|
BACKDOOR Trojaner - Firewall, idle und Emule Ich habe vor einiger Zeit mit meinen Virenscannern eine backdoor Variante entdeckt und löschen lassen, nun habe ich mir die Kerio Firewall heruntergeladen, und es tauchte bei "niedriger" und bei "Intrusions hoher Priorität" backdoor auf. Bei niedriger Priorität "BACKDOOR DeepThroat 3.1" und "BACKDOOR Matrix 2.0". Bei hoher "BACKDOOR win-trin00 connection attempt" = attempted admin und "BACKDOOR TCPDUMP/PCAP trojan traffic" = trojan activity von http://hlug.fscker.com (Seite hab ich kontrolliert, da wird man weitergeleitet zu einer Info bei welcher gesagt wird der Server wäre mit Trojanern infiziert und down.) Nun habe ich die Frage, sind das einfache Internet-Angriffe ohne Bedeutung die von meiner Firewall abgefangen werden, oder vielleicht sogar auch ohne kein Problem sind, oder habe ich vielleicht noch immer einen Trojaner auf dem Rechner? Wie gesagt, ich habe 3 Virenscanner (McAfee, Antivir, Adaware) und alles ist clean laut deren Diagnose. Außerdem könnte ein Trojaner die process idle Funktion von MS XP nutzen? Wie merke ich was bei den idle Prozessen normal läuft und was nicht? Kann ich diese Funktion auch ändern/abschalten? Mir ist, gerade im Zusammenhang mit Emule, wenn der PC idle war er regelmäßig abgestürzt bis vor kurzem... Hoffentlich weiß jemand Rat...danke im Voraus! P.S.: Ich habe versucht Kerio zu updaten, dann kommt, "Bei der Updateüberprüfung ist ein Fehler aufgetreten. Bitte versuchen sie es erneut." Ist das normal, benutzt sonst noch jemand Kerio? |
Bei Kerio gibt es Links zu den entsprechenden Vorfällen, etwa diesen für BACKDOOR: http://www.whitehats.com/info/ids106 sowie: http://www.whitehats.com/info/ids202 http://www.whitehats.com/info/ids/152 http://www.whitehats.com/info/ids/444 etc. U.U. ist das ja nur ein ganz allgemeiner Versuch, aber gerade wegen der Probs die ich hatte, und weil mein Rechner auch mal mit BACKDOOR infiziert war würde ichs gerne genau wissen... Auch wie ich die idle Fkt. konfigurieren könnte. |
Zitat:
Mache einen Portscann auf Deinem Rechner, dann checke die Ports mit infizierten Ports ( nach Trojan List ). Hole Dir PortBlocker ( kostenlos ) dann kannst Du ggf. Ports blocken und Dein Rechner ist "clean" for angriffen. Es bringt Dir aber nix, wenn Du 8432979748397849748974823978423 Viren scanner hast, manche Viren/ BackDoors lassen sich so in Deinem Rechner verpflanzen, daß Du keine Chance hast, über einen Viren/Trojanscanner diesen Infect zu löschen. Glaube mir ruhig, ist so! |
@AlbinoII beireits bei einem Backdoor ist von Microsoft dringends empfohlen, das BS neu aufzusetzten - egal ob du eine DFW hast oder nicht. Mehr dazu: The Ten Immutable Laws of Security. Bei zwei oder mehr Backdoors kommt etwas anderes, als format c:\ gar nicht infrage. @ScannerzWorld-Hackerz ..schön wäre's, wenn du TOFU sowie TUFO in der Zukunft vermeidest. |
wenn du das System wieder aller Vernunft erhalten willst (sei es das noch Daten drauf sind die du sichern willst usw. usf.) besorg dir nen Virenscanner (nein nicht über deinen PC runterladen) starte im abgesicherten Modus und scanne dann die komplette Kiste und ALLE Dateien,ganz nett ist in dem Fall Kasperski oder GDATA AVK aber nur mal angenommen ich würde mit Trojas rumspielen, dann hättest du momentan nen rootkit drauf bei dem die Chancen das du es findest und sauber aus dem System bekommst eher sehr gering sind ;-) wenn du ihn los bist (oder besser sofort wenn ein sauberer Rechner greifbar ist)wechsle sämtliche Passworte etc. die du genutzt hast, geh davon aus das sie ein anderer auch kennt |
Zitat:
Bin eben ein Laie, sorry. Zitat:
Kann ein backdoor auch so arbeiten, dass er bei mir als Windows Messenger erscheint? So nach dem Motto "Mess. will zu port X zugreifen blabla..." selbst wenn ich ihn eigentlich deaktiviert hatte? Oder greift Mess auch dann noch zu wenn ich ausgestiegen bin, gibts da eine Grundregel? Würdet ihr also alle sagen das mein Rechner, nachdem wie ich es oben beschrieben habe infiziert ist? Dass das nicht bloß Andockversuche waren sondern jemand erfolgreich an meinem Rechner rumwerkt? Bitte gebt mir auch einen Tipp bezüglich der Überprüfung bzw. Änderung der idle Tasks. MfG |
Wie kann ich eigentlich alle Tasks aus meinem Taskmanager rüberkopieren damit sich die vielleicht mal jemand ansehen kann? |
@AlbinoII Schau mal hier ob der link dir weiterhilft: http://pestpatrol.com/pest_info/de/b...pthroat_31.asp bzw. http://pestpatrol.com/pest_info/de/m/matrix_2_0.asp dort sind beide Typen genau beschrieben! Frage: Hast du denn seit jeher ein AV-Programm oder erst kürzlich gesaugt? Deine Firewall hat einen Zugriff erkannt u. diesen blockiert, dass ist immer gut! Grüße FER |
Zitat:
Der zeigt auch noch alle Starteinträge von Windows http://www.trojaner-board.de/51130-a...ijackthis.html Gruß paff |
Zitat:
Zitat:
Übrigens bei Pestscan hab ich auch getestet, es wurde nichts, außer ein bisschen Adware die ich größtenteils entfernte, entdeckt. Auch der BACKDOOR wurde, glaube ich zumindest, von McAfee ziemlich schnell entdeckt, darum bin ich ja noch immer nicht mal sicher ob diese Angaben von Kerio auf einen Trojaner bei mir, oder nur auf einen üblichen I-net Andockversuch hindeuten... Kann mir das jemand sagen? |
Kann man hpztsb01.exe eigentlich als etwas unnötiges bzw. gefährliches ansehen, dass man löschen sollte? |
Habe jetzt einen Hijack gemacht: http://www.trojaner-board.de/showthr...newpost&t=6386 |
Zitat:
Man hilft immer gerne! Der Backdoor wurde von McAffee erkannt, dass bestätigt auch dein Log - ist alles sauber. Tatsache ist aber, dass du gut daran getan hast dir eine Firewall zu saugen! Deine Firewall hat einen unbefugten Zugriff erkannt u. blockiert. Grüße FER |
Auch wenn dir FER noch zehnmal zu deiner Firewall gratuliert: viel wichtiger als die Verhinderung eines Connectversuchs mit einem Trojaner, den du bereits auf deiner Festplatte hast, ist es, alles dafür zu tun, dass du dir ein solches Programm gar nicht erst oder wieder einfängst. Dann brauchst du nämlich auch keine Firewall mehr, die dich evtl. in falscher Sicherheit wiegt. Auch 10 zusätzliche Programme helfen nichts, wenn DU die Lücken für die Trojaner durch dein Surfverhalten und die Einstellungen deines Systems selbst bereitstellst. Hast du keinen Trojaner drauf, kann man von Außen scannen und versuchen zu connecten wie man will und da deiner Aussage nach der Trojaner bereits vor diesem Vorfall entfernt wurde, ist der Block dieses "Zugriffs" durch Kerio faktisch sinnlos und nichts, wofür du eine Firewall gebraucht hättest oder was deren Installation so toll machen würde. Besser wäre eine komplette Neuinstallation und danach die Einhaltung folgender Regeln: 1. Windowsupdate regelmäßig in kurzen Abständen 2. IE (außer für das Update) und Outlook durch Alternativprogramme ersetzen, die sicherer sind und diese dann auch entsprechend konfigurieren (Java-Script deaktivieren beispielsweise oder nur dann einschalten, wenn die Seite absolut vertrauenswürdig ist) 3. Gehirn benutzen (besonders beim Surfen auf Seiten fragwürdigen Inhalts und beim Umgang mit mails) 4. Unnötige Windowsdienste deaktivieren (siehe u.a. www.dingens.org) Und ein bißchen informieren, u.a. auf diesen Seiten hier. :) Viel (Software) hilft viel, ist nicht unbedignt das beste Sicherheitskonzept. |
Zitat:
(hab leider auch keinen Brenner...) Zitat:
Zitat:
Schon mit einer Firewall kann ich auf einige Seiten schwerer oder erst wenn ich sie abschalte zugreifen (etwa Onlinebibliothekskataloge), da wären die Einschränkungen natürlich groß. Mir haben mal Leute gesagt, dass die Alternativprogramme eigentlich nicht sicherer sind, sondern bloß weniger Leute versuchen sie zu hacken, wegen der geringeren Verbreitung. Was natürlich trotzdem ein Argument bleibt, auch wenn, sollte sich jemand die Mühe machen, manche Alternativprogramme vielleicht sogar noch leichter zu knacken sind. Zitat:
Zitat:
Zitat:
Vielen Dank für die Relativierung, Du hast natürlich recht, bloß manche Dinge sind einfach ziemlich aufwendig bzw. man kommt nicht gleich drauf. Glaub aber das die Hinweise für alle nützlich sind... MfG |
Ist natürlich blöd, dass du nichts zum Sichern hast, ich kann das schon verstehen, wer installiert schon gern neu. :/ Es gibt zwar noch die Möglichkeit einer Recovery-Installation bei XP, bei der du nicht neu formatieren müsstest und all deine Programme und Daten erhalten blieben, nur die Systemdateien werden neu installiert, allerdings wäre das wohl auch keine wirklich saubere Lösung, da ein eventueller Störenfried sich ja auch dort verstecken könnte. Bei der Frage der Browser würde ich dir allerdings mehr Mut machen, die aktuellen Versionen sind eigentlich in keinster Weise "schlechter" als der IE, dessen "Vorteil" eigentlich vor allem darin bestand, dass er auch mies programmierte Seite noch halbwegs darstellen konnte. :) Ich nutze schon ziemlich lange Opera und früher gab es immer mal ein paar Seiten, für die ich dann doch den IE nehmen musste, ist mir aber schon ewig lange nicht mehr passiert, außer für das Windowsupdate brauche ich den IE nie. Seit ein paar Tagen gibt es Opera ein spezielles Setup, dass dem Browser die Optik des IE verpasst, um Neukunden den Umstieg zu erleichtern: http://filepony.de/download-opera/pr...en/2004/07/13/ bzw.: http://filepony.de/download-opera/startup/customize/ Der Zugriff auf die relevanten Dinge ist denkbar einfach, du drückst F12 und kannst Java, Java-Script, Cookies, Popups he nach Belieben kurz aktivieren und dann wieder ausschalten. Grundsatz ist ja wie gesagt, dass man mitdenkt und bei einem Onlinebibliothekskatalog habe ich kein Problem damit, dort einmal Java-Script kurz zu aktivieren (man sollte dann halt nicht Seite XXX ebenfalls offen haben:)). Der KVK geht aber auch ohne Javascript. :) Das Argument, Alternativbrowser würden seltener gehackt, ist prinipiell nicht völlig von der Hand zu weisen, aber der IE ist einfach schon durch seine Verankerung im System potentiell wesentlich gefährlicher als jeder andere Browser. Zudem ist es ja kein Problem, wenn du einfach mal testest, wie dir ein anderer Browser gefällt, der IE bleibt ja trotzdem drauf, du kannst sie parallel nutzen und falls du wirklich nicht zurecht kommst, was ich nicht glaube, dann deinstallierst du den neuen halt wieder oder nutzt ihn nicht mehr. Was die Windowsdienste betrifft, ich würde denken, das Beste ist, Du schaust dir die Liste der Dienste selbst an und informierst dich über den Sinn und entscheidest dann bei jedem, ob du es brauchst. Ist vielleicht langfristig besser, als das über das Programm automatishc zu machen, weil man einmal was lernt und außerdem eben auch genau weiß, was man gemacht hat. Es war auch gar keine Kritik an dir, nur ist FERs Firewallenthusiasmus in deinem Fall doch etwas unlogisch. Ich denke, als Tool, um etwas über Netzwerke zu lernen (wie du ja selbst merkst, da du einer Meldung nachgegangen bist) oder vielleicht noch gegen Phonehome können sie evtl. nützlich sein, aber man sollte vorsichtig sein und nicht denken, dass die Firewall tatsächlich Sicherheit bringt, da sie Schäden zwar auf einer höheren Ebene verhindern kann, diese Schäden aber auf einer niedrigeren Ebene auch ohne sie vermeidbar wären. Ich drück dir zumindest die Daumen, dass dein System virenfrei ist und bleibt. :) Ach ja, eins habe ich noch vergessen: unter XP sollte man sich nicht mit dem Adminkonto einloggen (außer es ist tatsächlich nötig), sondern immer mit eingeschränkten Rechten arbeiten. |
@MountainKing Wieso räts du im eine Neuinstallation??? Sein System ist sauber u. der Backdoor ist jeden AV-Programm bekannt! Wurde entdeckt u. gelöscht! Und bitte nicht eine Firewall mit konfigurierten Diensten vergleichen, denn wer meint er ersetzt damit eine Firewall der irrt gewaltig. Seine Firewall hat einen normalen z. B. Portscan ect. erkannt u. verhindert. Das log ist auch sauber. Übrigens, wenn ein AV-Programm eine Backdoorvariante erkannt hat, sagt das, dass diese erkannt u. nicht zur Entfaltung gekommen ist. Eine Firewall sorgt in Zukunft dafür das Sie diese Variante blockiert u. so erst gar nicht mehr auf das System kommt wo das AV-Programm dann alarm schlägt. |
Zitat:
- http://oschad.de/wiki/index.php/Virenscanner - http://oschad.de/wiki/index.php/Kompromittierung Zitat:
Zitat:
Zitat:
Zitat:
|
Zitat:
Zitat:
Ich habe diesen Vergleich nicht gemacht, habe aber eher den Eindruck, dass du selbst hier einige Dinge nicht so recht weisst. Es geht darum, dass der eigene Rechner Dienste anbietet, auf die von Außen zugegriffen werden kann. Eine Firewall kann diesen Zugriff bzw. Verkehr vielleicht blocken, wenn ich den Dienst aber überhaupt nicht brauche und deaktiviere bzw. der Dienst, der von einem Portscan gesucht wird, eben schlicht nicht vorhanden ist, brauche ich auch keine Firewall um das zu blocken. Und in der Regel bietet ein Privatnutzer keine Dienste an, ein großer Teil der standardmäßig installierten Dienste ist, solange man kein internes Netzwerk hat, ohne Bedeutung bzw, wie man in jündgster Zeit gesehen hat ein potentielles Risiko und kann deaktiviert werden. Wir reden hier aber natürlich von den sogenannten Desktop-Firewalls wie Kerio, nicht von einem richtigen Firewall-Konzept oder Hardware. Und diese Desktop-Firewalls sind bei einem richtig konfigurierten System und Beachtung der Sicherheitsregeln im Gunde überflüssig bzw. erzeugen ein falsches Sicherheitsgefühl, offenbar auch bei dir. Zitat:
Zitat:
Das ist so ganz sicher falsch. Wenn das Backdoorprogramm bei einem wöchentlichen Scan als installiert erkannt wurde, kann er dort schon mehrer Tage sein Unwesen getrieben haben. Zitat:
Auch das ist Unsinn. Die Firewall verhindert überhaupt nichts dergleichen, das Downloaden und Installieren des Trojaners geschähe völlig unabhängig von ihr. Du scheinst irgendwie zu glauben, dass die Portscans den Trojaner auf das System übertragen, aber das ist ganz verkehrt. Den Trojaner installierst DU selbst durch unvorsichtiges Surfen oder Nichtbeachten bestimmter Regeln und keine Software kann das 100%ig ausgleichen, suggeriert das aber bei vielen. |
Ich gehe davon aus, dass jeder normale user sein AV-Programm im Hintergrund laufen lässt! Wird also dann ein Backdoor erkannt, wurde dem System keinen Schaden zugefügt! Und eine Firewall würde diesen Schädling schon vorher stoppen - weil erkannt u. bekannt! Und abpropo Portscan: Eine Firewall (auch Kerio) tarnt inaktive Ports u. wenn du einen dienst konfigurierst gibt es bei einem Portscan immer eine Antwort (closed or listen) das reicht schon u. man weiß das der Rechner sich im Netz befindet! Was bei einer Firewall nicht der Fall sein wird! Was meinst du wofür Exploits genutzt werden, um Sicherheitslücken aufzutun um so eine Backdoorvariante zu installieren, dass hat nichts mit unvorsichtigen Surfen zu tun!! Genau davor schützt dich eine Firewall. Das ist ja auch die größte Gefahr sich Schädlinge einzufangen, man installiert nichts selber das macht jemand anderes für dich! Sorry aber da hast du dich gewaltig geirrt! Ich weiß, dass einige erzahlen eine Firewall sei nicht notwendig - leider ist das eine fatale Aussage! Pachtes, Dienste konfigurieren, AV-Programm, Firewall und ect. gehören zur einer offensiven Strategie u. jedes ist nur ein Teil vom ganzen Sicherheitskonzept! Wer das ignoriert oder falsche Aussagen macht - der weiß nicht wovon er redet! @mmk Und die Page zeigt ganz deutlich was passiert, wenn man keine Firewall drauf hat, denn Sie blockiert nicht nur von aussen sondern auch was raus geht u. das wäre im diesem Fall sicherlich ein erstes Indiz dafür das man sich einen Schädling eingefangen hat! Ich sehe in diesem Senario nur eine Bestätigung für ein offensive Modell!!! |
Zitat:
Daneben gibt es viele Schädlinge, die ganz gezielt Virenwächter und Firewalls deaktivieren. Eine Firewall, falls dann noch aktiv, stoppt auch nicht den Schädling selbst, sondern u.U. (Umgehungsmöglichkeiten mal ausgenommen) nur den Verkehr nach draußen. Zitat:
Außerdem: http://www.iks-jena.de/mitarb/lutz/u...wall.html#Deny Zitat:
Außerdem beinhaltet jede Software das Risiko, Sicherheitslücken zu öffnen. Soll ja auch schon bei PFW vorgekommen sein... Zitat:
Zitat:
Ich nutze zwar selbst keins, aber aufgrund Patches und sicher konfigurierten Diensten kann bei mir kein Wurm was holen, Mailwürmer erkennt man auch ohne AV-Scanner. Bei unbedarfteren Usern ist ein AV-Scanner aber sinnvoll. Bei der Firewall rate ich jedem XP-Nutzer zur integrierten ICFW, eine weitere PFW ist zur Absicherung eines normalen Systems für den normalen Heimuser nicht nötig. Am wichtigsten, das hast Du vergessen, ist ein bewusster Umgang mit dem Internet und das Nutzen von sicheren Programmen, insbesondere Browser und MUA. Gruß :daumenhoc Yopie |
Zitat:
Eine Firewall stoppt den Schädling noch vor dem Background-Virenscanner? Du vergisst eine der Grundregeln der AV-Scanner: sie hinken den Programmierern von Malware IMMER hinterher. Auch ein Backgroundscanner kann einen neuen Trojaner bis zum nächsten Update "übersehen" und dann ist das System eben bereits kompromittiert. Wie der genaue Vorgang im vorliegenden Fall war, müsste Albino klären. Das Teil gar nicht erst auf den Rechner lassen ist auch hier wieder die beste Lösung. Zitat:
"Closed bedeutet, dass die Desktopfirewall alle Datenpakete an einen bestimmten Port mit der Information beantwortet, dass dort kein Programm oder Dienst vorhanden ist, der mit den Daten etwas anfangen könnte (RST/REJECT) bzw. ICMP 3. Der Versender der Datenpakete wird also recht bald den Versuch beenden. Stealth bedeutet, dass die Desktopfirewall alle Datenpakete an einen bestimmten Port verwirft (droppt). Der Versender der Datenpakete weiß daher nicht, ob sie ihr Ziel erreicht haben und versucht es weiterhin, denn wäre der gescannte Port und damit der PC wirklich nicht vorhanden, hätte der Scanner ja vom letzten Router (HOP) die Nachricht erhalten, dass da kein PC existiert (destination unreachable). Weil diese Nachricht ausblieb und nur die Desktopfirewall eine Antwort des PCs verhinderte, ist das Vorhandensein des PCs praktisch bewiesen. Wenn ich einen Portscan mit dem Versuch vergleiche, die Klinke einer Tür zu drücken, um zu sehen, ob diese offen ist, ergäbe sich für den Eindringling folgendes Bild : Closed : Die Klinke lässt sich anfassen und drücken, aber die Tür ist zu. Er geht zum nächsten Haus. Vielleicht hat er da mehr Glück. Stealth : Er kann am ganzen Haus keine Tür oder Klinke finden, weiß aber ziemlich genau, dass eine da sein MUSS und sucht also mit gesteigertem Aufwand weiter. Da die Scanprogramme von "getarnten" Ports keine Antwort erhalten, senden sie solange weiter, bis der Timeout erreicht ist und das verusacht natürlich unnötigen Datenfluss(Traffic) und überlastet eventuell die Desktopfirewall. Ein Angreifer, der feststellen kann, dass hinter einem bestimmten Port kein Dienst/Programm wartet, um Daten zu verarbeiten, betrachtet den Versuch als gescheitert und zieht weiter. Ein getarnter Port aber macht neugierig." http://www.eisenheim.de/tipps2/pf.html Zitat:
Zitat:
Das hier im Thread diskutierte Beispiel belegt doch eigentlich ganz genau, worum es im Kern geht. Nehmen wir an, Albino hätte die Kerio bereits installiert gehabt, als der Backdoor aufs System gelangte und sie hätte den Connect unterbunden. Wäre das ein Schutz gewesen? Natürlich. Wäre es besser gewesen, er hätte diesen Trojaner durch Beachten der Sicherheitsregeln erst gar nicht aufs System gelassen? Allerdings. Hätte er dann die Kerio gebraucht? Eben. Ich halte mich weder für einen absoluten Crack auf diesem Gebiet (da gibt es hier wesentlich bessere Ansprechpartner) und will auch nicht soweit gehen, diese Firewalls als absolutes Teufelszeug zu verdammen (grade am Anfang sind sie als Tool zum Informationssammeln sicher nützlich), aber sie haben erstens eindeutige Nachteile, sind sicherheitstechnisch weitgehend überflüssig und vor allem sollten sie nicht als großartiges Sicherheitskunstwerk verkauft werden. Hokuspokus wie Stealth-Modus ist letztlich heiße Luft und genauso überflüssig wie das Melden von Portscans. Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board