[Viren/Trojaner] Angriffe auf den PC Aufdecken+Blockieren

Wiggel

chronische Wohlfühlitis
Angriffe auf den PC Aufdecken+Blockieren

Wenn man Angegriffen wird, möchte man sicherlich auch Wissen wer uns denn Angegriffen hat.

Ich hatte folgende Zugriffsversuche die Blockiert wurden. ( :motz Das waren aber nicht alle :motz )

Auf der Seite http://www.dnsstuff.com erfährt man schon wesentlich mehr von dem Angreifer siehe Quote.

DATUM:19+20.10.2003
ZUGRIFFSVERSUCH:W32_SQLEXP_Worm_Propagation
ANGREIFER:24.208.200.244(1720)
RISIKOSTUFE:Hoch
PROTOKOLL:UDP
ANGEGRIFFENE IP:0.0.0.0
ANGEGR.ANSCHLUSS:ms-sql-m(1434)


WHOIS results for 24.208.200.244
Generated by www.DNSstuff.com
Country: UNITED STATES

NOTE: More information appears to be available at ZS30-ARIN.
Using cached answer (or, you can get fresh results).

OrgName: Road Runner
OrgID: RRMA
Address: 13241 Woodland Park Road
City: Herndon
StateProv: VA
PostalCode: 20171
Country: US

NetRange: 24.208.0.0 - 24.211.255.255
CIDR: 24.208.0.0/14
NetName: RR-CENTRAL-3BLK
NetHandle: NET-24-208-0-0-1
Parent: NET-24-0-0-0-0
NetType: Direct Allocation
NameServer: DNS1.RR.COM
NameServer: DNS2.RR.COM
NameServer: DNS3.RR.COM
NameServer: DNS4.RR.COM
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2001-06-29
Updated: 2003-02-04

TechHandle: ZS30-ARIN
TechName: ServiceCo LLC
TechPhone: +1-703-345-3416
TechEmail: abuse@rr.com

OrgAbuseHandle: ABUSE10-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-703-345-3416
OrgAbuseEmail: abuse@rr.com

OrgTechHandle: IPTEC-ARIN
OrgTechName: IP Tech
OrgTechPhone: +1-703-345-3416
OrgTechEmail: abuse@rr.com

# ARIN WHOIS database, last updated 2003-10-19 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Beschreibung zu W32_SQLEXP_Worm_Propagation
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Hier erfährt man auch nützliches über den Angreifer
SamSpade.org Tools

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Fighting Back Against Illegal Email Spammers, Internet Hackers, and other Web Thieves
Gegen ungültige email Spammer, Internethacker und andere Netz-Diebe zurückschlagen.

Das kann man auf folgender Seite: http://www.infohq.com/Computer/Spam/fight-internet-hackers-email-spammers.htm
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Gibt man in Google folgendes ein (abuse@rr.com) vom Angreifer, bekommt man jede Menge Ergebnisse.

Darum kann ich nur jedem Empfehlen neben einem Anti Viren Programm auch eine vernünftige Firewall zu Installieren.

Ich habe mich in der letzten Zeit hier und da mit einigen Leuten über den PC unterhalten und mußte Feststellen, das viele noch nicht einmal wussten was eine Firewall ist.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Auf dieser Seite bekommt man nützliche Infos über die Firewall siehe Quote.

 Warum will man mich in de.comp.security.firewall verarschen? Newsgruppen dienen doch dazu, einander zu helfen!
 Was ist eigentlich sicher?
 Was ist eine Firewall?
 Heißt es der oder die Firewall?
 Wie sieht eine typische technische Umsetzung einer Firewall aus?
 Worin besteht der Unterschied zwischen einer Hardware- und einer Softwarefirewall?
 Was ist ein Portscan?
 Wo kann ich meinen Rechner scannen lassen?
 Ich will meine Firewall richtig konfigurieren, wie gehe ich vor?
 Wo kann ich etwas über die Protokolle und die Anwendungen lernen?
 Ist REJECT oder DENY sinnvoller?
 Wie kann ich mich unsichtbar machen?
 Wie reagiere ich bei einem Angriff?
 Ich bin Anwender. Unsere Firma hat eine Firewall, aber ich muß mit einem Geschäftspartner Daten austauschen. Wie kann ich die Firewall umgehen?
 Ich bin Firewall-Admin. Mein Chef verlangt, daß eine bestimmte Kommunikation durchgeführt wird, obwohl es gegen das Sicherheitskonzept der Firma verstößt. Was soll ich tun?
 Ich bin Firewall-Admin. Einige Anwender haben Software im Einsatz, die unerlaubte Zugriffe über erlaubte Protokolle tunnelt. Was soll ich tun?
 Ich habe eine "persönliche Firewall" oder auch "Desktop-Firewall" für meinen Rechner. Ist der jetzt sicher?
 Warum werden in Fachzeitschriften bestimmte "persönliche Firewalls" trotzdem so gelobt?
 Was bedeuten die ganzen Abkürzungen?
 Wie finde ich den richtige ISP heraus?
 Ich habe offene Ports, wofür sind die?
 netstat zeigt offene Ports, aber da läuft garantiert nichts! Was übersehe ich?
 Was ist XYZ für ein Protokoll/Dienst?
 Wie konfiguriere ich mein lokales System richtig?
 Ich bekomme eine Meldung das ein mir unbekanntes Programm eine Verbindung öffnen möchte. Was kann ich tun?
 Wie kann ich sehen was auf meinem Interface/Netzwerk passiert?
 Warum muß man die MTU Größe anpassen, wenn Paketfilter eingesetzt werden?
 Ich bekomme keinen Tunnel zu anderen Endgeräten auf, wonach muß ich schauen?
 Welche Besonderheiten gibt es bei Netmeeting zu beachten?
 Welche Besonderheiten gibt es bei FTP zu beachten?
 Ich möchte einen weiteren Dienst freischalten, komme aber bei der Konfiguration meines Paketfilters nicht weiter. Wie bekomme ich Hilfe?
 Welche Firewall ist die Beste?
 Wieso kann eine Sicherheitslösung per se gefährlich sein?
 Ich habe zwei Desktop-Firewalls installiert. Bin ich sicherer?
 Aber ich werde ständig gescannt!
 Ich bekomme aber Pakete an Trojanerports!
 Die Firewall schützt mich aber vor Zugriffen auf meine Windowsfreigaben!
 Ich habe gehört, man könne auch ohne die gewollte Freigabe der Festplatte auf meinen Rechner zugreifen. Die Firewall würde mich doch in diesem Fall schützen, oder?
 Der Hersteller meiner Software bietet aber keine Patches zur Fehlerbehebung an. Also brauche ich eine Firewall!
 Kann meine Desktop-Firewall zufällig installierte Trojaner abblocken?
 Ich mußte alles zulassen, sonst geht Napster nicht mehr!
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Was kann eine Firewall für mich tun ?

Eine Firewall kann Aufschluss darüber geben, welches Programm sich wann und womit verbinden will.
Allerdings sind Desktop Firewalls angreifbar, und überdies nutzlos, wenn das System der Firewall nicht überblickt wird.
Desktop Firewalls bieten keinen 100%igen Schutz, was man sich stets vor Augen halten sollte. Wenn man sich an die wichtigsten Grundregeln zum sicheren Surfen hält, sind Desktop Firewalls sogar überflüssig. Solange man nichts aus unsicheren Quellen herunterläd, sein System optimal konfiguriert, auf sichere Software zurückgreift, und allgemein umsichtig im Internet unterwegs ist, stellt eine Softwarelösung keinen zusätzlichen Schutz dar. Lediglich die Logfunktionen wären dann noch sinnvoll.


Was kann eine Firewall nicht für mich tun ?

Eine Desktop Firewall benutzen heisst nicht automatisch Schutz. Eine Firewall kann nichts ausrichten, solange der Benutzer keine Ahnung von den zu erstellenden Regeln hat.
Zwar gibt es bei einigen Programmen die Option der automatischen Regelerstellung, welche aber in den meisten Fällen zu grosszügig oder fehlerhaft erfolgt.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Konzeption und Einrichtung einer Firewall in einem mittelständischen Unternehmen
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Auch hier findet man nützliche Info's:
http://www.trojaner-info.de/firewall/index.shtml

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Eine 100% Sicherheit gibt es nicht aber man kann es dem Angreifer so schwer wie möglich machen.

Die ABSOLUT SICHERE Firewall :wand

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
 
Zuletzt bearbeitet:
Fortsetzung

Auf dieser Seite findet man ebenfalls nützliche Info's siehe Quote.

Exchange und Firewall
Wer würde heute schon einen Exchangeserver ungeschützt in das Internet stellen. Keiner oder? Ich zumindest nicht. Zumindest rudimentäre Filter sollten das System gegen Angriffe und Missbrauch von außen schützen. Aber die Fragestellung ist keineswegs trivial. Schließlich bezeichnen verschiedene Hersteller ihre Software oder Hardware als Firewall und bewegen sich in Preisregionen von 39$ für eine so genannte Personal Firewall bis zu fünfstelligen Beträgen für eine Enterprise Firewall. Daher wird es auch mir nicht gelingen, auf dieser Seite eine befriedigende Antwort auf all Ihre Fragen zu geben. Allerdings möchte Ich ihnen neben einigen Basisgrundlagen einer Firewall vor allem die Aspekte aufzeigen, bei denen Exchange mit ins Spiel kommt. Dazu ist dieses Thema auf mehrere Seiten verteilt:

Teil1: Firewall Grundlagen
Brauch ich eine Firewall
Welche Firewall soll ich einsetzen
Teil 2: Firewall Technik
Was ist eine Firewall
Was ist ein Portfilter
Was ist ein Proxy
wir funktioniert NAT
Teil 3: Die Zonen einer Firewall
Das Internet
Das interne LAN
Die DMZ
Welche Systeme gehören in die DMZ, welche nicht ?
Teil 4: Der Platz für Exchange, OWA und SMTP Relay
Wohin mit Exchange ?
Wie kommuniziert Exchange ?
SMTP-Relay oder NAT
OWA in der DMZ
Teil 5: Firewall
VPN Nutzung
Beispiel: NAT-Router als Firewall
Beispiel: MS-Proxy / MS ISA-Server als Firewall
Beispiel: Checkpoint und Exchange
Teil 6: Exchange 2000 mit zwei SMTP
Exchange 2000 mit zwei virtuellen Servern
Bitte glauben Sie nicht, dass allein diese Informationsseite ausreichend ist, ein Angebot, eine Planung oder eine Bewertung einer Anbindung zu realisieren. Auch wenn viele Hersteller versprechen, eine Firewall wäre einfach, ist es das Detail, welche eine Anbindung zum Erfolg oder Problem werden lässt. Glauben Sie einfach mal einem Administrator, der seit 1995 mit einer Standleitung am Internet hängt und einige Angriffe überlebt hat und natürlich auch nicht. Es ist nicht ein Produkt alleine, welches Sicherheit liefert, sondern es ist die Gesamtlösung, die eine bessere Sicherheit schafft, Absolute Sicherheit ist eh eine Illusion.

Ich verzichte hier bewusst auf eine Anleitung, wie man was in einer Firewall frei schaltet. Zum einen gibt es mehrere Produkte mit unterschiedlichen Ansätzen und Konfigurationsmöglichkeiten. Aber viel schlimmer wirkt, dass sich Regeln gegenseitig aufheben könnten oder die Reihenfolge wichtig ist, und da ich die bestehende Konfiguration ihrer Firewall nicht kenne, kann es keine gültige Antwort geben. Wenn Sie ihre Firewall selbst pflegen, sollten Sie das notwendige Wissen haben, denn die Freischaltung von POP3, SMTP, DNS und HTTP gehören zu den einfacheren Dingen einer Firewall im Gegensatz zu ICA, RPC, NFS und anderen Protokollen. Wenn Sie daran scheitern, dann rate ich ihnen auf jeden Fall einen Fachmann hinzu zu ziehen. Ein gut konfigurierter Exchange Server mit einem Portfilter auf dem Router davor ist oftmals sicherer als eine schlecht konfigurierte 10.000 DM Firewall.

Normalerweise ist die einfachste Einführung schon ein Workshop von mehreren Stunden, wie ich ihn einmal im Monat bei Net at Work halte. Wenn es notwendig könnten wir hier auch die einzelnen Bits auf dem Kabel nachspüren oder die Anbindung von außen mit Tools wie Saint, Nmap etc prüfen, aber dies würde den Rahmen einer Exchange FAQ sprengen.

Der Vollständigkeit halber sei auch noch auf den Artikel Funktion von SMTP im Internet als auch auf den Artikel zu OWA hingewiesen. Auch die Abhandlung zur Clientkommunikation sollten Sie kennen. Nicht jeder Firewall beinhaltet auch eine Komponente zum Schutz gegen Relay. Sie sollten daher auf jeden Fall prüfen (am besten sofort), ob ihr Mailsystem sicher gegen Relay ist.

Weitere Links
Q148732 XADM: Setting TCP/IP Port Numbers for Internet Firewalls
Q150543 WinNT, Terminal Server, & Exchange Services Use TCP/IP Ports
Q155831 XADM: Setting TCP/IP Ports for Exchange and Outlook Client Connections Through a Firewall
Q176466 XGEN: TCP Ports and Microsoft Exchange: In-depth Discussion
Q179442 How to Configure a Firewall for Domains and Trusts
Q224196 Restricting Active Directory Replication Traffic to a Port
Q246303 XGEN: Global Catalog Searches and Related TCP Ports
Q259240 XWEB: Configure OWA to Connect to Exchange Through a Firewall
Q260973 XCON: SMTP Domains for Inbound and Relay in Exchange 2000
Q280132 XCCC: Exchange 2000 Windows 2000 Connectivity Through Firewalls
Q256976 XCLN: How MAPI Clients Access Active Directory
Q270836 XCLN: Exchange 2000 Static Port Mappings
Q276388 XIMS: How to Configure Exchange 2000 Behind Proxy Server 2.0
Q278339 XGEN: TCP/UDP Ports Used By Exchange 2000 Server
Q280132 XCCC: Exchange 2000 Windows 2000 Connectivity Through Firewalls
Q294818 Frequently Asked Questions About Network Monitor
Q280132 XCCC: Exchange 2000 Windows 2000 Connectivity Through Firewalls
Q289241 A List of the Windows 2000 Domain Controller Default Ports
Q298369 XADM: How to Configure a Global Catalog Server to Use a Specific Port When Servicing MAPI Clients
Q289241A List of the Windows 2000 Domain Controller Default Ports
Technet - IT Tasks - Top IT Tasks - Active Directory Replication over Firewalls
Windows XP Funktion der eingebauten Firewall. Wie funktioniert diese ?
www.microsoft.com/technet/columns/security/aus1001.asp
http://www.microsoft.com/privacy/safeinternet/security/best_practices/firewalls.htm
http://www.microsoft.com/privacy/safeinternet/security/best_practices
http://www.microsoft.com/downloads/release.asp?releaseid=26777
ISA Server Standard deutsch 120 Tage Testversion
http://www.microsoft.com/isaserver/techinfo/development/ISAandExchange.asp
http://www.microsoft.com/exchange/outlook/default.htm
Auf dieser Seite sind verschiedenste White Paper bezüglich OWA vorhanden.
Links zu anderen FAQs
Ganz besonders die Firmen mit einem ISA-Server sollten folgende Links kennen

www.msxisafaq.de die deutsche FAQ eines MVP Kollegen mit vielen Hinweisen zu Exchange und ISA-Server
www.msxisafaq.com
Die englische Referenz von Tom Shinder
http://www.tacteam.net/isaserverorg/exchangekit/default.htm
http://www.isaserver.org/news/exchangekitbeta1.html
ISA Server 2000 Exchange 2000/2003 Secure Remote Email Access Deployment Kit
Links zu anderen Firmen
http://www.bsi.bund.de/literat/studien/firewall/fwstud.htm
Firewallstudie des BSI
Weitere Links
www.staysafeonline.info
http://www.securityfocus.com
http://www.microsoft.com/Security
http://www.ntadvice.com
http://www.cert.org/tech_tips/win-resources.html
http://www.ntbugtraq.com
http://advice.networkice.com/advice
http://grc.com/default.htm
http://www.lfd.niedersachsen.de
http://www.bsi.de
Tools der Angreifer
http://packetstormsecurity.nl/assess.html
http://www.nmap.org
http://www.nessus.org
http://p.ulh.as/tools/ nmap, satan und andere
So können Webseiten dann aussehen:
www.alldas.org , www.illegalaccess.de)
Unter http://scan.sygatetech.com können Sie sich dann selbst scannen.
FAQs und Infoseiten zum ISA-Server
http://www.isaserver.org Tom Shinders Seite. Sehr empfehlenswert
http://www.msisafaq.de
http://www.msisafaq.de/Anleitungen/Server/Exchange.htm
http://www.msisafaq.de/Anleitungen/Server/ISA_SBS2k.htm
http://www.msisafaq.de/Anleitungen/Server/socket_pooling.htm
http://www.enteract.com/~lspitz/enemy.html
Sehr gute Abhandlung zu Hackern, deren Arbeitsweise und Beweggründe, "Den Feind erkennen" sollten Sie gelesen haben.
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.netcraft.com/security/diary.html
http://www.little-idiot.de/firewall/
http://www.isi.edu/in-notes/iana/assignments/port-numbers Liste der bekannten Ports
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

GRUß WIGGEL
 
Zuletzt bearbeitet:
@ Wiggel

Welche Zielgruppe willst du denn mit deinen Beiträgen in diesem Thread ansprechen ?

Eine Trennung der Links (angesichts deren Anzahl) für die jeweilige Gruppe wäre angebracht... :D
 
Das steht ja wohl in der Überschrift und soviele Links sind das auch nicht in den Quotes ist nur der Inhalt aufgelistet von den einzelnen Links die ich Eingetragen habe. :)

Für alle die des öfteren von dem selben Benutzer angegriffen werden.

Und für alle die die Gerne Wissen möchten wer angegriffen hat.

Und wie man sich Schützen kann.



Gruß Wiggel
 
Es sind 9 Links die Links die in den Quotes Stehen Verweisen auf den Seiteninhalt. klickt man über dem Quote auf den Hauptlink der Seite dann hat man die Übersicht.

Also so schwer kann das doch nicht sein ;)



Gruß Wiggel
 
man kann auch einfach ne fw nehmen die einen zeigt wer es war ;) so mach ich das... mir ist nur gerade der name entfallen da ich gerade linux nutze....
 
Man sollte sich eines vor Augen halten:

>> Wenn man Angegriffen wird, möchte man sicherlich auch Wissen wer uns denn Angegriffen hat.

NEIN, DAS WILL MAN NACH EINEM TAG NICHT MEHR !

Weil es einfach nervt, alle paar Minuten/Sekunden die Verfolgung aufzunehmen, irgendwelche Tools zu starten

:kotz

Man sollte sich aber anfangs täglich sein Logbuch anschauen, um zu sehen, was noch durchlässig ist
 
Oben