Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Über welche Ports werden Kontaktdaten geholt (Botnet)?

Frage Sicherheit Firewall

Mitglied: Openname

Openname (Level 1) - Jetzt verbinden

06.08.2010, aktualisiert 13:54 Uhr, 5805 Aufrufe, 13 Kommentare

Ich suche die Zugangsports von Botnets und Gegenmassnahmen.

Hallo,

einer Bekannten von mir ist von Ihrem Vista-Rechner ihr OUTLOOK-Adressbuch offensichtlich ausgelesen wurden. Möglicherweise hängt sie auch in einem Botnet.
Meine Frage ist nun:
Welche über welche Ports werden bevorzugt OUTLOOK-Kontakte abgezogen und damit verbunden, welche Ports nutzen die Botnets?

Also wie kann ich eine zwischen Speedport und PCs geschaltete Firewall (Linksys-Router mit DD-WRT) absichern, dass Botnets keine Chancen haben? Oder geschieht das mittels geeigneter Malware
über die offenen Ports 80, 443, 143, 25, 3389?

Wäre schön einige Informationen über die Botnets und das Absaugen von OUTLOOK-Kontakten zu erfahren, am besten auch weiterführende Links.

Viele Grüße

Openman
Mitglied: maretz
06.08.2010 um 13:46 Uhr
Ähm - die einzige Chance ist die brain.exe...

Denn das Bot-Netz greifft nicht direkt auf deinen PC zu -> sondern eben über einen BOT (daher ja auch der name). Dieser kann prinzipiell über JEDEN Port mit dem Netz kommunizieren - auch über Port 80... (solang die Gegenstelle weiss das dort kein std-http-Traffic kommt ist das kein Problem - ich schalte den Bot-Server eben auf Port 80 damit ich eben solche simplen Firewalls umgehe...).

Und das "absaugen" der Kontakte aus Outlook? Zimlich simpel - ich nehme halt die Mapi und verhalte mich ggf. sogar ganz standard-konform... Und schon gibt mir dein Outlook seine Kontakt-Infos (z.B. gibts für Java ne Office-Api mit der ich auch Kontakte in Outlook eintragen kann usw...). Schon brauche ich die daten nur noch verpacken und via meinem Bot an meinen Server schicken -> angriff erledigt ohne deine Firewall auch nur Ansatzweise zu stören...
Bitte warten ..
Mitglied: mrtux
06.08.2010 um 14:02 Uhr
Hi !

Wenn die Malware schon aktiv, kannst Du da gar nix mehr absichern.......Was willst Du tun? Eine Desktop "Firewall" verspeist der Bot zum Frühstück und die Standardports für www, ftp, smtp, pop und imap, kannst Du auch nicht zumachen, dann könntest auch gleich den Internezugang beim Provider abmelden...

Rechner mit Offline-Scan versuchen zu "reinigen" oder falls nicht möglich, neu aufsetzen und dafür sorgen tragen, dass das OS und alle Programme, die direkten Zugang zum Internet haben, wie Browser, Mailprogramme sowie deren Plugins (Flash, Java usw.) immer aktuell sind und dass Malware an keine Adminrechte mehr rankommt....Ausserdem kannst Du da mit ddwrt eh keinen Krieg gewinnen, da müsstest Du eher eine Monowall o.ä. einsetzen, mit der Du gezielte Regeln setzten kannst...Aber wie gesagt, wenn das Kind in den Brunnen gefallen ist, ist es schon zu spät....

mrtux
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 14:05 Uhr
Hi.
Sie hat sich infiziert und ist evtl. Teil eines Botnetzes. Du willst dem Bot die Kommunikationswege abschneiden, richtig?
Keiner weiß, wie sich dieser Bot verhält. Weder, welche Ports er nutzt, noch, ob er versucht, Spam zu versenden oder noch bösere Sachen.

Installier den PC neu, als Anfänger sollte man sich auf keinen Fall mit der Rettung infizierter Rechner einlassen (und als Profi nimmt man dazu ein Imagebackup).
Wichtiger ist, nun das Nutzverhalten umzustellen. Auch Anfänger sollten mit vorsichtigem Verhalten und ein wenig Aufwand (Software up-to-date halten) wenig Angst haben müssen, dass so etwas passiert.

Findet also raus, was zur Infektion geführt haben könnte
-Mailanhänge?
-Ungepatchte Programme?
-evtl. sogar gegenüber dem Internet offene Ports?
-oder wie so oft Downloads aus dubiosen Quellen?
Bitte warten ..
Mitglied: Openname
06.08.2010 um 14:07 Uhr
Das klingt echt bös.
Was meinst du mit der Abkürzung Mapi?

Also ich frage, damit ich mir eine Lösung gestelten kann.
Bitte warten ..
Mitglied: Openname
06.08.2010 um 14:13 Uhr
Zitat von DerWoWusste:
Hi.
Sie hat sich infiziert und ist evtl. Teil eines Botnetzes. Du willst dem Bot die Kommunikationswege abschneiden, richtig?

Richtig, davon gehe ich aus. Das mit dem Nutzerverhalten ist zwar nett gesagt, aber das wird schwer gehen. Ein Laie, der nur mit dem Laptop bequem arbeiten will,
ein Haufen Mails erhält, und das Eine oder Andere im Internet toll findet und runterlädt, da ist das Nutzerverhalten unbiegsam wie KruppStahl.
Bitte warten ..
Mitglied: maretz
06.08.2010 um 14:14 Uhr
Die MAPI ist die Schnittstelle die z.B. von Outlook genutzt wird (iirc.: Mail Advanced Programmer Interface). Darüber kommunizieren dann die Programme z.B. mit Outlook (oder anderen Email-Clients). Es wäre ja z.B. fatal wenn du bei nem mailto://-Link immer gleich mitgeben müsstest: "Aber bei Thunderbird musst du das so formatieren und mit den Parameter übergeben damit die Adresse bei "to" drin steht - und bei Outlook muss das wieder ganz anders aussehen...."

Nachteil daran: Man kann die natürlich auch missbrauchen -> und der Spass geht los ;)
Bitte warten ..
Mitglied: maretz
06.08.2010 um 14:17 Uhr
Tja - dann hilft ggf. nur die Radikal-Tour: Der/Die soll bitte alle Passwörter ändern und ggf. mal die nächsten Wochen die Kontoauszüge prüfen... Und spätestens wenn alle Bekannten von der lustige Mails mit noch viel lustigeren Viren bekommen und die sich dafür nur noch welche an den Kopf hauen lassen darf wird die ggf. nochmal drüber nachdenken...

Sorry - aber wenn solche Leute meinen die wissen alles besser -> dann soll halt mal jemand deren Konto leerräumen. Manche lernen das Autofahren eben auch nur wenn die mal ne Karre gegen die Wand gesetzt haben...
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 14:21 Uhr
Ein Laie, der nur mit dem Laptop bequem arbeiten will, ein Haufen Mails erhält, und das Eine oder Andere im Internet toll findet und runterlädt, da ist das Nutzerverhalten unbiegsam wie KruppStahl.
Das sehe ich anders. Geh bitte in Gedanken mal die genannten Infektionsmöglichkeiten durch und beurteile, welche davon nicht mit einem Minimum an Aufwand stark eindämmbar sind.
Bitte warten ..
Mitglied: Openname
06.08.2010 um 14:27 Uhr
Ich setze mal das für alle Anderen rein:

http://cert.uni-stuttgart.de/doc/netsec/bots.php
Bitte warten ..
Mitglied: DerWoWusste
06.08.2010 um 14:56 Uhr
Was ziehst Du aus der Lektüre von Cert?
Ich würde nur eins als wichtig betrachten und das steht dort auf http://cert.uni-stuttgart.de/doc/netsec/bot-entfernung.php unterhalb von "Generelle Empfehlung nach einer Bot-Infektion" - das Selbe, was ich bereits geraten habe: Neuinstallation.
Und außerdem: "Primäres Einfallstor von Bots (wie rbot, agobot) sind zumeist fehlende Microsoft-Sicherheitsupdates".

Einen Anfänger bringt die Lektüre nicht weiter. Du musst Ihr schonend erklären, was eine Infektion ist und Ihr aufzeigen, dass es in weiten Teilen nur allzu leicht vermeidbares Fehlverhalten ist, was dazu führt. Ein Klassiker unter solchen Belehrungsschriften ist http://www.malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidba ...
Bitte warten ..
Mitglied: maretz
06.08.2010 um 14:59 Uhr
hmm - klasse darin steht das was die meisten hier sagen: Mach neu. Und das eben "normal" die Ports X,Y usw. genommen werden. Weisst du was nur blöd an der Sache ist? Das sich die Programmierer von Bot-Systemen nicht immer an Standards halten - und ggf. auch mal davon abweichen... SONST wäre es ja auch einfach die aufzuspüren. Einfach in den standard nen "evil-program-flag" einbauen -> und jeder Virus, Trojaner, Bot o.ä. muss das auf 1 gesetzt werden. Das wäre für die Virenscanner dann einfach ... Klärst du mit den Script-Kiddys u. ä. ab das die sowas mitmachen?
Bitte warten ..
Mitglied: mrtux
07.08.2010 um 02:13 Uhr
Hi !

Zitat von Openname:
Richtig, davon gehe ich aus. Das mit dem Nutzerverhalten ist zwar nett gesagt, aber das wird schwer gehen. Ein Laie, der nur mit

Naja, ich sags mal so: Heute waren es "nur" Email-Adressen, morgen sind es dann Kontodaten. Spätestens wenn das Konto leer geräumt wurde und sich die Bekannte peinlichen Fragen vom Banker gegenüber sieht, hat sich das Thema Nutzerverhalten in Punkto Bequemlichkeit contra Sicherheit geklärt, denn beim Geld wird selbst der sturste Bock (oder Böckin) ganz schnell lernfähig....

mrtux
Bitte warten ..
Mitglied: Openname
07.08.2010 um 11:50 Uhr
Zitat von mrtux:

Naja, ich sags mal so: Heute waren es "nur" Email-Adressen, morgen sind es dann Kontodaten. Spätestens wenn das
Konto leer geräumt wurde und sich die Bekannte peinlichen Fragen vom Banker gegenüber sieht, hat sich das Thema
Nutzerverhalten in Punkto Bequemlichkeit contra Sicherheit geklärt, denn beim Geld wird selbst der sturste Bock (oder
Böckin) ganz schnell lernfähig....

mrtux

Was willst du machen?? Du kannst es den Leuten nur sagen und das Alternativ-Verhalten ansprechen, sie aber nicht zwingen. Noch nicht einmal
als Administrator. Aber da haben die User auch keinen Vollzugriff und geht nicht alles.

Und ganz ehrlich gesagt:
Mich kotzt es an, wenn eine allgemeine Verständnisfrage gestellt wird, und dann solche Moralapostel ihren Senf dazugeben müssen. Das Thema ist insoweit
beantwortet, als ich das erfahren habe, was ich technisch wissen wollte. Der Rest ist wie gesagt so blödes Gequassel einiger Schlaumeier, die den Moralapostel
heraushängen lassen müssen.

Also laßt Thema jetzt einfach so stehen, ja? Okay!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Erkennung und -Abwehr
Ermittlern gelingt Schlag gegen Botnet-Schwergewicht Avalanche

Link von magicteddy zum Thema Erkennung und -Abwehr ...

Internet
Mirai-Botnet mit über 400.000 IoT-Bots zu vermieten (1)

Link von runasservice zum Thema Internet ...

Netzwerkprotokolle
Nachsehen ob Ports generell gesperrt sind (2)

Frage von staybb zum Thema Netzwerkprotokolle ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...