Ralf Rombach

Frank M schrieb am 2001-08-06 23:41 :
Hi FRank,

> Ich benutze seit kurzem (nach einer sehr
> unangenehmen E mail :wink: )ein Programm
> Namens Zone Alarm.

Was heisst unangenehme email. War da ein Attachment bei, welches Du geöffnet hast, vor allem mit Dateiendungen wie .doc, .xls, .exe, .dll, .vbs. (erstaunlich daß es sich überwiegend um MS Formate handelt).

Uups :smile: In der newsgroup de.comp.security.firewall ist diese und andere desktop firewall regelrecht verschrien. Das ist zwar IMO etwas zu pauschaliert und daher Unsinn, aber insgesamt braucht man bei gut konfigurierten Systemen nicht zwingend eine Desktop firewall

> Dieses Programm soll verhindern das sich
> irgendjemand oder irgendetwas während man
> Online ist "einloggt".

Ja, soll es, kann es, aber leider auch nicht immer.

> kenn mich da ja auch nicht so toll mit aus
> aber es soll möglich sein das sich ein z.b
> Hacker in den eigenen PC einschleust
> während man Online ist.

So kann man das nicht sagen. Besser: Es gibt Leute, die versuchen, sich in Dein System einzuschleusen. Ich bekomme auch ziemlich regelmäßig Anfragen aus dem Netz auf einer Reihe von Ports (20, 21 - ftp, 137-139, 1345, 31337 und einige andere). Anfragen auf ftp Ports schauen nach, ob Du einen ftp server laufen hast. Wenn ja, dann versuchen die Hacker Sicherheitslücken in diesem Server auszuspähen. Viele andere Ports sind Trojaner wie Sub Seven, die erst antworten, wenn eine Anfrage aus dem Netz kommt. Hast Du keine Trojaner oder einen ftp-Server, antwortet Deine Maschine einfach nicht und dann ist gut.

Das heißt, biete keine Dienste nach außen an und die Gefahr vor Einbrüchen ist gering. Leider sind die MS-Doof Maschinen derart schlecht konfigurierbar und dokumentiert, daß das nicht so ganz einfach ist. Ich bin da leider auch kein Experte, wir haben uns dafür einen Linux proxyserver mit einem eigenen portorientierten Paktefilter konfiguriert. Bei uns bricht keiner ein, Versuche gibt es täglich.

> Nun ja also Ich habe das Programm nun
> installiert und es startet bei jeder
> Internet Verbindung automatisch und mind.
> alle 5 min. bekomme Ich nun so eine
> Protected Meldung die so lautet:

> Zone Alarm firewall Alert

> The firewall has blocked internet access to
> your computer(HTTP) from 193.159.99.101(TCP
> port 1667) (TCP Flags:S)

Das ist eine Anfrage (S = SYN-Bit als Anfrage bit gesetzt) eines fremden Rechners an Deine Maschine auf Port 1667 mit dem Protokoll 6 = TCP.

> Wobei die IP Nummern meistens verschiedene
> sind aber manchmal auch die gleichen.

Die IP Adressen sind egal, da sie in aller Regel dynamisch vergeben werden. Bei gleichen IP, wenn sie an verschiedenen Tagen auftreten, kannst Du mal in einer MS-DOS EIngabeaufforderung einen tracert IP Befehl absetzen.

> Was bedeutet das denn?

s.o.

> Darf Ich das so verstehen das irgendjemand
> versucht auf meinen Rechner Zugriff zu
> bekommen.

Nicht direkt. Irgendwer schickt eine Anfrage an Deinen Rechner und schaut nach, ob Deine Maschine antwortet. Das ist noch kein direkter Einbruchsversuch. Der käme erst danach. Was jetzt Port 1667 ist, weiß ich so aus dem Kopf nicht, da der im meinem firewall log recht selten bis gar nicht gescannt wird.

> Oder ist es nur der Versuch einen Cookie zu
> setzten ?

Ne, das läuft über Port 80

Ralf Rombach

Nachtrag,

auf Port 1667 läuft/hört ein Teil, was auf den Namen netview-aix hört. Weiss auch noch nicht, was das ist

Hallo Ralf

Ja ein Word Document und Ich Idiot habs natürlich geöffnet

Also die ganze Geschichte war schon etwas merkwürdig:

Eine Mail mit Spanischem Titel/Betreff

Englischem Kurztext und diese doc.datei
Als diese geöffnet wurde war eine Liste zu sehen die Spanische Wörter und Sätze und deren deutsche Übersetzung enthielt.

Abgeschickt von einer wenn Ich mich recht erinnere Christine?

Nun ja als Ich Word wieder geschlossen hatte und diesen Müll löschen wollte fing plötzlich meine HD an zu rödeln und das ohne Ende!
Der Rechner war in dieser Zeit so sehr ausgelastet das es mir noch nicht einmal möglich war ein Fenster oder die Startleiste zu öffnen.
Als der ganze Spuk nach geschätzen 10min.! immer noch nicht zu Ende war habe Ich ihn kalt gestartet (reset :wink: )

Nach dem Neustart ging das ganze Spiel wieder von vorne los also noch mal den kalten.

Danach war dann Ruhe :wink:

Bei meinen Internet Verbindungen bemerkte Ich dann das u.a auch bei Seiten die bei mir zu 100% aus dem Cache aufgebaut werden und die keinen pop up Fenster oder Banner enthalten auch nach dem totalen aufbau immer noch elendig lange an meiner Leitung gesogen wurde das sieht man ja am Symbol in der Task Leiste.
Das habe Ich dann immer unterbunden indem Ich die Leitung getrennt habe!

Seit Ich Zone Alarm laufen habe und jeden "Pups" der da leider sehr oft kommt unterbinde ist dieses problem nicht mehr aufgetreten.

Na ja Lange rede kurzer Sinn:

Irgendwas stimmt hier nicht mehr nur was?


Sehr interessant!

Manchmal habe Ich auch Meldungen die anstelle TCP Flags:S irgendwas mit Ping zeigen weißt du was das bedeutet?

Wie lautet denn der genaue Dose Befehl dafür?


Gruß
Frank M

_________________


<font size=-1>[ Diese Nachricht wurde geändert von: Frank M am 2001-08-07 01:11 ]</font>

Hallo Frank,
es muß nicht immer ein Hacker oder so sein, Dein PC gibt zum Beispiel, wenn Du online gehst ein Signal (Ping) ins Netz, um so zu sagen, Dich zu identifizieren, Du bekommst einen Ping zurück, als Bestätigung, ja wir sind da, Du darfst rein.
Wenn Du möchtest, kannst Du von mir ein inofiziellen Patch für Zone Alarm haben und das deutsche Handbuch dazu.
Übrigends ergänzen sich Black Eyes Defender und Zone Alarm hervorragend.
Mein Freund stellt Dir gerne was zusammen und sendet Dir gerne eine Mail.
Viele Grüße
Nicolé

Torsten

Hi Frank,
soweit ich mich erinnern kann, kannst Du bei einem Alarm auf More Info klicken, und dann deinerseits die Identität der IP feststellen. EInfach auf more Info klicken und dann auf die IP klicken. Dauert etwas, ist aber interessant, wer alles auf Deinen Rechner will.

Schöne Grüße,
Torsten

Ralf Rombach

Frank M schrieb am 2001-08-07 01:04 :
Hallo Frank,

ich bin jetzt nicht gerade der Netzwerk- und TCP Experte, sondern bastele mir so meine eigenen Linux Lösungen und wenn ich probleme habe, habe ich einen guten Freund, der Informatiker ist und zudem absoluter Netzwerkspezialist. Da frage ich dann immer nach :smile:

> Ja ein Word Document und Ich Idiot habs
> natürlich geöffnet

Die meisten Einbrüche geschehen durch so was. Fast noch schlimmer sind Webseiten mit animierten GIFs mit Inhalt: "Hier bloß nicht klicken". Das reizt die meisten User derart, daß sie dann doch drauf klicken. Neugier schlägt immer noch alles und auch ich kann mich davon leider nicht ganz freisprechen.

Das solltest Du Dir grundsätzlich abgewöhnen. Insbesondere alle MS Formate aus den Office Paketen, die mit Makros versehen sein können (also doc, xls, mdb und ich glaube auch die Powerpoint Versionen) können heikel sein. Ich schicke solche mails so gut wie immer an den Absender zurück und bitte ihn, diese in ein Makrofreies Format zu übertragen, z.B. rtf (rich text format) für Word. Wenn es nicht geht, öffne ich doc Files nicht mit Word, sondern mit Wordpad, welches Makros nicht ausführt. Auf den Microsoftseiten gibt es irgendwo auch reine Word- und Excel Viewer, die Dir also nur den Inhalt der Dateien anzeigen.

Ansonsten, wenn es unbekannte Absender sind,m gnadenlos löschen.

> Englischem Kurztext und diese doc.datei
> Als diese geöffnet wurde war eine Liste zu
> sehen die Spanische Wörter und Sätze und
> deren deutsche Übersetzung enthielt.

Frage: Öffnet Dein Mailprogramm die Datei bei Draufklicken direkt und startet die Anwendung. Das ist eher schlecht. Dann mußt Du mal in die Konfiguration des Mailprogrammes reinschauen und das Autostarten der Anhänge unterbinden. Möglichkeit besteht auch fast immer mit der rechten Maustaste, dann kann man die Datei erst mal auf der lokalen Platte speichern.

> Abgeschickt von einer wenn Ich mich recht
> erinnere Christine?

Das heißt nichts, evtl. weiß sie gar nicht, daß ihr rechner kompromitiert ist. Kommt recht häufig bei den Verwendern von Outlook vor. Derartige Mails erhalte ich auch hin und wieder, vorzugsweise von Mitglieder aus der newsgroup d.r.t.a. und die wissen gar nicht, daß ihre Rechner zur Verbreitung von Viren, Würmern etc. benutzt werden.

> Nun ja als Ich Word wieder geschlossen
> hatte und diesen Müll löschen wollte fing
> plötzlich meine HD an zu rödeln und das
> ohne Ende!

Das sieht schon übel aus. Wer weiß, was da nun im Hintergrund sich bei Dir in der Maschine eingenistet hat.

Übrigens schützt Zone Alarm, glaube ich zumindest, nicht vor solchen Mails, aber da ich das Produkt nicht kenne, weiß ich genaues nicht.

> Der Rechner war in dieser Zeit so sehr
> ausgelastet das es mir noch nicht einmal
> möglich war ein Fenster oder die
> Startleiste zu öffnen.

Nicht gut.

> Bei meinen Internet Verbindungen bemerkte
> Ich dann das u.a auch bei Seiten die bei
> mir zu 100% aus dem Cache aufgebaut werden
> und die keinen pop up Fenster oder Banner
> enthalten auch nach dem totalen aufbau
> immer noch elendig lange an meiner Leitung
> gesogen wurde das sieht man ja am Symbol in
> der Task Leiste.

Ob das nicht schon ein Trojaner ist ???? Kennst Du keinen Spezialisten für solche Sachen. Ansonsten würde ich so eine Maschine schon mal neu installieren und vorher die Platte(n) formatieren.

> Seit Ich Zone Alarm laufen habe und jeden
> "Pups" der da leider sehr oft kommt
> unterbinde ist dieses problem nicht mehr
> aufgetreten.

> Irgendwas stimmt hier nicht mehr nur was?

trojaner ?, veränderte dll Systembibliotheken. Deine Maschine versucht wohl von selbst aus ohne Dein Wissen Kontakte ins Internet hin aufzubauen. D.h. Du müsstes Zonealarm auch so konfigurieren, daß ausgehende Verbindungen von Dir aus auf nicht gesicherten Ports geblockt werden. Aber wie gesagt, das produkt kenne ich nicht.

> Manchmal habe Ich auch Meldungen die
> anstelle TCP Flags:S irgendwas mit Ping
> zeigen weißt du was das bedeutet?

Das hat nichts zu bedeuten und ist normal. Ein Ping (protokoll 0 = ICMP) ist sowas wie der Ruf einer Maschine, ich bin hier. Damit wird die Funktion von netzwerkverbindungen geprüft.

> Wie lautet denn der genaue Dose Befehl
> dafür?

Gute Frage, habe ich momentan nicht im Kopf, leider.

_________________
Gruss Ralf



<font size=-1>[ Diese Nachricht wurde geändert von: Ralf Rombach am 2001-08-07 10:32 ]</font>

Tina0815

Moin,

der DOS-Befehl für ein tracert geht folgendermaßen. In MS-DOS rein, und dann einfach
tracert rtl.de (oder was immer man für einen link ausprobieren will) eingeben.
Aber immer OHNE das www.

Tschö

Hallo Nicole

Also das Handbuch habe Ich mitlerweile im Netzt gefunden aber der patch wäre interessant.

Gruß
Frank M

Blackyy

Hallo Frank,
ich habe jetzt nicht alle Postings bis ins letzte gelesen, aber ich habe seit etwa einer Woche, sehr viele Meldungen "Firewall has blocked..." meines Zone Alarms.
Dies passiert jedoch nur hier im Forum!!!
Ich halte es nicht für ausgeschlossen, daß man als angemeldeter und eingeloggter User, ständig gepingt wird.