|
Hallo Alle, mir wurde von Mitgliedern dieses Boards empfohlen, Port 139 zu schließen, näheres darüber in meinem Beitrag "Sobald ich die Firewall ausschalte". Ich habe mich an die Anweisungen gehalten und danach, wie empfohlen, einen Portscan auf der Seite von Steve Gibson https://grc.com/x/ne.dll?bh0bkyd2 gemacht; Dort wurden alle Ports als "Stealth" bezeichnet! Ich übersetze das mal mit "alles ok"? Doppelt hält besser dachte ich mir, und habe danach noch einen Portscan bei http://www.hackerwatch.org/probe/?li...6c2a737101668c gemacht. Dorthin gelange ich, wenn ich "Test Firewall" wähle. Dieser Portscan behauptet aber, Port 139 sei "Open and unsecured", mit der Bemerkung, mir dringend und ganz schnell die "McAffee Personal Firewall" zuzulegen. Nun, die habe ich bereits! Aber davon mal abgesehen: Wer hat denn jetzt Recht??? Taugt der Portscan von Steve Gibson nichts, oder ist der Portscan bei hackerwatch.org nichts weiter als ein netter, kleiner, bunter Betrug, um "DAU's" wie mich vom Kauf einer Personal Firewall von McAffee zu überzeugen? Mich würde Eure Meinung zu dem Thema sehr interessieren! Gruß, Ulli |
Stealth bedeutet nicht das der Port geschlossen ist. Nur der er nicht antwortet. Somit kann er dennoch offen sein. Und da du eine Firewall hast, bekommst du immer die Ports als Stealth. Du kannst ja mal mit herunter gefahrener Firewall scannen.. Du wirst staunen der Port wird dir als open angezeigt werden. Denk ich jedenfalls. [img]smile.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von ullih: gemacht; Dort wurden alle Ports als "Stealth" bezeichnet! Ich übersetze das mal mit "alles ok"?</font>[/QUOTE]Nein, mit "getarnt". Ein Port kann open/offen, closed/geschlossen oder stealthed/getarnt sein. Beim geschlossen gibt es also eine nein-Rückmeldung an den Scannenden, so dass eine Zeitlang empfohlen wurde, getarnt sei noch besser, weil die Scans dann komplett ins Leere laufen. Inzwischen wird in "Expertenkreisen" kräftig gestritten, ob nun stealth oder closed besser ist... BTW: Ob Dir eine Firewall etwas bringt, ist recht fraglich, aber von der von McAfee würde ich Dir nun ganz entschieden abraten. Ob Dein Port 139 nun geschlossen ist oder nicht, das kann ich Dir von hier aber nicht sagen. Eigentlich sollte der Portscan auf beiden Seiten funktionieren, möglicherweise interpretiert aber hackerswatch einen getarnten Port anders - und gefährlicher - als einen geschlossenen? (edit: Ein Fehlerchen...) Ansonsten hat auch Denny Recht: Deine Ports sollten zu sein auch ohne Firewall!!! [ 03. Januar 2003, 13:35: Beitrag editiert von: BEASTIEPENDENT ] |
hmm wo ist der Denny? Hier in dem Thread sehe ich ihn nicht [img]smile.gif[/img] Oder meinst du in einem anderen Thread, Beastie? |
Also kann ich davon ausgehen das hackerwatch Recht hat und Port 139 immer noch offen ist? Aber, wie kann ich ihn denn schließen? Ich bin allen Anweisungen gefolgt. Wenn er jetzt immer noch offen ist... Was tun??? Gruß, Ulli |
PS: Mir wird nichts Anderes übrigbleiben als die FW abzuschalten. Aber erst Morgen! Heute Abend ist hier LAN-Party angesagt und ich werd' den Teufel tun mir vorher wieder "Opa" einzuladen und wie gestern 2 Stunden zu fummeln! :mad: Ulli |
@Lucky: Jajajaah, DICH hatt ich gemeint, ich gebs ja zu [img]redface.gif[/img] ;) </font><blockquote>Zitat:</font><hr />Original erstellt von ullih: Aber, wie kann ich ihn denn schließen? Ich bin allen Anweisungen gefolgt.</font>[/QUOTE]Den Anweisungen für WELCHES Betriebssystem denn? WELCHEN Anweisungen? Unter NT/W2K/XP ist das Schließen von Port 139 z.B. erheblich komplizierter als unter W98... edit: Äh, es wäre wirklich SEHGR hilfreich, wenn Du Dein Problem in EINEM Thread (Diskussionsfaden) ließest, dann hätt ich direkt gesehen, WELCHE Anweisungen Du befolgt hast etc... Also gehts jetzt dort weiter ;) [ 03. Januar 2003, 14:42: Beitrag editiert von: BEASTIEPENDENT ] |
moin, ich hab hier probleme mit der terminologie. "stealth" ist marketing für "ich schmeiß alle packete für diesen port weg, ohne zu antworten", also ist der port (zumindest nach außen) zu. @ullih, starte deinen rechner mal neu, mach alles aus, was so im hintergrund läuft (firewall. etc.), dann öffne die eingabeaufforderung und tippe mal </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">netstat -an</pre>[/QUOTE]ein. da kannst du dann sehen, was so alles auf irgendnem port lauscht. und wenn du die entsprechenden dienste da abstellst, dann kannst du getrost auf deine firewall verzichten. .cruz |
@cruz: Wie interpretiere ich es, wenn bei netstat -an für eine Reihe von remoteadressen *:* angezeigt wird? Gruß! MyThinkTank |
Hier mal eine meiner Meinung nach recht gute Beschreibung zu Stealth und Closed: <Zitat> Closed bedeutet, dass die Firewall alle Datenpakete an einen bestimmten Port mit der Information beantwortet, dass dort kein Programm oder Dienst vorhanden ist, der mit den Daten etwas anfangen könnte (RST/REJECT). Der Versender der Datenpakete wird also recht bald den Versuch beenden. Stealth bedeutet, dass die Firewall alle Datenpakete an einen bestimmten Port verwirft (droppt). Der Versender der Datenpakete weiß daher nicht, ob sie ihr Ziel erreicht haben und versucht es weiterhin, denn wäre der gescannte Port und damit der PC wirklich nicht vorhanden, hätte der Scanner ja vom letzten Router(HOP) die Nachricht erhalten, dass da kein PC wäre (destination unreachable). Weil diese Nachricht ausblieb und nur die Firewall eine Antwort des PCs verhinderte, ist das Vorhandensein des PCs praktisch bewiesen. Wenn ich einen Portscan mit dem Versuch vergleiche, die Klinke einer Tür zu drücken, um zu sehen, ob diese offen ist, ergäbe sich für den Eindringling folgendes Bild : Closed : Die Klinke lässt sich anfassen und drücken, aber die Tür ist zu. Er geht zum nächsten Haus. Vielleicht hat er da mehr Glück. Stealth : Er kann am ganzen Haus keine Tür oder Klinke finden, weiß aber ziemlich genau, dass eine da sein MUSS und sucht also mit gesteigertem Aufwand weiter. Da die Scanprogramme von "getarnten" Ports keine Antwort erhalten, senden sie solange weiter, bis der Timeout erreicht ist und das verusacht natürlich unnötigen Datenfluss(Traffic) und überlastet eventuell die Firewall. Ein Angreifer, der feststellen kann, dass hinter einem bestimmten Port kein Dienst/Programm wartet, um Daten zu verarbeiten, betrachtet den Versuch als gescheitert und zieht weiter. Ein getarnter Port aber macht neugierig. <Zitat Ende> Gruß T_R_G |
hallo leute... wollte mal kurz auch was bestimmtes fragen: wenn man also netstat -an eingibt, kann man da eigentlich sämtlich aufgelistenten deaktivieren? und wie funktiniert das überhaupt genau mit dem deaktivieren? schöne grüsse [img]smile.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Wie interpretiere ich es, wenn bei netstat -an für eine Reihe von remoteadressen *:* angezeigt wird? </font>[/QUOTE]du interpretierst es als broadcast, d.h. dein rechner brüllt einfach mal irgendwas in die gegend, zB den netbios-namen. .cruz |
</font><blockquote>Zitat:</font><hr />Original erstellt von MySTeRiA: wenn man also netstat -an eingibt, kann man da eigentlich sämtlich aufgelistenten deaktivieren?</font>[/QUOTE]Nope, wie kommst Du denn darauf??? Mit netstat -a kannst Du lediglich sehen, welche Ports offen sind, MEHR nicht. Ports schließen kannst Du dann u.a. (!!), indem Du entsprechende Dienste deaktivierst... |
</font><blockquote>Zitat:</font><hr />Original erstellt von The_Real_Gummibärchen: denn wäre der gescannte Port und damit der PC wirklich nicht vorhanden, hätte der Scanner ja vom letzten Router(HOP) die Nachricht erhalten, dass da kein PC wäre (destination unreachable). Weil diese Nachricht ausblieb und nur die Firewall eine Antwort des PCs verhinderte, ist das Vorhandensein des PCs praktisch bewiesen. </font>[/QUOTE]genauso ist es. ich find es immer wieder witzig, wenn leute meinen, ihre firewall könnte sie im internet "verstecken". </font><blockquote>Zitat:</font><hr />Stealth : Er kann am ganzen Haus keine Tür oder Klinke finden, weiß aber ziemlich genau, dass eine da sein MUSS und sucht also mit gesteigertem Aufwand weiter.</font>[/QUOTE]besser finde ich die analogie aus der d.c.s.f.-faq: "Es gibt da extrem coole Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm." ;) .cruz [ 04. Januar 2003, 02:55: Beitrag editiert von: cruz ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von MySTeRiA: wenn man also netstat -an eingibt, kann man da eigentlich sämtlich aufgelistenten deaktivieren?</font>[/QUOTE]nein </font><blockquote>Zitat:</font><hr /> und wie funktiniert das überhaupt genau mit dem deaktivieren? </font>[/QUOTE]das kommt drauf an, was bei dir offen ist. ich benutze kein windows mehr, aber wenn du uns sagst, was du für ein betriebsystem hast und was so offen steht, wird dir sicher jemand helfen können .cruz. |
</font><blockquote>Zitat:</font><hr />Original erstellt von cruz: "Es gibt da extrem coole Folien mit dem Aufdruck 'Das ist kein Haus.', die man in die Fenster kleben kann. Kostenlos und besonders bunt sind die von Zonealarm."</font>[/QUOTE]GEIIIIIILL :D *rofl* cruz, der Spruch wär genauso 'ne Sig wert wie Deine neue Galileo-Sig... [img]graemlins/daumenhoch.gif[/img] |
:D |
</font><blockquote>Zitat:</font><hr />Original erstellt von MySTeRiA: ...sämtlich aufgelistenten deaktivieren? und wie funktiniert das überhaupt genau mit dem deaktivieren?</font>[/QUOTE](Ich) verwende dieses kleine-feine Tool: Active Ports - easy to use tool for Windows NT/2000/XP Gruss [img]graemlins/teufel3.gif[/img] |
</font><blockquote>Zitat:</font><hr /> Nope, wie kommst Du denn darauf??? Mit netstat -a kannst Du lediglich sehen, welche Ports offen sind, MEHR nicht. Ports schließen kannst Du dann u.a. (!!), indem Du entsprechende Dienste deaktivierst... </font>[/QUOTE]Da Problem ist jedoch,dass unter Win 9x nicht die PID angezeigt wird,und man so nicht wie Win 2k über den Prozessmanager erfahren kann,welches Porgamm auf einem bestimmten Port lauscht.In PC-Mag. 8.02 wurde gesagt,dass Win 9x Anwender die Freeware "TCP-View" bräuchten um dies festzustellen.Leider funktioniert das bei mir (Win ME) ebenfalls nicht,hier werden (wie bei netstat)nur die Ports etc. angezeigt. |
</font><blockquote>Zitat:</font><hr />Original erstellt von janerik: </font>[/QUOTE]Da Problem ist jedoch,dass unter Win 9x nicht die PID angezeigt wird,und man so nicht wie Win 2k über den Prozessmanager erfahren kann,welches Porgamm auf einem bestimmten Port lauscht.[/QUOTE] Yep, aber auch für W9x gibt es entsprechende Freeware-Tools, die das können. Active Ports z.B. gibt es AFAIK auch für Nicht-NT-Windosen... |
Hallo Alle! [img]smile.gif[/img] Also, wollte mich wieder mit voller Kraft dem Problem widmen und zuerst mal mit "netstat -an" beginnen, aber das funktioniert nicht? Wenn ich's eingebe, erscheint für einen Sekundenbruchteil sowas wie ein DOS-Fenster, aber das war alles? Was mach ich falsch? Außerdem sollte ich alles abschalten, was im Hintergrund läuft, aber, wie mach ich das? Wenn ich STRG ALT ENTF drücke und alles beende, fährt auch der PC irgendwann runter, das kann's also nicht sein, oder? An die, die jetzt grade laut aufgeschrien haben: Es gibt auch Sachen, von denen ich Ahnung habe! :D Ach so, falls ich's (wirklich) noch nicht erwähnt habe, ich benutze WIN98 2. Edition. Gruß, Ulli |
</font><blockquote>Zitat:</font><hr />Original erstellt von ullih: Wenn ich's eingebe, erscheint für einen Sekundenbruchteil sowas wie ein DOS-Fenster, aber das war alles?</font>[/QUOTE]Ja, da musst Du eben schneller gucken :D Nein, im Ernst, wenn Du den Befehl unter "Ausführen" eingibst, wird er ausgeführt und anschließend das Dos-Fenster wieder geschlossen. Da Du aber im Normallfall auch die Ergebnisse anschauen möchtest ;) , musst Du die "Dos-Eingabeaufforderung" (unter NT Kommandozeile oder Dos-Prompt genannt) starten und dann den Befehl eingeben. Dann kannst Du die Ergebnisse beliebig lange anschauen oder wiederholen und anschließend die Dose brav mit "exit" wieder verlassen oder weg-x-en. </font><blockquote>Zitat:</font><hr />Außerdem sollte ich alles abschalten, was im Hintergrund läuft, aber, wie mach ich das? Wenn ich STRG ALT ENTF drücke und alles beende, fährt auch der PC irgendwann runter, das kann's also nicht sein, oder?[/QB]</font>[/QUOTE]Nich SO alles. Ich weiß nich mehr genau, welche Prozesse unter Win98 noch laufen müssen, aber explorer (die GUI) und etwas wie rundll oder so müssen schon noch laufen. Es sollten keine Programme in der Taskleiste mehr zu sehen sein und Programme wie Virenscanner etc., die sich nicht weg-x-en lassen, DIE kannst Du per Taskmanager ausknipsen. |
Dann mach doch mal unter Start -> Programme -> Zubekör -> MSDos Eingabeaufforderung ein DOS Fenster auf. Das bleibt dann auch offen. ;) Ob 'cmd' bei auch W98 geht weis ich nicht genau... :D Gorgo |
Hi. Bei mir unter <a href="http://www.hackerwatch.org/probe/?lips=c0a80003c0a878fec19f315c&hwid=466c2a737101668c" target="_blank">http://www.hackerwatch.org/probe/?li...6c2a737101668c[/UR L] war folgende Meldung: Die IP-Adresse, die diese Seite anfordert, ist nicht mit der IP-Adresse Ihres Computers identisch. Dadurch wird angezeigt, dass Ihr Computer sich hinter einem Proxy oder NAT befindet. Diese Elemente ermöglichen Ihnen den Zugriff auf das Internet durch das Weiterleiten des Datenverkehrs, in der Regel von mehreren Computern, über eine einzelne IP-Adresse. Wir können Ihren Computer nicht direkt testen, Sie können mit dem Ergebnis zufrieden sein. Sie verfügen über einen umfassenden Schutz zwischen dem Computer und dem Internet. Was interessant das NS zeigt das auf Englisch und IE auf Deutsch [URL=http://www.grc.com]www.grc.com</a> kann aber meine IP problemlos feststellen und zeigt das mit ZA alle Ports „Steals“ sind ohne FW „Closed“ Ich habe mein WIN ME so wie hier im Board geschrieben wurde, hauptsächlich war 139 geschlossen nach der Installation von Net BeuI Protokoll Gruß. Michael P.S. ist diese Seite http://www.hackerwatch.org überhaupt serios, kann man sie gefahrlos besuchen? [ 04. Januar 2003, 22:24: Beitrag editiert von: Michail ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Gorgo: Dann mach doch mal unter Start -> Programme -> Zubekör -> MSDos Eingabeaufforderung ein DOS Fenster auf. Das bleibt dann auch offen. Ob 'cmd' bei auch W98 geht weis ich nicht genau... Gorgo</font>[/QUOTE]Oder kürzer : Windows-Taste + R / Command eingeben / fertig cmd.exe ist bei 98SE nicht mit bei Gruss Frank |
</font><blockquote>Zitat:</font><hr />Original erstellt von [TB]Lucky: </font><blockquote>Zitat:</font><hr />Also Copyright steht folgendes drunter: Zitat:
.cruz |
Guten Morgen, Ich benutze Win98Se, folgendes steht bei mir wenn ich netstat -na eingebe: Proto Lokale Adresse Remote-Adresse Status TCP 0.0.0.0:0 0.0.0.0:0 LISTENING TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING TCP 0.0.0.0:68 0.0.0.0:0 LISTENING TCP 0.0.0.0:1609 0.0.0.0:0 LISTENING TCP 0.0.0.0:5101 0.0.0.0:0 LISTENING TCP 127.0.0.1:1103 0.0.0.0:0 LISTENING TCP 127.0.0.1:1524 0.0.0.0:0 LISTENING TCP 169.254.112.114:137 0.0.0.0:0 LISTENING TCP 169.254.112.114:138 0.0.0.0:0 LISTENING TCP 169.254.112.114:139 0.0.0.0:0 LISTENING TCP 172.176.43.188:1035 0.0.0.0:0 LISTENING TCP 172.176.43.188:21 0.0.0.0:0 LISTENING TCP 172.176.43.188:25 0.0.0.0:0 LISTENING TCP 172.176.43.188:80 0.0.0.0:0 LISTENING TCP 172.176.43.188:110 0.0.0.0:0 LISTENING TCP 172.176.43.188:119 0.0.0.0:0 LISTENING TCP 172.176.43.188:6588 0.0.0.0:0 LISTENING TCP 172.177.60.92:1574 216.136.175.145:5050 TIME_WAIT TCP 172.177.60.92:1334 0.0.0.0:0 LISTENING TCP 172.177.60.92:1334 205.188.46.210:5190 ESTABLISHED TCP 172.177.60.92:1609 216.136.175.145:5050 ESTABLISHED TCP 172.177.60.92:137 0.0.0.0:0 LISTENING TCP 172.177.60.92:138 0.0.0.0:0 LISTENING TCP 172.177.60.92:139 0.0.0.0:0 LISTENING TCP 217.239.137.141:1029 64.12.9.134:13784 ESTABLISHED TCP 217.239.137.141:5190 0.0.0.0:0 LISTENING TCP 217.239.137.141:137 0.0.0.0:0 LISTENING TCP 217.239.137.141:138 0.0.0.0:0 LISTENING TCP 217.239.137.141:139 0.0.0.0:0 LISTENING UDP 0.0.0.0:68 *:* UDP 127.0.0.1:1103 *:* UDP 127.0.0.1:1524 *:* UDP 169.254.112.114:137 *:* UDP 169.254.112.114:138 *:* UDP 172.177.60.92:137 *:* UDP 172.177.60.92:138 *:* UDP 217.239.137.141:5190 *:* UDP 217.239.137.141:137 *:* UDP 217.239.137.141:138 *:* Hmm...bei den Ports 137-139 steht Listening, ich hatte die doch nach einer Anweisung hier im Forum geschlossen...sind die jetzt doch noch auf??? und wenn ich netstat -n eingebe steht da folgendes: TCP 172.176.43.188:1031 205.188.45.214:5190 ESTABLISHED TCP 172.176.43.188:1073 66.163.173.78:5050 ESTABLISHED TCP 217.239.137.141:1029 64.12.9.134:13784 ESTABLISHED wie kann ich jetzt rausfinden was sich hinter den ganzen ip´s verbirgt bzw. die unnötigen Horcher dann deaktivieren :confused: Schöne Grüsse [img]smile.gif[/img] [ 05. Januar 2003, 10:32: Beitrag editiert von: MySTeRiA ] |
Hallo, meine Fragen haben sich vielleicht doof angehört, aber wenn man nicht gleich ein Experte wie manch einer von Euch ist, ist das halt so ;) Will ja auch wissen warum und wieso das dann so ist wie es ist und ohne zu fragen komm ich da nicht weit oder :D Zunächst, ich benutze Win98Se...wenn ich mal nen Netstat Check mache kann ich natürlich nicht herausfiltern welche Verbindungen da jetzt gut- und welche bösartig sind...Kennt jemand vielleicht auch so ein Tool wie @thehop schon erwähnt hatte nur für Win98 halt? Wie kann ich denn diese Ports überhaupt genau killen bzw. rausbekommen von wem oder was das ist? Schöne Grüsse [img]smile.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Michail: http://www.hackerwatch.org überhaupt serios, kann man sie gefahrlos besuchen?[/b]</font>[/QUOTE]Also Copyright steht folgendes drunter: </font><blockquote>Zitat:</font><hr /> McAfee.com, McAfee Personal Firewall, NeoWorx, NeoWatch, and HackerWatch.org name, design and related marks are Copyright © 1997-2002 Network Associates Technology, Inc. All rights reserved. </font>[/QUOTE] |
Jo, das mit der "MS-DOS-Eingabeaufforderung" war ein prima Tip! :D Also, "Start", "MS-DOS-Eingabeaufforderung", unter C:\Windows "netstat -an" eingegeben... Ich schreib das jetzt mal so ab, wie's auf dem Bildschirm zu sehen war: C:\WINDOWS>netstat -an Aktive Verbindungen Proto Lokale Adresse Remote-Adresse Status C:\WINDOWS> Irgendwie... nix! Kann ja auch nicht, bin ja nicht online (dachte ich)! :D Nächster Versuch: Erst mal alles schließen, also STRG ALT ENTF. Da stand dann folgendes: Explorer Mpftray Mpfagent Iwatch Mcvsrte Swtrayv4 Mcagent Swtray Stimon Point32 Systray Weiß vielleicht irgend jemand, was das alles für'n Zeugs ist? :confused: Also, mit System, unten anfangen und weg damit! Habe auch alles entfernt, mit Ausnahme von Explorer, wenn man den anhält gibt's Ärger! Einige Anwendungen reagierten übrigens nicht, weil sie angeblich überlastet seien? :confused: Jetzt waren in der Taskleiste nur noch der Taskplaner, den ich dann angehalten habe. Die anderen Symbole verschwanden, als ich mit dem Mauszeiger draufgekommen bin. Dann hab' ich Verbindung mit dem Internet hergestellt und wieder in der Eingabeaufforderung "netstat -an" eingegeben: Exakt das Selbe Ergebnis wie oben; Nix, garnix!!! Dann dachte ich, wo ich einmal dabei bin, mach ich direkt den Portscan bei Steve Gibson: Stealth! Alles Stealth!!! Ähh, die Firewall war natürlich auch abgeschaltet! Wie jetzt??? :confused: Und wieder würde mich Eure Meinung extrem interessieren! Schönen Sonntag und Grüße, Ulli |
um gottes willen sei mal nicht so voreilig...da sind u.a. wichtige systhemanwendungen dabei die unbedingt erforderlich sind :( den taskplaner und das systray darfst du auf keinen fall entfernen... [ 05. Januar 2003, 15:59: Beitrag editiert von: MySTeRiA ] |
</font><blockquote>Zitat:</font><hr /> Explorer Mpftray Mpfagent Iwatch Mcvsrte Swtrayv4 Mcagent Swtray Stimon Point32 Systray Weiß vielleicht irgend jemand, was das alles für'n Zeugs ist? </font>[/QUOTE]Mpfagent gehört zu Mcafee Firewall Iwatch mehrere Möglichkeiten, Internet content filtering? mcvsrte McAfee automatic updates background task alle anderen findest du zB bei StartUp List @Mysteria Welchen Taskplaner meinst du denn? Gruß Tiber |
Also besonders zuverlässig scheint Hackerwatch jedenfalls nicht zu sein. Damit ich überhaupt getestet werden kann muss ich erstmal Proxomitron abschalten, aber das muss ich bei den anderen Testseiten auch. Aber wenigstens sind die anderen Seiten (Gibson & Co.) in der Lage meine IP richtig zu bestimmen. Zitat Hackerwatch: "Traffic coming from this server is at the IP address 168.215.82.49, and is directed at your IP address which has been determined to be 168.215.82.119." kein Kommentar dazu :D Update: Der Test ist fertig und hat folgendes erkannt Open and Unsecure! 139 (Net BIOS) @ Ullih Vergewissere dich mal ob die bei dir überhaupt die richtige IP testen. Deine eigene findest du, wenn du unter start-ausführen winipcfg eingibst. Musst normalerweise noch den richtigen Netzwerkadapter (ISDN- oder Netzwerkkarte) auswählen. Wenn bei Hackerwatch eine andere IP steht, testen die nicht deinen PC, sondern einen anderen - einen ihrer eigenen wie es scheint :D [ 05. Januar 2003, 16:33: Beitrag editiert von: energizer2k ] |
*Start Up liste in die Bookmarks packt* Die Liste gefällt mir [img]smile.gif[/img] |
@ Tiber ... ich meinte den Windows Taskplaner |
</font><blockquote>Zitat:</font><hr />Original erstellt von energizer2k: Wenn bei Hackerwatch eine andere IP steht, testen die nicht deinen PC, sondern einen anderen - einen ihrer eigenen wie es scheint :D </font>[/QUOTE]*LOL* Gut möglich, denen trau' ich mittlerweile alles zu! :D Aber was Ihr denn dazu, das wieder alles als "Stealth" und nicht als "Closed" angezeigt wurde, obwohl die FW aus war? Ulli |
Wenn die einen anderen PC testen ist das daran nichts ungewöhnliches... hat ja dann nichts mit deiner FW zu tun. |
@ Mysteria deine Warnung war natürlich angebracht; man sollte keine Prozesse beenden oder Autostartapplikationen entfernen, von denen man nicht weiß, wofür sie sind. Ich hatte mich nur gewundert, weil AFAIK kein Taskplaner dabei war. Den Windows-Taskplaner (Scheduling agent) mstask.exe kann man aber stilllegen oder entfernen, solange man keine Tasks wie defrag, scandisk oder zb wöchentliche Virusscans definiert hat. [img]smile.gif[/img] Außer explorer durfte Ullih ausnahmsweise wirklich alle genannten Prozesse abschießen. Gruß Tiber |
Hallo In win98 kann man den Port 139 (netbios) nur auf brutale Art schließen, indem man die Datei vnbt.386 in C:\windows\system einfach umbenennt. Dieser Eingriff schaltet netbios ganz ab. Eine andere Möglichkeit gibt es bei win98 nicht. Selbst die meisten Firewalls zeigen den Port 139 als geöffnet an, wenn man seine IP-Adresse scannt. Nur einige schleißen ihn zuverlässig, welche weiss ich nicht. manman [ 05. Januar 2003, 20:03: Beitrag editiert von: manman ] |
Dieser dein Rat ist nicht korrekt, dennoch wiederholst du ihn immer und immer wieder. Das ist irreführend für Leute, die dir glauben und schlecht für de Ruf des Boards. Dein Ruf fällt nämlich auf die anderen zurück. |
manman, wieso behauptest Du immer wieder diesen Unsinn, obwohl wir Dir schon x-mal gesagt haben, dass es nicht stimmt?!!! :mad: |
@mysteria, dein gepostetes ergebnis war doch nicht direkt nach dem neustart, mit allen unnötigen programmen[1] geschlossen und online, oder? mach das bitte nochmal, so wie ich es beschrieben habe. @ullih, das von beschriebene verhalten ist in der tat merkwürdig. selbst win98 antwortet standardmäßig auf zugriffe auf geschlossene ports. entweder irgendein programm läuft noch, dass am TCP/IP-stack rumpfuscht, oder irgendein programm hat dir den TCP/IP-stack zerschosssen, oder es wird in der tat nicht dein rechner gescannt. grc.com bekommt aber meistens die richtige ip-adresse des anfragenden heraus, weil sie nen trick anwenden: es wird kurz auf eine ssl-verbindung umgeleitet, die aus sicherheitsgründen bei den meisten browsern (ohne extra einstellungen) nicht über vorgeschaltete proxy-server läuft. wenn netstat -an dir nichts nach dem neustart anzeigt, dann kannst du dir zu 95% sicher sein, dass auch kein dienst auf deinem rechner läuft. es gibt natürlich für trojaner die möglichkeit, die netstat-datei auszutauschen, so dass sie falsche ergebnisse liefert, oder den server erst bei bestimmten ereignissen zu starten. solche, etwas fortschrittlichere, trojaner sind mir unter windows aber unbekannt, sowas findet man eher unter unix/linux. @manman, das ist quatsch, wenn mich nicht alles täuscht, gibt es auch auf trojaner-info.de irgendwo ne anleitung um die netbios-ports zuzumachen, ohne an systemdateien rumzupfuschen. [1] ich weiß, dass es für unerfahrene user nicht immer einfach ist zu erkennen, was nötig und was unnötig ist, aber eigentlich alles was im systray läuft ist schonmal unnötig (nicht der systray-prozess selbst) [ 05. Januar 2003, 21:49: Beitrag editiert von: cruz ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von cruz: ...wenn mich nicht alles täuscht, gibt es auch auf trojaner-info.de irgendwo ne anleitung um die netbios-ports zuzumachen, ohne an systemdateien rumzupfuschen.</font>[/QUOTE]Latürnich, man nehme die oben rechts gelinkte Trojaner-FAQ!!! ;) |
Guten Morgen Miteinander [img]smile.gif[/img] nein cruz ich glaube wir haben uns da missverstanden, also schau mal, das ist das Ergebnis wenn ich das ganze OFFLLINE mache: Aktive Verbindungen Proto Lokale Adresse Remote-Adresse Status TCP 0.0.0.0:0 0.0.0.0:0 LISTENING TCP 169.254.112.114:137 0.0.0.0:0 LISTENING TCP 169.254.112.114:138 0.0.0.0:0 LISTENING TCP 169.254.112.114:139 0.0.0.0:0 LISTENING UDP 169.254.112.114:137 *:* UDP 169.254.112.114:138 *:* Und als ich dann netstat ONLINE gemacht habe, kamen halt die vorherigen Ergebnisse raus...Ich wollte halt dann nur wissen, was ich da für Online Verbindungen habe und wie ich anhand der IP´s rausbekommen kann wer oder was das überhaupt ist und unnötiges halt dann banne :confused: Und wenn es irgendwelche Horcher sind die sich wie auch immer an die Ports gezapft haben, das ich die dann cancel bzw. die Ports kille ... Schöne Grüsse [img]smile.gif[/img] |
@gruz also wen ich PC(windows ME) neustarte dann"Start"-"Programe"-Zubegör" -"MS DOS Eingabeaufforderung" gehe, dort erscheit C:\WINDOWS ,dann gebe ich "netstat -an" bei mir erscheit: C:\WINDOWS>netstat -an Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status C:\WINDOWS mehr nichts. Wen ich danach per DFÜ mich verbinde, ohne Browser, das Ergebnis ist gleich Kann ich dann vom FW locker verzichten? Ich bedanke mich voraus. Michael |
</font><blockquote>Zitat:</font><hr /> Proto Lokale Adresse Remote-Adresse Status TCP 0.0.0.0:0 0.0.0.0:0 LISTENING TCP 169.254.112.114:137 0.0.0.0:0 LISTENING TCP 169.254.112.114:138 0.0.0.0:0 LISTENING TCP 169.254.112.114:139 0.0.0.0:0 LISTENING UDP 169.254.112.114:137 *:* UDP 169.254.112.114:138 *:* </font>[/QUOTE]jo, schon fast wie ichs mir gedacht hatte, du hast also netbios offen. wie beastie schon angemerkt hat, gibt es in der trojaner-faq ne anleitung dazu, wie man das schließt. </font><blockquote>Zitat:</font><hr /> Und als ich dann netstat ONLINE gemacht habe, kamen halt die vorherigen Ergebnisse raus...Ich wollte halt dann nur wissen, was ich da für Online Verbindungen habe und wie ich anhand der IP´s rausbekommen kann wer oder was das überhaupt ist und unnötiges halt dann banne :confused: </font>[/QUOTE]naja, die IPs sind hier nicht das wichtige, wichtiger sind die zahlen, die nach dem doppelpunkt bei "lokale adresse" stehen, dass sind nämlich die portnummern. vorher waren das zwar ein paar mehr, aber die stammen teilweise von AOL (zB port 68 bootp) und vom surfen mit dem browser. kannst ja mal schauen, was sich ändert, wenn du aol anstellst, wenn du mit aol online gehst, und wenn du anfängst zu surfen. (ich hab glücklicherweise seit ewigkeiten nichts mehr mit aol am hut). .cruz |
</font><blockquote>Zitat:</font><hr />Original erstellt von Michail: Proto Lokale Adresse Remoteadresse Status C:\WINDOWS mehr nichts. Wen ich danach per DFÜ mich verbinde, ohne Browser, das Ergebnis ist gleich Kann ich dann vom FW locker verzichten? [/b]</font>[/QUOTE]ja, sieht gut aus. aber da ich ein paranoider zeitgenosse bin, würde ich an deiner stelle noch eine webseite suchen, die _alle_ ports scannt und dir nen bericht zusendet (kann ein bisschen dauern, bis alle 65535 ports gescannt sind). .cruz [ 06. Januar 2003, 09:24: Beitrag editiert von: cruz ] |
</font><blockquote>Zitat:</font><hr /> naja, die IPs sind hier nicht das wichtige, wichtiger sind die zahlen, die nach dem doppelpunkt bei "lokale adresse" stehen, dass sind nämlich die portnummern. </font>[/QUOTE]Ganz unwichtig sind die lokalen IPs nicht, denn anhand derer kann man erkennen, an welche Netzwerkschnittstelle der jeweilige Dienst gebunden ist. Diese "169.254.112.114"-Adresse zählt meines Wissens zu den LAN-Adressen, was bedeutet, dass in dem Moment Netbios nur für das interne Netzwerk "offen" war (was ja oft wünschenswert ist.) [img]smile.gif[/img] Allerdings waren bei MySTeRiAs anderen netstat-posting gleich drei(!) lokale IPs beteiligt, die alle Netbios offen hatten... :( |
Danke cruz original erstellt von cruz </font><blockquote>Zitat:</font><hr />ja, sieht gut aus. aber da ich ein paranoider zeitgenosse bin, würde ich an deiner stelle noch eine webseite suchen , die _alle_ ports scannt und dir nen bericht zusendet (kann ein bisschen dauern, bis alle 65535 ports gescannt sind </font>[/QUOTE]@cruz. kannste welche empfehlen? Michael |
</font><blockquote>Zitat:</font><hr />Original erstellt von cruz: wenn netstat -an dir nichts nach dem neustart anzeigt, dann kannst du dir zu 95% sicher sein, dass auch kein dienst auf deinem rechner läuft. es gibt natürlich für trojaner die möglichkeit, die netstat-datei auszutauschen, so dass sie falsche ergebnisse liefert, oder den server erst bei bestimmten ereignissen zu starten. solche, etwas fortschrittlichere, trojaner sind mir unter windows aber unbekannt, sowas findet man eher unter unix/linux. </font>[/QUOTE]Ich muß noch erwähnen, dass ich vor ein paar Wochen erst "FORMAT C:" gemacht habe weil mich ein Trojaner erwischte und ich (ahnungslos wie ich nu mal bin) glaubte, auf meiner Platte befände sich ein Signalgeber, der den Trojaner "eingeladen" hätte. Auf meinem PC befindet sich nichts, außer 5 Spielen! Könnte es daran liegen, das nichts angezeigt wird? Nehmen wir darüber hinaus an, es wäre so, wäre mein PC dann jetzt sicher? Ihr habt mich (zurecht) ziemlich ausgelacht, weil ich die "McAffee Personal Firewall" verwende und ärgere mich, weil man mir dummen Schaf das Geld aus der Tasche zieht. Deswegen möchte ich meine Lizenz, die demnächst ausläuft, nicht mehr verlängern. Mein Hobby sind aber nun mal Onlinespiele und andauerndes neu installieren, bzw. reparieren des PC's macht auf Dauer keinen Spaß, darum hätte ich ihn natürlich gerne sicher. Wie kann ich aber sicher sein, das er sicher ist? Portscans habe ich mittlerweile schon einige ausgeführt und dabei wird mir, wie ich weiter oben schon mal gefragt habe, immer "Stealth", also "getarnt" angezeigt, obwohl die FW aus war. Ich rede hier von dem Portscan bei Steve Gibson. Wie verläßlich ist der Steve Gibson Portscanner? Gruß Ulli |
Hy Leute, hab jetzt mal die die Ports 137-139 dicht gemacht, als ich das mal vor ein paar Tagen gemacht hatte funktionierte das ganze nicht, weil ich mehrere Protokolle da stehen hatte als wie es in der Trojaner FAQ stand...hab das ganze mal mit allem gemacht und wunder es ging dann :D Hast wahrscheinlich recht forge77, meines Wissens nach ist die IP mit 169... irgendwas lokales, könnte sich in meinem Fall also um AOL handeln. [img]smile.gif[/img] Zu ullihs Problem kann ich nur sagen, was mir wiederum ein Freund (der sich mit Rechner auskennt) mal erzählt hatte, das es Möglichkeiten gibt, ich weiss nicht wie man diese Dateien nennt (wenn es überhaupt welche sind), irgendwie Schnüffelzeug halt, nicht auf den Port sondern irgendwie an den Port anbringen kann, dann würde auch kein formatieren nützen, weil das Teil dann irgendwie permanent auf der Lauer liegt und sich trotzdem irgendwie Zugang verschaffen kann :confused: Schöne Grüsse [img]smile.gif[/img] [ 06. Januar 2003, 15:39: Beitrag editiert von: MySTeRiA ] |
Was zur Hölle bedeutet "Parenthesis in HTML tag"??? Ich möchte was posten, aber das Board läßt mich nicht wegen... siehe oben! Aber in dem Beitrag ist absolut kein HTML tag drin? :confused: Ulli |
So, ich habe grade mal ein Onlinespiel "simuliert" um zu sehen was passiert. Falls das Interessant ist: Es handelt sich um das Spiel "Patrizier 2". Ich bin wie folgt vorgegangen (damit's keine Mißverständnisse gibt, erzähl ich alles, auch vermutlich unwichtiges): 1.) Spiel auf beiden PC's (über LAN verbunden) gestartet. 2.) Firewall "disabled" 3.) Auf dem PC, der mit dem Internet ( noch nicht [img]smile.gif[/img] ) verbunden ist, sämtlich im Hintergrund laufenden Anwendungen beendet, außer "Explorer", "McAffee Virenscanner", und 2 für das Spiel nötige Anwendungen. 4.) Verbindung mit dem Internet aufgenommen 5.) Spiel auf dem Host-PC für's Internet freigegeben, vom anderen PC über LAN ins Spiel eingestiegen, Multiplayerspiel gestartet. 6.) Per "ALT ESC" zu Windows gewechselt, DOS-Eingabeaufforderung gestartet und "netstat -an" eingegeben, Ergebnis siehe unten: C:\WINDOWS>netstat -an Aktive Verbindungen Proto Lokale Adresse Remote-Adresse Status TCP 0.0.0.0:36936 0.0.0.0:0 LISTENING TCP 0.0.0.0:37704 0.0.0.0:0 LISTENING TCP 192.168.0.3:36936 192.168.0.1:1027 ESTABLISHED UDP 0.0.0.0:37704 *:* C:\WINDOWS> 7.) Auf die Steve Gibson HP gegangen und einen Portscan gemacht, sämtliche Ports "Closed"; Nicht "Stealth", "Closed"! 8.) Ich habe das Spiel probeweise 30 Minuten laufen lassen, der Virenscanner hat keinen Alarm gegeben, was normalerweise nach weniger als 5 Minuten passiert wäre. 9.) Alles beendet, PC neu gestartet, kompletten Virenscan drchlaufen lassen; Kein Virus gefunden! Hab ich's geschafft, ist der PC (jedenfalls z. Z.) sicher? Gruß, Ulli |
*LOL* Hab's gefunden: Anstatt "weniger als 5 Minuten" hatte ich vorher das "kleiner Zeichen" verwendet! [img]graemlins/lach.gif[/img] Ulli |
@ Mysteria: </font><blockquote>Zitat:</font><hr />was mir wiederum ein Freund (der sich mit Rechner auskennt) mal erzählt hatte...dann würde auch kein formatieren nützen, weil das Teil dann irgendwie permanent auf der Lauer liegt und sich trotzdem irgendwie Zugang verschaffen kann</font>[/QUOTE]Wenn er es dir SO erklärt hat, dann kennt er sich definitiv NICHT damit aus. Ports sind offen, wenn ein entsprechendes Programm bzw. ein Systemdienst läuft, das/der diesen Port öffnet. Um einen PC unbemerkt kontrollieren zu können, müsste ein Trojaner-Server dort installiert sein, der unbemerkt im Hintergrund läuft und entsprechende Ports offen hält, damit ein dummes Script-Kiddy mit seinem Trojaner-Client eine Verbindung herstellen kann. Zweite häufige Lücke: eine nicht geschützte Dateifreigabe. Wird dieser Systemdienst in einem lokalen Netzwerk benötigt, trennt man die Bindung des Dienstes an das TCP/IP-Protokoll des Internet-Adapters (DFÜ, DSL oder was auch immer) oder verwendet das Protokoll NetBEUI AUSSCHLIESSLICH fürs LAN und TCP/IP AUSSCHLIESSLICH fürs Internet. @ ullih: Sieht doch gut aus. [ 06. Januar 2003, 16:37: Beitrag editiert von: IRON ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von forge77: Ganz unwichtig sind die lokalen IPs nicht, denn anhand derer kann man erkennen, an welche Netzwerkschnittstelle der jeweilige Dienst gebunden ist.</font>[/QUOTE]ja, da hast du nicht ganz unrecht. </font><blockquote>Zitat:</font><hr />Diese "169.254.112.114"-Adresse zählt meines Wissens zu den LAN-Adressen, was bedeutet, dass in dem Moment Netbios nur für das interne Netzwerk "offen" war (was ja oft wünschenswert ist.) [img]smile.gif[/img] </font>[/QUOTE]laut rfc3330 ist das die sogenannte "link local"-adresse. eine solche adresse soll der rechner nehmen, falls ein dhcp-server down ist, von dem er normalerweise die adresse bekommt (und da bei win98 standardmässig "ip-adresse automatisch beziehen" an ist, und nur selten ein dhcp-server in reichweite, nehmen die rechner halt diese). .cruz |
</font><blockquote>Zitat:</font><hr />Original erstellt von Michail: @cruz. kannste welche empfehlen? Michael</font>[/QUOTE]nö, ich kann dir nur die forumssuche oder google empfehlen, ich persönlich scanne immer mit nmap von einem anderen rechner in meinem lan. .cruz |
</font><blockquote>Zitat:</font><hr />Original erstellt von ullih: C:\WINDOWS>netstat -an Aktive Verbindungen Proto Lokale Adresse Remote-Adresse Status TCP 0.0.0.0:36936 0.0.0.0:0 LISTENING TCP 0.0.0.0:37704 0.0.0.0:0 LISTENING TCP 192.168.0.3:36936 192.168.0.1:1027 ESTABLISHED UDP 0.0.0.0:37704 *:* C:\WINDOWS> 7.) Auf die Steve Gibson HP gegangen und einen Portscan gemacht, sämtliche Ports "Closed"; Nicht "Stealth", "Closed"! </font>[/QUOTE]hmm, bist du sonst auch immer im lan? hast du einen extra router? dann sollten sowieso keine verbindungsversuche von außen in dein LAN kommen (wenn es richtig konfiguriert ist). und: grc.com scannt nur einige wenige ports, und die, die dir netstat angezeigt hat sind nicht dabei. .cruz |
Ne, Router hab' ich garnicht und im LAN und INternet gleichzeitig bin ich nur für P2 online. Ulli |
ich weiss das nicht mehr genau wie er das jetzt meinte Iron, kann mich nur noch an das gespräch erinnern, sagte dann halt das durch dieses methode das auch nicht los wird wenn man die platte formatiert :confused: ... mit rechnern kennt er sich bestens aus, da er schon seit seinem 13 lebensjahr damit intensiv beschäftigt und auch mal zu der bösen seite gehörte ;) |
Jaja...die böse Seite....LOL Mann O Mann...von der Sorte haben wir hier auch ab und an ein paar Besucher.... Formatiert ist formatiert. Das einzige, was da überleben kann, sind Bootsektorviren wie Parity. Trojaner (Schnüffelzeug), die deinen PC ausspionieren können überleben das nicht. Die passen nämlich nicht in den Bootsektor und auch nicht ins BIOS. Höchstens ins Kurzzeitgedächtnis eines Script-Kiddies. Also lass dir von solchen Möchtegernexperten keine Märchen erzählen. |
Lasse mir schon nichts Märchen erzählen, hab jetzt schon mittlerweile 2 Jahre Internet und was hier so alles rumfleucht ist manchmal schon erbärmlich :rolleyes: Da ich kein Fachwissen im PC Bereich habe, kann ich nicht rausfiltern was wahr uns was unwahr ist (bin ne einfache kaufmännische Angestellte *g*) ... Aber zum Glück gibts ja Foren wie dieses, da kann man auch immer wieder nachfragen, wenn einen was komisch vorkommt ;) Schöne Grüsse [img]smile.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von MySTeRiA: ... Aber zum Glück gibts ja Foren wie dieses, da kann man auch immer wieder nachfragen, wenn einen was komisch vorkommt ;) </font>[/QUOTE]Das ist wirklich ein Glück! Ich bin froh dass ein Bekannter mich auf diese Seite aufmerksam gemacht hat, sonst wäre ich aufgeschmissen gewesen! [img]smile.gif[/img] Ulli |
</font><blockquote>Zitat:</font><hr />Original erstellt von IRON: Wenn er es dir SO erklärt hat, dann kennt er sich definitiv NICHT damit aus. ... Zweite häufige Lücke: eine nicht geschützte Dateifreigabe...</font>[/QUOTE]Ich könnt mir vorstellen, dass eher Tunneln gemeint war?! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board