Angriffe???
 

Hallo liebe I-Net-Auskenner!

Habe hier die Threads über die div. Angriffe aus dem Netz gelesen und mir läuft der kalte Schauer über den Rücken. :eek:

Leider kenne ich mich mit diesen Dingen wie Portscans und so überhaupt nicht aus (Ich schaffe gerade mal einen Ping...;) )

Auf meinem System habe ich Zone Alarm laufen (nachdem es hier ganz positiv bewertet wurde). Gestern hat es mir einen Zugriff von außen gemeldet, über Port 137, irgendwas von NetBIOS oder so (bin leider jetzt im Büro und kann das Log nicht lesen), habe sicherheitshalber abgelehnt. Zone Log hat dann was von einem möglichen Trojaner erzählt.

Hat jemand eine Idee, was das gewesen sein kann??

Ich lese hier immer wieder von Proggies, mit denen man sowas zurückverfolgen kann (nslookup?). Könnt ihr mir da tips geben??

Herzlichen Dank!

__________________________________________________ __________
Ich lese hier immer wieder von Proggies, mit denen man sowas zurückverfolgen kann (nslookup?). Könnt ihr mir da tips geben??
__________________________________________________ __________

Sam Spade von <http://samspade.org/ssw/dl.html>

Hat alles beisammen,ist Freeware,und analysiert sogar Header von Spam.

HTH
g17

wenn du chello hast, dann sollten dir die NetBIOS ports egal sein können, weil diese am chello modem (zumindest am lancity) gesperrt sind.

wies bei adsl is, weiss i ned, und beim rest auch ned....

ansonsten könnte aus dem privaten netzwerk sowas kommen....

Netbios zugriffe sind gefährlich, sei froh das zonealarm läuft. Welches betriebsystem? Hier kannst rausfinden wem die angriffs ip adresse gehört: http://www.ripe.net/perl/whois

am besten, wenn der rechner ein einzelplatzrechner ist (ohne heimnetzwerk) alles bis auf tcp/ip deaktivieren. also kein netbios oder sonst irgendwas und auch keine datei und druckerfreigabe...

ansonsten gibts eigentlich nur noch zu sagen, dass zonealarm eh wirkungsvoll schützt! ;)

@ g17: Danke, scheint ja wirklich ein interessantes Tool zu sein, werde es daheim gleich testen.

@ valo: Heimnetzwerk hab ich keines (mein 486er Schleppi ist mit dem PC per Adidas-Netzwerk verbunden :D )

@ Lou Cypher: Ich habe Win98SE.
Was sind das für Zugriffe? Kommen nämlich, wenn ich Zone Log richtig verstanden habe, auch von einer Telekom-IP. Soll ich das dem Provider melden, wenn sich sowas häuft??

Und wie sieht es mit dem Code Red aus? Erkennt den die Firewall auch??

@ Mash: Und wo sperre ich die Sachen??

naja, sperren direkt geht ned, aber du kannst die protokolle aus der netzwerk umgebung entfernen,...

systemsteuerung --> netzwerk

und dort netbeui markiern und entfernen, ipx/spx wenn vorhanden auch...

nur tcp/ip lass drin...

dann kannst die datei und druckerfreigabe auch entfernen, ich glaub, der wird sich dann aufregen, dass das netzwerk unvollständig is, aber egal...

@jack ryan: Melden bringt nicht wirklich was ausser er probierts immer wieder, wenn du mal aus versehen an einer falschen tür klingelst wirst ja auch nicht gleich verhaftet :) . Um dieses sog. "Netbios over TCPIP" abzustellen gehst auf netzwerkeigenschaften -> eigenshaften von tcpip -> bindungen -> und entfernst die hakerln von "client für ms-netzwerke" und "Datei- und druckerfreigabe für ms..." dann bist auch ohne zonealarm relativ sicher. Hier kannst es dann testen. Geh mal vor der änderung hin, deaktivier zonealarm und dann siehst was alles möglich ist, danach nimm die änderung vor und probiers nochmal (auch ohne zone alarm). Danach würd ich aber zonealarm trotzdem wieder aktivieren, sicher ist sicher :) . Wennst auch noch ein lokales lan hast installier einfach netbeui zusätzlich zu tcpip. Code red kann dir wurscht sein der is nur relevant wenn Internet Information Server 4 od. 5 läuft.


@valo: netbeui ist nicht netbios, netbeui ist total harmlos weil nicht routbar und daher nur im eigenen subnet verwendbar. Daher ist es auch das ideale filesharing protokoll in kleinen netzwerken, die auch ans internet angebunden sind.

:rolleyes: hmm.... dann bitte ich um erklärung was das dann is...

Netbeui ist ein von ms entwickeltes netzwerkprotokoll für kleine lans. Es ist nicht routbar, kann daher nur im lokalen subnet verwendet werden, dadurch benötigt es weniger adressinfo als routbare protokolle (zb tcpip) und ist daher schneller. Da es nicht routbar ist kann via internet nicht auf ein netbeui lan zugegriffen werden.

Netbios ermöglicht den zugriff auf den windows verzeichnisdienst über tcpip (netbios over tcpip) oder ipx/spx (netbios over ipx/sxp). Dadurch ist es möglich auf freigegebene laufwerke über den freigabenamen zuzugreifen. Ein lan mit windows rechnern auf denen nur tcpip installiert ist (ohne netbios over tcpip) kann nicht über netzwerkumgebung durchsucht werden noch kann zu freigaben eine verbindung hergestellt werden.

Daher ist eine kombination von beiden protokollen sinnvoll, weil man netbeui für die interne komunikation verwendet, und tcpip für die externe. Auf diese weise kann man das gefährliche netbios over tcpip deaktivieren und ist vor zugriffen aus dem internet geschützt aber trotzdem vom lan auf freigaben zugreifen.