Hi
ich hab da eine vielleicht doofe Frage aber leider finde ich keine wirklich brauchbaren Infos im Netz. Vielleicht stelle ich mich auch lediglich blöd an, aber sorry, ich finde wirklich nix:-(

Also folgendes:
Ein Trojaner macht ja nur Sinn wenn er seinem Herrn sagt das er da ist und das er was brauchbares (und sei es nur ein Bot) gefunden hat.
Meine Frage ist nun:
Gibt es ein aktuelles Verzeichnis das auflistet an welche IP's sich die Trojaner zurückmelden? Kennt ihr vielleicht sogar ein das sich leicht elektronisch (z.B. über öffentliche DB, WS, Corba, Flat Files ... ) abfragen lässt?

greetz
Gaunt

Zitat:

Zitat von Gaunt

Hi
ich hab da eine vielleicht doofe Frage aber leider ..

Möglich
Ich galube du solltest erst mal dich schlau machen, was ein Trojaner (Trojanisches Pferd) im IT-Bereich ist. Dann wirst du wohl vielleicht nach was anderes Fragen.
Backdoor vielleicht?
Backdoors müssen nicht zwangsweise direkt eine IP-Adresse suchen, ein Name reicht auch und ist flexibler.

Ähm ich wollte eigentlich nicht über Begriffsdefinitionen diskutieren;-)

Was ich meine ist doch eigentlich recht simpel:
Irgend ein böser Bub schreibt eine Software und pflanzt sie irgendwie auf einen fremden Rechner. Es ist eigentlich total egal ob dies nun ein Trojaner, eine Backdoor oder sonst was ist. Angenommen er will nun etwas mit dem Stück Software erreichen (z.B. Daten herunterkopieren oder den Rechner fernsteuern... was auch immer), dann muss eine Antwort des unfreundlichen Programms erfolgen.
Entweder gibt es gleich Daten zurück oder es sagt einfach: Ich bin da, benutz mich (wofür auch immer ist wieder egal).
Ob jetzt das Ziel der Antwort eine statische IP oder ein dynamischer Name ist spielt nur indirekt eine Rolle.

Was ich gerne wissen möchte ist lediglich:
Existiert ein aktuelles Verzeichnis von Zielen an die sich derartige Software wendet?

greetz
Gaunt

Zitat:

Was ich gerne wissen möchte ist lediglich:
Existiert ein aktuelles Verzeichnis von Zielen an die sich derartige Software wendet?

Nicht, dass ich wüsste (wäre auch schwachsinnig, da sowas weder aktuell, noch auch nur halbwegs vollständig wäre).

Zitat:

Zitat von Gaunt

Ähm ich wollte eigentlich nicht über Begriffsdefinitionen diskutieren;-)

Darüber wollte ich auch nicht diskutieren, denn da gibt es auch nichts zu diskutieren.
Es ist aber sinnvoll Fachbegriffe richtig anzuwenden, sonst braucht man sich auch gar nicht zu unterhalten.
(wollte ich mit dir über Fachbegriffe diskutieren, hätte ich dir auch noch gesagt, dass das Ding IP-Adresse heißt)

Zitat:

Zitat von Gaunt

Ob jetzt das Ziel der Antwort eine statische IP oder ein dynamischer Name ist spielt nur indirekt eine Rolle.

Nein.
Eine statische Adresse muss immer bezahlt werden und ist nur über "Vergabestellen" zu beziehen. Auch wenn (als Beispiel) China und Russland 'weit weg' und korrupt sind, ist es auch immer schwerer von dort illegales längerfristig (feste IP-Adresse) zu betreiben. Ausserdem, wozu Geld ausgeben wenn's anders auch geht und man müsste zumindest "so groß sein", auch dort eine Dependence zu haben oder von dort stammen. (Karibik, Südamerika etc bieten sich natürlich auch an). Eine Angabe über IP-Adresse müsste sehr kurzfristig ständig wechseln, (auch Phishing über/mit IP-Adressen geht heute meistens maximal nur ein paar Tage).
Aus diesen Gründen glaube ich nicht, dass es eine wirklich aktuelle Liste gibt, wenn überhaut noch mit (festen) IP-Adressen gearbeitet wird.
Heißt aber nicht, dass es sowas nicht gäbe.

So ein Verzeichnis gibt es höchstwahrscheinlich nicht, falls doch ist es längst outdated bis Du dazu kommst, die Adressen zu blacklisten. Der Grund dafür ist simpel: Die Server wechseln.

So 'n Trojaner zieht alle paar Tage bis Wochen mal um. Dazu bekommst Du, als Betroffener, ein "Update" wo's denn jetzt hingehen soll. Das passiert, weil ungefähr im gleichen Rhythmus das Ding umziehen muß, weil entweder eine Behörde dahintergekommen ist was gespielt wird (und dem ISP ins Kreuz steigt an dem der Server hängt) oder der ISP selbst die Menge an Traffic ungewöhnlich findet und das Ding abdreht.

Inzwischen haben die Trojanerschreiber ziemlich gut raus wie lang's so im Schnitt dauert, bis entweder Behörde oder ISP den Server dichtmacht, und bevor's so weit ist zieht die Karawane eben weiter.

Also bringt Blacklisting in dem Fall eher nix.

@Alanis
Du hast genau verstanden worauf ich hinaus wollte!!!

Also kann man das wohl leider abhaken. Schade. Hatte überlagt (wenn so eine Liste existiert hätte) evtl. eine Art kleine dynamische Firewall/Blacklist zu schreiben die den Kontakt zu eben jenen Zielen blockt.

Erwartet habe ich es nicht. Aber es hätte ja sein können das es sowas gibt. Denn technisch wäre es ja einfach zentral die Ziele zu publizieren. Ermittelt sind die für einen neuen Trojaner/BD... ja schnell und ohne Aufwand. Zumindest wäre das eine Hilfe bis dann removal Tools oder ähnliches draußen sind.

Also vielen Dank an alle!
Gaunt