Hallo!
Ich habe da eine Frage, die mich wirklich beschäftigt: ich habe Lockdown2000 installiert und auch schon so manchen Hacker erwischt, der mir einen Trojaner hereinsetzten wollte (NetBus, SubSeven etc.). Nun würde mich aber interessieren, wie das überhaupt funktioniert. Über offene Ports oder anders? Ich will natürlich keine genaue Anleitung, sondern nur, wie so was grundsätzlich funktioniert.
Danke,
Michael
Hallo Michael
Trojaner bestehen grundsätzlich aus zwei Programmen, dem Client, den hat der boese Hacker und dem Server, der sitzt bei dir im Rechner und macht alles, was der Server ihm befiehlt.
Der Server kann auf verschiedene Arten bei dir auf den Rechner kommen. Er ist ein Exe-File, das einmal auf deinem Rechner ausgeführt werden muss. Man kann ihn auch mit ansonsten harmlosen Programmen verschmelzen, und wenn du ein solches „verseuchtes“ Programm ausführst, führst du damit ungewollt auch das Serverprogramm aus und dieses nistet sich bei dir auf der Platte ein.
Der Trojaner kommt also auf allen erdenklichen Wegen, übers Internet per download, über email attachments, von einer CD - alles ist möglich
mfG
Xavier
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Der Trojaner kommt also auf allen
erdenklichen Wegen, übers Internet per
download, über email attachments, von
einer CD - alles ist möglich
mfG
Xavier
Ja, aber kann er auch durch bloßes Surfen, also ohne Download, Attachements etc. hereinkommen? Oder warum schlägt meine Firewall dann Alarm? Heißt das nur, dass jemand auf den Server zugreifen wollte?
Michael
Ja, aber kann er auch durch bloßes
Surfen, also ohne Download, Attachements
etc. hereinkommen? Oder warum schlägt
meine Firewall dann Alarm? Heißt das nur,
dass jemand auf den Server zugreifen
wollte?
Du benutzt nicht zufällig LockDown2000 ?
Aufgrund der Häufung von vermeindlichen Angriffen beginne ich an der Zuverlässigkeit dieses Programmes zu zweifeln.
Welche Meldung erhälst Du genau vom Firewall?
CU
Markus
Welche Meldung erhälst Du genau vom
Firewall?
Hier das Protokoll des letzten (Doppel-)Angriffs:
** LockDown 2000 v4.0.1.5 initalized at Di, Dez 21, 1999, at 01:45 PM (MEZ) Mitteleuropäische Zeit **
Trojan network connectivity check enabled.
Auto Trojan scan is activated.
Nuke protection enabled.
ICQ Nuke protection enabled.
[21.12.99 19:26:41] Incoming hack attempt from IP Address: xxx.xxx.xxx.xxx
[21.12.99 19:26:41] Hacker is attempting to gain access using the SubSeven trojan.
[21.12.99 19:26:41] Hacker’s connection was terminated by Lockdown 2000.
[21.12.99 19:26:41] Log auto-saved to: 12211999.LOG
[21.12.99 19:26:41] Attempting trace route… Please stand by…
[21.12.99 19:26:41] Attempting to trace hacker’s connection… Please stand by…
[21.12.99 19:26:41] 21.12.99 19:26:41-[From xxx.xxx.xxx.xxx]-
[21.12.99 19:26:52] => LN02T053.highway.telekom.at
[21.12.99 19:26:52] => AUX2-LIX1-BB2.highway.telekom.at
[21.12.99 19:26:52] => mistral.UTA.at
[21.12.99 19:26:52] => computronic-ptp.uta.at
[21.12.99 19:26:52] => ppp115.computronic.at
[21.12.99 19:26:52] =========================================
[21.12.99 19:34:00] Incoming hack attempt from IP Address: xxx.xxx.xxx.xxx
[21.12.99 19:34:00] Hacker is attempting to gain access using the Netbus trojan.
[21.12.99 19:34:00] Hacker’s connection was terminated by Lockdown 2000.
[21.12.99 19:34:01] Log auto-saved to: 12211999.LOG
[21.12.99 19:34:01] Attempting trace route… Please stand by…
[21.12.99 19:34:01] Attempting to trace hacker’s connection… Please stand by…
[21.12.99 19:34:01] 21.12.99 19:34:01-[From xxx.xxx.xxx.xxx]-
[21.12.99 19:34:08] - Connection made locally!
[21.12.99 19:34:08] =========================================
(Die IP-Adresse habe ich unkenntlich gemacht).
Michael
Welche Meldung erhälst Du genau vom
Firewall?Hier das Protokoll des letzten
(Doppel-)Angriffs:** LockDown 2000 v4.0.1.5 initalized at
Di, Dez 21, 1999, at 01:45 PM (MEZ)
Mitteleuropäische Zeit **Trojan network connectivity check enabled.
Auto Trojan scan is activated.
Nuke protection enabled.
ICQ Nuke protection enabled.[21.12.99 19:26:41] Incoming hack attempt from IP Address: xxx.xxx.xxx.xxx
[21.12.99 19:26:41] Hacker is attempting to gain access using the SubSeven trojan.
-> jemand sucht bei die nach dem Trojaner SubSeven (ohne zu wissen, ob er installiert ist)
[21.12.99 19:26:41] Hacker’s connection
was terminated by Lockdown 2000.
[21.12.99 19:26:41] Log auto-saved to:
12211999.LOG
[21.12.99 19:26:41] Attempting trace route… Please stand by…
[21.12.99 19:26:41] Attempting to trace hacker’s connection… Please stand by…
[21.12.99 19:26:41] 21.12.99 19:26:41-[From xxx.xxx.xxx.xxx]-
[21.12.99 19:26:52] => LN02T053.highway.telekom.at
[21.12.99 19:26:52] => AUX2-LIX1-BB2.highway.telekom.at
[21.12.99 19:26:52] => mistral.UTA.at
[21.12.99 19:26:52] => computronic-ptp.uta.at
[21.12.99 19:26:52] => ppp115.computronic.at
[21.12.99 19:26:52][21.12.99 19:34:00] Incoming hack attempt from IP Address: xxx.xxx.xxx.xxx
[21.12.99 19:34:00] Hacker is attempting to gain access using the Netbus trojan.
-> siehe oben, diesmal Suche nach NetBus
[21.12.99 19:34:00] Hacker’s connection was terminated by Lockdown 2000.
[21.12.99 19:34:01] Log auto-saved to: 12211999.LOG
[21.12.99 19:34:01] Attempting trace route… Please stand by…
[21.12.99 19:34:01] Attempting to trace hacker’s connection… Please stand by…
[21.12.99 19:34:01] 21.12.99 19:34:01-[From xxx.xxx.xxx.xxx]-
[21.12.99 19:34:08] - Connection made locally!
?? versuchst du dich selber zu hacken?? 
[21.12.99 19:34:08] =========================================
(Die IP-Adresse habe ich unkenntlich
gemacht).
hmmm … also ppp115.computronic.at sollte sich auch zu ner IP auflösen lassen, und der 2. Anriff kam wohl von 127.0.0.1 ?!
Michael
Prinzipiell - durch reines Surfen fängst du dir keinen Trojaner, Virus etc ein - wohl aber kann jemand deinen Rechner hacken. Aber - diese Angriffe über Trojaner von „Möchtegernhackern“ sollte Lockdown zuverlässig abblocken, und jemand, der das Können hat, um ohne Trojaner bei dir einzubrechen, der hat wahrscheinlich kein Interesse daran.
mit weihnachtlichen Grüßen
Mark
[21.12.99 19:26:41] Incoming hack attempt
from IP Address: xxx.xxx.xxx.xxx
[21.12.99 19:26:41] Hacker is attempting
to gain access using the SubSeven trojan.
[21.12.99 19:26:41] Hacker’s connection
was terminated by Lockdown 2000.
[21.12.99 19:26:41] Log auto-saved to:
12211999.LOG
[21.12.99 19:26:41] Attempting trace
route… Please stand by…
[21.12.99 19:26:41] Attempting to trace
hacker’s connection… Please stand by…
[21.12.99 19:26:41] 21.12.99
19:26:41-[From xxx.xxx.xxx.xxx]-
[21.12.99 19:26:52] =>
LN02T053.highway.telekom.at
[21.12.99 19:26:52] =>
AUX2-LIX1-BB2.highway.telekom.at
[21.12.99 19:26:52] => mistral.UTA.at
[21.12.99 19:26:52] =>
computronic-ptp.uta.at
[21.12.99 19:26:52] =>
ppp115.computronic.at
[21.12.99 19:26:52]
Genau so ein Protokoll meine ich. Seltsam finde ich daran, daß lediglich LockDown eine so hohe Trefferquote zu erzielen scheint. Von einem anderen Firewall habe ich hier keine derartige Häufung von Alarmmeldungen gesehen.
Sicherlich sind Trojaner wie Netbus oder BackOrifice eine Gefahr. Ich halte es aber nicht für realistisch, daß so viele Rechner infiziert sind bzw. daß so viele potentielle Angreifer ganze Subnetze nach IPs möglicher Opfer scannen und damit den Alaram auslösen.
Mir drängt sich deshalb der Verdacht auf, daß es sich um einen Fehlalarm handeln könnte. Offen bleibt allerdings, wie es zu dem BackTrace zum vermeindlichen Angreifer kommt.
Wie gesagt: Das Ganze ist nur eine Vermutung, aber es scheint mir mehr als ein Zufall zu sein.
Verwende zum Schutz gegen Trojaner lieber einen aktuellen Antivirus (z.B. McAfee oder Norton). ein Trojaner kann Dir erst dann gefährlich werden, wenn er sich auf Deinem System befindet. Genau das verhindert aber der Antivirus.
Firewalls, die jeglich Aktivität an Ports melden, die von Trojanern benutzt werden können, übertreiben ein wenig: Ohne Server hinter dem Port keine Gefahr. Abgesehen davon erkennt LockDown ohnehin nur Aktivitäten auf den überwachten Ports. Das Programm spielt also einen Server hinter bestimmten Port. Leider sind die nur die Standardports, welche von den üblichen Trojanern verwendet werden. Wurde ein Trojaner auf einen anderen Port konfiguriert, so ist LockDown nutzlos. Ein Antivirus hingegen erkennt den Server unabhängig von seiner Konfiguration.
CU
Markus
PS: Wenn Du schon die IPs anonymisierst, dann solltest Du dasselbe auch mit den DNS-Einträgen (ppp115.computronic.at) tun. 
Verwende zum Schutz gegen Trojaner lieber
einen aktuellen Antivirus (z.B. McAfee
oder Norton). ein Trojaner kann Dir erst
dann gefährlich werden, wenn er sich auf
Deinem System befindet. Genau das
verhindert aber der Antivirus.
Gut, danke. Ich werde mir gleich mal McAfee zulegen (den krieg ich billiger ).
PS: Wenn Du schon die IPs anonymisierst,
dann solltest Du dasselbe auch mit den
DNS-Einträgen (ppp115.computronic.at)
tun.
Ja, das habe ich überlegt. Aber aus irgendeinem Grund war ich der Ansicht, dass das nicht so wichtig ist. Blöde Annahme
Frohes Fest!
Michael
?? versuchst du dich selber zu hacken??
Höchstens unabsichtlich
(Die IP-Adresse habe ich unkenntlich
gemacht).hmmm … also ppp115.computronic.at sollte
sich auch zu ner IP auflösen lassen,
Wie ich bereits in der Antwort an Markus gesagt habe: aus irgendeinem Grund wollte ich das stehen lassen. Frag’ mich nicht warum, es war spät
der 2. Anriff kam wohl von 127.0.0.1 ?!
Von mir? Dass ich sowas zusammenbringe hätte ich nicht geglaubt *staun*
Prinzipiell - durch reines Surfen fängst
du dir keinen Trojaner, Virus etc ein -
wohl aber kann jemand deinen Rechner
hacken. Aber - diese Angriffe über
Trojaner von „Möchtegernhackern“ sollte
Lockdown zuverlässig abblocken, und
jemand, der das Können hat, um ohne
Trojaner bei dir einzubrechen, der hat
wahrscheinlich kein Interesse daran.
Ja, aber es stört mich irgendwie trotzdem.
Frohes Fest!
Michael
Du benutzt nicht zufällig LockDown2000 ?
Aufgrund der Häufung von vermeindlichen
Angriffen beginne ich an der
Zuverlässigkeit dieses Programmes zu
zweifeln.
Hi Markus,
so langsam zweifle ich ebenfalls an LockDown2000, seitdem ich vorgestern Abend 7 „Hacks(?)“ in nur 1 Stunde auf meinen Rechner hatte und das auch noch immer von der selben Sender-IP.
Seltsam…
Gruß
Jester