openname
Goto Top

Über welche Ports werden Kontaktdaten geholt (Botnet)?

Ich suche die Zugangsports von Botnets und Gegenmassnahmen.

Hallo,

einer Bekannten von mir ist von Ihrem Vista-Rechner ihr OUTLOOK-Adressbuch offensichtlich ausgelesen wurden. Möglicherweise hängt sie auch in einem Botnet.
Meine Frage ist nun:
Welche über welche Ports werden bevorzugt OUTLOOK-Kontakte abgezogen und damit verbunden, welche Ports nutzen die Botnets?

Also wie kann ich eine zwischen Speedport und PCs geschaltete Firewall (Linksys-Router mit DD-WRT) absichern, dass Botnets keine Chancen haben? Oder geschieht das mittels geeigneter Malware
über die offenen Ports 80, 443, 143, 25, 3389?

Wäre schön einige Informationen über die Botnets und das Absaugen von OUTLOOK-Kontakten zu erfahren, am besten auch weiterführende Links.

Viele Grüße

Openman

Content-ID: 148509

Url: https://administrator.de/contentid/148509

Ausgedruckt am: 26.11.2024 um 07:11 Uhr

maretz
maretz 06.08.2010 um 13:46:14 Uhr
Goto Top
Ähm - die einzige Chance ist die brain.exe...

Denn das Bot-Netz greifft nicht direkt auf deinen PC zu -> sondern eben über einen BOT (daher ja auch der name). Dieser kann prinzipiell über JEDEN Port mit dem Netz kommunizieren - auch über Port 80... (solang die Gegenstelle weiss das dort kein std-http-Traffic kommt ist das kein Problem - ich schalte den Bot-Server eben auf Port 80 damit ich eben solche simplen Firewalls umgehe...).

Und das "absaugen" der Kontakte aus Outlook? Zimlich simpel - ich nehme halt die Mapi und verhalte mich ggf. sogar ganz standard-konform... Und schon gibt mir dein Outlook seine Kontakt-Infos (z.B. gibts für Java ne Office-Api mit der ich auch Kontakte in Outlook eintragen kann usw...). Schon brauche ich die daten nur noch verpacken und via meinem Bot an meinen Server schicken -> angriff erledigt ohne deine Firewall auch nur Ansatzweise zu stören...
mrtux
mrtux 06.08.2010 um 14:02:28 Uhr
Goto Top
Hi !

Wenn die Malware schon aktiv, kannst Du da gar nix mehr absichern.......Was willst Du tun? Eine Desktop "Firewall" verspeist der Bot zum Frühstück und die Standardports für www, ftp, smtp, pop und imap, kannst Du auch nicht zumachen, dann könntest auch gleich den Internezugang beim Provider abmelden...

Rechner mit Offline-Scan versuchen zu "reinigen" oder falls nicht möglich, neu aufsetzen und dafür sorgen tragen, dass das OS und alle Programme, die direkten Zugang zum Internet haben, wie Browser, Mailprogramme sowie deren Plugins (Flash, Java usw.) immer aktuell sind und dass Malware an keine Adminrechte mehr rankommt....Ausserdem kannst Du da mit ddwrt eh keinen Krieg gewinnen, da müsstest Du eher eine Monowall o.ä. einsetzen, mit der Du gezielte Regeln setzten kannst...Aber wie gesagt, wenn das Kind in den Brunnen gefallen ist, ist es schon zu spät....

mrtux
DerWoWusste
DerWoWusste 06.08.2010 um 14:05:21 Uhr
Goto Top
Hi.
Sie hat sich infiziert und ist evtl. Teil eines Botnetzes. Du willst dem Bot die Kommunikationswege abschneiden, richtig?
Keiner weiß, wie sich dieser Bot verhält. Weder, welche Ports er nutzt, noch, ob er versucht, Spam zu versenden oder noch bösere Sachen.

Installier den PC neu, als Anfänger sollte man sich auf keinen Fall mit der Rettung infizierter Rechner einlassen (und als Profi nimmt man dazu ein Imagebackup).
Wichtiger ist, nun das Nutzverhalten umzustellen. Auch Anfänger sollten mit vorsichtigem Verhalten und ein wenig Aufwand (Software up-to-date halten) wenig Angst haben müssen, dass so etwas passiert.

Findet also raus, was zur Infektion geführt haben könnte
-Mailanhänge?
-Ungepatchte Programme?
-evtl. sogar gegenüber dem Internet offene Ports?
-oder wie so oft Downloads aus dubiosen Quellen?
Openname
Openname 06.08.2010 um 14:07:37 Uhr
Goto Top
Das klingt echt bös.
Was meinst du mit der Abkürzung Mapi?

Also ich frage, damit ich mir eine Lösung gestelten kann.
Openname
Openname 06.08.2010 um 14:13:32 Uhr
Goto Top
Zitat von @DerWoWusste:
Hi.
Sie hat sich infiziert und ist evtl. Teil eines Botnetzes. Du willst dem Bot die Kommunikationswege abschneiden, richtig?

Richtig, davon gehe ich aus. Das mit dem Nutzerverhalten ist zwar nett gesagt, aber das wird schwer gehen. Ein Laie, der nur mit dem Laptop bequem arbeiten will,
ein Haufen Mails erhält, und das Eine oder Andere im Internet toll findet und runterlädt, da ist das Nutzerverhalten unbiegsam wie KruppStahl.
maretz
maretz 06.08.2010 um 14:14:37 Uhr
Goto Top
Die MAPI ist die Schnittstelle die z.B. von Outlook genutzt wird (iirc.: Mail Advanced Programmer Interface). Darüber kommunizieren dann die Programme z.B. mit Outlook (oder anderen Email-Clients). Es wäre ja z.B. fatal wenn du bei nem mailto://-Link immer gleich mitgeben müsstest: "Aber bei Thunderbird musst du das so formatieren und mit den Parameter übergeben damit die Adresse bei "to" drin steht - und bei Outlook muss das wieder ganz anders aussehen...."

Nachteil daran: Man kann die natürlich auch missbrauchen -> und der Spass geht los ;)
maretz
maretz 06.08.2010 um 14:17:33 Uhr
Goto Top
Tja - dann hilft ggf. nur die Radikal-Tour: Der/Die soll bitte alle Passwörter ändern und ggf. mal die nächsten Wochen die Kontoauszüge prüfen... Und spätestens wenn alle Bekannten von der lustige Mails mit noch viel lustigeren Viren bekommen und die sich dafür nur noch welche an den Kopf hauen lassen darf wird die ggf. nochmal drüber nachdenken...

Sorry - aber wenn solche Leute meinen die wissen alles besser -> dann soll halt mal jemand deren Konto leerräumen. Manche lernen das Autofahren eben auch nur wenn die mal ne Karre gegen die Wand gesetzt haben...
DerWoWusste
DerWoWusste 06.08.2010 um 14:21:13 Uhr
Goto Top
Ein Laie, der nur mit dem Laptop bequem arbeiten will, ein Haufen Mails erhält, und das Eine oder Andere im Internet toll findet und runterlädt, da ist das Nutzerverhalten unbiegsam wie KruppStahl.
Das sehe ich anders. Geh bitte in Gedanken mal die genannten Infektionsmöglichkeiten durch und beurteile, welche davon nicht mit einem Minimum an Aufwand stark eindämmbar sind.
Openname
Openname 06.08.2010 um 14:27:47 Uhr
Goto Top
Ich setze mal das für alle Anderen rein:

http://cert.uni-stuttgart.de/doc/netsec/bots.php
DerWoWusste
DerWoWusste 06.08.2010 um 14:56:48 Uhr
Goto Top
Was ziehst Du aus der Lektüre von Cert?
Ich würde nur eins als wichtig betrachten und das steht dort auf http://cert.uni-stuttgart.de/doc/netsec/bot-entfernung.php unterhalb von "Generelle Empfehlung nach einer Bot-Infektion" - das Selbe, was ich bereits geraten habe: Neuinstallation.
Und außerdem: "Primäres Einfallstor von Bots (wie rbot, agobot) sind zumeist fehlende Microsoft-Sicherheitsupdates".

Einen Anfänger bringt die Lektüre nicht weiter. Du musst Ihr schonend erklären, was eine Infektion ist und Ihr aufzeigen, dass es in weiten Teilen nur allzu leicht vermeidbares Fehlverhalten ist, was dazu führt. Ein Klassiker unter solchen Belehrungsschriften ist http://www.malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidba ...
maretz
maretz 06.08.2010 um 14:59:28 Uhr
Goto Top
hmm - klasse darin steht das was die meisten hier sagen: Mach neu. Und das eben "normal" die Ports X,Y usw. genommen werden. Weisst du was nur blöd an der Sache ist? Das sich die Programmierer von Bot-Systemen nicht immer an Standards halten - und ggf. auch mal davon abweichen... SONST wäre es ja auch einfach die aufzuspüren. Einfach in den standard nen "evil-program-flag" einbauen -> und jeder Virus, Trojaner, Bot o.ä. muss das auf 1 gesetzt werden. Das wäre für die Virenscanner dann einfach ... Klärst du mit den Script-Kiddys u. ä. ab das die sowas mitmachen?
mrtux
mrtux 07.08.2010 um 02:13:54 Uhr
Goto Top
Hi !

Zitat von @Openname:
Richtig, davon gehe ich aus. Das mit dem Nutzerverhalten ist zwar nett gesagt, aber das wird schwer gehen. Ein Laie, der nur mit

Naja, ich sags mal so: Heute waren es "nur" Email-Adressen, morgen sind es dann Kontodaten. Spätestens wenn das Konto leer geräumt wurde und sich die Bekannte peinlichen Fragen vom Banker gegenüber sieht, hat sich das Thema Nutzerverhalten in Punkto Bequemlichkeit contra Sicherheit geklärt, denn beim Geld wird selbst der sturste Bock (oder Böckin) ganz schnell lernfähig....

mrtux
Openname
Openname 07.08.2010 um 11:50:58 Uhr
Goto Top
Zitat von @mrtux:

Naja, ich sags mal so: Heute waren es "nur" Email-Adressen, morgen sind es dann Kontodaten. Spätestens wenn das
Konto leer geräumt wurde und sich die Bekannte peinlichen Fragen vom Banker gegenüber sieht, hat sich das Thema
Nutzerverhalten in Punkto Bequemlichkeit contra Sicherheit geklärt, denn beim Geld wird selbst der sturste Bock (oder
Böckin) ganz schnell lernfähig....

mrtux

Was willst du machen?? Du kannst es den Leuten nur sagen und das Alternativ-Verhalten ansprechen, sie aber nicht zwingen. Noch nicht einmal
als Administrator. Aber da haben die User auch keinen Vollzugriff und geht nicht alles.

Und ganz ehrlich gesagt:
Mich kotzt es an, wenn eine allgemeine Verständnisfrage gestellt wird, und dann solche Moralapostel ihren Senf dazugeben müssen. Das Thema ist insoweit
beantwortet, als ich das erfahren habe, was ich technisch wissen wollte. Der Rest ist wie gesagt so blödes Gequassel einiger Schlaumeier, die den Moralapostel
heraushängen lassen müssen.

Also laßt Thema jetzt einfach so stehen, ja? Okay!