rechner wurde von superscan gesannt!

[poolzero]

hi,

habe eben eine meldung von meinem G-data internet security bekommen, das meine ports "von einem entfernten rechner" nach offenen ports gescannt wurde!
hat mich etwas stuzig gemacht. das proggy soll superscan heißen.
zweimal kam diese meldung innerhalb von 3minuten.

kann damit jetzt irgendwie nichts anfangen!

 

[Tankred]

Mussu auch nicht. Deine Firewall hat gemeldet, dass jemand Deinen Rechner gescannt hat, vielleicht sind auch nur ein paar Datenpakete an ein paar Ports gelandet und da dachte sich die Firewall "jetzt melde ich doch mal gleich, dass ich was gefunden habe. Dann freut sich mein Anwender, dass er mich gekauft hat." Ehrlich: solche Meldungen kann man ignorieren. Irgendwas ist an Deiner Firewall angekommen. Die hat es nicht reingelassen und gut is.

 

[poolzero]

der meldung zur folge, wurde der rechner auch gescannt!

 

[Tankred]

Äh, ja klar. Watt sach ich denn!? "Scannen" hört sich zwar konkret krass H@kzor-mäßig an, ist aber nur die Tatsache, dass Datenverkehr an einem oder mehrerer Deiner Ports angekommen ist. Davon rede ich doch die ganze Zeit!

 

[poolzero]

kommt dann aber nicht eine meldung der art "eine entfernter rechner hat versucht auf ihr system zu zu greifen"?
mmhhhh, naja, erst mal danke.

 

[Tankred]

Nö. So eine Firewall versucht ja nur, den ankommenden Traffic in eine Schublade zu schieben. Dafür haben die meistens eine "Liste", auf der steht, was sie sagen soll, wenn an Port XY etwas passiert. Und das ist völlig willkürlich. Da könnte man auch reinschreiben, dass die Firewall bei incoming Traffic an Port 333 TCP ausgeben soll "Vorsicht, fliegende Schweine wollen in Ihren PC eindringen!".

 

[poolzero]

fliegende schweine? wie passen die denn in diese kleine leitung?
ach verstehe, die ping und mtu werte geben die schnitzel größe an die für durch so eine leitung passt^^

spaß beiseite. ich danke dir für die info.

 

[Feuersten]

Irgendwas ist an Deiner Firewall angekommen. Die hat es nicht reingelassen und gut is.

Aber was ist mit den offenen Ports über die der Internet-Traffic läuft, hier könnten doch möglicherweise Schadprogramme auf den Rechner gelangt sein. Ich hatte jetzt das gleiche Problem wie poolzero und die G-Data Hotline konnte nicht mit Sicherheit ausschließen, dass nicht doch Datenpakete auf den PC gelangt sein könnten, einen 100%-igen Schutz gäbe es eben nicht...wie beruhigend...

 

[Nostromo33]

Aus genau diesem Grund sind diese "Firewalls" Augenwischerei.
Wenn der User dann nix mit den Ergebnissen anfangen kann, was soll das ?
Die meldung besagt doch lediglich das du gescannt wurdest, das ist doch in Inet nix besonderes.
Sicherlich sind da Ports offen, sonst könntest du ja nichts in Web machen, also der http muß wohl sein, und DNS muß auch sein.
Darüber können sicherlich Schadprogramme eingeschleust werden, daber doch nicht durch nen Portscan !
Und das der Support da keine Garantien gibt ist doch auch klar, die wären ja verrückt wenn sie das machen würden.
Nimm die Meldung einfach hin, und sag dir meine Firewall hats erkannt und geblockt, fertig.
Scriptkiddys, die nach offenen FTP Servern das Netz scannen gibts doch wie Sand am Meer.

 

[Tankred]

Aber was ist mit den offenen Ports über die der Internet-Traffic läuft, hier könnten doch möglicherweise Schadprogramme auf den Rechner gelangt sein...

Natürlich gibt es keine 100%ige Sicherheit und trotz und wegen einer Personal Firewall gibt es noch haufenweise Möglichkeiten, wie Schädlinge auf den PC kommen können. Da gibt es Sicherheitslücken in der Firewallsoftware, welche die Kontrolle eines PCs zulassen können oder Schädlinge, die für den Netzwerkverkehr freigegebene Ports "illegalerweise" nutzen. Die Firewallhersteller haben daher seit jeher die Möglichkeit genutzt, Netzwerkverkehr an bestimmten Ports nur für bestimmte Programme zuzulassen, also den http-Verkehr zum Beispiel nur für den Browser. Die Macher der Schädlinge haben deshalb schnell auf dll-hooks gesetzt, dann "sieht" eine Personal Firewall z.B. den Internet Explorer ins Netz gehen, obwohl gerade ein Schädling am Werk ist.

Ich könnte noch duzende Beispiele aufzählen, aber diese sind hier nicht relevant. Denn wenn die Firewall etwas meldet, dann hat sie es schon blockiert und dann besteht in diesem Fall auch keine Gefahr mehr. Denn wenn ein Schädling die Firewall ausgetrickst hätte, würde und könnte sie dies ja nicht melden.

 

[Feuersten]

Denn wenn die Firewall etwas meldet, dann hat sie es schon blockiert und dann besteht in diesem Fall auch keine Gefahr mehr.

Sorry, wenn ich hier nochmal nachfrage, aber ist das wirklich so ungefährlich, muß man einen Scan nicht als mögliche Vorstufe zu einem Hack ansehen? Aus lauter Jux und Dollerei wird so etwas ja wohl eher nicht gemacht und der Scannende verfolgt ja eine bestimmte Absicht, nämlich eine potenzielle Schwachstelle auf dem Rechner zu finden und darüber möglicherweise einen Angriff zu starten. Wenn mir also meine "Danke, dass du mich gekauft hast - Firewall" nun schon freundlicherweise mitteilt, dass ich gescannt wurde, müßte ich dann nicht reagieren und z.B. die Verbindung ins Internet schleunigst trennen um einen möglichen Angriff zuvorzukommen? Das ist in etwa ein bisschen so, als wenn mir mein Einbruchsmelder mitteilt, dass sich jemand an den Fenstern des Hauses zu schaffen macht, und ich gleichzeitig aber weiß, dass die Eingangstür ohnehin offen steht und ich sie jetzt - trotz Warnung - auch nicht schließe, irgendwie sinnlos...

 

[Tankred]

... muß man einen Scan nicht als mögliche Vorstufe zu einem Hack ansehen? Aus lauter Jux und Dollerei wird so etwas ja wohl eher nicht gemacht ...

Scanner benutzen gelangeweilte Zeitgenossen, um tausende IP-Adressen nach einer bestimmten Schwachstelle zu scannen. Wenn also bei Dir nach Schwachstelle XY gescannt wurde und die Firewall die Anfrage lediglich bemerkt und/oder geblockt hat, dann zieht der Scanner weiter zur nächsten IP auf der Liste.

Deshalb ist der Scan natürlich die Vorstufe zum Eindringen in einen Computer. Jedoch nur in die Computer, in die der gelangweilte Zeitgenosse auch reinkommt.