</font><blockquote>Zitat:</font><hr />

Proto Lokale Adresse Remote-Adresse Status
TCP 0.0.0.0:0 0.0.0.0:0 LISTENING
TCP 169.254.112.114:137 0.0.0.0:0 LISTENING
TCP 169.254.112.114:138 0.0.0.0:0 LISTENING
TCP 169.254.112.114:139 0.0.0.0:0 LISTENING
UDP 169.254.112.114:137 *:*
UDP 169.254.112.114:138 *:*

</font>[/QUOTE]jo, schon fast wie ichs mir gedacht hatte, du hast also netbios offen. wie beastie schon angemerkt hat, gibt es in der trojaner-faq ne anleitung dazu, wie man das schließt.

</font><blockquote>Zitat:</font><hr />
Und als ich dann netstat ONLINE gemacht habe, kamen halt die vorherigen Ergebnisse raus...Ich wollte halt dann nur wissen, was ich da für Online Verbindungen habe und wie ich anhand der IP´s rausbekommen kann wer oder was das überhaupt ist und unnötiges halt dann banne </font>[/QUOTE]naja, die IPs sind hier nicht das wichtige, wichtiger sind die zahlen, die nach dem doppelpunkt bei "lokale adresse" stehen, dass sind nämlich die portnummern.

vorher waren das zwar ein paar mehr, aber die stammen teilweise von AOL (zB port 68 bootp) und vom surfen mit dem browser. kannst ja mal schauen, was sich ändert, wenn du aol anstellst, wenn du mit aol online gehst, und wenn du anfängst zu surfen. (ich hab glücklicherweise seit ewigkeiten nichts mehr mit aol am hut).

.cruz

</font><blockquote>Zitat:</font><hr />Original erstellt von Michail:

Proto Lokale Adresse Remoteadresse Status

C:\WINDOWS
mehr nichts.
Wen ich danach per DFÜ mich verbinde, ohne Browser, das Ergebnis ist gleich
Kann ich dann vom FW locker verzichten?
[/b]</font>[/QUOTE]ja, sieht gut aus. aber da ich ein paranoider zeitgenosse bin, würde ich an deiner stelle noch eine webseite suchen, die _alle_ ports scannt und dir nen bericht zusendet (kann ein bisschen dauern, bis alle 65535 ports gescannt sind).

.cruz

[ 06. Januar 2003, 09:24: Beitrag editiert von: cruz ]

</font><blockquote>Zitat:</font><hr /> naja, die IPs sind hier nicht das wichtige, wichtiger sind die zahlen, die nach dem doppelpunkt bei "lokale adresse" stehen, dass sind nämlich die portnummern. </font>[/QUOTE]Ganz unwichtig sind die lokalen IPs nicht, denn anhand derer kann man erkennen, an welche Netzwerkschnittstelle der jeweilige Dienst gebunden ist.
Diese "169.254.112.114"-Adresse zählt meines Wissens zu den LAN-Adressen, was bedeutet, dass in dem Moment Netbios nur für das interne Netzwerk "offen" war (was ja oft wünschenswert ist.) [img]smile.gif[/img]
Allerdings waren bei MySTeRiAs anderen netstat-posting gleich drei(!) lokale IPs beteiligt, die alle Netbios offen hatten...

Danke cruz
original erstellt von cruz
</font><blockquote>Zitat:</font><hr />ja, sieht gut aus. aber da ich ein paranoider zeitgenosse bin, würde ich an deiner stelle noch eine webseite suchen , die _alle_ ports scannt und dir nen bericht zusendet (kann ein bisschen dauern, bis alle 65535 ports gescannt sind </font>[/QUOTE]@cruz.
kannste welche empfehlen?
Michael

</font><blockquote>Zitat:</font><hr />Original erstellt von cruz:
wenn netstat -an dir nichts nach dem neustart anzeigt, dann kannst du dir zu 95% sicher sein, dass auch kein dienst auf deinem rechner läuft. es gibt natürlich für trojaner die möglichkeit, die netstat-datei auszutauschen, so dass sie falsche ergebnisse liefert, oder den server erst bei bestimmten ereignissen zu starten. solche, etwas fortschrittlichere, trojaner sind mir unter windows aber unbekannt, sowas findet man eher unter unix/linux.
</font>[/QUOTE]Ich muß noch erwähnen, dass ich vor ein paar Wochen erst "FORMAT C:" gemacht habe weil mich ein Trojaner erwischte und ich (ahnungslos wie ich nu mal bin) glaubte, auf meiner Platte befände sich ein Signalgeber, der den Trojaner "eingeladen" hätte.
Auf meinem PC befindet sich nichts, außer 5 Spielen!
Könnte es daran liegen, das nichts angezeigt wird?

Nehmen wir darüber hinaus an, es wäre so, wäre mein PC dann jetzt sicher?

Ihr habt mich (zurecht) ziemlich ausgelacht, weil ich die "McAffee Personal Firewall" verwende und ärgere mich, weil man mir dummen Schaf das Geld aus der Tasche zieht. Deswegen möchte ich meine Lizenz, die demnächst ausläuft, nicht mehr verlängern.
Mein Hobby sind aber nun mal Onlinespiele und andauerndes neu installieren, bzw. reparieren des PC's macht auf Dauer keinen Spaß, darum hätte ich ihn natürlich gerne sicher.
Wie kann ich aber sicher sein, das er sicher ist?

Portscans habe ich mittlerweile schon einige ausgeführt und dabei wird mir, wie ich weiter oben schon mal gefragt habe, immer "Stealth", also "getarnt" angezeigt, obwohl die FW aus war.
Ich rede hier von dem Portscan bei Steve Gibson. Wie verläßlich ist der Steve Gibson Portscanner?

Gruß

Ulli

Hy Leute,
hab jetzt mal die die Ports 137-139 dicht gemacht, als ich das mal vor ein paar Tagen gemacht hatte funktionierte das ganze nicht, weil ich mehrere Protokolle da stehen hatte als wie es in der Trojaner FAQ stand...hab das ganze mal mit allem gemacht und wunder es ging dann
Hast wahrscheinlich recht forge77, meines Wissens nach ist die IP mit 169... irgendwas lokales, könnte sich in meinem Fall also um AOL handeln. [img]smile.gif[/img]
Zu ullihs Problem kann ich nur sagen, was mir wiederum ein Freund (der sich mit Rechner auskennt) mal erzählt hatte, das es Möglichkeiten gibt, ich weiss nicht wie man diese Dateien nennt (wenn es überhaupt welche sind), irgendwie Schnüffelzeug halt, nicht auf den Port sondern irgendwie an den Port anbringen kann, dann würde auch kein formatieren nützen, weil das Teil dann irgendwie permanent auf der Lauer liegt und sich trotzdem irgendwie Zugang verschaffen kann

Schöne Grüsse [img]smile.gif[/img]

[ 06. Januar 2003, 15:39: Beitrag editiert von: MySTeRiA ]

Was zur Hölle bedeutet "Parenthesis in HTML tag"???
Ich möchte was posten, aber das Board läßt mich nicht wegen... siehe oben!
Aber in dem Beitrag ist absolut kein HTML tag drin?

Ulli

So, ich habe grade mal ein Onlinespiel "simuliert" um zu sehen was passiert.
Falls das Interessant ist: Es handelt sich um das Spiel "Patrizier 2".
Ich bin wie folgt vorgegangen (damit's keine Mißverständnisse gibt, erzähl ich alles, auch vermutlich unwichtiges):

1.) Spiel auf beiden PC's (über LAN verbunden) gestartet.
2.) Firewall "disabled"
3.) Auf dem PC, der mit dem Internet ( noch nicht [img]smile.gif[/img] ) verbunden ist, sämtlich im Hintergrund laufenden Anwendungen beendet, außer "Explorer", "McAffee Virenscanner", und 2 für das Spiel nötige Anwendungen.
4.) Verbindung mit dem Internet aufgenommen
5.) Spiel auf dem Host-PC für's Internet freigegeben, vom anderen PC über LAN ins Spiel eingestiegen, Multiplayerspiel gestartet.
6.) Per "ALT ESC" zu Windows gewechselt, DOS-Eingabeaufforderung gestartet und "netstat -an" eingegeben, Ergebnis siehe unten:

C:\WINDOWS&gt;netstat -an

Aktive Verbindungen

Proto Lokale Adresse Remote-Adresse Status
TCP 0.0.0.0:36936 0.0.0.0:0 LISTENING
TCP 0.0.0.0:37704 0.0.0.0:0 LISTENING
TCP 192.168.0.3:36936 192.168.0.1:1027 ESTABLISHED
UDP 0.0.0.0:37704 *:*

C:\WINDOWS&gt;

7.) Auf die Steve Gibson HP gegangen und einen Portscan gemacht, sämtliche Ports "Closed"; Nicht "Stealth", "Closed"!
8.) Ich habe das Spiel probeweise 30 Minuten laufen lassen, der Virenscanner hat keinen Alarm gegeben, was normalerweise nach weniger als 5 Minuten passiert wäre.
9.) Alles beendet, PC neu gestartet, kompletten Virenscan drchlaufen lassen; Kein Virus gefunden!

Hab ich's geschafft, ist der PC (jedenfalls z. Z.) sicher?

Gruß,

Ulli

*LOL* Hab's gefunden: Anstatt "weniger als 5 Minuten" hatte ich vorher das "kleiner Zeichen" verwendet! [img]graemlins/lach.gif[/img]

Ulli

@ Mysteria:
</font><blockquote>Zitat:</font><hr />was mir wiederum ein Freund (der sich mit Rechner auskennt) mal erzählt hatte...dann würde auch kein formatieren nützen, weil das Teil dann irgendwie permanent auf der Lauer liegt und sich trotzdem irgendwie Zugang verschaffen kann</font>[/QUOTE]Wenn er es dir SO erklärt hat, dann kennt er sich definitiv NICHT damit aus.

Ports sind offen, wenn ein entsprechendes Programm bzw. ein Systemdienst läuft, das/der diesen Port öffnet. Um einen PC unbemerkt kontrollieren zu können, müsste ein Trojaner-Server dort installiert sein, der unbemerkt im Hintergrund läuft und entsprechende Ports offen hält, damit ein dummes Script-Kiddy mit seinem Trojaner-Client eine Verbindung herstellen kann.
Zweite häufige Lücke: eine nicht geschützte Dateifreigabe. Wird dieser Systemdienst in einem lokalen Netzwerk benötigt, trennt man die Bindung des Dienstes an das TCP/IP-Protokoll des Internet-Adapters (DFÜ, DSL oder was auch immer) oder verwendet das Protokoll NetBEUI AUSSCHLIESSLICH fürs LAN und TCP/IP AUSSCHLIESSLICH fürs Internet.

@ ullih: Sieht doch gut aus.

[ 06. Januar 2003, 16:37: Beitrag editiert von: IRON ]

</font><blockquote>Zitat:</font><hr />Original erstellt von forge77:
Ganz unwichtig sind die lokalen IPs nicht, denn anhand derer kann man erkennen, an welche Netzwerkschnittstelle der jeweilige Dienst gebunden ist.</font>[/QUOTE]ja, da hast du nicht ganz unrecht.

</font><blockquote>Zitat:</font><hr />Diese "169.254.112.114"-Adresse zählt meines Wissens zu den LAN-Adressen, was bedeutet, dass in dem Moment Netbios nur für das interne Netzwerk "offen" war (was ja oft wünschenswert ist.) [img]smile.gif[/img] </font>[/QUOTE]laut rfc3330 ist das die sogenannte "link local"-adresse. eine solche adresse soll der rechner nehmen, falls ein dhcp-server down ist, von dem er normalerweise die adresse bekommt (und da bei win98 standardmässig "ip-adresse automatisch beziehen" an ist, und nur selten ein dhcp-server in reichweite, nehmen die rechner halt diese).

.cruz

</font><blockquote>Zitat:</font><hr />Original erstellt von Michail:
@cruz.
kannste welche empfehlen?
Michael</font>[/QUOTE]nö, ich kann dir nur die forumssuche oder google empfehlen, ich persönlich scanne immer mit nmap von einem anderen rechner in meinem lan.

.cruz

</font><blockquote>Zitat:</font><hr />Original erstellt von ullih:
C:\WINDOWS&gt;netstat -an

Aktive Verbindungen

Proto Lokale Adresse Remote-Adresse Status
TCP 0.0.0.0:36936 0.0.0.0:0 LISTENING
TCP 0.0.0.0:37704 0.0.0.0:0 LISTENING
TCP 192.168.0.3:36936 192.168.0.1:1027 ESTABLISHED
UDP 0.0.0.0:37704 *:*

C:\WINDOWS&gt;

7.) Auf die Steve Gibson HP gegangen und einen Portscan gemacht, sämtliche Ports "Closed"; Nicht "Stealth", "Closed"!
</font>[/QUOTE]hmm, bist du sonst auch immer im lan? hast du einen extra router?

dann sollten sowieso keine verbindungsversuche von außen in dein LAN kommen (wenn es richtig konfiguriert ist).

und: grc.com scannt nur einige wenige ports, und die, die dir netstat angezeigt hat sind nicht dabei.

.cruz

Ne, Router hab' ich garnicht und im LAN und INternet gleichzeitig bin ich nur für P2 online.

Ulli

ich weiss das nicht mehr genau wie er das jetzt meinte Iron, kann mich nur noch an das gespräch erinnern, sagte dann halt das durch dieses methode das auch nicht los wird wenn man die platte formatiert ... mit rechnern kennt er sich bestens aus, da er schon seit seinem 13 lebensjahr damit intensiv beschäftigt und auch mal zu der bösen seite gehörte