Angriff!

B0chumer_Junge · 22. März 2006 um 09:52

Hi Leute,

ich hab da mal so ein Problem

Ein Freund von mir besitzt einen leistungsstarken Rechner, der mit Windows XP pro, dem Kaspersky AntiVirus, xp-AntiSpy und Spybot S&D ausgestattet ist. Alle Programme haben die neusten Updates (inkl. OS). Der AntiVirus und der Spybot laufen ein Mal im Monat komplett durch.

Jedoch bekommt er immer wieder diese Meldung:
http://www.bilder-hosting.de/img/1799M.jpg

Schön, dass der Angriff abgewehrt wurde, aber ein bisschen beängstigend finden wir das beide. Er nutzt leider nur die SP2 Firewall da die ZoneAlarm Firewall nicht so richtig mit der T-Online Software und dem Kaspersky AntiVirus möchte.

Ich fänd es super wenn ihr dazu Stellung nehmen könntet.

bochumer Junge

Olaf_dfa415 · 22. März 2006 um 09:58

Schön, dass der Angriff abgewehrt wurde, aber ein bisschen
beängstigend finden wir das beide.

Ich denke eher, das ist die Profilneurose deiner „Firewall“ und nichts, das wirklich Angst machen sollte.

Little_H · 22. März 2006 um 10:02

Hi Leute,

Hallo nach Bochum,

ich hab da mal so ein Problem

Aeh, ich sehe ehrlich gesagt keines.

Jedoch bekommt er immer wieder diese Meldung:
http://www.bilder-hosting.de/img/1799M.jpg

Schön, dass der Angriff abgewehrt wurde, aber ein bisschen
beängstigend finden wir das beide. Er nutzt leider nur die SP2
Firewall da die ZoneAlarm Firewall nicht so richtig mit der
T-Online Software und dem Kaspersky AntiVirus möchte.

Ich fänd es super wenn ihr dazu Stellung nehmen könntet.

Was für eine Art der Stellungnahme möchtest Du? ich versteh ehrlich gesagt die Frage nicht so ganz bzw. wodrauf das hinauslaufen soll…

Der Rechner ist auf dem neuesten Stand (laut Aussage)
die dort eingesetzte Personal Firewall (PFW) hat „irgendwas“ angezeigt
nach Durchlesen der FAQ:136 FAQ:137 FAQ:138 (ff) wäre ein Tipp zuerstmal die diese Tipps umzusetzen und z.B. die Windowseigene Firewall ggf. noch anzumachen und sich natürlich vorher mit dessen Funktionsweise auseinander zu setzen.

@FAQ-MOD: Hmm, ich habe das CCC-Ulm PFW Video garnicht in der entsprechenden FAQ:138 entdecken können. Könnte man http://ulm.ccc.de/old/chaos-seminar/windows-security… da also noch mit aufnehmen?! Danke.

just my 2 Cent, HTH

gruß
h.

B0chumer_Junge · 22. März 2006 um 11:30

Was für eine Art der Stellungnahme möchtest Du? ich versteh
ehrlich gesagt die Frage nicht so ganz bzw. worauf das
hinauslaufen soll…

Nun, die Frage ist ganz einfach zu beantworten. Ich bin verunsichert, ob die Sicherheitsmechanismen richtig greifen, da die Windows Firewall den Angriff schon hätte blocken sollen und nicht erst das AntiViren Programm, oder sehe ich das falsch? Ich überlege ob es sinnvoll ist auf eine andere externe Firewall umzusteigen.

Die Meldung ist doch beunruhigend zumal sie häufiger auftaucht!

vielen Dank,

bochumer Junge

Little_H · 22. März 2006 um 12:55

Was für eine Art der Stellungnahme möchtest Du? ich versteh
ehrlich gesagt die Frage nicht so ganz bzw. worauf das
hinauslaufen soll…

Nun, die Frage ist ganz einfach zu beantworten. Ich bin
verunsichert, ob die Sicherheitsmechanismen richtig greifen,
da die Windows Firewall den Angriff schon hätte blocken sollen
und nicht erst das AntiViren Programm, oder sehe ich das
falsch? Ich überlege ob es sinnvoll ist auf eine andere
externe Firewall umzusteigen.

Lese dir doch bitte nochmal FAQ:136 FAQ:137 FAQ:138 (ff) durch.
Wie ist welche der Firewalls konfiguriert? Was machen die? Warum machen die das? Wie bist Du überhaupt mit dem Internet verbunden? Hat der Router eine FW eingebaut, die man mal installieren bzw. konfigurieren sollte?

Die Sicherheitsmechanismen greifen doch. Da ist etwas, was die PFW von sich als „Angriff“ definiert und abgewehrt hat. Ob diese Regel für DICH sinnvoll ist, ist etwas anderes. DAS kann man ja nach belieben einstellen.
Ob Du DANN noch eine „richtige“ Firewall installieren möchtest musst Du Dir überlegen.
Wenn, dann schau Dir dazu vielleicht mal iptables, IPCop oder m00nwall an. ABER bitte informiere Dich vorher genauer über die oben genanten Tools bzw. Technologien um diese richtig in Deine eigene Umgebung zu integrieren.
IT-Sicherheit ist kein Programm, sondern ein Konzept. Wie es jeder für sich umsetzt ist jedem selbst überlassen…

Die Meldung ist doch beunruhigend zumal sie häufiger
auftaucht!

Hmm, aus sicht des Programmes finde ich das nicht beunruhigend. Schlimmer wäre, wenn NICHTS passieren würde. Der Virenscanner sollte doch auch anschlagen und sich melden „Huhu, da ist ein Virus“ anstatt still und leise vor sich hin zu dümpeln, oder?!

Gruß
h.

Anonym_028940377b35 · 22. März 2006 um 14:00

Hallo Junge

Jedoch bekommt er immer wieder diese Meldung:
http://www.bilder-hosting.de/img/1799M.jpg

Merke: Sogenannte ‚Sicherheitssoftware‘ muss dem Namen gerecht werden. Daher neigen solche Programme dazu, standardmässig jeden Pups im Netz als ‚pöhsen Angriff‘ zu bezeichnen und bunt blinkend mitzuteilen. Diese Meldungen sind in sehr vielen Fällen schlicht überflüssig.

TCP/IP ist eine Protokoll-Suite, wo es relativ viel ‚Hintergrundrauschen‘ gibt. Ganz besonders in einem Gebilde wie dem Internet rauschen da ständig derart viele Pakete durch die Gegend, dass es unumgänglich ist, dass auch einiges bei Dir aufschlägt. Dabei können das verirrte Pakete sein, Pakete die eigentlich den erreichen sollten, der Deine IP vorher hatte und so weiter.

Ich würde Dich bzw. Deinen Freund dazu anregen, solche Meldungen zum Anlass zu nehmen, sich genauer zu informieren, was da gemeldet wird, warum es gemeldet wird und was ggf. zu tun ist. So lernt er ganz automatisch einiges über Netzwerke und Sicherheit.

In dem von Dir genannten Beispiel würde ich also mal den Namen des Wurms nehmen und ihn in einer Suchmaschine einwerfen. So findet man recht schnell heraus, dass Helkern oder SQL-Slammer ein Wurm ist, der SQL-Server befällt. Wenn Dein Freund keinen SQL-Server betreibt (was ich jetzt mal vermute), ist dieser Wurm keine Bedrohung. In dem Fall kann er dem Programm beibringen, in Zukunft das Aufschlagen von Helkern nicht mehr zu melden.

Ggf. gibt es noch andere Meldungen für andere Würmer oder so. Da verfährt er am besten genau gleich: informieren, Konfiguration bei vernachlässigbaren ‚Gefahren‘ anpassen und zur Tagesordnung übergehen.

CU
Peter

B0chumer_Junge · 22. März 2006 um 15:09

Hallo Junge

Merke: Sogenannte ‚Sicherheitssoftware‘ muss dem Namen gerecht
werden. Daher neigen solche Programme dazu, standardmässig
jeden Pups im Netz als ‚pöhsen Angriff‘ zu bezeichnen und bunt
blinkend mitzuteilen. Diese Meldungen sind in sehr vielen
Fällen schlicht überflüssig.

ok

TCP/IP ist eine Protokoll-Suite, wo es relativ viel
‚Hintergrundrauschen‘ gibt. Ganz besonders in einem Gebilde
wie dem Internet rauschen da ständig derart viele Pakete durch
die Gegend, dass es unumgänglich ist, dass auch einiges bei
Dir aufschlägt. Dabei können das verirrte Pakete sein, Pakete
die eigentlich den erreichen sollten, der Deine IP vorher
hatte und so weiter.

ok…

Ich würde Dich bzw. Deinen Freund dazu anregen, solche
Meldungen zum Anlass zu nehmen, sich genauer zu informieren,
was da gemeldet wird, warum es gemeldet wird und was ggf. zu
tun ist. So lernt er ganz automatisch einiges über Netzwerke
und Sicherheit.

ja, das mach ich ja grad

In dem von Dir genannten Beispiel würde ich also mal den Namen
des Wurms nehmen und ihn in einer Suchmaschine einwerfen. So
findet man recht schnell heraus, dass Helkern oder SQL-Slammer
ein Wurm ist, der SQL-Server befällt. Wenn Dein Freund keinen
SQL-Server betreibt (was ich jetzt mal vermute), ist dieser
Wurm keine Bedrohung. In dem Fall kann er dem Programm
beibringen, in Zukunft das Aufschlagen von Helkern nicht mehr
zu melden.

Das ist doch mal ein guter Beitrag der mir hilft! Ok, er hat keinen SQL-Server, also --> keine Bedrohung. Bring ich dann gleich Kaspersky bei

Ggf. gibt es noch andere Meldungen für andere Würmer oder so.
Da verfährt er am besten genau gleich: informieren,
Konfiguration bei vernachlässigbaren ‚Gefahren‘ anpassen und
zur Tagesordnung übergehen.

CU
Peter

Ich danke sehr!

bochumer Junge

Schorsch_de7743 · 22. März 2006 um 16:11

Ich bin
verunsichert, ob die Sicherheitsmechanismen richtig greifen,
da die Windows Firewall den Angriff schon hätte blocken sollen
und nicht erst das AntiViren Programm, oder sehe ich das
falsch?

Das sehe ich zunächst genauso. Grundsätzlich sollte, wenn die Windows-Firewall aktiv und korrekt konfiguriert ist, ein UDP-Paket von SQL-Slammer (alias Helkern) gar nicht erst an Drittprodukte weitergereicht werden. Da Kaspersky Anti-Virus aber sehr tief ins System eingreift, halte ich es für möglich, dass dieses Produkt der Firewall vorgreift.

Ich überlege ob es sinnvoll ist auf eine andere
externe Firewall umzusteigen.

Ich halte es für sinnvoller, entweder ein anderes Anti-Viren-Produkt einzusetzen, welches ausschliesslich on Demand aktiv wird, oder, wenn möglich, Kaspersky entspr. zu konfigurieren und abzuspecken.

Gruss
Schorsch

B0chumer_Junge · 22. März 2006 um 19:29

Ich halte es für sinnvoller, entweder ein anderes
Anti-Viren-Produkt einzusetzen, welches ausschliesslich on
Demand aktiv wird, oder, wenn möglich, Kaspersky entspr. zu
konfigurieren und abzuspecken.

Gruss
Schorsch

Also ich muss sagen, dass der Kaspersky AntiVirus einer der Besten seiner Art ist. Ich hab schon McAfee, Norton, AntiVir und noch ein paar andere getestet und Kaspersky hat es eindeutig bei mir geschafft. Ich kann mal gucken ob ich die Einstellungen doch noch ein bisschen änder. Bei 10 anderen Rechnern, die auch alle den Kaspersky benutzen leistet er ganze Arbeit. (Auch auf dem Rechner um den es geht)

Gruß bochumer Junge