[Graumagier]

max sagte:

Sind denn nicht standardmäßig alle Ports offen bei Windows, nicht nur 2?

LOL, nein. Offen sind nur die Ports, die geöffnet werden, weil sie z.B. von einem Dienst benötigt werden. Und wären bei Windows alle Ports offen, weil sie von Diensten geöffnet würden, wäre Windows nicht nur unerträglich langsam, sondern noch um einiges unsicherer als im "normalen" Auslieferungszustand.

[Graumagier]

max sagte:

Heißt das, dass ein Backdoor-Programm auch keinen Port von denen, die geschlossen sind, öffnen kann?

Nein. (Sorry, ich las "einen" Port von denen ).
Malware kann selbstverständlich, wie jedes Programm, einen Port öffnen bzw. daran lauschen.

Dieser Beitrag wurde von Graumagier bearbeitet: 04. September 2005 - 12:00

[puppet]

Zitat (max: 04.09.2005, 12:37)

Es ist sicher kein Problem, MS-DS manuell hinzu zu fügen.

Und was machen die User, die nicht wissen das sie MS-DS filtern sollten?

Zitat (max: 04.09.2005, 12:37)

Ich kann deinem Test nicht richtig glauben. Sind denn nicht standardmäßig alle Ports offen bei Windows, nicht nur 2?

Wie sollen denn alle Ports offen sein? Es sind nur die offen auf denen etwas lauscht, zumal ich gar nicht "standardmäßig" geschrieben habe.
Standardmäßig sind vom Netzwerk bei XPSP2 ohne IVFW folgende Ports vom Netzwerk erreichbar: 135/TCP, 139/TCP und 445/TCP.

Zitat

(root@nova)(pts/0)                                                                                        (12:14 04.09.2005)
(~)> nmap -sS -v -p 0-65535 -T Insane 192.168.0.110

Starting nmap 3.75 ( http://www.insecure.org/nmap/ ) at 2005-09-04 12:14 CEST
Initiating SYN Stealth Scan against 192.168.0.110 [65536 ports] at 12:14
Discovered open port 135/tcp on 192.168.0.110
Discovered open port 445/tcp on 192.168.0.110
Discovered open port 139/tcp on 192.168.0.110
The SYN Stealth Scan took 17.94s to scan 65536 total ports.
Host 192.168.0.110 appears to be up ... good.
Interesting ports on 192.168.0.110:
(The 65533 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
135/tcp open  msrpc
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds

Nmap run completed -- 1 IP address (1 host up) scanned in 21.494 seconds

Was ja das netstat -ano auch gut wiederspiegelt.

netstat sagte:

Aktive Verbindungen

  Proto  Lokale Adresse        Remoteadresse          Status          PID
  TCP    0.0.0.0:135            0.0.0.0:0              ABHÖREN        700
  TCP    0.0.0.0:445            0.0.0.0:0              ABHÖREN        4
  TCP    192.168.0.110:139      0.0.0.0:0              ABHÖREN        4
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    500
  UDP    0.0.0.0:1025          *:*                                    948
  UDP    0.0.0.0:4500          *:*                                    500
  UDP    127.0.0.1:123          *:*                                    780
  UDP    127.0.0.1:1026        *:*                                    780
  UDP    192.168.0.110:123      *:*                                    780
  UDP    192.168.0.110:137      *:*                                    4
  UDP    192.168.0.110:138      *:*                                    4

Wobei 123/ntp/UDP, 4500/ipsec-nat-t/UDP und 450/isakmp/UDP bei einer Default-Install nicht vorkommen.
Und ich glaube NetBIOS brauch heut zu Tage kein Mensch mehr zu Hause (wer hat heute noch NT4 und 9x zu Hause im produktiven Einsatz).

max sagte:

  Heißt das, dass ein Backdoor-Programm auch keinen Port von denen, die geschlossen sind, öffnen kann?

Das heisst aber nicht das auf diesem Port keinen Traffic empfangen kann (mit pcap oder LLDA ist das kein Problem, da kann auch eine PFW nichts dagegen tun).

Edit: Beim Edit vergessen abschicken zu klicken

Dieser Beitrag wurde von puppet bearbeitet: 04. September 2005 - 13:03

[Graumagier]

max sagte:

Das verstehe ich nicht, entweder geschlossen oder offen.

Ja, aber ein Programm kann an einem Port lauschen, ohne ihn zu öffnen.

max sagte:

Also ich weiß was Traffic ist, aber wer schiebt Daten über geschlossene Ports?

Niemand, aber es gibt einen Unterschied zwischen senden ("schieben") und empfangen ("lauschen").

[puppet]

Zitat (max: 04.09.2005, 13:11)

Also die Ports sind geschlossen und es kann trotzdem Traffic empfangen werden? Das verstehe ich nicht, entweder geschlossen oder offen. Was ist unter Traffic zu verstehen? Also ich weiß was Traffic ist, aber wer schiebt Daten über geschlossene Ports?

Unter Linux ist Trj/SilentDoor dafür bekannt Daten über geschlossene und/oder gefilterte Ports zu lesen. Unter Windows ist das auch ohne Probleme möglich, da die Pakete ja erst durch diverse Treiber und Filter müssen (wo du sie ja abfangen kannst, und sei es ganz unten per LLDA).
Auf geschlossenen Ports kommen genug Daten an (angefangen bei den Scannern, wie auch bei Blaster, Sasser usw). Und das diese auch ankommen wenn der Port "geschlossen" ist (oder auch von einer PFW "filtered") kannst du ja selbst nachbauen.
Auf einen Rechner IP Sorcery drauf, und auf dem anderen mit einem Sniffer schauen was ankommt:

Und Trojaner benötigen heut zu Tage (oder besser seitdem zu jedem DSL Anschluss "Router" hinterhergeworfen werden) auch keine "offenen Ports" mehr, die Regeln das ganz einfach über NAT-Traversal, SIP o.ä., Möglichkeiten dafür gibt es ja genug.

[Graumagier]

max sagte:

a toll, also werde ich belauscht? Was bedeutet lauschen; wer macht da was?

Programme, die auf deinem PC installiert sind, können "mithören", welcher Traffic auf Ports aufschlägt, ohne diese dazu öffnen oder anderweitig beeinflussen zu müssen. Dadurch könnten sie z.B. Steuerinformationen erhalten, ohne explizit in das System eingreifen zu müssen.