PortTest

Hallo,

ich habe in einigen Sicherheitsseiten gelesen, das man mit Portscannern testen kann ob man Trojaner auf seinen PC hat die nach Hause telefonieren oder andere Sicherheitsrisiken.

Ich würde gerne wissen, welche Programme sich dazu gut eignen.

Beim Suchen habe ich folgendes gefunden:
http://www.zdnet.de/downloads/prg/5/g/de6T5G_img-wc… (sind die Ports so schon richtig eingestellt?)
http://www.zdnet.de/downloads/prg/p/v/de7MPV-wc.html (hier gibt es eine Trojaner Scan Methode, ich weiß nciht genau ob es reicht um Sicherheitsrisiken damit aufzudecken…?)
Mit diesem Programm habe ich jedoch schon offene Ports gefunden:

Warning! Trojan port 135 open
Warning! Trojan port 1029 open

Da weiß ich jetzt auch nicht wie ich die schließen soll ?

Hallo
Naja, wenn die Trojaner tatsächlich identifiziert sind, müssen die weg, bzw. falls es sich nur um unerwünschte Funktionen handelt, müssen die abgeschaltet werden.
Das ein Port vorhanden ist, heißt noch nicht, das da auch ein „Trojaner“ ist.
In der Windows(XP) Firewall(heißt es so?) hab ich doch mal von sowas gelesen.
Da stehen Ports und die Programme die sie benutzen, bzw. Freigaben für Ports.
Eine ganze Menge Programme nutzen da Ports für Intranet für verschiedene Funktionen und auf einem PC können noch Programme sein, die eine Verbindung zum Internet aufnehmen, oder einen Server im Internet darstellen.
Da kann man Freigaben zurücknehmen oder man muß sie wieder freigeben, wenn irgendein Programm nicht mehr funktioniert.
Mehr weiß ich im Moment nicht dazu.
Hilfreich wäre vielleicht auch eine Liste mit den Ports und Ihre Bedeutung. Das heißt, bestimmte Ports haben oft eine bestimmte Bedeutung wie 80 für Http(Internet).
MfG

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hilfreich wäre vielleicht auch eine Liste mit den Ports und
Ihre Bedeutung.

http://www.iana.org/assignments/port-numbers

HTH,

Sebastian

Mit diesem Programm habe ich jedoch schon offene Ports
gefunden:

Warning! Trojan port 135 open
Warning! Trojan port 1029 open

Was soll’s? Interessant ist nicht, ob dein Rechner irgendwelche offenen Ports hat, sondern ob er nach aussen offene Ports hat. Je nachdem, ob du auf Verletzbarkeit gegenüber dem lokalen Netz oder gegenüber dem Internet prüfen willst, benötigst du also einen zweiten Rechner im lokalen Netz oder an einem anderen Internetanschluss. Ein Scan auf dem zu testenden System selbst hat allenfalls bedingte Aussagekraft. Weder kann er die Infrastruktur, in die dein Rechner eingebettet ist (Router, Proxies, Firewalls…), berücksichtigen, noch erkennt ein solcher Test, wenn ein z. B. Trojaner gezielt die Testergebnisse fälscht.

Gruss
Schorsch

ich habe in einigen Sicherheitsseiten gelesen, das man mit
Portscannern testen kann ob man Trojaner auf seinen PC hat die
nach Hause telefonieren oder andere Sicherheitsrisiken.

Ein Prozess, der „nach Hause telefoniert“, macht eine Verbindung zu einem
offenen Port auf einem entfernten Rechner auf und benötigt dazu keinerlei
Fähigkeit, selbst einen Port aufzumachen.

Ein Portscanner prüft offene Ports auf deinem Rechner. Malware braucht im
Allgemeinen keine Ports auf deinem Rechner zu öffnen (mir fällt jedenfalls kein
brauchbarer Grund dazu ein - aber ich hab auch keine Ahnung von Malware). Ein
Portscanner eignet sich deshalb nur eingeschränkt, um Malware zu finden.

Allerdings kann man mit einem Portscanner herausfinden, ob nur die Ports
geöffnet sind, die auch geöffnet sein sollen. Dazu muss man schon genau wissen,
was geöffnet sein soll. Findet der Portscanner beispielsweise einen offenen Port
80 und man hat keinen Webserver gestartet, kann das ein Hinweis auf ein
Fremdprogramm sein. Dazu ist es natürlich gut zu wissen, dass auch andere Ports
als 80 für einen Webserver in Frage kommen oder andere Programme Port 80 öffnen
können - kurz: du musst Ahnung haben.

Ich würde gerne wissen, welche Programme sich dazu gut eignen.

Unter Linux würde ich es mit netstat -tulpen machen, auf dem Mac mit
lsof -i .

Mit diesem Programm habe ich jedoch schon offene Ports
gefunden:

Warning! Trojan port 135 open
Warning! Trojan port 1029 open

Offenbar benutzt du einen Windows-Rechner, was du uns offenbar aus
Sicherheitsgründen verschwiegen hast. Port 135 wird von Windows benutzt (RPC),
siehe auch
http://www.digital-inn.de/viren-und-trojaner/21797-a…
schliessen.html

Programme, die auf Port 1029, sind mir unbekannt. Kann alles mögliche sein.

Da weiß ich jetzt auch nicht wie ich die schließen soll ?

Indem du die Programme beendest, die auf diese Ports lauschen. Streng genommen
gibt es keine geschlossenen Ports, sondern nur offene oder nicht vorhandene.
Und: sind alle Ports identifiziert, so heißt das noch lange nicht, dass sich
keine Malware auf deinem Rechner befindet.

Gruß,
Stefan

Ein Prozess, der „nach Hause telefoniert“, macht eine
Verbindung zu einem
offenen Port auf einem entfernten Rechner auf und benötigt
dazu keinerlei
Fähigkeit, selbst einen Port aufzumachen.

Ein Prozess, der eine beliebige Übernahme des Rechners ermöglichen soll, benötigt durchaus diese Fähigkeit. Ein durchaus brauchbarer Grund für Mailware, einen Port selbst aufzumachen.

Warning! Trojan port 1029 open

Programme, die auf Port 1029, sind mir unbekannt. Kann alles
mögliche sein.

Dürfte die DCOM-Schnittstelle sein, die Microsoft’sche Dokumentation schweigt sich über die Windows-typische und -übliche Belegung der Ports 1024-1030 strikt aus - wahrscheinlich Geschäftsgeheimnis.

Gruss
Schorsch

P.S.: Deine Sätze lassen sich wesentlich besser zitieren Stefan, wenn du den Zeilenumbruch dem Browser überlässt. Sollte sogar auch auf einem Mac möglich sein

Hallo,

mit dem hier habe ich es schon einmal überprüft:
http://port-scan.de/
Ich glaube der scannt ja dann von außen… da wurde jedoch nichts gefunden. Hab aber auch keinen ganzen TCP Scan gemacht sondern nur die anderen Tests.

Also wäre mein System freizusprechen von eventuellen Keyloggern oder Trojaner?

Hallo,

und womit könnte man dann noch Prüfen ob man Keylogger oder Trojanerserver auf dem Rechner hat?

Ich hab echt Angst PW´s ma einzugeben und nacher bekommt die irgendwer, den es nicht interessieren sollte.

Und Malware/Spyware/Viren Scanner können da auch nicht wirklich helfen wenn die Malware mit bestimmten Methoden behandelt wurde.
Die Methoden nenne ich jetzt nicht aus Sicherheitsgründen!

Hallo,

Ein Prozess, der „nach Hause telefoniert“, macht eine
Verbindung zu einem offenen Port auf einem entfernten
Rechner auf und benötigt dazu keinerlei Fähigkeit,
selbst einen Port aufzumachen.

Da bin ich ja mal gespannt, wie Du das hinbekommst. Bei allen mir bekannten Implementationen von IPv4 braucht man genau vier Dinge, um eine Verbindung vom Client zum Server aufzubauen:

1. Server IP
2. Server Port
3. Client IP
4. Client Port

Erkläre doch bitte mal, wie man ohne 4. auskommt.

Gruß

Fritze

Hi

mit dem hier habe ich es schon einmal überprüft:
http://port-scan.de/
Ich glaube der scannt ja dann von außen… da wurde jedoch
nichts gefunden. Hab aber auch keinen ganzen TCP Scan gemacht
sondern nur die anderen Tests.

Also wäre mein System freizusprechen von eventuellen
Keyloggern oder Trojaner?

nein. Wie hier schon mehrfach erwähnt wurde, haben offene Türen (Ports) nichts mit Trojaner oder Keylogger zu tun.
Du kannst alle Ports offen haben und trotzdem keine Malware auf einem PC.
Und du kannst alle Ports bis auf die lebensnotwendigen geschlossen haben, und ein Trojaner benutzt einfach einen Browser oder ähnliches als Wirt, um hinaus zu telefonieren.
Geschlossene Ports bedeuten eine zusätzliche Sicherheit, nichts mehr und nichts weniger.

Gruss
ExNicki

Danke
Hmm ok danke
dann wird es wohl keine
Möglichkeit geben, speziell auf
behandelte Trojaner zu überprüfen.

sry nochmal Nachfrage
Hallo,

ich habe gerade durch Zufall einen bestimmten Part entdeckt.
Denn der Prozess ging auf 100%, dann hab ich in das Zielverzeichnis zurückverfolgt…

Habt ihr diese Datein auch?
http://www.pic-share.eu/image/20070807/bcdef6f216.jpg

Hallo,

Habt ihr diese Datein auch?

Nein. Ich habe aber auch gar kein Windows. Die „svchost.exe“ ist der
generische Prozess zum einbinden von DLLs. Das ist insoweit also
normal. Die dchsvc.dll ist irgend ein Krempel vom PC Health Service
(was auch immer der tun mag) und BATCH ist ein Verzeichnis.

Google doch einfach selbst mal.

Gruß

Fritze

Hallo,

dann wird es wohl keine
Möglichkeit geben, speziell auf
behandelte Trojaner zu überprüfen.

Was meinst Du denn mit „behandelte Trojaner“? Und was bringt denn ein
Scan mit einem aktuellen Malwarescanner (am besten per Boot-CD, ohne
vorher das vermeintlich befallene System zu starten)?

Gruß

Fritze

Hallo,

ich habe in einigen Sicherheitsseiten gelesen, das man mit
Portscannern testen kann ob man Trojaner auf seinen PC hat die
nach Hause telefonieren oder andere Sicherheitsrisiken.

Wenn Du wissen willst, ob Dein PC „nach Hause telefoniert“,
dann machst Du das am besten mit einem Sniffer auf dem Netzwerk.
Also: Karte in HUB, HUB an DSL Modem/Router/Switch und an den
Sniffer-PC (das kann ein olles Notebook mit tcpdump sein). Die
erschnüffelten Daten kannst Du dann über Ethereal/Wireshark
auswerten.

Gruß

Fritze

Hallo

Was meinst Du denn mit „behandelte Trojaner“? Und was bringt
denn ein

Das sorgt dafür das kein Virenscanner alarm schlägt, weil er gegen die Signaturen emun ist…mehr sag ich dazu erst mal nicht, weil ich sowas erst gar nicht Anderen beibringen will.

Scan mit einem aktuellen Malwarescanner (am besten per
Boot-CD, ohne
vorher das vermeintlich befallene System zu starten)?

Das würde trotzdem nichts bringen, weil der Trojaner nicht in den Signaturen vorhanden ist und das auch so schnell nicht sein wird, wenn es nicht ein riesiger puplic Virus ist.

Mfg

Hallo,

PC Health war mal mein Festplattenschutz, das sollte irgendwie überprüfen wann meine Festplatte wohl den Geist aufgibt. Da mir das Programm jedoch nicht gefiel, habe ich es runtergeworfen.
Der svchost Dienst wird auch gerne als Tarnung von Malware genutzt und warum sollte ein Festplattendienst der schon gar nicht mehr exestiert auf dem PC, weil es deinstalliert wurde die CPU auf 100 % bringen?

Gegooglet habe ich auch schon… das wohl erkenntlichste, half mir aber nicht weiter:
http://board.protecus.de/t2575.htm

Außerdem wollte ich den Ordner dann löschen und dann hat Windows die ganze Zeit verrückt gespielt, also die Ansichten waren gestört.

Aber das programm was ich mal hatte, war in C:\Programme und nicht C:\Windows o_O

Hi

ich habe gerade durch Zufall einen bestimmten Part entdeckt.
Denn der Prozess ging auf 100%, dann hab ich in das
Zielverzeichnis zurückverfolgt…

Habt ihr diese Datein auch?
http://www.pic-share.eu/image/20070807/bcdef6f216.jpg

Hallo,

HjackThis hab ich schon öfters durchgeführt, hatte aber nie was gefunden.
Wenn eine Person einen Server nur für die Zielperson macht, kann es unendlich lange dauern, bis es auffällt. Also ist es auch nicht in den Signaturen der AV Scanner.
Ich weiß wie einfach man mit den „bestimmten“ Programmen so ein Trojaner machen kann, der dann an alle AV´s vorbei geht. Ich frage mich dann, wie ich mich mit dem Bootscanner retten soll.

Aber ich weiß es gibt viel um sich zu schützen, oder auch um sich zu retten, aber das wichtigste ist immer noch die Brain.exe.
Und die Brain.exe ist das einzige was wirklichen Schutz gibt.

Nunja wie der Prozess von PCHealth auf einmal auf 100% ging ist für mich fraglich. Obwohl ich gar nichts gemacht hatte aber egal.

Danke an alle.

Hallo,

Ein Prozess, der „nach Hause telefoniert“, macht eine
Verbindung zu einem offenen Port auf einem entfernten
Rechner auf und benötigt dazu keinerlei Fähigkeit,
selbst einen Port aufzumachen.

Da bin ich ja mal gespannt, wie Du das hinbekommst. Bei allen
mir bekannten Implementationen von IPv4 braucht man genau vier
Dinge, um eine Verbindung vom Client zum Server aufzubauen:

[…]

4. Client Port

Erkläre doch bitte mal, wie man ohne 4. auskommt.

Das Problem liegt in der Doppeldeutigkeit des Wortes „offen“. Das, was der Portscanner testet, entspricht dem Status, den man mit „LISTEN“ umschreibt.

Aber so differenziert ist die Welt in 135-trojan-hax0rs-land nicht …

Sebastian