemand aus dem Netz systematisch alle oder eine bestimmte Klasse deiner Ports abfragt. Zu solchen Abfragen gehören z.B. die default-Ports von Trojanern wie WickedBot, BackOrifice, NetBus etc. Echte Cracker (NICHT HACKER!!!) stellen den Port ihres Trojaners sowieso um, und wissen ferner genau, welche IP du hast. Die PortScanner suchen jedoch ganze IP-Bereiche nach potenziellen Opfern ab. Keine Sorge: Solange du keinen Trojaner laufen hast (laut Symantec Security Test haben 99% keine Trojaner-Ports offen, und nur ein Viertel davon haben wirklich Trojaner drauf), kannst du diese Scans getrost ignorieren. Sie gehören zum Netzleben dazu wie die Bettler auf der Strasse. Ein gute Firewall (also nicht Outpost) erkennt solche systematischen Anfragen und blockiert sie.

4. DoS-Attacken: Hier schicken, mittels Trojaner zentral gesteuert, viele Rechner gleichzeitig sinnlosen Datenmüll über deine Leitung, um sie komplett auszulasten. Extrem selten, da eher große Marken (Yahoo, GRC, Microsoft) als potenzielle Ziele herhalten.


Soweit, so gut. Wenn es ganze 3000 "Angriffe" pro Stunde sind, dann heisst dass, das deine Firewall einfach zu viel von dir gewollten Traffic blockiert. Outpost ist sowieso scheisse, nimm lieber NIS2003 (saug's bei eD*nkey/eM*le). Normelerweise sollten etwa, je nach verwendeter Software, nur 30 Anfragen pro Stunde als ungültig ankommen. Davon sind etwa 2 Stück wirkliche potenzielle Angriffe, wenn überhaupt.

Apropos: Nur weil Anfragen auf diese Ports kommen, heisst das doch noch nicht, dass diese Ports auch offen sind. Und auch wenn sie offen sind, sollte der dahinterstehende Service nichts preisgeben (z.B. die Windows-Freigabe wäre zwar da, aber würde nicht ohne Authentifizierung der Domäne bzw. nicht an nicht-lokale Adressen abgeben). Aber wenn jemand ein Paket an einen geschlossenen Port schickt, bekommt er 'ne Meldung, dass der Port zwar vorhanden, aber geschlossen ist. Damit weiss er zumindest, dass diese IP online ist.
Eine gute Firewall blockt solche Ports: Auf eine Anfrage gibt es nicht mal die Fehler-Antwort; du als Zielrechner scheinst überhaupt nicht vorhanden zu sein.

UND VERDAMMT NOCHMAL, HÖR AUF, WEGEN GANZ NORMALEN ZUGRIFFEN UND DEM ÜBLICHEN SCRIPTKIDDIEMIST GLECIH EIN FORUM ZU BELÖFFELN UND PANIK ZU MACHEN. LIES LIEBER DEN NICKLES, DANN WÜSSTEST DU DAS ALLES AUCH SCHON LÄNGST SELBST.
ODER WIE NICKLES ES SAGT: "Manche Leute kapieren einfach nicht, dass Traffic GELD KOSTET."

bei Antwort benachrichtigen
FULL ACK -IRON-