Spurensuche

Artur_19f585 · 8. November 2019 um 14:24

Moinmoin,

closed heist: der Port ist zu. Das sind die um die man sich
gar keine Sorgen machen muss. Das sind die GUTEN.

(Obwohl ich mich durchaus frage, warum Trojaner-Ports zumindest nach außen sichtbar sind, aber ist wohl hier erstmal zweitrangig…)

SUN-RPC auf einem Windows-PC ?

Nein- bei fest installiertem Knoppix wie gesagt (unter win gibts da nix…)

Du hast einen CUPS-Printer im Netz freigegeben. Man kann evtl.
per Internet auf deinen Drucker zugreifen.

Hmm- schon passiert (s.o.) Das ist immerhin schonmal ein Anhaltspunkt, mal sehen ob da was konkretes zu fassen kriege, das sich weiter verfolgen lässt…

versuchs mal mit:
netstat -tanp

Ergebnis: 0.0.0.0 (…)

Ja, man braucht win.ini um die freigegebenen Drucker zu
benutzen. Ist ja einigen gelungen.

Ömm- unter Linux?
Ich spreche wie gesagt von var/spool…
(Unter win auch hier kein Prob beim Drucken)

Besten Dank wieder
ARt

(Und: 2.Rechner habe ich leider aktuell nicht zur Hand)

pumpkin_1768a9 · 8. November 2019 um 14:24

Moin

e-mail angekommen ?

(Obwohl ich mich durchaus frage, warum Trojaner-Ports
zumindest nach außen sichtbar sind, aber ist wohl hier erstmal
zweitrangig…)

Es sind immer alle 65536 Ports sichtbar (es gibt keine unsichtbaren Ports). Wenn kein Programm/Trojaner/Dienst auf dem Port hört ist er „closed“. Wenn ein Port neue Verbindungen akzeptiert ist er „open“. Wenn eine Verbindung über einen Port läuft, aber keine neuen Verbindungen zu dem Port aufgebaut werden können kann das so ein online-scanner nicht erkennen. (nessus & netstat lokal schon, aber das ist ein anderes Thema)

Die extra aufgezählten closed-Ports werden nur angezeigt weil das bei windows die üblichen Verdächtigen sind. Alle anderen, nicht aufgeführten, sind auch closed.

versuchs mal mit:
netstat -tanp

Ergebnis: 0.0.0.0 (…)

? so wenig Ausgaben ?
Das:

Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:32772 0.0.0.0:\* LISTEN 1728/licq
tcp 0 0 0.0.0.0:111 0.0.0.0:\* LISTEN 941/portmap
tcp 0 0 0.0.0.0:6000 0.0.0.0:\* LISTEN 1385/X
tcp 0 0 0.0.0.0:631 0.0.0.0:\* LISTEN 1037/cupsd
tcp 0 0 0.0.0.0:31416 0.0.0.0:\* LISTEN 1720/boinc\_4.13\_i68
tcp 0 0 0.0.0.0:25 0.0.0.0:\* LISTEN 1316/master
tcp 1 0 192.168.1.2:33561 213.133.110.247:80 CLOSE\_WAIT 1693/opera
tcp 0 0 127.0.0.1:31416 127.0.0.1:32912 CLOSE\_WAIT 2675/hadsm3\_4.04\_i6
tcp 0 0 192.168.1.2:32780 205.188.7.235:5190 ESTABLISHED 1728/licq
tcp 0 0 :::80 :::\* LISTEN 1399/httpd2-prefork
tcp 0 0 :::22 :::\* LISTEN 1040/sshd

ist mein normaler Zustand.

cu

Sebastian · 8. November 2019 um 14:24

Hallo,

SUN-RPC auf einem Windows-PC ?

Nein- bei fest installiertem Knoppix wie gesagt (unter win
gibts da nix…)

Knoppix ist für feste Installationen sehr ungeeignet. Oder hast Du CUPS schon aktualisiert? Es gab da kürzlich ein paar security-Updates …

Ja, man braucht win.ini um die freigegebenen Drucker zu
benutzen. Ist ja einigen gelungen.

Ömm- unter Linux?

Nein. Das kommt auf die Konfiguration von CUPS an. Da Du aber schlecht unter Knoppix Updates machen kannst, würde ich erst harnicht die Zeit damit vertrödeln, hier irgendwelchen Effekten nachzusuchen sondern ein für Festplatteninstallation geschaffenes Linux zu installieren.

HTH,

Sebastian

Artur_19f585 · 8. November 2019 um 14:27

Sorry…
Moinmoin,

e-mail angekommen ?

Kann ich leider noch nicht sagen, weil ich (?) seit gestern nicht mehr bei gmx reinkomme…

? so wenig Ausgaben ?

Yo- bin gerade nicht zuhause, deswegen allgemein und aus dem Kopf.
Abgesehen von den diversen Sockets tauchen 3 sachen auf:
rpc, ipp (jeweils tcp & udp) und der 6050- was das ist, habe ich zufällig auch rausgekriegt: Ein Kollege namens ibod- unter isdn4L zuständig für MPPP/Channel Bundeling- frage mich aber immer noch, warum der da immer rumlungert, wo ich Channel Bundeling standardmäßig deaktiviert habe…
…und sobald gmx wieder startklar ist (hatten die mal wieder eine erfolgreiche Dos-Attacke?) kommt auch meine Antwort :-}

THX
ARt

pumpkin_1768a9 · 8. November 2019 um 14:28

Moin

e-mail angekommen ?

Kann ich leider noch nicht sagen, weil ich (?) seit gestern
nicht mehr bei gmx reinkomme…

funktioniert bei mir tadellos. Hatte die letzten 3 Monate keinerlei Aussetzer bei gmx.

cu

Anonym_95ec2611811a · 8. November 2019 um 14:43

Hallo Art,

da Du keine näheren Angaben machst, ist es schwierig, was Sinnvolles zu raten. Von meinem Hintergrund her kenne ich ein paar Möglichkeiten, aber es wäre viel zu langwierig und komplex nun Dir hier einfach so einen Roman zu schreiben, da ich die Sache nicht selbst vor Augen habe. Daher nur Stichpunkte:
Er könnte es technisch gelöst haben, auf vielerlei Art:
-abhören einer Leitung
-Auffangen der Monitorstrhlung
-Installation eine Torjaners
-Aktivieren von Remotedesktop (falls XP etc)
-Fernglas
-etliche mehr
Er könnte es sozial gelöst haben:
-social engineering verschiedenster Art
-Benutzung diverser (Zauber-)Tricks u.ä.
-psychologische Anlaysen (da Du ja auch nicht sagst, wie groß und in Bezug der vermutete Datenklau sein könnte)
Er könnte es anders gelöst haben:
-Einbruch
-Müll durchwühlen
-und vieles mehr
Die meisten haben an unmittelbares Abhören einer Leitung gedacht, und auch Du, da Du ethereal erwähnst. Es bräuchte, vermute ich, schon einen Fachmann/frau vor Ort.