Wenn mal jemand kaeme und mich fragen wuerde, was er tun soll, wenn sein Rechner immer wieder Proxyeinstellungen aendert, wuerde ich vermutlich als allererstes die automatische Annahme von Proxyeinstellungen ausschalten lassen und dann erst schauen, woher das kommt. Meist sind die betroffenen Rechner nicht die Ursache.

Ich glaube den Sinn deines Beitrags sucht man hier vergebens...

Das ist korrekt, "hier" sucht man ihn vergebens. Aber ich gebe die Hoffnung nicht so schnell auf

Ist das hier hypthetisch oder gehts um einen bestimmten Thread hier?

..wenn es um einen bestimmten Thread hier geht, nehme ich an man meint den DVD-RegioCode..

Zitat:

Zitat von bombinho

Wenn mal jemand kaeme und mich fragen wuerde, was er tun soll, wenn sein Rechner immer wieder Proxyeinstellungen aendert, wuerde ich vermutlich als allererstes die automatische Annahme von Proxyeinstellungen ausschalten lassen und dann erst schauen, woher das kommt. Meist sind die betroffenen Rechner nicht die Ursache.

Ich glaube er will das Fragen:
Der angebliche Virus verändert Proxy Einstellungen (Ich verwette mein Arsch darauf das das einer dieser ich will den Proxy Schutz meines Vaters umgehen Fragen) ob er dann erstmal die Einstellungen ändern soll und dann danach sucht oder ob er damit die Suche erschweren würde weil es umgeändert wurde. Nur mal so: Dieser Kram mit mal angenommen oder mein Freund hat mich gefragt oder so klappt vielleicht bei gutefrage aber hier halt net. Ich meine diese Sagen wir mal eine Person nennen wir sie Albert hat Pornos gekuckt und sich einen Virus namens FatAss.exe heruntergeladen. Wie könnte er das beheben? Nur rein Hypotethisch verdammte scheisse wie wird das geschrieben ...

Zitat:

Zitat von Cryptonic

Ich meine diese Sagen wir mal eine Person nennen wir sie Albert hat Pornos gekuckt und sich einen Virus namens FatAss.exe heruntergeladen. Wie könnte er das beheben? Nur rein Hypotethisch verdammte scheisse wie wird das geschrieben ...

Ist doch klar: wenn Albert auf FatAss.exe steht hat er ein dickes Problem. Stünde er auf geileMöpse.exe hätte er ein weniger fettes Problem. Oder nicht?

Zitat:

Zitat von cosinus

Ist doch klar: wenn Albert auf FatAss.exe steht hat er ein dickes Problem. Stünde er auf geileMöpse.exe hätte er ein weniger fettes Problem. Oder nicht?

Ich hoffe doch, dass ihr weibliche Viren meint.

Mal davon abgesehen ist standardmaessig aus irgendeinem Grund die automatische Annahme von Proxyeinstellungen aktiviert obwohl die eigentlich hauptsaechlich in Firmennetzwerken ueberhaupt verwendet wird.

Das letzte mal, dass ich erlebt habe, dass jemand die Proxyeinstellungen gekapert hat, war dem Sicherheitsbewusstsein eines Providers zu verdanken, der Mehrwert-DNS verwendet hat um die Sicherheit zu erhoehen. Das Problem war nur, dass dieser Mehrwert-DNS von einer Drittfirma bereitgestellt wurde, welche wiederum Werbung eingeblendet hat (von extern) im Fall eines 404.

Einer der Werbeserver ist gekapert worden. Und das Ende vom Lied waren einige Leute, bei denen sich staendig die Proxyeinstellungen aenderten. Abhilfe brachte in dem Fall, die DNS-Server auf vertrauenswuerdigere Server umzustellen und die Annahme der automatischen Einstellungen auszuschalten.. Gluecklicherweise waren die Proxies meist nicht lange genug online. Aber interessante Sache um einen MiM zu initieren.

Falls jetzt jemand fragt, was ich mit Mehrwert-DNS meine, das sind DNS Server, die z.B. auf eventuelle Schreibfehler filtern und im Falle eines moeglichen Schreibfehlers eigene Vorschlaege bringen, statt einer 404 Not found. Das soll helfen um die Ausnutzung von eventuellen Tippfehlern zu verhindern. Z.B. vloksbank.de etc. registrieren und phishen sobald sich jemand vertippselt hat (statt volksbank.de) und drauf landet.
Ausserdem boten diese Mehwert-DNS auch noch das Blocken von nicht familienfreundlichen Inhalten. Statt Xhamster gab es dann Melittatueten zum Schutz. Von wegen, Kondome schuetzen.

Angenommen der Provider würde für die Proxysettings verantwortlich sein: warum dann ein Proxy auf dem localhost auf einem random Port? Damit diese Einstellung Sinn ergibt, muss auf dem Rechner des Providerkunden ja selbst ein Proxy-Server laufen...

Zitat:

Zitat von cosinus

Angenommen der Provider würde für die Proxysettings verantwortlich sein: warum dann ein Proxy auf dem localhost auf einem random Port? Damit diese Einstellung Sinn ergibt, muss auf dem Rechner des Providerkunden ja selbst ein Proxy-Server laufen...

War wohl eher eine Antwort auf Cryptonics Frage. Provider benutzen ja eher transparente Proxies.

Ich habs grad gecheckt, die Einstellungen in der Registry sind voellig ungeschuetzt im Normalfall, dann macht wohl ein einfacher Registryzugriff weniger Arbeit.

Aber Cryptonics Einwand ist voellig berechtigt, schwierige Entscheidung, Registryzugriff einschraenken und Automatische Interneteinstellungen aus und damit die Ferndiagnose erschweren vs. Firmenrechner mit lustigen Proxyeinstellungen online. Sollte man wohl dem armen Admin ueberlassen.

Ich sollte mir angewoehnen, Cryptonic sorgfaeltiger zu lesen.

Zitat:

Zitat von bombinho

Ich hoffe doch, dass ihr weibliche Viren meint.

Mal davon abgesehen ist standardmaessig aus irgendeinem Grund die automatische Annahme von Proxyeinstellungen aktiviert obwohl die eigentlich hauptsaechlich in Firmennetzwerken ueberhaupt verwendet wird.

Das letzte mal, dass ich erlebt habe, dass jemand die Proxyeinstellungen gekapert hat, war dem Sicherheitsbewusstsein eines Providers zu verdanken, der Mehrwert-DNS verwendet hat um die Sicherheit zu erhoehen. Das Problem war nur, dass dieser Mehrwert-DNS von einer Drittfirma bereitgestellt wurde, welche wiederum Werbung eingeblendet hat (von extern) im Fall eines 404.

Einer der Werbeserver ist gekapert worden. Und das Ende vom Lied waren einige Leute, bei denen sich staendig die Proxyeinstellungen aenderten. Abhilfe brachte in dem Fall, die DNS-Server auf vertrauenswuerdigere Server umzustellen und die Annahme der automatischen Einstellungen auszuschalten.. Gluecklicherweise waren die Proxies meist nicht lange genug online. Aber interessante Sache um einen MiM zu initieren.

Falls jetzt jemand fragt, was ich mit Mehrwert-DNS meine, das sind DNS Server, die z.B. auf eventuelle Schreibfehler filtern und im Falle eines moeglichen Schreibfehlers eigene Vorschlaege bringen, statt einer 404 Not found. Das soll helfen um die Ausnutzung von eventuellen Tippfehlern zu verhindern. Z.B. vloksbank.de etc. registrieren und phishen sobald sich jemand vertippselt hat (statt volksbank.de) und drauf landet.
Ausserdem boten diese Mehwert-DNS auch noch das Blocken von nicht familienfreundlichen Inhalten. Statt Xhamster gab es dann Melittatueten zum Schutz. Von wegen, Kondome schuetzen.

Du denkst Proxys sind sicher?

vergiss das Thema wenn du Sichtheit willst.

Zitat:

Zitat von Cryptonic

Du denkst Proxys sind sicher?

vergiss das Thema wenn du Sichtheit willst.

Bin zwar nicht bombinho aber: ja, der Einsatz von Proxies kann vieles erleichtern und sicherer machen. Da rede ich jetzt aber nicht mehr von der Wohnzimmer-IT

Das Thema das hier behandelt wird - Proxy auf 127.0.0.1 - geht eigentlich nur um ungewollte/bösartige Proxies/Proxysetting. KEIN Provider kann dem Kunden einen Proxy auf den localhost auf einem random Port aufdrängen!

(außerdem haben die meisten Provider ja schon einen Zwangsrouter, aber das ist ne andere Geschichte )

Ein Proxy haben den Vorteil, dass sie normalerweise nur HTTP und HTTPS zulassen. Im Firmenumfeld würde man dann z.B. weitere Ports sperren, die im Privatumfeld per NAT normalerweise über den DSL-Router ins Internet erlaubt werden. Somit müsste z.B. ein Schadcode proxyfähig sein, um nach hause telefonieren zu können. Ok auch Schadcode hat dazugelernt.

Zur eigentlichen Frage: Ich habe gar nicht verstanden worum es geht. Vielleicht alles noch mal ordentlich schreiben und vielleicht auch mal ein Beispiel posten. Ist es eine globale Proxy-Konfiguration (also IE betroffen) oder betrifft es auch alternative Browser wie Firefox, die eine eigene Proxy-Konfiguration haben? Alleine die Proxy-Konfiguration ist schon ein Grund eben nicht den IE einzusetzen. Wie sieht die Proxy-Konfiguration normalerweise und wie im geänderten Zustand aus? Oder wo liegt überhaupt das Problem?

Hi Iceweasel,

Es geht um zwei Sachen, die sich staendig wiederholenden Anfragen von Leuten, die ploetzlich sich wiederherstellende Proxyeinstellungen haben, ohne bewusst einen Proxy am laufen zu haben und zweitens um Cosinus' Thread mit dem lokalen Proxy.

Wir duerfen davon ausgehen, dass diese Proxies der Sicherheit eher abtraeglich sind.

Ja, regulaere Proxies oder FW im Proxy-Mode sind der Sicherheit generell eher zutraeglich.

In Cosinus Thread geht es um einen Proxy auf localhost. Wir wissen mit Sicherheit, dass er im IE sitzt. Leider habe ich den Logs keine Hinweise auf die FF Einstellungen finden koennen.
Meiner Meinung nach sollte man erst mal das Problem loesen und dann in aller Ruhe die Ursache entfernen. Quasi Erste Hilfe leisten. Indem zum Beispiel die Proxyeinstellungen in der Reg nur Leserechte bekommen und WPAD ausgeschaltet wird. Das sollte auch der generellen Sicherheit zutraeglich sein in dem die Rueckkehr deutlich erschwert wird.

Aber Cryptonic hat voellig zu Recht eingeworfen, dass mit den vorliegenden Erkennungsmethoden in dem Fall sich die Ferndiagnose erschweren kann.

Dann ist noch Cryptonics letzter Einwand, der sich so deuten lassen koennte: "ein zusaetzlicher (gutartiger) Proxy erhoeht die Angriffsflaeche."

Eigentlich macht mich dieses Thema nachdenklich, da scheinbar kein Browser seine Proxyeinstellungen ohne Zutun sicher ablegt. Und noch interessanter ist die Ausfuehrung von Scripten selbst bei ausdruecklicher Verhinderung in dem Zusammenhang.
It's not a bug, its a feature.

WPAD wird definitiv schon seit einer Weile erfolgreich ausgenutzt. Nicht nur von pen tools.

Ich nutze zwar kein Windows und auch kein WPAD (automatische Proxy-Erkennung). Aber wenn ich mich an WPAD korrekt erinnere erwartet WPAD einen Rechnernamen "wpad".

1. Lösung:
Deaktivierung der automatischen Proxy-Erkennung

IE -> Extras -> Internetoptionen -> Verbindungen -> LAN - > LAN-Einstellungen -> "Einstellungen automatisch erkennen (abhacken)
(-> Proxy manuell eintragen falls wirklich benötigt)

2. Lösung:
Mal schauen in c:\windows\system32\drivers\etc\hosts
(Name evtl. abweichend, Hosts-Datei)
bzw. schauen wohin "wpad" aufgelöst wird


Beim Firefox ist das alles viel einfacher würde ich sagen. Vielleicht daher umsteigen.