Kann mir bitte nochmal jemand erklären, wie ich verdächtige netstat-Ergebnisse erkenne?
Danke im voraus. (Derry)
Antwort:
Hi, grundsaetzlich gilt:
TCP = Transmission Control Protocol / UDP = User Datagram Protocol
Listen = Port lauscht / Established = Verbindung hergestellt / Closing = Port schliesst sich wieder (local = du / foreign = der Rechner (bzw. sein korrekter Name in etwa "greenfrog.nickles.de") mit dem du kommunizierst (kann auch sein dass du immer nur einen Proxy Server als foreign address siehst))
----> im Normalzustand eines Windows-Clientrechners sind nur wenige Ports offen : 137,138,139 (nbname, nbdatagram, nbsession = braucht es fuer die Netbios Verbindungen im Provider LAN (MS) (darauf achten dass nbsession nur einmal vertreten ist, ein Doppel kann ebenso einen Trojan tarnen) und dann werden ueber 1024 Ports dynamisch an Anwendungen auf deinem PC vergeben die das Internet kontaktieren (Browser, u.a.), verdaechtig ist jede Verbindung die du nicht nachvollziehen kannst, meist von ominoesen hohen Portnummern an deiner Box im LISTEN Zustand (eine Liste von typischen Trojanerports findest du hier : http://www.tla.ch/TLADBTEC/BIBLIO/trojan.html )
interessant ist immer die Adresse deines Gegenuebers, angezeigt wird IP Adresse oder Rechnername, du kannst eine IP Adresse zum Namen aufloesen (Nslookup besorgen, willst du zudem etwas ueber die Domain wissen bei allwhois.com abfragen),
die angezeigte Portnummer bei deinem Gegenueber erklaerst du dir ueber die assigned numbers Liste -RFC 1700 unter http://ietf.org/rfc/rfc1700.txt, im unteren Bereich sind klassische Services die auf Servern laufen, wie 21 (FTP) oder 80 (HTTP-Websites), auf 23 liegt Telnet Service (deine eigene Box hat sie in der Regel nicht offen ---es sei denn du hast es so installiert, anderenfalls waeren das ebenfalls Trojaner die gezielt dort laufen um nicht aufzufallen), lies zudem mal das Helpfile zu Netstat und besonders http://www.robertgraham.com/pubs/firewall-seen.html
dumm ist wer nicht fragt_Carrie
(Carrie)
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Hi, grundsaetzlich gilt:
TCP = Transmission Control Protocol / UDP = User Datagram Protocol
Listen = Port lauscht / Established = Verbindung hergestellt / Closing = Port schliesst sich wieder (local = du / foreign = der Rechner (bzw. sein korrekter Name in etwa "greenfrog.nickles.de") mit dem du kommunizierst (kann auch sein dass du immer nur einen Proxy Server als foreign address siehst))
----> im Normalzustand eines Windows-Clientrechners sind nur wenige Ports offen : 137,138,139 (nbname, nbdatagram, nbsession = braucht es fuer die Netbios Verbindungen im Provider LAN (MS) (darauf achten dass nbsession nur einmal vertreten ist, ein Doppel kann ebenso einen Trojan tarnen) und dann werden ueber 1024 Ports dynamisch an Anwendungen auf deinem PC vergeben die das Internet kontaktieren (Browser, u.a.), verdaechtig ist jede Verbindung die du nicht nachvollziehen kannst, meist von ominoesen hohen Portnummern an deiner Box im LISTEN Zustand (eine Liste von typischen Trojanerports findest du hier : http://www.tla.ch/TLADBTEC/BIBLIO/trojan.html )
interessant ist immer die Adresse deines Gegenuebers, angezeigt wird IP Adresse oder Rechnername, du kannst eine IP Adresse zum Namen aufloesen (Nslookup besorgen, willst du zudem etwas ueber die Domain wissen bei allwhois.com abfragen),
die angezeigte Portnummer bei deinem Gegenueber erklaerst du dir ueber die assigned numbers Liste -RFC 1700 unter http://ietf.org/rfc/rfc1700.txt, im unteren Bereich sind klassische Services die auf Servern laufen, wie 21 (FTP) oder 80 (HTTP-Websites), auf 23 liegt Telnet Service (deine eigene Box hat sie in der Regel nicht offen ---es sei denn du hast es so installiert, anderenfalls waeren das ebenfalls Trojaner die gezielt dort laufen um nicht aufzufallen), lies zudem mal das Helpfile zu Netstat und besonders http://www.robertgraham.com/pubs/firewall-seen.html
dumm ist wer nicht fragt_Carrie
(Carrie)