[HowTo]Firewall im Whitelist-Modus --> Ungewollten Traffic automatisch blockieren

Beispiel: Sagen wir, deine Spiele liegen alle unter E:\Programme.

Z.B. das Spiel "Barbies Abenteuer auf dem Ponyhof" liegt im Ordner E:\Programme\Barbies Abenteuer auf dem Ponyhof, die *.exe heißt barbie.exe

Wenn du jetzt die Systemvariable erstellst
Variable: Spiele
Wert: E:\Programme



ich gehe ganz stark davon aus, dass der ursprüngliche %ProgramFiles%-Pfad sehr tief im System verankert ist. Probleme bei Veränderungen wären extrem wahrscheinlich. Wenn man die Adresse dieser Variable ändert, dann am ehesten direkt nach dem Aufsetzen des OS. Wobei ich die Regelung mit eigenen Variablen viel flexibler finde.

ich wollte auch den Pfad eines Systempfades nicht etc. verändertn.
Viel mehr selber eine erstellen, für Programm / Spiele, die nicht in einem %yxz123% Pfad liegen.
Ich versuch das jetzt mal mit deiner Anleitung.





Erstellte Variablen lassen sich nicht löschen. Die kommen immer wieder ^^
 
Zuletzt bearbeitet:
Falkner schrieb:
jetzt kommt die Noobfrage des Jahrhunderts ^^...
muss man den Ordner zuvor auch in dem angegeben Ort ertstellt haben oder erstellt dieser sich dann von selbst ? ^^
einfach mal ausprobiert: Nö, der Zielordner erstellt sich nicht von selbst. Wenn er noch nicht erstellt ist, kriegst du beim Versuch, ihn per Variable zu öffnen, eine Fehlermeldung, dass er nicht existiert. Musste also manuell erstellen.
 
Bei anderen Spielen dann entsprechend. Der Ausdruck %Spiele% ersetzt demnach in der Adresse einfach 1zu1 den Ausdruck E:\Programme; der Rest der Adresse ist ganz normal.

Genau,
so habe ich mir das eigentlich auch vorgestellt.
habe das jetzt genau so gemacht.

Suche ich jetzt aber für die Erstellung einer Regel für World of Wacraft die WoW.exe, dann wird sie weiterhin mit E:\Spiele\WoW\World of Warcraft Trial\WoW.exe angegeben.

Und nicht wie es eigentlich sein sollte.
Die Variable habe ich "Spiel WoW" benannt.
und der Wert lautet:
E:\Spiele\WoW\World of Warcraft Trial

Müsste doch eigentlich so aussehen %Spiel WoW%\World of Warcraft Trial\WoW.exe lauten

Und noch was.
Erstellte Variablen lassen sich nicht löschen. Die kommen immer wieder ^^



Edit:
Bzw, wie muss es aussehen ?

Das Spiel ist in E:\Spiele\WoW\World of Warcraft Trial\WoW.exe installiert.

Wie muss der Wert der Variable aussehen ?

So: E:\Spiele\WoW\World of Warcraft Trial

oder

so: E:\Spiele\WoW\World of Warcraft Trial\WoW.exe

oder ganz anders ?
 
Zuletzt bearbeitet:
Falkner schrieb:
Suche ich jetzt aber für die Erstellung einer Regel für World of Wacraft die WoW.exe, dann wird sie weiterhin mit E:\Spiele\WoW\World of Warcraft Trial\WoW.exe angegeben.
das hab ich auch grad festgestellt; aber scheinbar werden diese Adressen ja nicht von der WinFW verstanden ...

Falkner schrieb:
Die Variable habe ich "Spiel WoW" benannt.
und der Wert lautet:
E:\Spiele\WoW\World of Warcraft Trial
Müsste doch eigentlich so aussehen %Spiel WoW%\World of Warcraft Trial\WoW.exe lauten
nö, es müsste so aussehen: %Spiel WOW%\wow.exe

Aber ich weiß gar nicht, ob überhaupt Leerstellen in der Variable erlaubt sind! Probier es lieber mit %SpielWoW%
Falkner schrieb:
Und noch was.
Erstellte Variablen lassen sich nicht löschen. Die kommen immer wieder ^^
dann klickst du einmal zu wenig auf "ok" ;). Die Regeln werden erst dann gültig, wenn das Systemvariablen-Fenster durch "ok" wieder geschlossen ist. Gleiches gilt für das Löschen von Variablen. D.h. du solltest das Fenster nicht per "X" schließen.

Das Spiel ist in E:\Spiele\WoW\World of Warcraft Trial\WoW.exe installiert.
Wie muss der Wert der Variable aussehen ?
das kommt drauf an, wie breit die Variable gültig sein soll. Wenn du noch andere Spiele unter E:\Spiele installiert hast, ist es sinnvoller, einfach %Spiele% mit Wert E:\Spiele zu nehmen. Dann wäre die Adresse für WoW:
%Spiele%\WoW\World of Warcraft Trial\WoW.exe
Wenn du wirklich eine Variable ausschließlich für WoW haben willst, dann solltest du den Wert E:\Spiele\World of Warcraft Trial nehmen (die Adresse wäre dann %SpielWoW%\wow.exe). Vielleicht ginge sogar, direkt auch die *.exe im Wert mit anzugeben, dann müsste - rein logisch - bei Eingabe der Variable sofort WoW gestartet werden. Würde ich aber von abraten.
 
das hab ich auch grad festgestellt; aber scheinbar werden diese Adressen ja nicht von der WinFW verstanden ...

Dann wird man nie herrausfinden ob man es richtig gemacht hat wenn der "normale" Pfad angezeigt wird ^^





Aber ich glaube das ist für die Firewall nicht so unbedingt wichtig.
Programme installiere ich sowieso immer auf C:\Programme (Systempartition)
Wenn ich also irgend ein Programm in eine FW-Regel packen will, wird es immer mit %ProgramFiles% (x86) beginnen.


Und Spiele und alles andere kommt auf eine andere Partition.

Und da WoW auch ohne diese Variablen funktioniert, muss ich mir keine Gedanken, denke ich.
Wenn es mit WoW klappt, klappt es auch mit anderen Spielen ohne Variablen bzw. %123xyz% Pfaden.


Und ja, mit Betätigung auf "OK" geht es was die Variablen angeht, danke :) ^^
 
Zuletzt bearbeitet:
@Sheinweltname

Hier mal ein Link wo beschrieben steht, wie man die Windows-Firewall mit erweiterter Sicherheit unter Vista richtig konfiguriert.

http://www.win-tipps-tweaks.de/cms/...ta-firewall-konfigurieren-und-einstellen.html

Habe mich nach dieser Anleitung gerichtet und alles klappt so wie es soll.

EDIT: Kannst den Link ja im ersten Post verlinken. Achso, daß mit den Systemvariablen braucht man doch nicht.
 
Zuletzt bearbeitet:
TobHH schrieb:
EDIT: Kannst den Link ja im ersten Post verlinken.
den link werd ich nicht posten, weil ich nichts erkenne (was für normale User relevant wäre, IPsec? Wozu? Nutzer aus der Zielgruppe dieses HowTos nutzen keine VPN-Software oder gesicherte lokale Netzwerke), was nicht auch in meinem HowTo, und das deutlich ausführlicher, steht.

und dass es " klappt, wie es soll", wundert mich nicht, weil da nirgends etwas an den Standard-Einstellungen geändert wird ... und bei Standardeinstellungen wird nunmal jeglicher ausgehender Traffic zugelassen. D.h. es bedarf überhaupt keiner Regeln, um Internetverbindung zu kriegen ...
in anderen Worten: Folgt man dem Tutorial von win-tipps-tweaks, dann hat man keine Whitelist-Firewall!

EDIT
Falkner schrieb:
Woran erkennst du, dass diese drei IPs bereits in 199.7.71.0/22 enthalten sind ?
ich lag übrigens falsch mit der CIDR *schäm* Bei Syndicat.whois stehen mehrere Bereiche, weil es keine einzelne CIDR gibt, die den Bereich richtig erfasst. /23 wäre zu groß, /22 ist zu klein. Insofern sollte man die drei einzelnen CIDR angeben: 199.7.71.0/24, 199.7.72.0/22, 199.7.76.0/24
Werds in Post #1 ändern.

Es gibt im Netz übrigens diverse CIDR-Berechner (Webseiten und Software), die auch korrekte Ergebnisse liefern ... aber irgendwie finde ich keinen davon wirklich so vertrauenserweckend, dass ich einen verlinken würde. Fänd es cool, wenn es so einen Rechner auf irgendeiner Universitäts-Webseite gäbe.
 
Zuletzt bearbeitet:
Hallo @Scheinweltname und Falkner!

Habe nun nach langem hin und her mein BS neu aufgesetzt und bin echt froh, Euch mitteilen zu können, daß jetzt alles funktioniert. :D

Hatte erst noch das Problem, daß sich Vista nicht aktivieren lassen wollte, aber daß habe ich auch hinbekommen.

EDIT: Eine Frage hab ich noch. Wenn ich mich mit Firefox auf einen FTP-Server zugreifen möchte, z.b. den hier ftp://driver.jmicron.com.tw/, dann meldet Firefox immer, daß er sich mit dem Server nicht verbinden kann.

Was muß ich da bei Protokolltyp und Remoteport einstellen?
 
Zuletzt bearbeitet:
TobHH schrieb:
EDIT: Eine Frage hab ich noch. Wenn ich mich mit Firefox auf einen FTP-Server zugreifen möchte [...], dann meldet Firefox immer, daß er sich mit dem Server nicht verbinden kann.
Was muß ich da bei Protokolltyp und Remoteport einstellen?
Die Standardports für ftp sind laut Wikipedia die TCP-Remoteports 20 und 21. Wenn du die freigibst, müsste es funktionieren.
 
hier bin ich auf ein YouTube-Video gestoßen mit dem Titel Firewall nutzlos .
Es wird ein Angriff auf einen Windows Rechner demonstriert...

http://www.youtube.com/watch?v=ZNlbd6PzoGA&feature=related

Gleich zu Anfang wird erwähnt, dass es sich um XP+SP2 handelt.
Aber im Grunde ist es doch nur eine Frage der Zeit bis die Win7-Firewall "nutzlos" wird. ^^

Für mich stellen sich eine wichtige Fragen ab der 06:00 Minute.




Er beginnt damit (ab der1:40 Minute) den Rechner bzw. das Netzwerk zu scannen und schaut welche Ports offen sind. Da eine FW aktiv ist, sind die Ports gefiltert und er kann keinen direkten Angriff starten.

Dann wird ein Server erstellt, der an einer IP und an Port 80 lauscht...


er sagt an dieser Stelle auch, normal wäre es dann eine Internet-IP die er eingibt. Aber da er das was er da macht in einem Netzwekr macht, nutzt er seine IP.Er gibt also seine IP mit einem Befehl ein, um aus seinem Rechner einen Server zu machen. Mir stellt sich die Frage, wäre es eine Internet-IP, was für eine IP wäre es dann ? Die einer Internetseite, eines Servers aus dem Internet oder eine ganz andere ?

...und der Exploit wird gestartet und auf den erstellten Server geladen.
Es wird gezeigt welche Schwachstellen ausgenutzt werden (einige von Mozilla, Safari, winzip-fileviw)

Ich weiß aber nicht ob ich das alles richitg mitbekommen habe. Könnt es Euch ja mal anschauen.



Naja, aber 06:00 Minute sagt er, Jetzt kommen sie ins Spiel,
und erklärt was man machen bzw. passieren müsste, damit man Opfer eines solchen Angriffes wird. Er nennt zwei Szenarien.

1. Er schickt eine E-Mail mit einem Link, in der Hoffnung, man klicke dort drauf...
Das wird dann wohl der Link von dem von ihm erstellten Server mit den geladenen Exploits sein. Er hällt das Szenario aber für nicht sehr wahrschienlich.


aber dafür das hier wahrscheinlicher:


2. seinem Opfer einen Trojaner unter zu schieben, irgend eine *exe etc.
Er spricht davon, dass man ganz einfach einen eigenen Internetexplorer erstellen kann.
In diesem Sieht man dann etwas, das ablenken soll und im Hintergrund ist ein "Miniwebbrowser" den man nicht sieht, der aber einen auf eine bestimmte URL leitet.

Sofort werden irgendwelche Dinge auf dem Rechner des Opfers geladen.
Und der Hacker bekommt zugriff auf seinen Desktop bzw. Ordner.
Er läd ein txt.Datei von seinem Opfer herrunter und läd eigene Datein auf den Rechner seines Opfers hoch... und löscht auch einige Dateien. Das könnte er auf mit dem System32 Ordner machen :freak: dann wars das mit dem Booten ^^


Was ich jetzt nicht verstehe....
müsste ich mir erst den von ihm erstellten Internetexplorer runterladen und intsallieren um in diese Falle zu geraten und damit die Firewall nutzlos wird ?

Oder ist es ein Trojaner, denn man sich einfängt, der dann die Kontrolle über den Microsoft Internetexplorer übernimmt. Das man dann egal wohin man surft, im Hintergrund der Miniwebbrowser einen woandershin navigiert ?

Am Anfang der 6-ten Minute meint er ja, es müsste seinem opfer einen Trojaner, eine *exe, irgend ein Spiel unter schieben. Kann er das einfach so, oder muss das Opfer schon selbst auf die *exe klicken ?

Und ist das mit der Windows 7 Firewall + Whitelist auch möglich ?
 
Zuletzt bearbeitet:
Anmerkungen zum Video:

Das Video setzt viel zu viel voraus und ist deswegen extrem unwahrscheinlich.
1.) vernünftige Firewalls machen die ports "stealth" und nicht nur gefiltert (gilt auch für die FW von XP SP2). D.h. ein angreifender Rechner weiß eben NICHT, ob hinter einer IP-Adresse überhaupt ein Rechner steckt bzw. ob diese IP-Adresse aktuell überhaupt vergeben ist. D.h. du müsstest schon einen Angreifer im eigenen Netzwerk haben oder anders darauf aufmerksam machen, welche IP-Adresse du hast.

siehe folgendes Firewall-Test-Ergebnis, alle Win-Firewalls seit XP SP2 liefern:
GRC ShieldsUp! schrieb:
Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.
2.) Es ist nicht möglich, einfach beliebig an den Ports von Rechnern im Internet zu lauschen. Das setzt eine bestehende Verbindung zwischen den Rechnern voraus. Es gibt nicht umsonst in TCPView die Verbindungsart "Listening". D.h. man würde einerseits lauschende Rechner sehen + Firewalls blockieren den Zugriff; d.h. es lässt sich auch gar nicht erst eine lauschende Verbindung (ohne Zutun des Users, s.u.) aufbauen. Das hat im Video nur funktioniert, weil der User die Webseite aufgerufen und damit eine Verbindung zu dem "Server" aufgerufen hat.
3.) Es muss, damit das ganze funktioniert, ein Trojaner installiert werden! a.) AV-Programme blockieren das und b.) der Nutzer muss mit Admin-Rechten unterwegs sein: Kein verantwortungsvoller Nutzer macht das noch (der Typ hätte sich womöglich nach der Infektion per Hack Admin-Rechte erschleichen können - was ich im Übrigen nicht glaube, dass das geht! - aber um überhaupt auf den Rechner zu kommen, hätte er schon Admin-Rechte haben müssen! Ein Paradoxon!
4.) Wegen dieses tollen Scans, welches OS man nutzt und welchen Browser: Das sendet jeder Browser an alle Server, mit denen er sich verbindet (wenn man es nicht irgendwie abschaltet). Kannst ja mal gucken, was dein Browser an alle Server sendet: https://www.grc.com/x/ne.dll?bh0bkyd2 -> Proceed --> Test: Browser Headers
Was glaubst du, woher die Browser-Nutzungsstatistiken z.B. hier auf ComputerBase kommen?!

in Kurz (EDIT: doch etwas länger ^^): Die Firewall wird nicht nutzlos. Sie filtert diesen Zugriff prinzipbedingt nicht, weil der User, selbstständig, wissentlich, manuell und eigenverantwortlich einen Server bzw. eine darauf liegende Webseite aufgerufen hat (im Video diese Seite, die angeblich einen Fehler hatte). Es wäre sogar vollkommen egal gewesen, ob der Hacker die IP des Users kennt: Wenn der User den Trojaner startet, dann wird eine Verbindung zum Malware-Server aufgebaut; und die Firewall von XP lässt nunmal jeden ausgehenden Verkehr zu. Wenn dann die Verbindung zum Server besteht, kann der Server diese aufrecht erhalten (=lauschen). Und wenn du dann auch noch einen Trojaner auf dem Rechner hast, dann kann jemand vom Server auch auf deinen Rechner zugreifen. Ich gehe übrigens extrem stark davon aus, dass der Trojaner per Remote-Verbindung agierte. Das ist aber dann nicht mehr möglich, wenn die Windows-Remote-Dienste deaktiviert sind (--> vgl. Exkurs 2 in Post #2 des vorliegenden Fadens).

Eine Whitelist-Firewall hilft gegen dieses Szenario dann, wenn die zu besuchende Server-IP-Adresse nicht zugelassen wäre. Wenn er also nur den IE benutzen könnte und du dem IE den Netzwerkontakt verbietest, könnte dir nix passieren, weil keine ausgehende Verbindung von DIR zum Server aufgebaut wird.

Übrigens gibt es Programme wie Threatfire oder Kaspersky, die erkennen und verbieten können, wenn Programme einen Browser aufrufen. Wenn so eines installiert ist, dann wird diese gesamte Prozedur (ohne Zutun des Users) aus dem Video unmöglich.

Wenn du keine Anhänge öffnest, nicht mit Admin-Rechten unterwegs bist (und die UAC am Besten nicht aus Versehen wegklicken kannst, sondern ein Passwort eingeben musst) und eine sinnvolle Whitelist-Firewall hast, ist dieses Szenario unmöglich. Am sichersten wäre, die Regeln von Programmen, die hinsichtlich der Ziel-IP-Adressen komplett freigegeben sind (wie Browser), nur bei Bedarf zu aktivieren. Dann gibt es keine Adresse (jenseits der fest vorgegebenen, z.B. Microsoft), die mit welchem Programm auch immer erreicht werden könnte. Und es würde einem Hacker nix nutzen, wenn er mit seinem Trojaner Windows Updates für deinen Rechner runterladen kann ;). Und da du eine DNS-Regel eingestellt hast, könnte er auch den Traffic nicht umleiten.

Eine gut eingerichtete Whitelist-Firewall schützt lückenlos vor dem Szenario im Video; ein vernünftiges AV-Programm sollte zusätzlich die Infektion mit dem Trojaner im E-Mail-Anhang verhindern --> wirf mal einen Blick auf die Taskleiste des WinXP im Video: Kein Virenscanner! Heutzutage würden vermutlich alle AV-Programme so einen billigen Trojaner spätestens proaktiv erkennen (wenn nicht schon vorher mit Signaturen oder heuristisch).

Ich sehe schon diese Avira-Free-reicht-aus-Nutzer, die jetzt immer auf dieses Video verweisen, wenn sie behaupten wollen, Software-Firewalls würden nicht funktionieren (liebe Grüße an die Foren von CHIP und ComputerBild ;) ). Beim Szenario im Video ist der Nutzer selber schuld, er hat den Hacker eingeladen, indem er einen E-Mail-Anhang geöffnet hat.

EDIT: So richtig beliebt macht sich SemperVideo bei mir nicht. Das Video (http://www.youtube.com/watch?v=k8GJqkPgjn0) mit dem ComputerBild-Niveau-Titel "Virenscanner nutzlos" ist vollkommen an den Haaren herbeigezogen. Erstens kann VirusTotal nur signaturbasiert, vielleicht noch heuristisch untersuchen, aber proaktive Erkennung führt es nicht durch; dazu müsste die Datei ausgeführt werden (und Kaspersky in Version 7? ... ja, le*k mich doch, willkommen in der Zukunft; wir sind bei 11!). Gerade das unaufgeforderte Herstellen einer Verbindung dürfte bei allen Virenscannern die Alaramsirenen schrillen lassen (mal abgehesehen davon, dass das bei einer Whitelist-Firewall sowieso scheitert, weil kein Programm ohne Erlaubnis Netzwerkkontakt bekommt).

EDIT: Ein guter Rat: Guck dir keine weiteren Videos von denen an ... das ist unnötige Panikmache (jedenfalls bei Usern wie dir und mir ... was der Dümmste Anzunehmende User (DAU) von nebenan so alles anklickt, ist eine andere Sache. Aber selbst wenn der dann zur Malware-Schleuder wird: Wir werden schon nix abkriegen, nicht mit Whitelist-Firewall und nem verschärften Kaspersky IS :D).
 
Zuletzt bearbeitet:
D.h. du müsstest schon einen Angreifer im eigenen Netzwerk haben oder anders darauf aufmerksam machen, welche IP-Adresse du hast.

Und selbst wenn jemand die IP eines Internetnutzers hat...
Macht ihn das angreifbar ?




2.) Es ist nicht möglich, einfach beliebig an den Ports von Rechnern im Internet zu lauschen. Das setzt eine bestehende Verbindung zwischen den Rechnern voraus.
Es gibt nicht umsonst in TCPView die Verbindungsart "Listening". D.h. man würde einerseits lauschende Rechner sehen + Firewalls blockieren den Zugriff; d.h. es lässt sich auch gar nicht erst eine lauschende Verbindung (ohne Zutun des Users, s.u.) aufbauen.

Vielleicht habe ich das falsch verstanden, aber ich glaube mit dem Lauschen meint der Komentator die IP-Adresse (192.168...) die zu seinem Server linkte... und jeder der auf den Link klickt wird belauscht. So hatte ich das verstanden.


Das hat im Video nur funktioniert, weil der User die Webseite aufgerufen und damit eine Verbindung zu dem "Server" aufgerufen hat.

Und damit wurde was genau erreicht ?
Eine Verbindung zum Server wurde hergestellt und Schadsofware auf den Rechner des Opfers geladen ?
Ich komme da nicht ganz mit.

3.) Es muss, damit das ganze funktioniert, ein Trojaner installiert werden! a.) AV-Programme blockieren das und b.) der Nutzer muss mit Admin-Rechten unterwegs sein: Kein verantwortungsvoller Nutzer macht das noch (der Typ hätte sich womöglich nach der Infektion per Hack Admin-Rechte erschleichen können - was ich im Übrigen nicht glaube, dass das geht! - aber um überhaupt auf den Rechner zu kommen, hätte er schon Admin-Rechte haben müssen! Ein Paradoxon!

Also als Win7 Nutzer habe ich die UAC auf die höchste Stufe gestellt.
Ich instlliere sehr wenig. Und wenn eine UAC-Anfrage kommt weil sich etwas installieren will ohne mein Wissen, dann merke ich das sofort wenn der Monitor sich abdunkelt und mich fragt was passieren soll. Kann ein Hacker, Trojaner was auch immer, den UAC-Regler nach unten schieben ? Dafür benötigt der doch dann auch Adminrechre die er nicht hat.



Die Firewall wird nicht nutzlos. Sie filtert diesen Zugriff prinzipbedingt nicht, weil der User, selbstständig, wissentlich, manuell und eigenverantwortlich einen Server bzw. eine darauf liegende Webseite aufgerufen hat (im Video diese Seite, die angeblich einen Fehler hatte).

Also doch nutzlos in diesem Fall ^^

Es wäre sogar vollkommen egal gewesen, ob der Hacker die IP des Users kennt: Wenn der User den Trojaner startet, dann wird eine Verbindung zum Malware-Server aufgebaut; und die Firewall von XP lässt nunmal jeden ausgehendenVerkehr zu. Wenn dann die Verbindung zum Server besteht, kann der Server diese aufrecht erhalten (=lauschen). Und wenn du dann auch noch einen Trojaner auf dem Rechner hast, dann kann jemand vom Server auch auf deinen Rechner zugreifen.

Zum verständnis.
Man selbst muss also den Trojaner in Form eines Spiels oder irgend einer anderen *exe-Datei angedreht bekommen und zusätzlich muss man auch auf einen Link klicken, damit die Verbindung zu einem Server entsteht ? Über diese Verbindung kann der Hacker mithilfe des gestarteten Trojaners auf dem Rechner des Opfers machen was es will ?

Wenn das so stimmt, dann habe ich immer etwas falsches geglaubt, nämlich, dass Trojaner von sich aus eine Verbindung zu irgend einem Server herstellen. Wobei eine Whitlist das verhinden würde, sollnage man den Trojaner nicht in die Whitelist aufnimmt ^^

Eine Whitelist-Firewall hilft gegen dieses Szenario dann, wenn die zu besuchende Server-IP-Adresse nicht zugelassen wäre.

Uneingeschränktes Surfen (Firefox ohne Zieladresse) kann demnach eine Gefahr sein.

Wenn er also nur den IE benutzen könnte und du dem IE den Netzwerkontakt verbietest, könnte dir nix passieren, weil keine ausgehende Verbindung von DIR zum Server aufgebaut wird.

Und dazu muss einfach nur die iexplore.exe in der Whitelist geblockt werden ?
Dann hat sein angesprochener Miniwebbrowser auch keinen zugriff mehr ?

Ich frage mich, ... wenn man sich jetzt einen Trojaner eingefangen hat, ist dann dieser Miniwebbrowser auch im Trojaner oder muss man sich den auchnoch irgendwo einfangen ?

Denn er meinte doch, wenn man dann irgendwo hinsurft, dass der Miniwebbrowser denn man nicht sieht im Hintergrund eine andere Seite/IP aufruft und zwar die, die im Trojaner programiert ist. Oder habe ich jetzt alles falsch verstanden ?

Mir ist das Ganze nämlich noch nicht klar.

-Trojaner muss einem untergeschoben werden. Ist dort der Miniwebbrowser schon drin ?
-Wenn man dann surft, surft der Miniwebbrowser im Hintergrund woanders hin,
Aber im Video spricht er das Aktmodel das man sich vorher aus den attachment der E-mail angeklickt hat. Mit attachment wird wohl der E-Mailanhang gemeint sein.
Ja was nun... wenn ich den Trojaner drauf habe...muss ich dann noch zusätzlich auf irgend etwas in einer E-Mail klicken oder surft das Mistding von alleine ? ...:freak: :stacheln:


Am sichersten wäre, die Regeln von Programmen, die hinsichtlich der Ziel-IP-Adressen komplett freigegeben sind (wie Browser), nur bei Bedarf zu aktivieren. Dann gibt es keine Adresse (jenseits der fest vorgegebenen, z.B. Microsoft), die mit welchem Programm auch immer erreicht werden könnte.

Und wie sieht es mit Thunderbird (bin jetzt bei Arcor^^)
a-squared Free
Anti-Malwareantibytes aus,
denen keine Zieladresse vergeben wurde ?

Diese Tools und ähnliche, bauen keine Verbindung zu irgendwelchen Servern auf die Schadsoftware verbreitet. Oder besteht diese Gefahr wenn keine Zieladressen eingegeben wurden ? Diese Frage hatten wir irgenwo schon glaube ich ^^


Und da du eine DNS-Regel eingestellt hast, könnte er auch den Traffic nicht umleiten.

Ja, aber nicht mit der Provider-IP sondern meine Router-IP.
Aber das bleibt sich hoffentlich gleich ?

ein vernünftiges AV-Programm sollte zusätzlich die Infektion mit dem Trojaner im E-Mail-Anhang verhindern

Welche AV-Programm sind vernünftig ^^
Da streiten sich doch alle drum in diesem Forum ^^


Ich sehe schon diese Avira-Free-reicht-aus-Nutzer, die jetzt immer auf dieses Video verweisen, wenn sie behaupten wollen, Software-Firewalls würden nicht funktionieren (liebe Grüße an die Foren von CHIP und ComputerBild ). Beim Szenario im Video ist der Nutzer selber schuld, er hat den Hacker eingeladen, indem er einen E-Mail-Anhang geöffnet hat.

Ich dachte er hat keine E-Mail geöffnet...
Das war doch nur das erste Szenario was er ansprach.
Er meinte doch das zweite, (das Unterschieben einer *exe) wäre einfacher.
Oder was die *exe etwa in dem E-Mail-Anhang ?
Das habe ich so gar nicht mitbekommen.
.

EDIT: Ein guter Rat: Guck dir keine weiteren Videos von denen an ... das ist unnötige Panikmache (jedenfalls bei Usern wie dir und mir ... was der Dümmste Anzunehmende User (DAU) von nebenan so alles anklickt, ist eine andere Sache. Aber selbst wenn der dann zur Malware-Schleuder wird: Wir werden schon nix abkriegen, nicht mit Whitelist-Firewall und nem verschärften Kaspersky IS :D)

:schluck:

Kaspersky muss ich noch einrichten ^^
 
wuä ... so viele Fragen ^^

Zum "Infektionsablauf":
Der Gedanke ist: Ein Server soll eine Verbindung mit dir herstellen. Dazu musst du mit deinem Rechner diesen Server kontaktieren, d.h. zu ihm eine ausgehende Verbindung aufbauen (damit die WinXP-Firewall, die ja nur eingehenden(!) Traffic blockiert, umgangen werden kann). Das kann passieren, indem z.B. ein Link in einer E-Mail zu diesem Server führt und du diesen Link in einem Browser eingibst (Szenario 1). Oder aber du startest einen Trojaner aus dem E-Mail-Anhang, der den Internet Explorer startet (das meinst du mit "Miniwebbrowser") und damit selbstständig eine Seite auf dem Server aufruft (Szenario 2).
Wenn du nur dem Link gefolgt bist, dann muss erst noch ein Trojaner heruntergeladen werden; was durch den Besuch der Seite geschehen müsste (wogegen du mit NoScript im Firefox geschützt sein dürftest; der IE sollte eh niemals Netzwerkkontakt bekommen).
Wenn ein - infizierter - Rechner erstmal Kontakt zum Server hat, dann kann der Server auf Port 80 "lauschen"; eben weil er über diesen Port über den Internet Explorer mit deinem Rechner verbunden ist. Und dank des Trojaners kann er dank der bestehenden Verbindung - die ja ursprünglich von deinem Rechner kam - ohne Gegenwehr der XP-Firewall auf deinen Rechner zugreifen.
So jedenfalls hab ich das verstanden.

Und genau deswegen ist das Szenario so unwahrscheinlich: Du musst auf eine E-Mail hereinfallen. Entweder öffnest du einen Trojaner im Anhang, oder klickst einen Link an (wo dann auf der entsprechenden Webseite versucht wird, einen Trojaner auf deinen Rechner runterzuladen). In beiden Fällen würden AV-Programme anschlagen, du müsstest du UAC bestätigen und dann würden die Programme trotzdem - dank der Whitelist-Firewall - keinen Kontakt zu ihrem Hacker-Server aufbauen können. Ohne den Trojaner kann der Server höchstens auf deinem Port 80 lauschen, wenn du dich mit ihm verbunden hast, aber er kann nicht auf deinen Rechner zugreifen. Wenn einfach jeder Server, mit dem man sich verbindet, über Port 80 auf den eigenen Rechner zugreifen könnte, dann dürfte man sich nicht mehr ins Internet trauen.

Du hast also etliche Instanzen, die dieses Szenario verhindern: HirnEinschalten.exe (keine E-Mail-Anhänge anzeigen oder öffnen) --> wenn doch geöffnet: die UAC-Anfrage nicht bestätigen --> wenn doch bestätigt: AV-Programm schlägt an (ein verschärft eingestelltes KIS sowieso) --> wenn selbst das nicht greifen würde: Die Whitelist-Firewall würde automatisch den Netzwerkzugriff auf die Malware-Server durch die unbekannten Prozesse unterdrücken (und wenn dann noch die Browser-Regeln nur bei Bedarf aktiv oder auf feste Adressen eingeschränkt sind, lassen sich nichtmal Browser missbrauchen ... was KIS sowieso von vornherein verhindern würde). Außerdem sind bei dir alle Remote-Dienste deaktiviert (inkl. server) und der lokale Netzwerkzugriff ist maximal eingeschränkt. Der Zugriff auf den Rechner im Video erfolgt über Remote-Dienste, die über das Ausnutzen von Schwachstellen des IExplorer und danach das Ausführen von Code gestartet werden. Wenn Remote-Dienste deaktiviert sind, läuft das Szenario ins Leere, denn es ist nicht möglich, einfach über TCP Port 80 auf einen Rechner zuzugreifen, der es nicht zulässt, indem er als Server fungiert (was durch das Ausnutzen der Remote-Dienste erreicht wurde).

Kurz: Geht bei dir nicht ;)

Insofern geht - was dieses Vorgehen betrifft - von allen Programmen ein Risiko aus, die als Webbrowser fungieren können. Darunter auch Thunderbird (kann auch Webseiten darstellen; deswegen unbedingt Port 80 blockieren bzw. gar nicht erst zulassen!). Wenn du über Thunderbird nur auf Arcor zugreifen willst, dann stell SSL-Imap und SSL-SMTP ein und nimm nur dieTCP-Ports 993 und 465. Du brauchst sonst nichts zuzulassen. AV-Programme haben in der Regel keine Browser-Funktion, außerdem besitzen diese Programme einen Selbstschutz, der verhindert, dass andere Prozesse sie als Browser (oder anderweitig) missbrauchen.

Deine DNS-Regel ist sicher; denn wenn eine DNS-Manipulation versucht würde, dann auf deinem Rechner (statt im Router). Da die Windows-Firewall und die KIS-Firewall aber nur DNS-Kontakt zu einer einzigen Adresse zulassen (eben dein Router), würdest du einfach keine Internetverbindung mehr bekommen (weil die DNS-Regel wegen falscher Zieladressen nicht angewendet wird).

Bedenke: Wenn du KIS benutzt, musst du alle Whitelist-Regeln in der KIS-Firewall umsetzen. Regeln in der WindowsFW sind wegen der Umleitung über Kaspersky wirkungslos (bis auf die DNS-Regel und die Regel für KIS selbst).

Falkner schrieb:
Und selbst wenn jemand die IP eines Internetnutzers hat...
Macht ihn das angreifbar ?
nein. Es ist möglich, dass er Scan-Versuche durchführt (wie ja der Typ im Video auch). Aber alle guten Firewalls (und dazu zählen die von Windows) antworten diesen Scan-Versuchen eben gar nicht. D.h. du bekommst ggf. eine Meldung, dass jemand einen Scanversuch durchführt, aber der Hacker selber kriegt keine Antwort und denkt entsprechend: Hinter der IP-Adresse steckt gar kein Rechner. Außerdem müssten Hacker bei den meisten Usern sowieso erstmal noch einen Router überwinden und den Rechner dann auch noch im lokalen Netz finden.

Ich gehe stark davon aus, dass Hacker IP-Adressen automatisch über Programme abgrasen. Als ich noch direkt über ein DSL-Modem im Netz war, hatte ich des Öfteren den berühmten worm_helkern Angriff (ist keine Gefahr, weil ich keinen uralten, ungepatchten SQL-Server auf dem Rechner laufen habe); ich vermute, dass Hacker aus Sonstwo einfach alle IP-Adressen der Telekom regelmäßig durchprobieren. Seitdem ich meinen Router habe, hatte ich keinen Scanversuch mehr.

EDIT: Auch wenn dieses Szenario mit gut gewählten Einstellungen ins Leere läuft, soll das natürlich nicht heißen, dass man fahrlässig E-Mail-Anhänge öffnen oder verseuchte Seiten aufrufen sollte! :freak:
 
Zuletzt bearbeitet:
Oder aber du startest einen Trojaner aus dem E-Mail-Anhang, der den Internet Explorer startet (das meinst du mit "Miniwebbrowser") und damit selbstständig eine Seite auf dem Server aufruft (Szenario 2).

Ok, das macht Sinn.
Ich war etwas irritiert, weil der Typ das erste Szenarion (locken mit 20.000 Euro-Link in einer Email) ansprach und das als weniger wahrscheinlich ansah.

Darum ging ich davon aus, dass beim 2. Szenario nicht schonwieder eine E-Mail verwendet wird. Aber dann macht es mit deiner erklärung auch Sinn.
Er sprach ja davon, seinem Opfer einen Trojaner unterzuschieben.

Hierbei ging ich davon aus, dass er den Trojaner irgendwo auf eine Seite läd oder per Messenger versendet.

Als Beispiel nannte er das Betrachten eines Aktmodels durch das draufklicken auf das attachment (Anhang) und im Hintergrund steuert dann (aktiviert durch das Klicken auf das Model) der IE irgend einen Server an weil das so im Trojaner programmiert ("Miniwebbrowser") wurde.


Da hilft Brain.exe michts mehr...
von der ganzen Aktion und den vielen Warnungen die sämtliche Programme melden, würde man nichts mitbekommen weil beim betrachten des Models das Blut aus dem Hirn in eine andere Richtung gepummpt wird ^^

der IE sollte eh niemals Netzwerkkontakt bekommen

Hab die iexplore.exe eingehend und ausgehend für alle Ports blockiert. ^^

Wenn ein - infizierter - Rechner erstmal Kontakt zum Server hat, dann kann der Server auf Port 80 "lauschen"; eben weil er über diesen Port über den Internet Explorer mit deinem Rechner verbunden ist. Und dank des Trojaners kann er dank der bestehenden Verbindung - die ja ursprünglich von deinem Rechner kam - ohne Gegenwehr der XP-Firewall auf deinen Rechner zugreifen

Ah ok, das ist dann aber bei der Win7-FW nicht mehr möglich, wegen der Whitelist. (eingehend alle Regeln gelöscht, ausgehend nur bestimmte Regeln)


Ohne den Trojaner kann der Server höchstens auf deinem Port 80 lauschen, wenn du dich mit ihm verbunden hast, aber er kann nicht auf deinen Rechner zugreifen. Wenn einfach jeder Server, mit dem man sich verbindet, über Port 80 auf den eigenen Rechner zugreifen könnte, dann dürfte man sich nicht mehr ins Internet trauen.

Wenn der lauschen kann, dann kann er aber Daten wie Passwörter usw. abfangen oder funktioniert das auch nur wenn ein Trojaner drauf ist ?
Dagegen hilft dann vermutlich einmal der Verstand und TCPView zum überprüfen.



Außerdem sind bei dir alle Remote-Dienste deaktiviert (inkl. server)und der lokale Netzwerkzugriff ist maximal eingeschränkt.
Ja, alle Dienste die du im Post #33 angegeben hast habe ich deaktiviert.
Und heute habe ich noch mit Hilfe des Tools Autorun ->[im Reiter] = Logon , den Haken bei rdpclip entfernt

Laut Recherche dient das Teil für remote desktop connections to your computer


Deine DNS-Regel ist sicher; denn wenn eine DNS-Manipulation versucht würde, dann auf deinem Rechner (statt im Router). Da die Windows-Firewall und die KIS-Firewall aber nur DNS-Kontakt zu einer einzigen Adresse zulassen (eben dein Router), würdest du einfach keine Internetverbindung mehr bekommen (weil die DNS-Regel wegen falscher Zieladressen nicht angewendet wird).

Es sei, irgendwie durch Zauber und Magie ... schaffen es Angreifen die IP in meinem Router und in meiner DNS-Regel zu ändern. Aber selbst da würde ich vermutlich kein Internet mehr haben. Da keine Verbindung mehr zur Telekom.... :freak:




Ich gehe stark davon aus, dass Hacker IP-Adressen automatisch über Programme abgrasen.

Hat das der Typ im Video am Anfang nicht gesagt, dass er die Rechner scannen müsste ? Aber da sprach er von einem Netzwerk und nicht vom Internet... oder meinte er mit Netzwekr das internet ? ^^ Er sagte ja auch, dadurch, dass er nur einen Rechner Scannt, ginge der Scan schnell.

Edit: Ach ich glaube dort hat es die Ports gescannt und nicht die IPs.. da sprach er doch von 1000, Ports, die alle gescannt und gefiltert seien und dewegen die FW umgehen müsste.


Auch wenn dieses Szenario mit gut gewählten Einstellungen ins Leere läuft, soll das natürlich nicht heißen, dass man fahrlässig E-Mail-Anhänge öffnen oder verseuchte Seiten aufrufen sollte!

Man muss auch mal was riskieren können ^^


Habe mir mal TCP und UDP Ports rausgeschrieben die von Trojanern verwendet werden.

Aber vermutlich müsse diese wegen der Whitelist nicht extra blockiert werden.
Ich poste sie dennoch :)

PS: Port 80 habe ich nicht mit aufgezählt,
Port 21 ist in der Liste... wird für FTP-Downloads benötigt.
Port 25 auch in der Liste und wird für "Simple Mail Transfer Protocol" benötigt.
Das war bei mir im Thunderbird standrtmäßig aktiviert, dennoch überflüssig.

zu Port 25 habe ich hier noch einen interessanten Link für seine verwendung und seine Gefahren.
http://www.uni-due.de/zim/services/sicherheit/port_25.shtml

TCP-Trojanerports:

2, 21, 23, 25, 31, 41, 48, 50, 53, 58, 59, 79,99, 110, 113, 119, 121, 123, 133, 146, 170, 315,421, 456, 531, 555, 606, 666, 667, 669, 692, 777, 808, 815, 911, 999, 1000, 1001, 1003, 1010, 1011, 1012, 1015, 1016, 1020, 1024, 1025, 1029, 1033, 1034, 1042, 1045, 1047, 1050, 1080, 1081, 1082, 1083, 1090, 1095, 1097, 1098, 1099, 1100, 1137, 1999, 2000, 2001, 2002, 2003, 2004, 2005, 2023, 2080, 2115, 2208, 2283, 2300, 2565, 2583, 2600, 2718, 2773, 2801, 2989, 3000, 3024, 3128, 3129, 3456, 3459, 3586, 3700, 3791, 4000, 4092, 4242, 4245, 4321, 4444, 4567, 4590, 4950, 5000, 5001, 5011, 5031, 5032,5321, 5333, 5343, 5400, 5401, 5402, 5512, 5521, 5550, 5555, 5556, 5557, 5569, 5598, 5637, 5638, 5698, 5714, 5741, 5742, 5882, 5888, 5889, 6000, 6006, 6272, 6400, 6500, 6666, 6667, 6669, 6670, 6711, 6712, 6713, 6723, 6767, 6771, 6776, 6789, 6883, 6912, 6939, 6969, 6970, 7000, 7001, 7201, 7215, 7300, 7301, 7306, 7307, 7308, 7424, 7597, 7609, 7789, 7983, 8080, 8787, 8897, 8989, 9000, 9400, 9872, 9873, 9874, 9875, 9876, 9878, 9989, 9999, 10085, 10086, 10101, 10520, 10528, 10607, 11000, 11050, 11051, 11223, 12076, 12223, 12345, 12346, 12349, 12361, 12362, 12624, 12631, 12701, 12754, 13000, 13010, 13700, 14456, 14500, 14501, 14502, 14503, 15000, 15092, 15104, 16484, 16660, 16772, 16969, 17166, 17300, 17490, 17500, 17569, 17777, 19864, 20000, 20001, 20002, 20034, 20203, 20331, 20432, 21544, 21554, 22222, 23005, 23023, 23432, 23456, 23476, 23477, 26681, 27374, 27665, 29104, 30001, 30029, 30100, 30101, 30102, 30103, 30133, 30303, 30947, 30999, 31336, 31337, 31338, 31339, 31554, 31666, 31778, 31785, 31787, 31792, 32100, 32418, 33333, 33577, 33777, 33911, 34324, 37651, 40412, 40421, 40422, 40423, 40425, 40426, 41666, 43210, 44444, 49301, 50505, 50766, 51996, 53001, 53217, 54283, 54321, 57341, 58339, 60000, 60068, 60411, 61348, 61466, 61603, 63485, 65000, 65432, 65535


UDP-Trojanerports:

118, 555, 815, 1025, 1029, 1200, 1201, 1208, 1349, 2140, 2989, 3150, 3801, 4711, 5881, 5882, 5888, 6838, 6969, 7424, 9325, 10067, 10167, 10666, 12623, 18753, 20432, 23005
23456, 23476, 26274, 27444, 28431, 28432, 29891, 30103, 31335, 31337, 31338, 31788, 31789, 31790, 31791, 34555, 35555, 41666, 47262, 54320, 54321, 65432


Hier könnt ihr bei emisoft die Ports nachprüfen falls ihr wollt :)
http://www.emsisoft.de/de/kb/portlist/
 
Zuletzt bearbeitet:
Falkner schrieb:
Wenn der lauschen kann, dann kann er aber Daten wie Passwörter usw. abfangen oder funktioniert das auch nur wenn ein Trojaner drauf ist ?
Dagegen hilft dann vermutlich einmal der Verstand und TCPView zum überprüfen.
nö, das geht nicht. Das deshalb, weil es neben den Remoteports (eben 80, das ist der Port, den du auf dem Server kontaktierst) noch lokale Ports gibt (auf deinem Rechner). Wenn du mit einem Programm (z.B. dem Browser) gerade 2 verschiedene Seiten von zwei verschiedenen Servern aufrufst, dann wird jeder der Verbindungen je ein eigener lokaler Port zugeordnet (derer es 65535 gibt...). Deswegen ist jede Verbindung für sich isoliert. Deswegen siehst du in TCPView immer so viele Einträge, wenn du gerade mehrere Seiten aufgerufen hast. Außerdem: Passwörter und Co. werden quasi immer über https gesendet; d.h. verschlüsselt. Selbst wenn jemand diesen Datenverkehr abfangen würde, könnte er damit nix anfangen.

Falkner schrieb:
Und heute habe ich noch mit Hilfe des Tools Autorun ->[im Reiter] = Logon , den Haken bei rdpclip entfernt
Laut Recherche dient das Teil für remote desktop connections to your computer
geht deine Zwischenablage (strg+c oder strg+x und dann "einfügen") noch? Ich hatte das so verstanden, dass rdp-clip dafür zuständig ist.

Übrigens rate ich dir ganz dringend davon ab, mit AutoRuns rumzuspielen. Damit kannst du dir das System bis zur Unstartbarkeit mis-konfigurieren!

Es sei, irgendwie durch Zauber und Magie ... schaffen es Angreifen die IP in meinem Router und in meiner DNS-Regel zu ändern. Aber selbst da würde ich vermutlich kein Internet mehr haben. Da keine Verbindung mehr zur Telekom.... :freak:
:lol: :angstmach: Doch, in diesem unwahrscheinlichen Fall (DNS-Adressen im Router geändert + in der Win-Firewall + in der KIS-Firewall) würdest du doch eine Verbindung kriegen. Du musst ja die DNS-Server der Telekom gar nicht nutzen. Kannst z.B. auch die von Google nehmen oder die von Symantec (inkl. Malware-Server-Blocker).

Aber wie wahrscheinlich ist das? Überleg mal wie kompliziert es für dich war, das alles einzurichten :D

Edit: Ach ich glaube dort hat es die Ports gescannt und nicht die IPs.. da sprach er doch von 1000, Ports, die alle gescannt und gefiltert seien und dewegen die FW umgehen müsste.
wenn du den port-test auf grc shieldsup machst, dann kannst du noch viel mehr deiner ports scannen lassen ;)
Nein, das "deswegen" ist falsch. Er hatte nicht sofort direkten Zugriff auf den Rechner, weil die FW aktiv war und die Scans gefiltert hat. Und er hat die Ports desjenigen Computers gescannt, der unter einer bestimmten IP-Adresse im Netz unterwegs war. Übrigens würde so ein Scan bei dir sowieso im Router hängenbleiben, denn die IP deines Rechners ist ja die mit 192.168.x.x (LAN-IP); ein Hacker würde aber versuchen, offene Ports auf deinem Router (WAN-IP) zu finden. Da auf dem aber kein Internet Explorer läuft, kann auf den auch durch Schwachstellen keine Schadsoftware installiert werden, die Zugriff gewähren würde.

Aber vermutlich müsse diese wegen der Whitelist nicht extra blockiert werden.
das ist der Sinn einer Whitelist-Firewall: Man muss solches Gedöns gar nicht erst blockieren, weil die Firewall das automatisch macht (indem es keine Regel gibt, die die Ports freigibt). Übrigens sind Blockieren-Regeln bei einer Whitelist-Firewall bis auf eine Ausnahme unsinnig und überflüssig: Nur wenn du für ein Programm alle IP-Adresse oder Ports freigegeben hast, aber trotzdem ganz bestimmte blockieren möchtest (wie ich das für den Port 80 bei Unreal Tournament gemacht habe), dann greift eine Blockieren-Regel.

Die von dir aufgelisteten Ports können deswegen von Trojanern genutzt werden, weil es Programme gibt, die diese Ports nutzen. Und wenn ein entsprechendes Programm eine Schwachstelle hat (z.B. der Iexplorer im Video, oder ein SQL-Server im Falle des worm_Helkern), dann kann ein Hacker, wie der Typ im Video, diese ausnutzen, um Code auf dem Zielrechner auszuführen und so Kontakt herzustellen. Ports sind dann geschlossen, wenn es kein Programm gibt, das sie nutzt (und eine Firewall aktiv ist). (wegen Thunderbird: Der Port 25 ist ungesichert und wird von Spambots benutzt, um auf einem infizierten Rechner einen Mail-Server einzurichten. Die SSL-ports sind verschlüsselt und erfordern ein gültiges digitales Zertifikat; ist das nicht gegeben, meckern Firefox oder Thunderbird; deswegen wird das von Malware nicht genutzt. Deshalb sollte man Port 25 niemals öffnen und nur SSL-Ports benutzen.

Anmerkung: Richte dir bitte eine Netzsperre zu allen Emsisoft-Seiten ein! :D Das ist ein Hersteller von AV-Software, der natürlich seine Produkte an den Mann bringen will, entsprechend schürt der Panik. Informier dich lieber über Wikipedia oder Sicherheitsdienstleister über Sicherheitsfragen, anstatt bei einem kleinen AV-Hersteller.
 
Zuletzt bearbeitet:
Außerdem: Passwörter und Co. werden quasi immer über https gesendet; d.h. verschlüsselt. Selbst wenn jemand diesen Datenverkehr abfangen würde, könnte er damit nix anfangen.

Gibt genug Seiten bei denen das nicht der Fall ist, zumindest sieht man unten rechts in der Leiste kein Schloss und es öffnet sich keine HTTPS Seite...

Wie ist das eigentlich bei Seiten wie web.de

Wenn man seine Daten eingibt, ist es eine ganz normale HTTP-Seite.
Erst wenn man auf den Button klickt um sich einzulogen, erscheint das HTTPS und ein blauer Schriftzug.

Bei Seiten wie z.B. der battle.net accountseite steht das HTTPS schon bevor man seine Daten eingegeben hat.

macht das einen Unterschied ?


geht deine Zwischenablage (strg+c oder strg+x und dann "einfügen") noch? Ich hatte das so verstanden, dass rdp-clip dafür zuständig ist.


Funktioniert beides.




Aber wie wahrscheinlich ist das? Überleg mal wie kompliziert es für dich war, das alles einzurichten :D

Ich kenne mch ja auch nicht aus^^
Hacker schon :lol:
Aber ich könnte überprüfen ob es eine Änderung gab, indem bei der DNS-UDP-Port53 Regel nachschaue ob meine RouterIP noch vorhanden ist oder ob eine andere dort steht.
 
Zuletzt bearbeitet:
Falkner schrieb:
Wie ist das eigentlich bei Seiten wie web.de
Wenn man seine Daten eingibt, ist es eine ganz normale HTTP-Seite.
Erst wenn man auf den Button klickt um sich einzulogen, erscheint das HTTPS und ein blauer Schriftzug.
Das ist wie bei ComputerBase, da gibt es beim Login ja auch kein https. Aber trotzdem wird die Eingabe über SSL (HTTPS) gesendet (aber eben nur der Login, der Rest ist unverschlüsselt). Bei Web.de dürfte es nicht anders sein. Ich kenne aber auch Seiten, bei denen ich nicht weiß, ob sie wirklich https für den login nutzen; Abload.de zum Beispiel; oder myblog.de.

Wenn das Schloß in der Leiste auftaucht, dann kannst du sicher sein, dass https genutzt wird. Einen Unterschied - ob nun im Hintergrund oder offensichtlich eine https-Verbindung besteht - dürfte das aber nicht machen. Allerdings fühle ich mich auch besser, wenn ich das https von Anfang an sehe.

Falkner schrieb:
Funktioniert beides.
dann werd ich mal recherchieren, was rdpclip tatsächlich tut ...

EDIT: Ist tatsächlich ein Remote-Programm; werde die Deaktivierung im Exkurs 2 im Post #2 mal vorschlagen. Hatte ich lustigerweise schon längst deaktiviert :D

Falkner schrieb:
Aber ich könnte überprüfen ob es eine Änderung gab, indem bei der DNS-UDP-Port53 Regel nachschaue ob meine RouterIP noch vorhanden ist oder ob eine andere dort steht.
:lol: das mit dem Überprüfen gilt bei einer Infektion immer ;) (und dann ist es meistens schon zu spät. Dann heißt es, Festplatte formatieren und Abbild wiederherstellen).
 
Zuletzt bearbeitet:
Hi @ all!

Wenn Ihr Avast free Antivirus benutzt und eure FW nach diesem HowTo konfiguriert habt, kann Avast keine Updates mehr machen, auch nicht, wenn ihr sämtliche dateien im Avast Hauptverzeichnis in der Firewall freigegeben hat.

Das Programm legt, um das Update durch zu führen, noch eine weitere Datei in dem Ordner "*:\Program Files\Alwil Software\Avast5\Setup" an "avast.setup", die nach dem Updatevorgang automatisch wieder gelöscht wird.

Erst wenn man für diese auch eine Regel in der FW erstellt (es reicht den TCP Port 80 zu erlauben), funktioniert das Update.

@Scheinweltname

Hoffe es ist i.O., daß ich das hier reingeschrieben habe.

Greetz

EDIT: Eventuell wird es bei der Pro Version und den anderen Produkten von Avast genau so sein.
 
Zuletzt bearbeitet:
TobHH schrieb:
Das Programm legt, um das Update durch zu führen, noch eine weitere Datei in dem Ordner "*:\Program Files\Alwil Software\Avast5\Setup" an "avast.setup", die nach dem Updatevorgang automatisch wieder gelöscht wird.
? soll das heißen, dass Avast bei jedem Update einen neuen Updater erzeugt? Was ist denn das für eine merkwürdige Logik.

Wie genau heißt denn die Datei, die eine Verbindung zu den Update-Servern herstellt? (TCPView gibt dir darüber Auskunft). Der Updater z.B. vom Adobe Reader liegt auch nicht im Reader-Standardordner, sondern unter "C:\Program Files\Common Files\Adobe\Updater6. Ich wette, dass Avast das genauso hält; such mal im Common Files-Ordner nach einem Ordner von Avast.

Und eigentlich kann die Firewall nur *.exe-Dateien zulassen; für eine Datei "avast.setup" lässt sich keine Regel erstellen.

Es macht den gesamten Sinn einer Whitelist-Firewall absurd, wenn man den Port 80 für alle Programme ohne feste Zieladressen freigibt; da kann man genausogut die Standard-Einstellungen der Win-FW aktiv lassen.
 
Zuletzt bearbeitet:
Zurück
Oben