Offene Ports

Dieses Thema im Forum "Sicherheit" wurde erstellt von Mart1, 5. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Mart1

    Mart1 Byte

    Registriert seit:
    3. Juli 2004
    Beiträge:
    23
    Hallo, ich habe laut netstat so ca. 20 Ports offen, was mich doch etwas stutzig macht, da ich nie irgend welche Viren drauf hatte...
    Hier mal die netstat Log File:
    Aktive Verbindungen

    Proto Lokale Adresse Remoteadresse Status
    TCP 0.0.0.0:135 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:445 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:1025 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:1027 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:2181 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:2383 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:3303 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:4570 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:4690 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:4737 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:4754 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:5000 0.0.0.0:0 ABH?REN
    TCP 0.0.0.0:18350 0.0.0.0:0 ABH?REN
    TCP 127.0.0.1:2179 127.0.0.1:2181 HERGESTELLT
    TCP 127.0.0.1:2181 127.0.0.1:2179 HERGESTELLT

    TCP 213.20.162.237:139 0.0.0.0:0 ABH?REN
    TCP 213.20.162.237:4690 64.12.25.142:5190 HERGESTELLT
    TCP 213.20.162.237:4737 207.44.162.2:80 HERGESTELLT
    TCP 213.20.162.237:4754 66.139.79.154:80 HERGESTELLT
    UDP 0.0.0.0:445 *:*
    UDP 0.0.0.0:500 *:*
    UDP 0.0.0.0:2175 *:*
    UDP 0.0.0.0:2184 *:*
    UDP 0.0.0.0:2194 *:*
    UDP 0.0.0.0:2206 *:*
    UDP 0.0.0.0:3018 *:*
    UDP 127.0.0.1:1900 *:*
    UDP 127.0.0.1:4683 *:*
    UDP 213.20.162.237:137 *:*
    UDP 213.20.162.237:138 *:*
    UDP 213.20.162.237:1900 *:*
    UDP 213.20.162.237:4682 *:*

    Was kann man da machen, oder ist das normal?
     
  2. Bajaria

    Bajaria Kbyte

    Registriert seit:
    11. August 2001
    Beiträge:
    400
  3. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    @ Mart1

    127.0.0.1 und 0.0.0.0 beziehen sich ausschließlich auf Deinen EIGENEN Rechner.
    Das ist völlig normaler lokaler Traffic

    213.20.162.237 ist sicher die IP Deines ISP. Sobald Du ins Netz gehst, bekommst Du eine Verbindung dorthin.

    Bevor Du Dich mit netstat oder anderen Netzwerktools beschäftigst und Dich panisch macht (unnützerweise!), solltest Du Dich mit den Grundlagen von TCP/IP beschäftigen!

    Bedeutung von einzelnen Ports findest Du unter:
    http://www.portsdb.org/
    TCP/IP-Grundlagen
    http://www.netzmafia.de/skripten/netze/netz8.html
    http://www.h.shuttle.de/mitch/tcpip.de.html
     
  4. Mart1

    Mart1 Byte

    Registriert seit:
    3. Juli 2004
    Beiträge:
    23
    Hi danke für die Infos und die Links, hatte mal bei Trojaner-info.de geschaut, da standen bei port 5000 einige Trojaner. naja seis wies is, jetz weis ich mehr über TCP/IP Thx a lot.
     
  5. mroszewski

    mroszewski Viertel Gigabyte

    Registriert seit:
    18. Juni 2002
    Beiträge:
    4.208
    du sollst unbedingt das hier ausführen und dich dann wieder melden.
    https://www.grc.com/x/ne.dll?bh0bkyd2
     
  6. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Warum sollte er das tun?
    Aufgrund seines netstat Logs?
    Das mußt Du mir dann aber doch erklären...
     
  7. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Es ist in der Tat bedenklich, warum so viele Ports geöffnet sind, die nicht durch Systemprozesse initiiert sind. Du solltest mal eine Prozessanalyse vornehmen und überprüfen, welche Prozesse diese Ports öffnen. Am besten geht das mit den Tools von syinternals :

    http://www.sysinternals.com/ntw2k/source/tcpview.shtml

    Damit kannst du feststellen, welche Prozesse die Ports öffnen.[/i]

    http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

    Damit kannst du eine intensive Prozess-Analyse durchführen.


     
  8. mroszewski

    mroszewski Viertel Gigabyte

    Registriert seit:
    18. Juni 2002
    Beiträge:
    4.208
  9. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    So stimmt das nicht ohne weiteres. Wenn ich auf einem Win 98-System Subseven installiert habe, dann sind dort die einschlägigen Ports auch geöffnet.Bei NT-OS habe ich dagegen noch eine gewisse Sicherheit gegenüber solchen Trojanern, wenn ich nicht als Admin aktiv bin. Das, worum es in dem von dir verlinkten Beitrag geht, ist die Tatsache, dass XP wesentlich mehr Ports durch Systemprozesse öffnet als Win98, was dann zum Problem wird, wenn der Code der zugrundeliegenden Dateien fehlerhaft ist und zum Beispiel durch Buffer Overflows Zugangsmöglichkeiten zum Systen hergestellt werden können, wie Sasser und Blaster dies praktiziert haben.
     
  10. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    ???
    Die stehen auf abhören, keine Verbindung hergestellt und das am lokalem Rechner? Was ist daran seltsam?
    Also wenn ich da auf 'nen AD-Server ein netstat -a loslasse, der komplett vom Netz getrennt ist, bekomme ich noch mehr an Aufzählung...

    135 ms-rpc
    445 microsoft-ds
    1027 messenger service
    2383 ms-olap4
    5000 upnp

    etc.
    Quelle:
    http://www.portsdb.org/

    Alles lokaler Traffic, bis auf die Verbindungen zum Provider. Und 80 (http),139 (netbios) und 5190 (z.B. ICQ) sind auch nicht besonders bedenklich. Okay, netbios im Internet muß nicht unbedingt sein.

    Manche deklarieren das ja auch als Trojaner...



     
  11. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Es ist eine Sache, ob eine Verbindung hergestellt ist und eine andere Sache, ob ein Port geöffnet ist. Mal ein schlagendes Beispiel aus der aktuellen PC-Welt zum Thema : "Das Böse schläft nie"

    Hier wird ein Screeshot von netstat -an gezeigt. Da ist folgendes zu sehen :


    Aktive Verbindungen

    Proto Lokale Adressen Remoteadresse Status

    TCP 0.0.0.0:6776 0.0.0.0.0 Listening
    TCP 0.0.0.0:1243 0.0.0.0.0 Listening
    TCP 192.168.20.47:1025 192.168.20.141:139 Time_Wait
    TCP 192.168.20.47:1026 192.168.20.38:139 Time_Wait
    TCP 192.168.20.47:137 0.0.0.0.0 Listening
    TCP 192.168.20.47:138 0.0.0.0.0 Listening
    TCP 192.168.20.47:139 0.0.0.0.0 Listening
    UDP 192.168.20.47:137 *:*
    UDP 192.168.20.47:138 *:*

    Kommentar des Redakteurs David Wolski (hier im Forum mit dem Nick : dw) :

    Kontrollverlust: netstat.exe zeigt offene Netzwerk-Ports an. Die verdächtigen Ports 1234 und 6776 hat ein Backdoor-Programm geöffnet, in diesem Beispiel 'Subseven'. Der PC ist als kompromittiert zu betrachten.

    Ich sehe das genauso.

    Also von wegen Entwarnung, weil nur auf dem lokalen Rechner gehorcht wird.
    Tja, unser Antidepressiva muss halt noch viel lernen ;)
     
  12. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Das ist richtig.
    Aber wer muß das nicht?
    Und ich lerne auch noch gern dazu ;-)

    Nur, wenn Du Dir mal die Mühe machst und analysierst, WELCHE Ports beim TO offen sind, dann wirst Du sehen, daß es sich um lokalen Standardtraffic handelt.

    Schon mal 'n netstat -a bei 'nem Server gesehen?
    DNS, epmap, MS-ds, netbios usw.usf.
    Allein die Ports, die svchost incl. aller Subprozesse lokal öffnet, sind kaum zu zählen.

    Aber das zeigen die Tools, die Du empfohlen hast viel deutlicher.
    Sind übrigens auch meine erste Wahl zur Analyse.

    Ich bin eben kein Freund von übertriebener Panikmache und wenn ich sehe, daß die Begriffe Ports und IP fallen und sofort auf Teufel komm raus losgescannt werden muß, weil man sich ja ach so bedroht fühlt, dann frage ich mich schon...
     
  13. Mart1

    Mart1 Byte

    Registriert seit:
    3. Juli 2004
    Beiträge:
    23
    hab mal des tcpview benutzt:
    Da kam son Prozess, der mir sehr verdächitg vorkam:
    [System Process0], bei dem man keine Properties anzeigen konnte und der auf TIME_WAIT stand. weis jemand was das ist?
     
  14. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651

    Den solltest Du auf jeden Fall blocken oder beenden.
    Systemprozesse sind böse und gefährlich.
    Gehe in den Taskmanager und kille alle Prozesse mit der PID 0.
    Und am besten auch noch die mit der PID... ach, am besten alle...
    Die mit dem Namen svchost auf jeden Fall...

    Bei mir läuft der 0 öfter. Manchmal auch unter dem Namen SystemProcess4 oder 2 ... Ist zwar niemals zu einem Endpoint connected, aber man kann ja nie wissen...
    Da ist auch noch der IE mit der Process ID 2012...
    Moment, ist nicht Process ID 0 die böse? Vom SystemProcess?
    Ich muß jetzt bestimmt den Rechner neu aufsetzen...

    Ich geb's auf...
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen