Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Hacker ATTACK!!!!!!!!!!!

gelöscht_129509 / 20 Antworten / Baumansicht Nickles

Hallo, bin leider nicht so bewand auf dem Gebiet der Computertechnik lerne jedoch gerne dazu. Bei mir wird des öfteren mir durch meine Firewall mitgeteilt das jemand versucht auf meinen Computer zu zugreifen und zwar mit einem Trojanischem Pferd Backdoor/SubSeven. Der Angriff wurde zwar immer abgewehrt, trotzdem fühle ich mich nicht sicher. Deshalb meine Fragen:


Was ist dieses Tool (Trojanische Pferd Backdoor/Subseven)?


Was kann oder macht es?


Kann ich den Angreifer anhand seiner IP-Adresse feststellen?


Wie kann ich lücken in meiner Firewall erkennen ( zB durch Prüfprogramm) und abstellen?


Benutzte Norton.


Ich weiß es sind eine ganze Menge Fragen, aber sie lassen mir nunmal keine Ruhe.


Bin für jede Information Dankbar.

Piwie
bei Antwort benachrichtigen
-IRON- gelöscht_129509 „Hacker ATTACK!!!!!!!!!!!“
Optionen

Die Meldung lautet nicht zufällig wie folgt:
Standard Backdoor/SubSeven blockieren" blockierte (...,27374). Details: Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (...,27374)
Remote-Adresse, Dienst ist (212.95.75.156,2998)
Prozessname ist "N/A"
(IPs und Ports sind Beispiele)
Dann hat dir deine "Firewall" lediglich gemeldet, dass IRGENDWER bei deinem Rechner angefragt hat, ob der genannte Port offen ist. Mehr nicht. Völlig harmlos. Dabei ordnet die Firewall leider sinnloserweise einem bestimmten gescannten Port einen bestimmten verursachenden Schädling zu. Da man Trojaner aber problemlos auf eine Vielzahl der 65535 möglichen Ports einstellen kann, ist es unzulässig, einen solchen eindeutigen Rückschluss zu melden. Mit anderen Worten: Die Desktopfirewall macht viel Wind um nichts.

Wäre auf deinem Rechner das Remote Access Tool Sub7 in Form eines Servers installiert, könnte jemand deinen PC theoretisch fernsteuern und hätte Zugriff auf alle deine Daten.
ABER: In dem Fall dürfte dir die "Firewall" nicht eine Verbindung VON AUSSEN melden sondern müsste anfragen, ob eine Datei "maechtiggewaltigwichtig.exe" Verbindung zum Internet aufnehmen darf (also von INNEN nach außen).

Anhand der IP-Adresse kannst du feststellen, über welchen Einwahlknoten jemand kommt und bei welchem Provider er ist. Ein "Angreifer" ist er deswegen noch längst nicht.

Lücken in der Firewall? Oh je. Wenn du deine Desktopfirewall meinst: Die Lücken bemerkst du im ungünstigsten Fall, wenn eine beliebige Malware (ein Virus, ein Mailwurm oder ein Trojaner-Server) bei der Installation die Firewall unschädlich macht. Im günstigsten Fall informierst du dich zum Beispiel auf dieser Seite über den Sinn von Desktopfirewalls.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
xafford -IRON- „Die Meldung lautet nicht zufällig wie folgt: Standard Backdoor/SubSeven...“
Optionen
Wäre auf deinem Rechner das Remote Access Tool Sub7 in Form eines Servers installiert, könnte jemand deinen PC theoretisch fernsteuern und hätte Zugriff auf alle deine Daten.
ABER: In dem Fall dürfte dir die "Firewall" nicht eine Verbindung VON AUSSEN melden sondern müsste anfragen, ob eine Datei "maechtiggewaltigwichtig.exe" Verbindung zum Internet aufnehmen darf (also von INNEN nach außen).
das ist leider zumindest bei sub7, Back Orifice und netbus falsch. trojanerserver heißen server, weil sie verbindungen aktzieptieren, der client fragt an. deswegen scannen scriptkiddies ja auch wie wild nach offenen standardports im internet, damit sie sich mit diesen servern verbinden können, ergo, verbindung nach außen.
es gibt zwar auch jede menge trojaner, die selbst versuchen verbindungen zu öffnen, z.b. zu irc-servern oder internetservern um sich selbst upzudaten, in der basiskonfiguration machen dies aber die obengenannten nicht. eventuell versenden sie eine mail mit ihrer IP, im idealfall (für den schädiger) nutzen sie dazu aber den installierten MTA, da diesem in der regel vertraut wird.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
-IRON- xafford „Wäre auf deinem Rechner das Remote Access Tool Sub7 in Form eines Servers...“
Optionen

Nö...ist nicht falsch. Nur falsch interpretiert von dir. Der Client, so es denn dieser ist, der da scannt, fragt natürlich von außen an.
Aber die Antwort erfolgt durch den Server VON INNEN.
Norton kann aber überhaupt nicht feststellen, ob nun ein Trojaner-Client, ein gewöhnlicher Portscanner oder ein harmloser Webserver oder sonstiges Programm den fraglichen Port VON AUSSEN abfragt. Und darum gings ja bei der Meldung der Firewall. Kannst ja mal bei aktiver Norton-DTFW dich via Browser mit Port 27374 localhost "verbinden". Hui...bööööser Trojaner :D

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
xafford -IRON- „Nö...ist nicht falsch. Nur falsch interpretiert von dir. Der Client, so es denn...“
Optionen

du sagst ja selbst: der server antwortet, eine antwort kommt immer nach einer frage und in protokollsprache gesprochen, bei einem socket interessiert nur, von wo aus er aufgebaut wurde, woher also das paket des sockets mit der niedrigsten sequenznummer kam, und das kommt nun mal von außen, der client hat also die erste frage gestellt...ansonsten, siehe andere antwort.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Harry Hunger xafford „Wäre auf deinem Rechner das Remote Access Tool Sub7 in Form eines Servers...“
Optionen

Theoretisch hast du recht, der Klient nimmt Verbindung zum Server auf, der Server wartet nur darauf das ein Klient "zu ihm kommt". So gesehen wird von außen zugegriffen.

Trotzdem hat Iron recht, denn eine Personal Firewall überwacht, bildlich gesprochen, den Verkehr zwischen den auf dem Rechner laufenden Anwendungen und der Stelle an der der Server auf einen Klienten "wartet". Wenn ich mich nicht täusche ist es genauer gesagt die Winsock Schnittstelle an der die PFs ihre Überwachung ansetzen. Aus der Perspektive einer PF ist der Server somit auf dem Weg ins Internet.

bei Antwort benachrichtigen
xafford Harry Hunger „Theoretisch hast du recht, der Klient nimmt Verbindung zum Server auf, der...“
Optionen

tcp/ip, 3way handshake...
anfrage des clients an den server SYN...
antwort des servers syn ack
verbindung ack...
klar antwortet der server von innen nach außen, interessant ist aber die initiierung des sockets, ergo der erstkontakt von außen...
nach eurer theorie würde ja auch ein webserver kontakt mit mir aufnehmen, und nicht ich mit ihm, wenn ich eine anfrage an ihn sende.
oder noch einmal anders erklärt:
der server lauscht (wie server das so tun)...kommt nun ein paket über die winsock auf der anwendungsebene mit seinem port an, dann reagiert er und antwortet...um mal noch einen aspekt der bei eurer argumentation hinkt aufzuzeigen: wenn der server kontakt aufnimmt, womit denn dann? woher weiß er was er kontaktieren soll (außer die fälle,die ich oben schon geschildert hatte)? er kann nur auf einen verbindungsversuch von außen antworten, da er selbst ohne adresse für seinen socket keinen socket öffnen kann.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
-IRON- gelöscht_129509 „Hacker ATTACK!!!!!!!!!!!“
Optionen

Ja doch...die Reihenfolge stellt doch niemand in Frage :D
Es geht einzig und allein darum, wie die Desktopfirewall reagiert.
Bei Anfrage eines BELIEBIGEN Clients auf Port 27374 meldet die Norton-Dingens:
Standard Backdoor/SubSeven blockieren" blockierte (...,27374). Details: Ankommende TCP-Verbindung
Und das ist Quatsch, denn der User glaubt, wie man ja an der Frage des OP wunderbar sieht, dass er einen Trojaner "habe". Hat er aber nicht.
Denn in dem Fall, also bei einem installierten Server, der auf eine Client-Anfrage antworten oder selbst eine Verbindung (z.B. wegen seiner Notify-Funktionalität) initiieren möchte, müsste sie melden:
Programm blabla.exe versucht, auf das Internet zuzugreifen. Risikostufe blabla
[_] Den Internetzugriff automatisch konfigurieren
[_] Für diese Anwendung den Internetzugriff zulassen
[_] Für diese Anwendung den Internetzugriff blockieren
[_] Für diese Anwendung den Internetzugriff anpassen
[OK]
[_] Diese Aktion immer für diese Anwendung ausführen

Es sollte klar sein, dass sich diese Meldungen erheblich voneinander unterscheiden.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
GarfTermy gelöscht_129509 „Hacker ATTACK!!!!!!!!!!!“
Optionen

wenn du die meldung einer dpfw interpretierst, dabei nicht verstehst, dass der user eine meldung bekommen soll, aus der er informationen ziehen kann - hast du mal wieder etwas nicht verstanden.

benannter port ist der standardport von ss7 - nicht anderes besagt die meldung - nicht gemeldet wurde "sie haben einen ss7".

übrigens steht in jedem log einer hardwarefirewall grundsätzlich nichts anderes.

trojaner oder viren zu finden und zu entfernen ist aufgabe des virenscanners - den traffic zu kontrollieren und zu reglementieren ist aufgabe von firewalls.

;-)

@alle anderen: als reaktion von unserem iron wird als nächstes wieder ein widerspruch folgen...

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
-IRON- GarfTermy „wenn du die meldung einer dpfw interpretierst, dabei nicht verstehst, dass der...“
Optionen
wenn du die meldung einer dpfw interpretierst, dabei nicht verstehst, dass der user eine meldung bekommen soll, aus der er informationen ziehen kann - hast du mal wieder etwas nicht verstanden.

Ich schon, nur der User nicht, der sie beziehen soll, wie man ja an der Frage des OP unschwer erkennen kann. Warum sonst erkundigt er sich wohl nach Sub7?

Was die Meldung bezügl. des Ports sagt, ist schon klar. Nur tut sie dies missverständlich. Von einem Standard-Sub7-Port dürfte gar nicht die Rede sein. Im Log einer "Hardwarefirewall" steht sehr wohl was anderes, nämlich vorrangig keine wilden Spekulationen über Standardports, sondern Fakten, baby. Nichts als Fakten.
Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Teletom gelöscht_129509 „Hacker ATTACK!!!!!!!!!!!“
Optionen

Um welche Firewall-Software handelt es sich denn hier.

Empfehle Dir unumgänglich, den eingehenden Port 27374 frei zu geben.
Das Blockieren eines eingehenden Ports verursacht auffällige Antworten (z.B. destination unreachable, mit anderen Worten, die IP-Nummer ist zwar da, aber nicht erreichbar. Da kannst Du ja gleich ein Schild hinstellen: "Hier steht eine Firewall").

SubSeven benutzt tatsächlich standardmäßig den Port 27374. Umgekehrt muss Port 27374 nicht bedeuten, dass SubSeven in jedem Fall verwendet wird.
Deine Firewall hat sich "sicherheitshalber" für das Blockieren entschieden.

Da SubSeven, wie hier schon vollkommen richtig dargestellt wurde, ein laufendes Programm (Serverprogramm) "maechtiggewaltigwichtig.exe" auf Deinem PC voraussetzt, ist es viel besser, den ausgehenden Port 27374 PC in Richtung Internet zu blockieren.

Gruß
Teletom

bei Antwort benachrichtigen
xafford Teletom „Um welche Firewall-Software handelt es sich denn hier. Empfehle Dir...“
Optionen

serverport != kommunikationsport.
ein webserver wird auch auf port 80 (in der regel) kontaktiert, für die sockets und den datentransfer wird aber ein port ab 1025 genutzt.
das sperren des ausgehenden standardports eines trojaners bringt also rein gar nichts, wenn er eingehend offen ist. teste doch mal am webserver. blockiere port 80 ausgehend und laß ihn eingehend offen, mache dann eine anfrage und du wirst sehen, daß der socket problemlos aufgebaut wird.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Teletom xafford „serverport ! kommunikationsport. ein webserver wird auch auf port 80 in der...“
Optionen

Die nächste Verbindung (also ungleich der ersten Verbindung zur IP-Nummer) wird in der Regel auf einen Port größer gleich 1025 und ungleich des Standardports gelegt, weil man eben den Standardport so schnell wie möglich frei bekommen will, das stimmt schon.

Den Sub7 - Standard- Port - sollte man trotzdem eingehend nicht sperren, wegen des "hier ist eine Firewall" Effektes, der eine auffällige Antwort entsteht.

Den ausgehenden Sub7- Standard- Port zu blockieren, ergibt zunächst keinen Sinn. Außer wenn ein unauthorisierter Sub7 - Server eine Verbindung herstellen will, der nimmt mit Sicherheit auch den Standard-Port aber ausgehend und da macht es schon einen Sinn ausgehend zu blocken.

Offensichtlich kann man mit Virensuchprogrammen oder Programmen wie Spybot oder Ad-Aware solche unauthorisierten Fremdprogramme beseitigen.

Vielleicht ist eine Kombination beider Methoden sinnvoll.

Die Firewall braucht man jedenfalls ICMP-mäßig genau so einzustellen, dass "Zeitüberschreitung der Anforderung" bei Ping-Sendern im Internet erscheint.

Gruß
Teletom

bei Antwort benachrichtigen
Tyrfing Teletom „Um welche Firewall-Software handelt es sich denn hier. Empfehle Dir...“
Optionen

>>Empfehle Dir unumgänglich, den eingehenden Port 27374 frei zu geben.
Das Blockieren eines eingehenden Ports verursacht auffällige Antworten (z.B. destination unreachable, mit anderen Worten, die IP-Nummer ist zwar da, aber nicht erreichbar. Da kannst Du ja gleich ein Schild hinstellen: "Hier steht eine Firewall"). GNADE!!, so viel Unwissen tut ja schon weh...wenn man einen Port nicht mehr blockiert, ist er trotzdem nicht offen, ein Port ist erst dann offen, wenn ein Programm daran "lauscht", sprich wenn du Sub7 schon drauf hast, bis dahin kommt die Meldung, dass der Port zu ist..."Herr Sicherheitsfachmann"

bei Antwort benachrichtigen
Teletom Tyrfing „ Empfehle Dir unumgänglich, den eingehenden Port 27374 frei zu geben. Das...“
Optionen

Gnade erteilt!

Entweder Sub7 lauscht auf dem Standard-Port oder der Port ist nicht blockiert, beides erzeugt eine nichtauffällige Antwort. Deshalb solltest Du den eingehenden Port nicht blockieren.

Das der Port zu ist, kommt nur wenn der Block blockiert ist.

Und wo ist das Problem selber "Herr Sicherheitsfachmann"?

Trotzdem Gruß
Teletom

bei Antwort benachrichtigen
Tyrfing Teletom „Gnade erteilt! Entweder Sub7 lauscht auf dem Standard-Port oder der Port ist...“
Optionen

Ein Port ist dann auf, wenn ein Programm den Port öffnet, ansonsten ist er zu und beim Zugriffsversuch kommt ein "Port nicht erreichbar".
Natürlich kann man, wenn der Port auf ist, noch ein zweites Programm installieren, dass den Port blockiert, dass ist aber zumindest vom Effekt dasselbe.

bei Antwort benachrichtigen
Teletom Tyrfing „Ein Port ist dann auf, wenn ein Programm den Port öffnet, ansonsten ist er zu...“
Optionen

Also wenn im Netz die Antwort "nicht erreichbar" kommt, heißt das, das Gerät ist zwar da, aber irgend etwas hindert das Erreichen.

Im Internet bedeutet das, dass eine Firewall installiert ist.

bei Antwort benachrichtigen
-IRON- Teletom „Also wenn im Netz die Antwort nicht erreichbar kommt, heißt das, das Gerät ist...“
Optionen

Du kommst der Wahrheit erschreckend nahe.
"nicht erreichbar" KANN heißen, dass da etwas für eine vermeintliche Nichterreichbarkeit sorgt, also eine Firewall-Lösung. Es KANN aber auch heißen, dass der Host tatsächlich nicht erreichbar ist. Um das zu verifizieren kann man nun statt ICMP andere Möglichkeiten nutzen.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Teletom -IRON- „Du kommst der Wahrheit erschreckend nahe. nicht erreichbar KANN heißen, dass da...“
Optionen

Schreck lass nach!

bei Antwort benachrichtigen
Tyrfing Teletom „Also wenn im Netz die Antwort nicht erreichbar kommt, heißt das, das Gerät ist...“
Optionen

Nein.
Wenn die Antwort "Port nicht erreichbar" kommt, heisst, dass der Port zu ist, meistens durch Beenden (bzw. gar nicht erst starten) eines Programmes.
Oder willst du mir erzählen, dass z.B. ICMP 3, Code 3 erst für PFs erfunden wurde?

Das du jetzt noch "Host unreachable" und "Port unreachable" durcheinander schmeisst, disqualifiziert dich noch mehr, aber lass mich raten: du tust das nur um uns zu erklären, dass das verschiedene Dinge sind? *lol*

bei Antwort benachrichtigen
Teletom Tyrfing „Nein. Wenn die Antwort Port nicht erreichbar kommt, heisst, dass der Port zu...“
Optionen

Falsch geraten, denn ich wiederhole mich nicht mehr.

bei Antwort benachrichtigen