|
Werter Cosinus, ich habe da schon ein bischen recherchiert. Zuverlässige Angaben sind da jedoch schwer zu finden! Ich könnte ja als nächstes mir die Admin-Fibel aus der nächsten Bibliothek schnappen. Jedoch dachte ich mir, dass Du wie aus der Pistole geschossen da ein wenig Auskunft geben könntest. Da ich kein Bittorrent, Filesharing oder Cloud mache, habe ich mich dazu entschlossen, die Prozesse SSDP und LLMNR kurzerhand zu verbieten. Auswirkungen: 0! Brauch ich net! Zusatz: Im Router hatte ich Universal Plug and Play ausgeschaltet, deswegen haben mich halt auch die SSDP-Konversationen gewundert. Port 53 bleibt offen. Was mich nur verwundert hat, waren die Dutzende von Anfragen, wenn schon längst die Strippe angeschlossen ist (LAN) oder sogar gar kein Internetbetrieb über Port 80 läuft (Browser geschlossen), mitunter auch, wenn die Strippe(Lan) draußen ist. An dem "SAMMELSURIUMPROZESS" svchost.exe als "ganzes" fummele ich ungern rum, sonst gehen auch z.B. Win Updates nicht mehr. Mit dem ausgehenden Traffic: Mhm, vlt. hast Du Recht. Was mich nur n bisserl verwundert sind die Hosts wie log-2048315323.us-east-1.elb.amazonaws.com oder a1284.g.akamai.net Bei Amazon habe ich keine Aktien ;-) und bei akamai sagte google.exe, das das sei eine riesige Serverfarm in den USA, über die verschiedene Updates laufen. Beide sollen aber auch gerne die Daten "sammeln". Blockieren in den Hosts hat bei amazonaws (mixed reviews) jedenfalls nix geholfen... Wenn, dann müsste ich solche Sachen wohl direkt im Router blocken ?! |
Vorsicht beim Blocken.. du weißt nie wann du den Update Prozess selbst blockst, und dann hättest du dir ins Knie geschossen... Habe diese Erfahrung vor ein paar Jahren gemacht als ich alle "unnötigen" Windows Dienste auf einem Rechner deaktivieren wollte um ihn sicherer zu machen... bei manchen Diensten merkte ich dann halt erst Tage später wozu sie gut waren... eigentlich solltest du nur Dienste blockieren von denen du ganz genau weißt wozu sie gut sind, und auch genau weißt welche anderen notwendigen Dienste sie evtl. benutzen (an der Stelle fiel ich damals auf die Nase.. Windows ist unheimlich "verquirlt" finde ich...) |
Zitat:
Zu LLMNR sagte ein befreundeter Admin sinngemäß (habe beileibe nicht alles verstanden) vor 2 Jahren oder so, dass der manchmal auch für Remote Control Angriff benutzt wurde und man den meist (Ausnahmen jetzt leider nicht auf dem Schirm) ausschalten könne. Und zu SSDP meine ich, dass der nur benötigt wird, wenn man Universal Plug and Play Geräte im Netzwerk hat. Es wäre echt mal geil, wenn hier einer eine Seite empfehlen könnte, wo zB für verschieden Nutzerprofile wie - Standarduser (Mailen über web.de etc, Surfen, Filmchen gucken,etc.) - Zocker (Battlenet Diablo etc.) - Admin User (der gerne mal anderen über Remote Access hilft) so der Kern, ich sag mal 80%, an Nutzerregeln festlegt wird. Bsp. Port 135-139 sperren lassen, Port 80, 443 immer offen lassen. Jetzt natürlich grob verkürzt. Im I-Net findet man alles und nix. Oder man muss wirklich mal in die Bibliothek?! Cosinus kann ja vlt. mal kurz den Schirm seines weiten Admin-Wissens über uns öffnen :party: |
.. wenn du das so "dicht" machen willst musst du halt sperren und googlen.. wenn das dann mal klappt wären bestimmt andere an einer Anleitung interessiert... Da "richtige" Schadsoftware trotzdem raus kommt.. macht sich (schätze ich) kaum jemand der diese Kenntnisse hätte (ich habe sie nicht) diese Mühe. Firmen verwenden bekanntlich eine "richtige" Firewall, d.h. einen zwischengeschalteten Server der nur die Anfragen raus lässt die der jeweilige Admin erlaubt.. vielleicht findest du in der entsprechenden Profi Literatur (evtl. auch Papers) die Hinweise die du suchst ? Irgendwo muss ja aufgeschrieben sein was außer den SMTP, http und https Ports sie öffnen müssen. Eine Schadsoftware die mithilfe des IE ihren Kontrollserver über https erreicht filterst du übrigens nicht einmal mit so einer "Profi Firewall". (Das wäre die Lösung die ich anstreben würde wenn ich professionell Schadsoftware vertreiben würde die trotz solcher Firewalls funktionieren soll..) Die Liste der "Well known ports" hast du dir schon ergoogelt ? Die dürfte als Starthinweis schonmal helfen. |
Zitat:
Port 80 und 443 müssen nicht geschlossen werden, oder wird unter Windows standardmäßig ein Webserver installiert und gestartet? :pfeiff: Kann es sein, dass du eingehend/ausgehend bzw Client/Server jetzt irgendwie in einen Topf wirfst? |
Cosinus: Meinst Du, ich dramatisiere etwas in den Traffic PC-Router, sozusagen viel heisse Luft um nix? Verstehe Deine Hilfe im letzten Post nicht so ganz... Ich mache es mal vlt. mit einem Beispiel deutlich (wie ich es verstehe, korrigiere mich bitte im Falle von Quatsch): Hätte man einen modernen TV über der den Router laufen, könnte man den über ssdp per PC ansprechen. Hätte man einen anderen PC im Netzwerk, auf den man gerne zugreifen möchte, braucht man LLMNR. Beides bei mir net der Fall, ergo ausgeschaltet. Meine einfache Anfangsfrage war doch: Ob es "normal" ist, dass über dns 53 ausgehend Dutzende (also mehr als 30 Anfragen, vom selben Prozess svchost.exe) binnen kurzer Zeit per UDP raus gehen. J/N ? Habe da auch schon mal mit tcpview von Sysinternals reingeschaut, jedoch brachte dies für mich Patzer keine Erleuchtung! |
Zitat:
|
Verstanden! Danke! log-2048315323.us-east-1.elb.amazonaws.com --> Datenkrake von "Onkel Amazon" Würde dich sowas stören? |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board
