Über welche Ports werden Kontaktdaten geholt (Botnet)?
Ich suche die Zugangsports von Botnets und Gegenmassnahmen.
Hallo,
einer Bekannten von mir ist von Ihrem Vista-Rechner ihr OUTLOOK-Adressbuch offensichtlich ausgelesen wurden. Möglicherweise hängt sie auch in einem Botnet.
Meine Frage ist nun:
Welche über welche Ports werden bevorzugt OUTLOOK-Kontakte abgezogen und damit verbunden, welche Ports nutzen die Botnets?
Also wie kann ich eine zwischen Speedport und PCs geschaltete Firewall (Linksys-Router mit DD-WRT) absichern, dass Botnets keine Chancen haben? Oder geschieht das mittels geeigneter Malware
über die offenen Ports 80, 443, 143, 25, 3389?
Wäre schön einige Informationen über die Botnets und das Absaugen von OUTLOOK-Kontakten zu erfahren, am besten auch weiterführende Links.
Viele Grüße
Openman
Hallo,
einer Bekannten von mir ist von Ihrem Vista-Rechner ihr OUTLOOK-Adressbuch offensichtlich ausgelesen wurden. Möglicherweise hängt sie auch in einem Botnet.
Meine Frage ist nun:
Welche über welche Ports werden bevorzugt OUTLOOK-Kontakte abgezogen und damit verbunden, welche Ports nutzen die Botnets?
Also wie kann ich eine zwischen Speedport und PCs geschaltete Firewall (Linksys-Router mit DD-WRT) absichern, dass Botnets keine Chancen haben? Oder geschieht das mittels geeigneter Malware
über die offenen Ports 80, 443, 143, 25, 3389?
Wäre schön einige Informationen über die Botnets und das Absaugen von OUTLOOK-Kontakten zu erfahren, am besten auch weiterführende Links.
Viele Grüße
Openman
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 148509
Url: https://administrator.de/contentid/148509
Ausgedruckt am: 26.11.2024 um 07:11 Uhr
13 Kommentare
Neuester Kommentar
Ähm - die einzige Chance ist die brain.exe...
Denn das Bot-Netz greifft nicht direkt auf deinen PC zu -> sondern eben über einen BOT (daher ja auch der name). Dieser kann prinzipiell über JEDEN Port mit dem Netz kommunizieren - auch über Port 80... (solang die Gegenstelle weiss das dort kein std-http-Traffic kommt ist das kein Problem - ich schalte den Bot-Server eben auf Port 80 damit ich eben solche simplen Firewalls umgehe...).
Und das "absaugen" der Kontakte aus Outlook? Zimlich simpel - ich nehme halt die Mapi und verhalte mich ggf. sogar ganz standard-konform... Und schon gibt mir dein Outlook seine Kontakt-Infos (z.B. gibts für Java ne Office-Api mit der ich auch Kontakte in Outlook eintragen kann usw...). Schon brauche ich die daten nur noch verpacken und via meinem Bot an meinen Server schicken -> angriff erledigt ohne deine Firewall auch nur Ansatzweise zu stören...
Denn das Bot-Netz greifft nicht direkt auf deinen PC zu -> sondern eben über einen BOT (daher ja auch der name). Dieser kann prinzipiell über JEDEN Port mit dem Netz kommunizieren - auch über Port 80... (solang die Gegenstelle weiss das dort kein std-http-Traffic kommt ist das kein Problem - ich schalte den Bot-Server eben auf Port 80 damit ich eben solche simplen Firewalls umgehe...).
Und das "absaugen" der Kontakte aus Outlook? Zimlich simpel - ich nehme halt die Mapi und verhalte mich ggf. sogar ganz standard-konform... Und schon gibt mir dein Outlook seine Kontakt-Infos (z.B. gibts für Java ne Office-Api mit der ich auch Kontakte in Outlook eintragen kann usw...). Schon brauche ich die daten nur noch verpacken und via meinem Bot an meinen Server schicken -> angriff erledigt ohne deine Firewall auch nur Ansatzweise zu stören...
Hi !
Wenn die Malware schon aktiv, kannst Du da gar nix mehr absichern.......Was willst Du tun? Eine Desktop "Firewall" verspeist der Bot zum Frühstück und die Standardports für www, ftp, smtp, pop und imap, kannst Du auch nicht zumachen, dann könntest auch gleich den Internezugang beim Provider abmelden...
Rechner mit Offline-Scan versuchen zu "reinigen" oder falls nicht möglich, neu aufsetzen und dafür sorgen tragen, dass das OS und alle Programme, die direkten Zugang zum Internet haben, wie Browser, Mailprogramme sowie deren Plugins (Flash, Java usw.) immer aktuell sind und dass Malware an keine Adminrechte mehr rankommt....Ausserdem kannst Du da mit ddwrt eh keinen Krieg gewinnen, da müsstest Du eher eine Monowall o.ä. einsetzen, mit der Du gezielte Regeln setzten kannst...Aber wie gesagt, wenn das Kind in den Brunnen gefallen ist, ist es schon zu spät....
mrtux
Wenn die Malware schon aktiv, kannst Du da gar nix mehr absichern.......Was willst Du tun? Eine Desktop "Firewall" verspeist der Bot zum Frühstück und die Standardports für www, ftp, smtp, pop und imap, kannst Du auch nicht zumachen, dann könntest auch gleich den Internezugang beim Provider abmelden...
Rechner mit Offline-Scan versuchen zu "reinigen" oder falls nicht möglich, neu aufsetzen und dafür sorgen tragen, dass das OS und alle Programme, die direkten Zugang zum Internet haben, wie Browser, Mailprogramme sowie deren Plugins (Flash, Java usw.) immer aktuell sind und dass Malware an keine Adminrechte mehr rankommt....Ausserdem kannst Du da mit ddwrt eh keinen Krieg gewinnen, da müsstest Du eher eine Monowall o.ä. einsetzen, mit der Du gezielte Regeln setzten kannst...Aber wie gesagt, wenn das Kind in den Brunnen gefallen ist, ist es schon zu spät....
mrtux
Hi.
Sie hat sich infiziert und ist evtl. Teil eines Botnetzes. Du willst dem Bot die Kommunikationswege abschneiden, richtig?
Keiner weiß, wie sich dieser Bot verhält. Weder, welche Ports er nutzt, noch, ob er versucht, Spam zu versenden oder noch bösere Sachen.
Installier den PC neu, als Anfänger sollte man sich auf keinen Fall mit der Rettung infizierter Rechner einlassen (und als Profi nimmt man dazu ein Imagebackup).
Wichtiger ist, nun das Nutzverhalten umzustellen. Auch Anfänger sollten mit vorsichtigem Verhalten und ein wenig Aufwand (Software up-to-date halten) wenig Angst haben müssen, dass so etwas passiert.
Findet also raus, was zur Infektion geführt haben könnte
-Mailanhänge?
-Ungepatchte Programme?
-evtl. sogar gegenüber dem Internet offene Ports?
-oder wie so oft Downloads aus dubiosen Quellen?
Sie hat sich infiziert und ist evtl. Teil eines Botnetzes. Du willst dem Bot die Kommunikationswege abschneiden, richtig?
Keiner weiß, wie sich dieser Bot verhält. Weder, welche Ports er nutzt, noch, ob er versucht, Spam zu versenden oder noch bösere Sachen.
Installier den PC neu, als Anfänger sollte man sich auf keinen Fall mit der Rettung infizierter Rechner einlassen (und als Profi nimmt man dazu ein Imagebackup).
Wichtiger ist, nun das Nutzverhalten umzustellen. Auch Anfänger sollten mit vorsichtigem Verhalten und ein wenig Aufwand (Software up-to-date halten) wenig Angst haben müssen, dass so etwas passiert.
Findet also raus, was zur Infektion geführt haben könnte
-Mailanhänge?
-Ungepatchte Programme?
-evtl. sogar gegenüber dem Internet offene Ports?
-oder wie so oft Downloads aus dubiosen Quellen?
Die MAPI ist die Schnittstelle die z.B. von Outlook genutzt wird (iirc.: Mail Advanced Programmer Interface). Darüber kommunizieren dann die Programme z.B. mit Outlook (oder anderen Email-Clients). Es wäre ja z.B. fatal wenn du bei nem mailto://-Link immer gleich mitgeben müsstest: "Aber bei Thunderbird musst du das so formatieren und mit den Parameter übergeben damit die Adresse bei "to" drin steht - und bei Outlook muss das wieder ganz anders aussehen...."
Nachteil daran: Man kann die natürlich auch missbrauchen -> und der Spass geht los ;)
Nachteil daran: Man kann die natürlich auch missbrauchen -> und der Spass geht los ;)
Tja - dann hilft ggf. nur die Radikal-Tour: Der/Die soll bitte alle Passwörter ändern und ggf. mal die nächsten Wochen die Kontoauszüge prüfen... Und spätestens wenn alle Bekannten von der lustige Mails mit noch viel lustigeren Viren bekommen und die sich dafür nur noch welche an den Kopf hauen lassen darf wird die ggf. nochmal drüber nachdenken...
Sorry - aber wenn solche Leute meinen die wissen alles besser -> dann soll halt mal jemand deren Konto leerräumen. Manche lernen das Autofahren eben auch nur wenn die mal ne Karre gegen die Wand gesetzt haben...
Sorry - aber wenn solche Leute meinen die wissen alles besser -> dann soll halt mal jemand deren Konto leerräumen. Manche lernen das Autofahren eben auch nur wenn die mal ne Karre gegen die Wand gesetzt haben...
Ein Laie, der nur mit dem Laptop bequem arbeiten will, ein Haufen Mails erhält, und das Eine oder Andere im Internet toll findet und runterlädt, da ist das Nutzerverhalten unbiegsam wie KruppStahl.
Das sehe ich anders. Geh bitte in Gedanken mal die genannten Infektionsmöglichkeiten durch und beurteile, welche davon nicht mit einem Minimum an Aufwand stark eindämmbar sind.
Was ziehst Du aus der Lektüre von Cert?
Ich würde nur eins als wichtig betrachten und das steht dort auf http://cert.uni-stuttgart.de/doc/netsec/bot-entfernung.php unterhalb von "Generelle Empfehlung nach einer Bot-Infektion" - das Selbe, was ich bereits geraten habe: Neuinstallation.
Und außerdem: "Primäres Einfallstor von Bots (wie rbot, agobot) sind zumeist fehlende Microsoft-Sicherheitsupdates".
Einen Anfänger bringt die Lektüre nicht weiter. Du musst Ihr schonend erklären, was eine Infektion ist und Ihr aufzeigen, dass es in weiten Teilen nur allzu leicht vermeidbares Fehlverhalten ist, was dazu führt. Ein Klassiker unter solchen Belehrungsschriften ist http://www.malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidba ...
Ich würde nur eins als wichtig betrachten und das steht dort auf http://cert.uni-stuttgart.de/doc/netsec/bot-entfernung.php unterhalb von "Generelle Empfehlung nach einer Bot-Infektion" - das Selbe, was ich bereits geraten habe: Neuinstallation.
Und außerdem: "Primäres Einfallstor von Bots (wie rbot, agobot) sind zumeist fehlende Microsoft-Sicherheitsupdates".
Einen Anfänger bringt die Lektüre nicht weiter. Du musst Ihr schonend erklären, was eine Infektion ist und Ihr aufzeigen, dass es in weiten Teilen nur allzu leicht vermeidbares Fehlverhalten ist, was dazu führt. Ein Klassiker unter solchen Belehrungsschriften ist http://www.malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidba ...
hmm - klasse darin steht das was die meisten hier sagen: Mach neu. Und das eben "normal" die Ports X,Y usw. genommen werden. Weisst du was nur blöd an der Sache ist? Das sich die Programmierer von Bot-Systemen nicht immer an Standards halten - und ggf. auch mal davon abweichen... SONST wäre es ja auch einfach die aufzuspüren. Einfach in den standard nen "evil-program-flag" einbauen -> und jeder Virus, Trojaner, Bot o.ä. muss das auf 1 gesetzt werden. Das wäre für die Virenscanner dann einfach ... Klärst du mit den Script-Kiddys u. ä. ab das die sowas mitmachen?
Hi !
Naja, ich sags mal so: Heute waren es "nur" Email-Adressen, morgen sind es dann Kontodaten. Spätestens wenn das Konto leer geräumt wurde und sich die Bekannte peinlichen Fragen vom Banker gegenüber sieht, hat sich das Thema Nutzerverhalten in Punkto Bequemlichkeit contra Sicherheit geklärt, denn beim Geld wird selbst der sturste Bock (oder Böckin) ganz schnell lernfähig....
mrtux
Zitat von @Openname:
Richtig, davon gehe ich aus. Das mit dem Nutzerverhalten ist zwar nett gesagt, aber das wird schwer gehen. Ein Laie, der nur mit
Richtig, davon gehe ich aus. Das mit dem Nutzerverhalten ist zwar nett gesagt, aber das wird schwer gehen. Ein Laie, der nur mit
Naja, ich sags mal so: Heute waren es "nur" Email-Adressen, morgen sind es dann Kontodaten. Spätestens wenn das Konto leer geräumt wurde und sich die Bekannte peinlichen Fragen vom Banker gegenüber sieht, hat sich das Thema Nutzerverhalten in Punkto Bequemlichkeit contra Sicherheit geklärt, denn beim Geld wird selbst der sturste Bock (oder Böckin) ganz schnell lernfähig....
mrtux