Angriff!

Internet Internet Sicherheit
#1

Hi Leute,

ich hab da mal so ein Problem :smile:

Ein Freund von mir besitzt einen leistungsstarken Rechner, der mit Windows XP pro, dem Kaspersky AntiVirus, xp-AntiSpy und Spybot S&D ausgestattet ist. Alle Programme haben die neusten Updates (inkl. OS). Der AntiVirus und der Spybot laufen ein Mal im Monat komplett durch.

Jedoch bekommt er immer wieder diese Meldung:
http://www.bilder-hosting.de/img/1799M.jpg

Schön, dass der Angriff abgewehrt wurde, aber ein bisschen beÀngstigend finden wir das beide. Er nutzt leider nur die SP2 Firewall da die ZoneAlarm Firewall nicht so richtig mit der T-Online Software und dem Kaspersky AntiVirus möchte.

Ich fÀnd es super wenn ihr dazu Stellung nehmen könntet.

bochumer Junge

#2

Schön, dass der Angriff abgewehrt wurde, aber ein bisschen
beÀngstigend finden wir das beide.

Ich denke eher, das ist die Profilneurose deiner „Firewall“ und nichts, das wirklich Angst machen sollte.

#3

Hi Leute,

Hallo nach Bochum,

ich hab da mal so ein Problem :smile:

Aeh, ich sehe ehrlich gesagt keines.

Jedoch bekommt er immer wieder diese Meldung:
http://www.bilder-hosting.de/img/1799M.jpg

Schön, dass der Angriff abgewehrt wurde, aber ein bisschen
beÀngstigend finden wir das beide. Er nutzt leider nur die SP2
Firewall da die ZoneAlarm Firewall nicht so richtig mit der
T-Online Software und dem Kaspersky AntiVirus möchte.

Ich fÀnd es super wenn ihr dazu Stellung nehmen könntet.

Was fĂŒr eine Art der Stellungnahme möchtest Du? ich versteh ehrlich gesagt die Frage nicht so ganz bzw. wodrauf das hinauslaufen soll


  • Der Rechner ist auf dem neuesten Stand (laut Aussage)
  • die dort eingesetzte Personal Firewall (PFW) hat „irgendwas“ angezeigt
  • nach Durchlesen der FAQ:136 FAQ:137 FAQ:138 (ff) wĂ€re ein Tipp zuerstmal die diese Tipps umzusetzen und z.B. die Windowseigene Firewall ggf. noch anzumachen und sich natĂŒrlich vorher mit dessen Funktionsweise auseinander zu setzen.

@FAQ-MOD: Hmm, ich habe das CCC-Ulm PFW Video garnicht in der entsprechenden FAQ:138 entdecken können. Könnte man http://ulm.ccc.de/old/chaos-seminar/windows-security
 da also noch mit aufnehmen?! Danke.

just my 2 Cent, HTH

gruß
h.

#4

Was fĂŒr eine Art der Stellungnahme möchtest Du? ich versteh
ehrlich gesagt die Frage nicht so ganz bzw. worauf das
hinauslaufen soll


Nun, die Frage ist ganz einfach zu beantworten. Ich bin verunsichert, ob die Sicherheitsmechanismen richtig greifen, da die Windows Firewall den Angriff schon hĂ€tte blocken sollen und nicht erst das AntiViren Programm, oder sehe ich das falsch? Ich ĂŒberlege ob es sinnvoll ist auf eine andere externe Firewall umzusteigen.

Die Meldung ist doch beunruhigend zumal sie hÀufiger auftaucht!

vielen Dank,

bochumer Junge

#5

Was fĂŒr eine Art der Stellungnahme möchtest Du? ich versteh
ehrlich gesagt die Frage nicht so ganz bzw. worauf das
hinauslaufen soll


Nun, die Frage ist ganz einfach zu beantworten. Ich bin
verunsichert, ob die Sicherheitsmechanismen richtig greifen,
da die Windows Firewall den Angriff schon hÀtte blocken sollen
und nicht erst das AntiViren Programm, oder sehe ich das
falsch? Ich ĂŒberlege ob es sinnvoll ist auf eine andere
externe Firewall umzusteigen.

Lese dir doch bitte nochmal FAQ:136 FAQ:137 FAQ:138 (ff) durch.
Wie ist welche der Firewalls konfiguriert? Was machen die? Warum machen die das? Wie bist Du ĂŒberhaupt mit dem Internet verbunden? Hat der Router eine FW eingebaut, die man mal installieren bzw. konfigurieren sollte?

Die Sicherheitsmechanismen greifen doch. Da ist etwas, was die PFW von sich als „Angriff“ definiert und abgewehrt hat. Ob diese Regel fĂŒr DICH sinnvoll ist, ist etwas anderes. DAS kann man ja nach belieben einstellen.
Ob Du DANN noch eine „richtige“ Firewall installieren möchtest musst Du Dir ĂŒberlegen.
Wenn, dann schau Dir dazu vielleicht mal iptables, IPCop oder m00nwall an. ABER bitte informiere Dich vorher genauer ĂŒber die oben genanten Tools bzw. Technologien um diese richtig in Deine eigene Umgebung zu integrieren.
IT-Sicherheit ist kein Programm, sondern ein Konzept. Wie es jeder fĂŒr sich umsetzt ist jedem selbst ĂŒberlassen


Die Meldung ist doch beunruhigend zumal sie hÀufiger
auftaucht!

Hmm, aus sicht des Programmes finde ich das nicht beunruhigend. Schlimmer wĂ€re, wenn NICHTS passieren wĂŒrde. Der Virenscanner sollte doch auch anschlagen und sich melden „Huhu, da ist ein Virus“ anstatt still und leise vor sich hin zu dĂŒmpeln, oder?!

Gruß
h.

1 Like
#6

Hallo Junge

Jedoch bekommt er immer wieder diese Meldung:
http://www.bilder-hosting.de/img/1799M.jpg

Merke: Sogenannte ‚Sicherheitssoftware‘ muss dem Namen gerecht werden. Daher neigen solche Programme dazu, standardmĂ€ssig jeden Pups im Netz als ‚pöhsen Angriff‘ zu bezeichnen und bunt blinkend mitzuteilen. Diese Meldungen sind in sehr vielen FĂ€llen schlicht ĂŒberflĂŒssig.

TCP/IP ist eine Protokoll-Suite, wo es relativ viel ‚Hintergrundrauschen‘ gibt. Ganz besonders in einem Gebilde wie dem Internet rauschen da stĂ€ndig derart viele Pakete durch die Gegend, dass es unumgĂ€nglich ist, dass auch einiges bei Dir aufschlĂ€gt. Dabei können das verirrte Pakete sein, Pakete die eigentlich den erreichen sollten, der Deine IP vorher hatte und so weiter.

Ich wĂŒrde Dich bzw. Deinen Freund dazu anregen, solche Meldungen zum Anlass zu nehmen, sich genauer zu informieren, was da gemeldet wird, warum es gemeldet wird und was ggf. zu tun ist. So lernt er ganz automatisch einiges ĂŒber Netzwerke und Sicherheit.

In dem von Dir genannten Beispiel wĂŒrde ich also mal den Namen des Wurms nehmen und ihn in einer Suchmaschine einwerfen. So findet man recht schnell heraus, dass Helkern oder SQL-Slammer ein Wurm ist, der SQL-Server befĂ€llt. Wenn Dein Freund keinen SQL-Server betreibt (was ich jetzt mal vermute), ist dieser Wurm keine Bedrohung. In dem Fall kann er dem Programm beibringen, in Zukunft das Aufschlagen von Helkern nicht mehr zu melden.

Ggf. gibt es noch andere Meldungen fĂŒr andere WĂŒrmer oder so. Da verfĂ€hrt er am besten genau gleich: informieren, Konfiguration bei vernachlĂ€ssigbaren ‚Gefahren‘ anpassen und zur Tagesordnung ĂŒbergehen.

CU
Peter

#7

Hallo Junge

:smiley:

Merke: Sogenannte ‚Sicherheitssoftware‘ muss dem Namen gerecht
werden. Daher neigen solche Programme dazu, standardmÀssig
jeden Pups im Netz als ‚pöhsen Angriff‘ zu bezeichnen und bunt
blinkend mitzuteilen. Diese Meldungen sind in sehr vielen
FĂ€llen schlicht ĂŒberflĂŒssig.

ok

TCP/IP ist eine Protokoll-Suite, wo es relativ viel
‚Hintergrundrauschen‘ gibt. Ganz besonders in einem Gebilde
wie dem Internet rauschen da stÀndig derart viele Pakete durch
die Gegend, dass es unumgÀnglich ist, dass auch einiges bei
Dir aufschlÀgt. Dabei können das verirrte Pakete sein, Pakete
die eigentlich den erreichen sollten, der Deine IP vorher
hatte und so weiter.

ok


Ich wĂŒrde Dich bzw. Deinen Freund dazu anregen, solche
Meldungen zum Anlass zu nehmen, sich genauer zu informieren,
was da gemeldet wird, warum es gemeldet wird und was ggf. zu
tun ist. So lernt er ganz automatisch einiges ĂŒber Netzwerke
und Sicherheit.

ja, das mach ich ja grad :smile:

In dem von Dir genannten Beispiel wĂŒrde ich also mal den Namen
des Wurms nehmen und ihn in einer Suchmaschine einwerfen. So
findet man recht schnell heraus, dass Helkern oder SQL-Slammer
ein Wurm ist, der SQL-Server befÀllt. Wenn Dein Freund keinen
SQL-Server betreibt (was ich jetzt mal vermute), ist dieser
Wurm keine Bedrohung. In dem Fall kann er dem Programm
beibringen, in Zukunft das Aufschlagen von Helkern nicht mehr
zu melden.

Das ist doch mal ein guter Beitrag der mir hilft! Ok, er hat keinen SQL-Server, also --> keine Bedrohung. Bring ich dann gleich Kaspersky bei :smile:

Ggf. gibt es noch andere Meldungen fĂŒr andere WĂŒrmer oder so.
Da verfÀhrt er am besten genau gleich: informieren,
Konfiguration bei vernachlĂ€ssigbaren ‚Gefahren‘ anpassen und
zur Tagesordnung ĂŒbergehen.

CU
Peter

Ich danke sehr!

bochumer Junge

#8

Ich bin
verunsichert, ob die Sicherheitsmechanismen richtig greifen,
da die Windows Firewall den Angriff schon hÀtte blocken sollen
und nicht erst das AntiViren Programm, oder sehe ich das
falsch?

Das sehe ich zunĂ€chst genauso. GrundsĂ€tzlich sollte, wenn die Windows-Firewall aktiv und korrekt konfiguriert ist, ein UDP-Paket von SQL-Slammer (alias Helkern) gar nicht erst an Drittprodukte weitergereicht werden. Da Kaspersky Anti-Virus aber sehr tief ins System eingreift, halte ich es fĂŒr möglich, dass dieses Produkt der Firewall vorgreift.

Ich ĂŒberlege ob es sinnvoll ist auf eine andere
externe Firewall umzusteigen.

Ich halte es fĂŒr sinnvoller, entweder ein anderes Anti-Viren-Produkt einzusetzen, welches ausschliesslich on Demand aktiv wird, oder, wenn möglich, Kaspersky entspr. zu konfigurieren und abzuspecken.

Gruss
Schorsch

#9

Ich halte es fĂŒr sinnvoller, entweder ein anderes
Anti-Viren-Produkt einzusetzen, welches ausschliesslich on
Demand aktiv wird, oder, wenn möglich, Kaspersky entspr. zu
konfigurieren und abzuspecken.

Gruss
Schorsch

Also ich muss sagen, dass der Kaspersky AntiVirus einer der Besten seiner Art ist. Ich hab schon McAfee, Norton, AntiVir und noch ein paar andere getestet und Kaspersky hat es eindeutig bei mir geschafft. Ich kann mal gucken ob ich die Einstellungen doch noch ein bisschen Ànder. Bei 10 anderen Rechnern, die auch alle den Kaspersky benutzen leistet er ganze Arbeit. (Auch auf dem Rechner um den es geht)

Gruß bochumer Junge