ZoneAlarm Wie geht’s ?
Hallo habe Zone Alarm Installiert und bekomme dauert Irgendwelche Meldungen …
Leider kann ich mit den nicht viel damit anfangen - Habe irgendwo eine deutsche Hilfe gefunden - doch die hat mir auch nicht geholfen.
Die Meldungen sind in der Art: …Zugang von 120.130.140.150 geblockt…
Was mache ich mit dieser Meldung
Ratlos ? SAM
Hallo Sam!
Meistens handelt es sich bei diesen Meldungen um harmlose Portscans, bzw. einen einfachen Ping.
Auf der Seite http://www.zonealarm.de/ sind mehrere Meldungen
beschrieben.
Falls Du die Fehlermeldungen genauer analysieren möchtest, gibt
es hier ein gutes Tool: http://zonelog.co.uk/downloads.html
Die Anleitung dafür findest Du hier: http://www.bluemerlin-security.de/LogAnalyser/index…
M.f.G.
Beowolf
Ersteinmal: Zonealarm ist gerade auch für Leute geeignet, die im Prinzip keine Ahnung davon haben, wie die Übertragung über Netzwerke funktioniert, da die Konfiguration super easy ist, und man mit sehr wenigen Einstellungen dass System dicht machen kann.
Nur: Ein wenig sollte man (muss man!) sich schon in die Materie einarbeiten, um zu verstehen, was überhaupt passiert, damit man vermeintliche und tatsächliche Angriffe unterscheiden kann.
Und was Viele übersehen: Zonealarm blockt ja ebenfalls auch Verbindungen, die von unserem Rechner nach aussen gehen!
Die sind oft Trojaner, und wenn man z.B. die Meldungen FWIN und FWOUT nicht unterscheiden kann, bekommt man hier Probleme!
Also nun geht`s mal los mit der Erklärerei:
Wichtig bei Zonalarm ist immer, dass man das Häckchen vor
„Log Alerts to Text File“ aktiviert hat, alle Angriffe werden dann in der Datei ZAlog.txt abgelegt. Diese Datei beinhaltet dann alle Meldungen, und du kannst sie in Ruhe analysieren
Zu den Meldungen: Ich habe im Moment leider keine, also muss ich es etwas aus dem Kopf machen.
Am einfachsten sind wohl die Meldungen álá:
"Would you allow to access the Programm XYZ.exe to the Internet?
Hier gilt: Wenn ich „NO“ anklicke, darf das Programm nicht auf das Internet zugreifen, wenn ich „JA“ anklicke, darf es dies, mit dem Häckchen speichere ich diese Entscheidung dauerhaft. Das ist ja relativ einfach.
Wichtig ist: Ist das Programm überhaupt eine normale Anwendung oder gebe ich hier gerade einem Trojaner den Weg frei !?! Zonealarm ist das egal !
Leider haben die Programme oft nicht nachzuvollziehende Namen, mein Hombankingprogramm, dass ins Internet muss (Starmoney), heist z.B. m_loaded.exe, ein bekannter Trojaner heisst z.B. mtx.exe, oft haben die Trojaner auch Namen ähnlich oder identisch denen von Systemprogrammen, z.B. Notepad.exe .
Aber: Wenn ich mir unsicher bin, hilft oft eine schnelle Suche der Datei mit der Suchfunktion von Windows. Am Beispiel m_loaded.exe: Die Suche gibt mir an, das sich das Stammverzeichnis im Ordner von Starmoney befindet, es wird sich also mit guter Sicherheit um ein Programm der Software handeln. Bei Notepad.exe und ähnlichen Anwendungen hilft nur der gesunde Menschenverstand, denn wenn ich das Programm beispielsweise probehalber ausführe, wird das normale Notepad noch normal gestartet(wurde vorher zu Note.com umbenannt und verlinkt), denn: Muss ein Editor ins Internet? NEIN! Hilft gar kein Raten und Suchen, muss ich notfalls vorher ins Internet gehen, und in einer Suchmaschine nach dem Programm suchen, dann finde ich oft eine genauere Beschreibung zu der Funktion, z.B. wenn es sich um ein Systemprogramm handelt bei Microsoft, oder bei einem Trojaner lande ich schnell auf einer Trojanerseite ! Erst wenn ich mir ganz sicher bin, solte ich es freigeben.
So, nun zu den Alert-Meldungen:
Wird eine Meldung ausgegeben, das ein Zugang geblockt wurde, gibt es erst einmal keinen Grund zur Panik, denn der Zugang wurde ja blockiert, die Firewall hat ihren Dienst erfüllt.
120.130.140.150 ist die IP-Adresse, von dem aus der Angriff vorgenommen wurde. Jeder Rechner im Internet hat eine Adresse,
selbst du (wenn auch meist nur eine dynamische, d.h. sie wurde dir bei der Interneteinwahl vom Provider zugeteilt). Sie dient zur Lokalisierung der Rechner im Netz. Auch wenn du im Browser meist eine Domain, z.B. www.domain.de eingibst, so findet der Datenverkehr doch über IP-Adressen statt, d.h. ein DNS (Dynamic Name Server) wandelt deine angeforderte Domain in die IP-Adresse um, die bei ihm zu dieser Domain gespeichert ist, und fordert dann die Daten für dich an.
Wenn du wissen willst, wer dich da belästigt hat, oder wohin die Daten von deinem Rechner gesendet werden sollten kannst du die von Zonealarm ausgegebene Adresse im Prinzip ebenfalls wieder in den eigendlichen Rechnernamen umwandeln, so weisst du, wer der Übeltäter ist, und wo er wohnt. Das machst du, wenn du auf „More Info“ in Zonealarm klickst, und dann die WHOIS Optionen benutzt.
Leider habe ich festgestellt, das die von Zonealarm verwendeten
whois-Server, nicht ganz passend sind für den Deutschen Anwender, das liegt z.B. daran, das die Namen der Rechner, die Domainregistrierung usw. weltweit gesplittet auf verschiedenen Servern liegen, für Westeuropa ist dies z.B. whois.ripe.net.
Dies alles ist bei Zonealarm sehr mühsam, besorge dir besser ein Traceprogramm, mit dem du den Weg von Packeten zum Rechner verfolgen kannst, z.B. NeoTrace(Freeware, mit Weltkarte, auf der die Knotenpunkte eingezeichnet und verbunden werden, und mit guter Whois-Funktion); du kannst natürlich auch das Windows-eigene TRACERT benutzen. Gebe dazu einfach den TRACERT 123.123.123.123 in ein Dosfenster ein, und drücke Return.
Ist aber ohne Whois-Funktion und die reinen Rechnernamen sagen einem oft wenig. Dies alles ist aber verschwendete Zeit, denn richtige Hacker tarnen sich zu gut.
Zu den von Zonealarm angegebenen Ports: Ports sind oft trojanerspezifisch, z.B. ein installierter SubSeven belauscht 27374, versucht jemand, Port 27374 anzusprechen, schaut er also, ob du vielleicht diesen Trojaner auf dem Rechner hast, um ihn zu aktivieren. Aber Listen dazu gibt es genug im Netz, ich habe jetz keine Lust mehr, nochmehr zu schreiben…
Danke Raphael !
Hallo Raphael,
Dank deiner ausführlichen Erklärung habe ich nun etwas mehr Durchblick.
cu SAM