Beiträge von SetzDichNimmDirNKeks

Zitat von vommie

Bei mir trägt dass auch in die Hosts-Datei tausende zu blockende Werbeseiten ein wodurch mein Internet total lahm wird.

Das sollte Spybot S & D aber nicht von alleine machen.

Die "normale" Immunisierung bewirkt lediglich, dass ein paar Tausend Webseiten in die Zone "Eingeschränkte Sites" des Internet Explorers verschoben werden. In dieser Zone ist der IE sehr restriktiv eingestellt. Bedeutet, dass keinerlei aktive Inhalte (ActiveX, ActiveScripting) ausgeführt werden, so dass sich Malware also nicht automatisch installieren kann.

Die Seiten werden hier also nicht blockiert, sondern lediglich "entschärft".

Damit die Seiten mittels der Hosts-Datei über Localhost ins Datennirvana befördert werden, muss man schon selbst über den erweiterten Modus die Seiten in die Hosts-Datei aufnehmen (Erweiteter Modus ->Werkzeuge ->Hosts-Datei ->Spybot S&D-Hosts-Liste-hinzufügen).

SDNDNK

Hi,

Zitat von Marx_Brother

...bin ich jetzt vorerst einmal auf das aktuelle ZoneAlarm und Avira AntiVir in den Gratisversionen umgestiegen - das dürfte fürs erste reichen...

nein, das reicht definitiv nicht! Zum Thema "Zonealarm" findest du hier im Forum bereits reichlich Beiträge, die den Sinn dieses Programmes in berechtigter Form anzweifeln.

Ein Antiviren-Programm kann maximal als begleitende Schutzmassnahme angesehen werden. Sie ist aber keinesfalls allein ausreichend. Viel wichtiger ist das Umsetzen eines Schutzkonzeptes, das so aussehen kann:

-Windows-Update: Jeden Monat die sicherheitsrelevanten Updates installieren
-Dienstekonfiguration: Nicht benötigte Dienste deaktivieren und somit die Angriffsfläche verkleinern
-Benutzerrechte einschränken: Zum Surfen ein Konto mit eingeschränkten Benutzerrechten einrichten
-Software aktuell halten: Jede Software, die Schnittstellen ins Internet bietet (also z. B. Browser, Browser-Plugins, E-Mailklient, Messenger, Mediaplayer usw.), stets aktuell halten
-Brain 2007: Den eigenen Verstand einsezten und nicht alles anklicken

Zitat von Marx_Brother

...zumal ich ja zusätzlich ständig a-squared laufen habe und auch Ad-aware und Spybot sowie Rootkit Revealer verwende...

Schön. Das ist alles Software, die erstens selbst fehlerhaft sein kann und zweitens erst dann greifen kann, wenn das "Kind bereits in den Brunnen gefallen ist" (Ja, ich weiss, dass a-squared einen Hintergrundwächter besitzt und Spybot S & D mit Teatimer eine ähnliche Funktion bietet.)

Wichtiger ist das präventive Verhalten, um solche Situationen möglichst zu vermeiden. Dazu lies dich bitte hier ein:

http://www.mathematik.uni-marburg.de/~wetzmj/index.…compromise.html

Zitat von Marx_Brother

...und werde mich ausführlich informieren, welche käuflichen Produkte derzeit die besten sein dürften...

Ob kostenlos oder bezahlt, das spielt eine eher untergeordnete Rolle. Entscheidend ist dein persönliches Verhalten, dann werden "Virenklingeln" ohnehin wenig oder gar keine Arbeit zu verrichten haben.

Zitat von Marx_Brother

...oder tut's die Freeware, die ich jetzt drauf habe, auch?

Ja. Brain 2007 ist angesagt.

SDNDNK

Wenn du dir nicht sicher bist, schmeisse sie besser runter.

Viel mehr hilft es, präventiv zu verhindern, dass ein Rootkit oder Malware überhaupt auf den Rechner gelangt.

Docci

Zitat von TooT

Kann die Software also nicht selbst die Rootkits entfernen?

Richtig. Das kann sie nicht. Sofern Diskrepanzen auftreten, muss der User selbst entscheiden / herausfinden, ob es sich bei den Funden tatsächlich um ein Rootkit handelt.

Das herauszufinden ist aber nicht ganz einfach. Deshalb sollte man sich vorher dringend eingehend mit der Materie beschäftigen. Ansonsten richtet man unter Umständen mehr Schaden an als gewünscht.

Der RootkitRevealer zeigt z. B. auch viele "reguläre" Prozesse an, bei denen es sich definitiv nicht um Rootkits handelt. Daher ist dort unbedingt Vorsicht angesagt.

Sollte dann auch tatsächlich einmal ein Rootkit gefunden werden, ist das Rootkit an sich auch nicht unbedingt das Problem. Das Rootkit ist ja erst einmal nichts weiter, als ein Werkzeug, um eben den Zugriff auf ein infiltriertes System zu verschleiern ( z. B. Prozesse und Dateien verstecken ). Mit der blossen Entfernung des Rootkits ist es also nicht zwingend getan. Eine 100 %ig sichere Methode ist da nur: Formatieren und Neuaufsetzen. Alles Andere ist einfach zu unsicher.

Zitat von TooT

Wenn sich eines der Programme mal vertan hat, oder es ein anderes Problem gibt, kann man dann die Aktion auch einfach rückgängig machen?

In der Regel nicht. Die meisten Rootkit-Detektoren bieten bisher lediglich eine "Erkennung" an. Um das "Entfernen" muss man sich manuell kümmern.

Es ist also keine schlechte Idee, regelmässig Sicherungskopien anzulegen. Aber das ist eigentlich nie eine schlechte Idee.

Docci

Zitat von loshombre

Übrigens ein schönes schlankes Tool zu Prozessüberwachung.

Für den Zweck empfiehlt sich eher "Process Explorer":

http://www.sysinternals.com/Utilities/ProcessExplorer.html

Der ist wesentlich umfangreicher und komfortabler als der Windows Taskmanager. Ausserdem zeigt er detailliert an, welche Prozesse laufen und welche DLL-Bibliotheken durch diese Prozesse geladen sind. Auf einem kompromittierem Rechner zeigt er auch schon einmal Prozesse an, die z. B. HijackThis nicht anzeigt.

Docci

Zitat von SetzDichNimmDirNKeks

Davon abgesehen darf man nicht vergessen, dass man sich zusätzlichen Code auf den Rechner holt, der fehlerhaft sein kann.

Apropos McAfee:

http://www.heise.de/newsticker/meldung/76265

Docci

Zitat von crazy5170

Mhmm, warum habe ich dann bei Nutzung von WIN XP Pro SP2 mit der Einstellung von NTSCVF (?) auf Position 3 (All) noch 8 offene Ports?

Welche denn?

Docci

Zitat von wupperbayer

Außerdem, gibt es einen Weg zum Tunneln der PFW, der immer funktioniert?

Das kann man so nicht sagen. Wenn es einen gäbe, würde ich ihn hier sicherlich nicht erläutern.

Zum Einarbeiten kannst du ja einmal diese Tests durchführen, in denen gebräuchliche Leaktools verwendet werden. Dabei handelt es sich aber keinesfalls um eine vollständige Auflistung. Es gibt noch dutzende weiterer Tools.

http://www.firewallleaktester.com/leaktest1.htm

Zitat von wupperbayer

Ich hätte da nämlich eine, die gar nicht mehr weiter entwickelt wird und somit für Hacker nicht interessant ist Genauso, wie ich das mit dem Browser halte

Mit der Einschätzung wäre ich sehr vorsichtig. Gerade wenn ( weit verbreitete ) Software nicht mehr aktualisiert wird, kann sie zum Ziel werden. Den Browser solltest du ebenfalls ständig aktuell halten.

Docci

Zitat von wupperbayer

...steige ich endgültig auf Linux um...;)

http://www.jaganelli.de/pingu_FrameSet…meSet/index.htm

Docci

Zitat von wupperbayer

Naja, zum Kontrollieren der notorischen ETs wie z.B. des Windows Media Players ist ne PFW aber schon geeignet

Jain. Dieses Argument hört man oft. Es ist aber nicht wirklich stichhaltig, da sich kein Programm, das wirklich ernsthaft "raus" möchte, daran hindern lassen wird ( z. B. durch "Tunneln" der Personal-Firewall, oder durch "Einklinken" in bereits legitimierte Prozesse wie Browser, Messenger etc. ).

Docci

Zitat von loshombre

Das heißt zusammen gefasst, der Test peilt einfach die Lage nicht so ganz?! Es ist also alles im Butter?!

So ist es.

Und damit du mir auch Glauben schenkst ( und mich nicht für einen "Spinner" hälst ), habe ich dir ja auch gleich zwei Werkzeuge ( netstat, TCPView ) genannt, mit deren Hilfe du meine Aussagen überprüfen kannst.

Docci

Zitat von hempelr

Fazit: Gut gemeint, gut gedacht, aber eben für Netzwerkumgebung, und damit die meisten "kommerziellen" Anwender und Firmennetze, egal welchen Coleurs, nicht geeignet

Die Aussage bezieht sich auf einen ganz konkretes Szenario. Musst du nur lesen. Ansonsten müssen wir uns hier wohl kaum über die Absicherung von Firmennetzwerken unterhalten.

Zitat von hempelr

Zeugt auch von Dummheit und Null Ahnung, wie das so einige Diplominformatiker hier rüberbringen wollen - aber naja, es gibt halt tatsächlich Dilletanten

Sonst geht es aber noch?!

Docci

Zitat von hempelr

...wenn irgendwann mal bspw. ein Trojaner oder Wurm bereits seinen eigenen Dienst installiert hat,...dan wartet der unentdeckt bis er ne Anfrage auf einem offenen Port erhält.

Dann ist es bereits zu spät und der Rechner kompromittiert! Malware darf gar nicht erst auf den Rechner gelangen, das sollte also präventiv verhindert werden.

Zitat von hempelr

enn nun der Port dann nicht offen ist, kann der dann lange warten und eben keinen Schaden anrichten - respektive ist es schon sinnvoll, die Ports eines Systems zu verstecken/schließen.

Du glaubst nicht ernsthaft, dass ein bereits auf dem System befindliches Schadprogramm sich durch eine Personal-Firewall beeindrucken lässt, oder?

Docci

Zitat von hempelr

Wenn ich allerdings für andere meine Website auf meinem Rechner liegen habe und diese anderen anbieten will, nagut, dann brauch ich Port 80 für den HTTP-Dienst nach aussen offen.

Es geht um nicht benötigte Dienste, die nicht angeboten werden sollten. Wenn du einen Webserver betreiben möchtest, musst du natürlich auch mit den daraus potentiell resultierenden Gefahren leben.

Zitat von hempelr

Wozu muss Port 139 bzw. alle NetBios-Ports nach aussen offen sein, noch dazu von nem Router?

Wenn der Router halbwegs konfiguriert ist, sollte er ohnehin verhindern, dass Netbios-Verkehr nach aussen geroutet wird.

Aber egal. Netbios hat dort natürlich nichts verloren. In einem Netzwerk sind diese Dienste aber teilweise notwendig, so dass sie nicht einfach deaktiviert werden dürfen. Das wird aber auch alles in dem bereits genannten Link erklärt ( siehe auch Entbinden der Netbios-Dienste von der LAN-Verbindung

http://www.ntsvcfg.de/

Zitat von hempelr

Dienste abstellen, naja, und da denkt ihr, dass das ein Laie kann, dass das einfach so gemacht ist?

Nun ja. Das Skript mit der entsprechenden Option auszuführen ist nicht wirklich schwierig. Es gibt auch etliche Webseiten, die genau beschreiben, welche Dienste man wie deaktivieren kann.

Eine Personal-Firewall richtig zu konfigurieren halte ich für ungleich schwieriger. Dazu bedarf es Kenntnisse bezügliche Protokollen und Netzwerken.

Zitat von hempelr

Wer als DAU ein unbrauchbares System möchte, macht das, was die "Profis" (und u.a. auch einige hochgelobte Computerzeitschriften) empfehlen. Dienste killen, soviel wie geht und irgendwo steht.

1. Windows-Update ( jeden Monat durchführen )!!!
2. Benutzerverwaltung: Nicht als Administrator surfen, sondern mit einem Konto mit eingeschränkten Benutzerrechten
3. Nichtbenötigte Dienste deaktivieren
4. Software immer aktuell halten; insbesondere alle Schnittstellen ins Internet: Browser, Plug-Ins, Messenger, E-Mailprogramm, Downloadmanager, Mediaplayer usw.
5. Alternative Software verwenden: Firefox, Opera, Thunderbird etc.
6. Mail-Sicherheit: HTML im Mailklient deaktivieren, Mails nur in reinem Text empfangen und senden
Ausführbare Anhänge sind generell böse ->niemals öffnen; Einzige Ausnahme: Versand war abgesprochen
7. Stets das Programm zwischen den Ohren nutzen

Ansonsten findet man hier noch weitere Tipps und Tricks:

http://www.mathematik.uni-marburg.de/~wetzmj/index.…compromise.html

und hier ( Microsofts Leitfaden zur Virenabwehr

http://www.microsoft.com/germany/techne…les/900000.mspx

Zitat von hempelr

Viel Spass beim "Dichten der Systeme" und beim radikalen Dienste killen und beim Arbeiten mit jeder Menge offener Ports

Wer spricht von "radikalen Dienste killen"? Es geht um nicht benötigte Dienste.

Ein Einzelplatzrechner, der lediglich zum Surfen, Mailen, Downloaden, Musikhören etc. verwendet wird, benötigt nicht einen der standardmässig aktivierten Dienste. Wie kommst du auf "jede Menge offener Ports"?

Zitat von hempelr

Also, Virenscanner wech - is nich notwendig (hat der Keks ja gesagt oder etwa nicht?) und PFW auch wech, die ist noch viel unnötiger....

Du liest schon das, was ich schreibe? Ich habe geschrieben, dass ich persönlich kein Antiviren-Programm nutze, weil ich persönlich es nicht für notwendig erachte. Ich habe also nicht davon abgeraten, eines zu verwenden.

Wovon ich aber abrate, sind Personal-Firewalls. Die halten nicht das, was sie versprechen.

Docci

Zitat von hempelr

Wie soll das gehen - wie kann mann damit die von aussen zugänglichen Ports scannen?

Wie meinen? Diese Art ist wesentlich zuverlässiger als bestimmte Ports von aussen mit Hilfe eines Portscanners zu erreichen.

Zitat von hempelr

Das geht nun mal nur von ner Maschine ausserhalb und da sind IMHO die Online-Scanner eine sinnvolle und auch ziemlich gute Möglichkeit, sich einen Überblich über seine offenen Türen zu machen....

Nein. Diese Methode ist unzuverlässig und kann falsche Ergebnisse liefern. Wenn es dir nicht klar ist, lies noch einmal mein vorheriges Post.

Zitat von hempelr

Ein offener Port ist immer ne Sicherheitslücke, denn da "docken" Trojaner oder Würmer gern an und schleichen sich ins System

Ein offener Port an sich ist erst einmal völlig uninteressant. Entscheidend ist der Dienst, der diesen Port zur Kommunikation verwendet. Ist dieser Dienst aufgrund von fehlerhafter Programmierung angreifbar / manipulierbar, kann es natürlich Probleme geben.

Und genau aus diesen Gründen wird empfohlen, nicht benötigte Dienste zu beenden / deaktivieren. Kein Dienst ->kein geöffneter Port!

Zitat von hempelr

Es ist eh alles ne "Glaubensfrage", und ich glaube nun mal, dass geschlossesene Fenster und Türen (=Ports) schon mal ziemlich gut verhindern, dass einfach ein ungebetener Gast in mein Haus kommt bzw. in mein System einbricht.

Das sehe ich nicht als Glaubensfrage. Personal Firewalls "schliessen" weder Sicherheitslücken im Betriebssystem, noch beenden sie Dienste. Davon abgesehen darf man nicht vergessen, dass man sich zusätzlichen Code auf den Rechner holt, der fehlerhaft sein kann.

Zitat von hempelr

Und wer ohne Schutz (über den Schutz, den M$ ab und an mal als Online-Update anbietet könnte man vortrefflich wieder tagelang streiten ) ins Web geht, der ist nun mal grobfahrlässig.

Unsinn. Das Windows-Update ist essentiell wichtig. Daran führt kein Weg vorbei. Schon gar nicht sog. "Sicherheitssoftware". Persönlich verwende ich z. B. weder eine Personal Firewall noch ein Antiviren-Programm. Und keine Sorge! Ich handle nicht grob fahrlässig.

Docci

Zitat von loshombre

Ich will jetzt endlich wissen, was hier los ist!

Hi,

das kann ich dir sagen. Das Ergebnis des Scans ist einfach falsch. Wenn du dir das Ergebnis genau anschaust, wirst du feststellen, dass der Portscanner UDP Ports als "offen" bezeichnet. Du musst also auf das Protokoll achten! Es geht um UDP, nicht um TCP-Ports.

Was ist nun passiert?

Der Portscanner schickt UDP-Pakete an bestimmte Ports. Laufen an den Ports keine Dienste, werden diese Anfragen von vielen Routern mit "Protocol ICMP Port unreachable" beantwortet. Kommt vom Router also dieses Paket zurück, wertet der Portscanner den Port als "geschlossen".

Laufen nun hingegen bestimmte Dienste, bleibt das Paket ( siehe oben ) aus und der Port wird als "offen" erkannt. Und genau hier liegt der Hase im Pfeffer. Diverse Router verwerfen die UDP-Anfragen einfach, d. h. sie antworten nicht mit der korrekten Antwort "Protocol ICMP Port unreachable". Genau dieses Ausbleiben des Paketes werten dann viele Portscanner als offenene Ports. Obwohl sie gar nicht offen sind / gar kein Dienst läuft. Alles klar?

Um UDP-Ports zu scannen, kannst du die windows-eigene Funktion "nestat", oder aber ein Tool wie z. B. TCPView verwenden. Dann erhälst du zuverlässige Aussagen.

Würde mich sehr wundern, wenn dann noch UDP-Ports bei dir "offen" sein sollten.

http://www.sysinternals.com/Utilities/TcpView.html

Docci