ComputerBase Menü
Aktuelles

Frage zur Firewall

Miniwinni

Miniwinni

Lt. Commander
Registriert
Dez. 2003
Beiträge
1.271
Hi,

ich benutze auch die Trail Version von Kaspersky Anti Hacker.

Nun ist es so das diese Firewall sich alle paar Minuten meldet mit folgender Meldung:


Bekomme alle paar Minuten einen Angriff auf meinen PC von "Lovesan". Weiss einer was das für ein Mistteil ist?


02.06.2005 08:47:18 Ihr Computer wurde von Adresse p54897162.dip.t-dialin.net angegriffen. Typ des Angriffs: Lovesan. Der Angriff wurde erfolgreich abgewehrt.
02.06.2005 08:47:59 Ihr Computer wurde von Adresse p54894FE3.dip.t-dialin.net angegriffen. Typ des Angriffs: Lovesan. Der Angriff wurde erfolgreich abgewehrt.
02.06.2005 08:52:49 Ihr Computer wurde von Adresse p5489CB63.dip.t-dialin.net angegriffen. Typ des Angriffs: Lovesan. Der Angriff wurde erfolgreich abgewehrt.
02.06.2005 08:53:53 Ihr Computer wurde von Adresse p54894EDB.dip.t-dialin.net angegriffen. Typ des Angriffs: Lovesan. Der Angriff wurde erfolgreich abgewehrt.
02.06.2005 08:56:41 Ihr Computer wurde von Adresse 106.221.97-84.rev.gaoland.net angegriffen. Typ des Angriffs: Lovesan. Der Angriff wurde erfolgreich abgewehrt.
02.06.2005 08:57:18 Ihr Computer wurde von Adresse p5489440A.dip.t-dialin.net angegriffen. Typ des Angriffs: Lovesan. Der Angriff wurde erfolgreich abgewehrt.
02.06.2005 08:57:37 Ihr Computer wurde von Adresse 160.212.98-84.rev.gaoland.net angegriffen. Typ des Angriffs: Lovesan. Der Angriff wurde erfolgreich abgewehrt.



usw..........


Kann man das ausser das die Firewall das blockt verhindern? Ich meine hat sich da was eingeschlichen auf dem PC was ich nicht weiss, trotz adaware, Antiv., Spy Bot etc?

Gruss
 
Sieht ganz danach aus, dass sich was auf Deinem PC eingenistet hat. W32.Lovesan ist ein Wurm, der unter anderm ausgehende Verbindungen benutzt um nach anderen PC's zu suchen.

Welches AntiViren Programm benutzt Du denn? Ist es aktuell? ggf. solltest Du Deinen PC im abgesicherten Modus mal auf Viren scannen. Vorher bitte die Systemwiederherstellung abschalten.
 
Hi,

also ich benutze regelmässig folgende Progs.:

Dauerbetrieb das gute Antir mit täglichem Update.

Dann Stinger, CW Shredder, Hijackthis, FixBlast von Norton, Ad-Aware 1.6, Spybot Search and Destroy.

Gruss
 
lass mal einen Onlinescan machen, zum Beispiel bei www.symantec.de unter Security Response oder versuche im abgesicherten Modus zu scannen. Denn es gibt durchaus Schädlinge, die sich im normalen Modus "tarnen" können.
 
Hallo nochmal,

so habe alle Progs. mal im abgesicherten Modus durchlaufen lassen und nichts wurde gefunden.

Trotzdem kommen wieder die Angriffe wie oeben erwähnt.

Was kann ich da denn noch machen?

Habe mal etwas über den Wurm gefunden bei Sym. :

We recommend that you block access to TCP port 4444 at the firewall level, and then block the following ports, if you do not use the following applications:


TCP Port 135, "DCOM RPC"
UDP Port 69, "TFTP"


Wie schliese bzw. wo schliese ich die Ports? Und brauche ich die evtl? Ich meine zum spielen online etc?

Kann man ohne bedenken eigentlich den kompletten TEMP Ordner bzw. dessen Inhalt löschen?

Dieses Ergebnis kam bei der Online Sicherheitsprüfung bei Sym. zum vorschein:

Ihre Ergebnisse:
Port Beschreibung Status

ICMP-Ping Ping. Ping ist ein Dienstprogramm für die Problembehebung bei Netzwerken, mit dem Sie überprüfen können, ob ein bestimmter Computer vorhanden ist. Wenn Ihr Computer auf den Ping-Befehl antwortet, können Hacker Ihren Computer leichter angreifen.

OFFEN


135 Location service (loc-srv). Über diesen Port werden RPC-Dienste (Remote Procedure Calls) an die entsprechenden, dynamisch zugewiesenen Ports geleitet. Hacker können so feststellen, welcher Port von verschiedenen Windows-Diensten genutzt wird. Dieser Port sollte nicht vom Internet aus sichtbar sein.

OFFEN



445 Windows NT / 2000 SMB. Ein Standard für den Austausch von Server Message Blocks, der auf vielfältige Weise verwendet werden kann, zum Beispiel, um auf Ihre Kennwörter zuzugreifen.

OFFEN


Das sollen 3 Schwachstellen sein. Brauche ich die unbedingt als offen der kann man die einfach so schließen? Wenn ja wie und wo :)

Hauptsache ich kann normal weiter online daddeln :)

Gruss
 
Zuletzt bearbeitet:
@ Miniwinni

lies mein Posting von 9:44 weiter oben incl. dem weiterführenden Link und die dort zu findenden Links. Insbesondere die beiden Links die zu http://www.ntsvcfg.de/
und www.dingens.org stehen und lese dich dort schlau.
Anschliessend setzt du dort gelesenes in Form des dort zu downloadenden Progis um, anschl. reboot und anschl. eine nochmalige Sicherheitsüberprüfung durchführen (du solltest dann "dicht" sein).

Die 3 von dir geposteten offenen Ports sind sicherlich nur einige wenige von vielen anderen Ports die aus Sicherheitsgründen geschlossen sein sollten.

P.S. Die Lektüre auf die ich verlinkt habe, ist nichts für "mal eben in 5 Minuten abarbeiten", denn man wird ingewisser Weise auch sein Surf- und insbesondere sein Klickverhalten (ein wenig) ändern müssen.

P.P.S. Gib mir deine aktuell gültige IP und du (dein PC) gehört innerhalb von ca. 15 Minuten mir ;).
 
AMDUser schrieb:
@ Miniwinni

lies mein Posting von 9:44 weiter oben incl. dem weiterführenden Link und die dort zu findenden Links. Insbesondere die beiden Links die zu http://www.ntsvcfg.de/
und www.dingens.org stehen und lese dich dort schlau.
Anschliessend setzt du dort gelesenes in Form des dort zu downloadenden Progis um, anschl. reboot und anschl. eine nochmalige Sicherheitsüberprüfung durchführen (du solltest dann "dicht" sein).

Die 3 von dir geposteten offenen Ports sind sicherlich nur einige wenige von vielen anderen Ports die aus Sicherheitsgründen geschlossen sein sollten.

P.S. Die Lektüre auf die ich verlinkt habe, ist nichts für "mal eben in 5 Minuten abarbeiten", denn man wird ingewisser Weise auch sein Surf- und insbesondere sein Klickverhalten (ein wenig) ändern müssen.

P.P.S. Gib mir deine aktuell gültige IP und du (dein PC) gehört innerhalb von ca. 15 Minuten mir ;).
Zum Vergrößern anklicken....


Jo danke dir. Meine IP :) nee lieber nicht :)

Gruss
 
solche meldungen sind doch ganz normal. solche viren versuchen einfach durch ip ausprobieren andere rechner zu infizieren. wenn so eine meldung kommt bedeutet das also nur das einer mal wieder zufällig deiner nummer gewürfelt hat...


@AMDUser: und wegen so einem "problem" gleich software deinstallieren?! wenn du einen computer mit "brain 1.0" und allen ports geschlossen sicher halten willst darfst du überhaubt keine software mehr installieren von denen du die sourcen nicht hast...
ich glaube das ist bei einem desktop system etwas unpraktikabel.
 
Hi nochmal,

also ich habe jetzt diverse Dienste unter XP abgeschaltet, die für mich eh nicht wichtig bzw. interessant sind, solange ich keine Einschränkungen habe bzw. sich Progs. beschweren oder ähnliches.

Und siehe da, es kommt keine Meldung mehr seitens der Firewall, das Lovesan noch irgendwelche Zugriffe versucht.

THX an alle!
 
@ Siberian..Husky

solche meldungen sind doch ganz normal. solche viren versuchen einfach durch ip ausprobieren andere rechner zu infizieren. wenn so eine meldung kommt bedeutet das also nur das einer mal wieder zufällig deiner nummer gewürfelt hat...
Zum Vergrößern anklicken....

Diese Meldungen sind nicht normal, wenn man keinerlei PFW einsetzt und stattdessen die entsprechenden Ports schliesst und Dienste beendet. Denn dann kann jeder der die zufällig gewürfelte Nr. hat, sich an den Ports und Diensten zu Tode klopfen - mehr dazu etwas später.

und wegen so einem "problem" gleich software deinstallieren?!
Zum Vergrößern anklicken....

Gerade wg. solch einem "Problem". Denn gerade welcher ONU (OttoNormalUser) benötigt eine PFW? Vor allem dann benötigt er keine PFW, wenn er noch nicht einmal wirklich weiss, wie er das "Ding" zu bedienen, geschweige denn einzustellen hat, so dass das "Ding" wirklich das macht, was es soll. Das evtl. zur Verfügung gestellte Protokoll muss man ja auch noch entsprechend auswerten können. Einfach nur auf den blauen Dienst mehr oder weniger ungefragt alle Ports auf "Stealth" setzen, damit ist es nicht wirklich getan. Gib einem entsprechend fähigen User die IP des Gegenüber und der macht dir innerhalb einiger Minuten aus einem "Stealth" einer PFW ein "Open". Damit hat er dann freie Bahn. Korrekterweise sollten Ports bei einem Ping ein "Closed" melden, denn dann prallen die Pings wirklich ab und werden nicht durch ein "Stealth" gefiltert. Solange ONU z.B. Win XP mit SP2 am Laufen hat, so ist eine PFW bereits an Board und es erübrigt sich jegliche Installation irgendwelcher Software die sich PFW schimpft. Die in Win XP SP2 integrierte FW ist zwar auch keine wirkliche FW, sondern regelrecht ein Paketfilter - mehr nicht. Nur damit ist es für ONU um einiges einfacher diese zu bedienen und auch zu überwachen.

Mit dieser Lösung kommt ONU mit seinem "Geiz ist Geil" und/ oder Medion-PC und Co. mehr als gut klar.

Was ist denn sicherer, eine Türöffnung die ich mittels vorgehängtem Maschendrahtzaun (eine PFW) absichern will oder aber eine Türöffnung die ich mit entsprechend passender Tür die ich mit Falle und Riegel ins Schloss fallen lasse und somit zu (Ports closed) ist. Wer reagiert auf ein Anklopfen (dem Ping) wohl eher, die im Schloss verriegelte Tür oder der Maschendrahtzaun.

Sicherlich der Maschendrahtzaun, denn da ist es wesentlich einfacher das berühmtberüchtigte "kleine Löchlein" zu finden, welches mir Tür und Tor öffnet.

An der Tür klopft man und klopft man und klopft man und die Tür geht nicht auf, wenn der klopende ein ungebetener Gast ist und als solches wird ein mit Brain 1.0 arbeitender User sich dann auch verhalten. Daher sagte ich ja auch in meinem Posting, dass dazu auch (ein wenig) die Änderung des Surf- und Klickverhaltens gehört ...

wenn du einen computer mit "brain 1.0" und allen ports geschlossen sicher halten willst darfst du überhaubt keine software mehr installieren von denen du die sourcen nicht hast...
Zum Vergrößern anklicken....

Mit Brain 1.0 in Aktion überlegt (informiert) man sich bereits vor der Installation ob dies oder jenes Progi wirklich das ist, was man sucht/ benötigt. Da kann selbst der Einsatz von Linux nicht wirklich vor schützen :D.
 
Zuletzt bearbeitet von einem Moderator:
tja und wo willst du dich informieren? im netz? das ja so unglaublich allwissend und verfälschungssicher ist? solange du nicht selber nachsehen kannst kannst du nie sicher sein. da ist deine sicherheit genauso trügerisch wie die einer firewall auf einem schlecht konfigurierten system...

am sichersten ist immernoch ports zu UND firewall drauf....
 
am sichersten ist immernoch ports zu UND firewall drauf....
Zum Vergrößern anklicken....

Nein, sicher ist nur dies --> http://jenner.rz.tu-ilmenau.de/~traenk/scissors.htm

Dein "doppeltgemoppelt" ist so gesehen purer Quatsch, denn wenn ich die PFW von dir ausgeknipst habe, habe ich in vielen Fällen auch wieder deine von dir geschlossenen Ports geöffnet. Es kommt darauf an, was die PFW macht (abhängig von Hersteller und Software), wenn die PFW die geschlossenen Ports wiederum öffnet um sie dann wieder auf "Stealth" zu setzen und ich deine gestealthen Ports tunnel, hab ich wieder frei Bahn.

Probier es mal mit ein oder zwei wirklich sehr zuverlässigen Leuten und verschiedener Software-FW aus, sofern du das KnowHow dafür hast, eine PFW auszuknipsen.

Solange wir hier nur von PFWs und keiner Hardware-Firewall, die zwar auch auf Software basiert, aber um Längen sicherer und auch wesentlich schwieriger auszuknipsen ist, sprechen, wird es schwierig mich vom Gegenteil zu überzeugen.

Versuch doch mal die FW in einem Router zu tunneln ... ich meine kein SPI = Paketfilter.
 
Fazit aus allen Stellungnahmen:

Die Frage zu stellen, ob die Windows-Firewall für den Normaluser ausreicht, dürfte wohl ein breites Grinsen auslösen.

Oder? :D :D :D
 
AMDUser schrieb:
Nein, sicher ist nur dies --> http://jenner.rz.tu-ilmenau.de/~traenk/scissors.htm

Dein "doppeltgemoppelt" ist so gesehen purer Quatsch, denn wenn ich die PFW von dir ausgeknipst habe, habe ich in vielen Fällen auch wieder deine von dir geschlossenen Ports geöffnet. Es kommt darauf an, was die PFW macht (abhängig von Hersteller und Software), wenn die PFW die geschlossenen Ports wiederum öffnet um sie dann wieder auf "Stealth" zu setzen und ich deine gestealthen Ports tunnel, hab ich wieder frei Bahn.

Probier es mal mit ein oder zwei wirklich sehr zuverlässigen Leuten und verschiedener Software-FW aus, sofern du das KnowHow dafür hast, eine PFW auszuknipsen.

Solange wir hier nur von PFWs und keiner Hardware-Firewall, die zwar auch auf Software basiert, aber um Längen sicherer und auch wesentlich schwieriger auszuknipsen ist, sprechen, wird es schwierig mich vom Gegenteil zu überzeugen.

Versuch doch mal die FW in einem Router zu tunneln ... ich meine kein SPI = Paketfilter.
Zum Vergrößern anklicken....

und du hast das "knowhow" dafür eine ordentliche PFW auszuknippsen? das würde ich gerne mal sehen...

du denkst in die vollkommen falsche richtung. einen port zu öffnen ist viel einfacher als eine ordentliche firewall zu deaktivieren.

einen port öffnen ist eine zeile, um auch nur eine ordentliche PFW abzuschießen ohne das hinterher das netz ganz zu is ist riesiger aufwand(wenn es den überhaubt klappt). ein programm das sich um jede mögliche firewall kümmern will wird dann schon wirklich groß werden.

und zu guter letzt: wie du einen "gestealthen" port tunnel willst an desen ende nichts weiter als die firewall sitzt du ganz sicher keine funktion aufweist um irgendwas mit den daten zu machen die durch den port kommen würde mich bei der gelegenheit auch extrem interessieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

SeniorY
Frage zu Firewall auf Proxmox der auf einem VPS läuft
Antworten
16
Aufrufe
2.009
Bob.Dig
Bob.Dig
B
Fragen zu Software-Firewalls (Windows) - Detaillierte Konfiguration möglich?
Antworten
8
Aufrufe
907
chrigu
chrigu
tnjens
Fritzbox (DSL) - PfSense (Firewall) - Fritzbox (WLAN) mit IPv6
Antworten
3
Aufrufe
819
eigsi124
eigsi124
90210
Malwarebytes Windows Firewall Control Frage wegen Einstellung
Antworten
3
Aufrufe
897
whats4
whats4
F
Fritzbox Mesh und IP Administration nicht verfügbar seit Firewall-integration
2
Antworten
34
Aufrufe
2.340
Raijin
Raijin
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz