Massenhaft Lovesanattacken! Please Help!

Hallo ihr wissenden da draussen!

Folgendes Problem: Habe den Rechner meines Freundes plattgemacht und mit Windows XP Home + alle bis dahin verfügbaren Updates versehen. Als Sicherheitspaket habe ich ihm (genau wie ich es habe) die Internet Security 2005 von G-Data draufgespielt! Auch dafür alle Updates+Virenupdates geladen! Er nutzt genau wie ich einen Arcor DSL Anschluss (erst seit 3 Monaten), im Gegensatz zu mir allerdings Pre-Select! Er benutzt ausserdem im Gegensatz zu mir nur ein Arcor DSL Modem…ich dagegen ein AVM Fritz Box Fon!Wlan Router!

Bevor ich den Rechner am Internet hatte habe ich auch noch einen Virencheck gemacht…nichts gefunden! Spybot habe ich auch drüber laufen lassen…bis auf 4 Windows eigene,die ich dann mit Spybot bereinigt habe, hat er nicht gefunden!

Sobald ich seinen Rechner an seinen Internetanschluss bringe, dauert es nicht lange bis die Firewall einen Lovesan Angriff auf seine Arcor IP meldet und die Internetverbindung von der Firewall zu gemacht wird! Und diese Angriffe kommen teilweise sehr häufig hintereinander ( manchmal alle 2-5 Min.) Das ist extrem nervig…da die Firwall jedesmal manuell entsperrt werden muss, damit das Internet wieder läuft! Und das macht das arbeiten auch nicht gerade komfortabel!

Woran kann das liegen? Werden Angriffe geziehlt auf Arcor IP Adressbereiche geleitet! Ist dies ein Arcor Problem? Wie stell ich die GData Firewall richtig ein, damit dies nicht immer eine Internetunterbrechung bei einem Angriff bedeutet? Muss ich extra einen Windows Lovesan Patch laden, oder habe ich den mit den ganzen Updates bekommen?. Warum habe ich dieses Problem nicht obwohl ich auch einen Arcor Anschluss habe? Weil ich einen Router dazwischen habe? Blockt der solche Angriffe im voraus…bevor sie an die Firewall kommen? Oder woran liegt das?

Wie kriege ich das mit der Firewall hin, das er sicher surfen kann, aber nicht ständig durch diese Angriffe an der Firewall rumfummeln muss um den Internetzugang wieder zu entsperren? Bitte genaue Anleitung ! Daaanke

Hallo Markus,

Folgendes Problem: Habe den Rechner meines Freundes
plattgemacht und mit Windows XP Home + alle bis dahin
verfügbaren Updates versehen.

Sehr gut!

Sobald ich seinen Rechner an seinen Internetanschluss bringe,
dauert es nicht lange bis die Firewall einen Lovesan Angriff
auf seine Arcor IP meldet und die Internetverbindung von der
Firewall zu gemacht wird! Und diese Angriffe kommen teilweise
sehr häufig hintereinander ( manchmal alle 2-5 Min.) Das ist
extrem nervig…da die Firwall jedesmal manuell entsperrt
werden muss, damit das Internet wieder läuft! Und das macht
das arbeiten auch nicht gerade komfortabel!

Woran kann das liegen?

Es gibt offensichtlich PCs, welche einen OS-Stand von aelter als 3 Jahren haben. Ungefaehr solange schon gibt es von MS den Patch, welcher das RPC-Problem, ueber welchen man sich diesen Wurm einhandelt, fixed. Da Du alle aktuellen Updates eingespielt hast, ist dieser PC nicht davon bedroht.

Ist dies ein Arcor Problem? Wie stell
ich die GData Firewall richtig ein, damit dies nicht immer
eine Internetunterbrechung bei einem Angriff bedeutet?

Am einfachsten, indem Du die PFW deaktivierst oder deinstallierst.

Muss
ich extra einen Windows Lovesan Patch laden, oder habe ich den
mit den ganzen Updates bekommen?

S.o.

Warum habe ich dieses
Problem nicht obwohl ich auch einen Arcor Anschluss habe? Weil
ich einen Router dazwischen habe?

Bei Dir wird der Router angegriffen. Diese Angriffe sind dort aber wirkungslos. Ausserdem verzichtet offensichtlich Dein Router (im Gegensatz zur PFW), Dich bei jedem (erfolglosen) Angriffsversuch zu belaestigen.

HTH,
Puersti

Hallo Markus

Folgendes Problem: Habe den Rechner meines Freundes
plattgemacht und mit Windows XP Home + alle bis dahin
verfügbaren Updates versehen.

Sehr gut.

Als Sicherheitspaket habe ich ihm (genau wie ich es habe) die
Internet Security 2005 von G-Data draufgespielt!

Warum? Was hat Dir Dein Freund angetan? Und da Du einen Router hast, wozu brauchst Du dann eine Personal Firewall (PFW)?

Sobald ich seinen Rechner an seinen Internetanschluss bringe,
dauert es nicht lange bis die Firewall einen Lovesan Angriff
auf seine Arcor IP meldet und die Internetverbindung von der
Firewall zu gemacht wird!

Aha. Das G-Data-Dingens hat offenbar ein ‚Intrusion Prevention System‘, kurz IPS. Schalte es aus. Das braucht kein Mensch. Jedenfalls niemand wie Du oder Dein Freund. IPS oder auch ein ‚Intrusion Detection System‘ (IDS) ist etwas, was man bei einem grösseren Netzwerk, z.B. einem Firmennetzwerk, einrichten kann. Das muss aber mit professionellen Systemen und entsprechend umfangreichem Know How konfiguriert und gepflegt werden.

Bei PFW wie Deinem G-Data-Dingens dienen solche IPS nur dazu, sich mehr oder weniger häufig selber in den Fuss zu schiessen. Denn das Ding reagiert auf plötzlich auftretende ‚Pakethagel‘, häufig durch Filesharing-Tools ausgelöst, und erkennt (völlig willkürlich) ‚böse Angriffe‘, woraufhin die Internetverbindung, wie von Dir beschrieben, faktsich abgeklemmt wird. Das Ergebnis ist, dass der Betroffene nicht mehr surfen kann.

Dabei ist etwas völlig harmloses passiert. Lovesan ist ein Wurm, der mit Blaster oder Sasser verwandt ist und dementsprechend eine Sicherheitslücke im RPC- oder LSASS-Dienst anzugreifen versucht. Da Du aber alle aktuellen Updates eingespielt hast, sind diese beiden Sicherheitslücken behoben. Lovesan kann diesem Rechner also nichts mehr anhaben. Daher ist es komplett überflüssig, dass das G-Data-Dingens wegen dieser ‚Angriffe‘ durchdreht.

Und diese Angriffe kommen teilweise sehr häufig hintereinander
(manchmal alle 2-5 Min.) Das ist extrem nervig…da die Firwall
jedesmal manuell entsperrt werden muss, damit das Internet wieder
läuft! Und das macht das arbeiten auch nicht gerade komfortabel!

Blaster, Sasser, Lovesan und ihre Artverwandten werden auf absehbare Zeit weiter das Internet durchstreifen, da es nach wie vor hinreichend Rechner gibt, die direkt am Internet hängen und die aktuellen Updates nicht eingespielt werden, somit also verwundbar sind. Wenn Du aber geeignete Vorsichtsmassnahmen ergreifst (z.B. beim neu Aufsetzen von XP erst dann online zu gehen, wenn das SP2 installiert ist), kann Dir das völlig wurscht sein.

Woran kann das liegen?

Daran, dass PFW Funktionen mitbringen, die eigentlich niemand wirklich braucht. Und Du, bitte nicht krumm nehmen, offenbar wenig Ahnung davon hast, was eine PFW leisten kann und was nicht und wie man sie sinnvoll konfiguriert.

Werden Angriffe geziehlt auf Arcor IP Adressbereiche geleitet! Ist
dies ein Arcor Problem?

Nein, Lovesan und Co. sind im ganzen Internet anzutreffen.

Wie stell ich die GData Firewall richtig ein, damit dies nicht immer
eine Internetunterbrechung bei einem Angriff bedeutet?

Schalte mindestens das IDS/IPS ab. Oder schmeiss das G-Data-Dingens (jedenfalls die PFW) vom Rechner. Die XP-eigene Firewall reicht völlig aus.

Muss ich extra einen Windows Lovesan Patch laden, oder habe ich den
mit den ganzen Updates bekommen?

Wenn der Rechner auf dem aktuellsten Stand ist, was Updates angeht, ist dieser Patch drauf.

Warum habe ich dieses Problem nicht obwohl ich auch einen Arcor
Anschluss habe? Weil ich einen Router dazwischen habe?

Exakt.

Blockt der solche Angriffe im voraus…bevor sie an die Firewall
kommen? Oder woran liegt das?

Ja, der Router leitet solche ‚Angriffe‘ nicht weiter.

CU
Peter

Woran kann das liegen?

An der Konfiguration der Personal Firewall. Scheint ja ein tolles
Programm zu sein.

Werden Angriffe geziehlt auf Arcor IP Adressbereiche geleitet!

Nein, auf alle.

Ist dies ein Arcor Problem?

Nein, ein Internet-Problem.

Wie stell
ich die GData Firewall richtig ein, damit dies nicht immer
eine Internetunterbrechung bei einem Angriff bedeutet?

So etwas steht bestimmt im Handbuch. Ich hab keine Ahnung von
Windows-Rechnern und ihren Programmen, aber ein Handbuch wird doch
wohl dabei sein, oder?

Warum habe ich dieses
Problem nicht obwohl ich auch einen Arcor Anschluss habe? Weil
ich einen Router dazwischen habe?

Weil der Router die Angriffe abbekommt.

Blockt der solche Angriffe
im voraus…bevor sie an die Firewall kommen? Oder woran liegt
das?

Ja. Deshalb ist deine Firewall ja auch so nützlich wie die Testikel
des Oberhaupts der Römisch-Katholischen Kirche.

Wie kriege ich das mit der Firewall hin, das er sicher surfen
kann, aber nicht ständig durch diese Angriffe an der Firewall
rumfummeln muss um den Internetzugang wieder zu entsperren?
Bitte genaue Anleitung ! Daaanke

Wenns mein Rechner wäre: deinstallieren.

Stefan

Hallo Peter!

Vielen Dank ersteinmal für die wirklich kompetente Antwort! Und nebenbei…Du hast mich erwischt. Ich bin im Computerbereich zwar ein guter Generalist, aber bei bestimmten Sachen muss ich mich halt auch weiterbilden…und nur gut das es da solche wie dich gibt!

Tja…mein wissen was PWF´s angeht ist nicht besonders! Im Grunde genommen sehe ich es als Mauer das geziehlte oder gestreute IP-Angriffsversuche blockt, so das Sie gar nicht auf meinem Rechner gelangen! Wahrscheinlich ein übervorsichtige Handlung aus halbwissen! Du bist der Meinung so eine Firewall braucht kein Mensch? Es wäre klüger einen Router dazwischen zu haben, der das hardwaretechnisch schon tut? Blockt der Router alles? Ist eine Firewall in diesem Fall dann ganz ohne nutzen? Also am besten einen gebrauchten Router für meinen Freund anschaffen? Mal gucken ob ich es schaffe den vor dir genannten Tipp in der Firewall zu finden, denn so viele Einstellungsmöglichkeiten gibt es da nicht um etwas zu deaktivieren! Oder wie gesagt runterschmeißen…Router anschaffen und Windows Firewall anschalten…reicht?

Wie gesagt…danke!

und tschö

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Markus

Im Grunde genommen sehe ich es als Mauer das geziehlte oder
gestreute IP-Angriffsversuche blockt, so das Sie gar nicht auf
meinem Rechner gelangen!

Da die PFW auf Deinem Rechner läuft, gelangen die ‚Angriffsversuche‘ durchaus auf Deinen Rechner. Aber man muss auch wissen, was für ‚Angriffsversuche‘ es denn so gibt. Wie bereits erläutert, können Dir Angriffe von Netzwerkwürmern wie Lovesan etc. egal sein, wenn Dein Rechner alle aktuellen Updates eingespielt hat und Du evt. auch die Windows-eigenen Dienste sinnvoll konfiguriert hast.

Wahrscheinlich ein übervorsichtige Handlung aus halbwissen!

Darum würde ich Dir empfehlen, dieses Halb- in ‚Ganzwissen‘ zu verwandeln.

Du bist der Meinung so eine Firewall braucht kein Mensch?

Personal Firewalls sind jedenfalls nur sehr beschränkt sinnvoll. Und wenn, dann muss man sie auch konfigurieren können. Dazu ist aber eben auch Wissen notwendig. Ok, für jemanden, der mit der Wissensbeschaffung anfängt, kann eine PFW in gewissem Rahmen dabei helfen, das Wissen zu verbessern. Wenn man nämlich allfällige Meldungen der PFW notiert und sich dann eingehend darüber informiert, was da passiert ist, warum und wie ‚gefährlich‘ das ist.

Es wäre klüger einen Router dazwischen zu haben, der das
hardwaretechnisch schon tut?

Das muss nicht absolut zwingend sein, ist aber sicher eine gute Idee. Eine Sicherheitslücke wie die geschilderten Sachen, die von Blaster und Co. ausgenutzt werden, würden dann kein Problem darstellen.

Aber ein Router ist auch kein Allheilmittel. Bei E-Mailattachments oder Downloads aus dem Internet kannst Du Dir trotzdem Viren etc. einfangen.

Generell gilt: Egal, welche Massnahmen Du ergreifst, ob mit oder ohne Router, ob mit oder ohne Antivirensoftware etc., in jedem Fall sitzt die grösste Sicherheitslücke 30cm vor dem Bildschirm. Ein gerüttelt Mass an Wissen rund um mögliche Gefahren und wie man sich am vernünftigsen verhält, ist immer notwendig. Das kann durch nichts ersetzt werden ausser durch noch mehr Wissen.

CU
Peter

Du bist der Meinung so eine
Firewall braucht kein Mensch? Es wäre klüger einen Router
dazwischen zu haben, der das hardwaretechnisch schon tut?
Blockt der Router alles? Ist eine Firewall in diesem Fall dann
ganz ohne nutzen?

Hallo,

Mal versuchen ob ich das Erklären kann, was du da Fragst.

Jeder Rechner, der DIREKT mit dem Internet verbunden hat, hat auch eine Internet-Adresse (öffentliche IP-Adresse).

Auf jeder öffentlichen IP-Adresse können Dienste laufen (z.B. der Webserver von www.web.de [hinter www.web.de steckt auch eine IP]). Genauso können auf deinem Rechner Dienste laufen. Und Standardmäßig laufen auch einige Dienste.

Das wiederrum kann von bösartigen Programmen ausgenutzt werden, wenn so ein Dienst eine Sicherheitslücke hat (wie z.B. Lovesan & Blaster eine solche ausnutzten). Diese Programme brauchen also praktisch nur auf deine IP zugreifen und den Dienst ansprechen (Erfolgt über sog. TCP oder UDP Ports) und die Sicherheitslücke ausnutzen, um z.B. deinen Rechner runterzufahren.

Hier ist eine Port-Firewall günstig, die alle deine Dienste nach außen (also Ports) versperrt.

Hinter einem Router läuft die Sache so, dass der Router die öffentliche IP-Adresse hat. Dein Rechner hat dann nur eine Private IP im privaten Netzwerk (Router Computer), die von außen nicht erreichbar ist. Der Router leitet alle Pakete zwischen dem Internet und deinem privaten Netzwerk (LAN) um (Dieser Vorgang nennt sich NAT [Network Adress Translation]). Damit sind deine Standarddienste unter Windows von außen nicht zu erreichen, lediglich die Dienste, die der Router bereitstellt (evtl. ein Web-Konfigurationsprogramm oder so). Deshalb kannst du die hier eine Port-Firewall sparen (Wenn du trotzdem die Dienste eines Rechners aus dem LAN öffentlich verfügbar machen willst, guck mal nach Port-Forwarding [Macht im privatbereich meist nur dann Sinn, wenn man ein Netzwerkspiel als Host/Server starten will, wo andere Mitspieler zugreifen können], aber das Thema ist relativ umfangreich und vielleicht erstmal nicht so interessant für dich).

Was in jedem Fall Sinn macht ist eine "Anwendungs-"Firewall, die dich fragt, bevor ein Programm auf deinem Rechner ins Internet darf (z.B. ZoneAlarm). Hier kannst du verhindern, dass ein bösartiges Programm, was du evtl. per Mail bekommen hast und ausgeführt hast, Informationen aus dem Internet herunterlädt oder Computerdaten wegschickt.

Ich hoffe ich konnte dir helfen,

Jenson

Hallo Jenson

Hier ist eine Port-Firewall günstig, die alle deine Dienste
nach außen (also Ports) versperrt.

Das ist nur die zweitbeste Variante. Besser ist, man sorgt dafür, dass diese Dienste nicht von aussen her erreichbar sind. Entweder, indem man die Dienste beendet, dann ist der betreffende Port geschlossen. Oder, bei Diensten, die z.B. für das Betriebssystem zwingend notwendig sind, indem man sie so konfiguriert, dass sie bleistiftsweise nur an Localhost (IP 127.0.0.1) lauschen, nicht jedoch nach aussen.

(LAN) um (Dieser Vorgang nennt sich NAT [Network Adress
Translation]). Damit sind deine Standarddienste unter Windows
von außen nicht zu erreichen, lediglich die Dienste, die der
Router bereitstellt (evtl. ein Web-Konfigurationsprogramm oder
so).

Wobei man berücksichtigen sollte, dass NAT an und für sich kein Sicherheitsfeature ist. Notabene gibt es auch durchaus kaputte NAT-Implementationen.

Was in jedem Fall Sinn macht ist eine "Anwendungs-"Firewall,
die dich fragt, bevor ein Programm auf deinem Rechner ins
Internet darf (z.B. ZoneAlarm).

Das ist, wie hier schon mehrfach erläutert wurde, Unfug. Denn diese Personal Firewalls (PFW) können allesamt von jeder Software umgangen werden.

Und wenn man sich wirklich Gedanken darüber macht, welches Programm sendet, so kann eine PFW hier maximal eine temporäre Massnahme darstellen. Langfristig muss man sich dann aber genau informieren, was da gesendet wird, warum etc. Es gibt verschiedene Möglichkeiten. Das eine Programm schaut z.B. nur nach verfügbaren Updates, was man als harmlos einstufen kann. Das andere sendet ggf. wirklich Sachen, die man lieber nicht übermittelt wissen möchte.

Im nächsten Schritt geht man daran herauszufinden, ob sich diese Dinge innerhalb des Programms abstellen lassen. Oder ob z.B. bei einer Shareware der Erwerb der Vollversion das ändert. Und Programme, die unerwünschterweise Daten versenden und wo sich das nicht sinnvoll abstellen lässt, ersetzt man durch Alternativprogramme, die sich nicht so verhalten.

Hier kannst du verhindern, dass ein bösartiges Programm, was du evtl. per Mail
bekommen hast und ausgeführt hast, Informationen aus dem Internet
herunterlädt oder Computerdaten wegschickt.

Falsch. Ganz besonders die ‚bösartigen Programme‘ aka Viren, Würmer, Trojaner etc. lassen sich von einer PFW käumlich aufhalten. Wenn sie nicht gleich die PFW manipulieren oder ganz abschiessen.

Derartige Programme dürfen gar nie zur Ausführung gelangen. Das gilt immer. In jedem Fall. Völlig unabhängig davon, ob man ein Antivirenprogramm, eine PFW oder sonstwas verwendet. Denn wenn bösartige Programme erstmal ausgeführt wurden, ist es zu spät. Dann ist der Rechner kompromittiert und gehört neu aufgesetzt.

CU
Peter