|
Community
Szene & News
Locations
Impressum
|
Forum / Bits und Bytes
Prozesse die man nicht sieht.
piepmax  - 38
Profi
(offline)
Dabei seit 04.2006
794
Beiträge
|
|
Geschrieben am: 03.02.2010 um 21:32 Uhr
|
|
Zitat von Silvo16: Fakt ist aber auch, dass besonders bei programmen wie ZoneAlarm der Kaspercy firewall, deutliche probleme mit der internetverbindung entstehen.
Ja verwendest du beide gleichzeitig oder was?
Dann wunderts mich ehrlich gesagt nicht, dass das Probleme gibt.
Die Feder ist mächtiger als das Schwert - Die Ignoranz gefährlicher als das Messer.
|
|
4dimensional - 46
Anfänger
(offline)
Dabei seit 06.2007
4
Beiträge
|
|
Geschrieben am: 03.02.2010 um 22:04 Uhr
|
|
Zu deiner Frage, wie man ungewünschte prozesse ausfindig macht. Aus sicht der Autoren idealerweile garnicht. Mit hilfe von Rootkits kann dein System entsprechend verändert werden und theoretisch alles verschleiern. Die einzige möglichkeit die IMMER funktioniert ist deinen Netzwerkverkehr von einem Router, einem managebaren Switch oder einem andern PC/Server zu protokollieren und auszuwerten. Allerdings wirst du daran keinen spaß haben.. 
Ein infiziertes System ist unsicher.
Mindestens eine lokale Firewall und ein virenscanner sind Pflicht.. dazu ein aktuell gepatchtes System (aller Komponenten) ... ganz wichtig... das Surfverhalten!!!!
Wer sich auf FSK18 oder Crackseiten rumtreibt ist hochgradig gefährdet... leider sind auch schon einige Apps unter facebook wenig vertrauenserweckend.. (hab heute meine neue Kreditkarte bekommen)
Soviel zu thema surfverhalten.. 
wer es dennoch tun möchte dem empfehle ich ein Sandboxsystem oder eine Virtulle Maschine mit VMware & Co...
Hohl dir eine Internet-security deines vertrauens und überlasse das den Profis, plus oben genannter punkte...
Wenns dich wirklich interessiert lese dir mal ein buch über Forensik oder Rootkits durch.. Glaub mir, dann zeihst du den stecker aus dem Router und arbeitest nur noch offline..
Ich bedanke mich bei allen die schweigen, obwohl sie nichts zu sagen haben.
|
|
Klischeepunk - 41
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
|
Geschrieben am: 03.02.2010 um 22:18 Uhr
|
|
"die internetsecurity deines vertrauens" ...
diese sogenannten "personal firewalls" halte ich für die beste gelddruckmaschine seit "Erfindung des Rades".
Rein praktisch gesehen helfen die Dinger... genau rein gar nichts. Über Virenschutz kann man sich streiten.
Patchen des Systems ist natürlich Pflicht.
Der beste Tip den du Imho gegeben hast ist das Surfverhalten "an die Gefahrenlage anzupassen". Wer bewusst surft geht ner Menge ärger ausm Weg.
Völlig sinnlos ist bei lokal aktiven Prozessen (sollten sie nicht gerade als server/client fungieren) natürlich den Netzwerkverkehr zu analysieren. Gegen traditionelle Viren hilft auch das nichts.
Kurzum:
(personal) Firewalls: Sinnlose Gelddruckmaschinen
Virenscanner: Wenige gute, bedingt sinnvoll
Patchen des Systems: Pflicht. Immer. Überall.
Und zu guter letzt: Die größte Sicherheitslücke entschärfen: Der User passt sich an - fast 100%ige garantie, dass man Erfolg hat bei der Vermeidung von Schadcode.
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
Klischeepunk - 41
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
|
Geschrieben am: 03.02.2010 um 22:26 Uhr
|
|
Zitat von MrRobot: Zitat von Luki91: eingabeaufforderung und dann mal netstat eingeben, kommt ne liste aller verbundenen ports etc
Cool, das wusste ich nich, gibts da auch irgendwelche auffälligen Sachen die verdächtig sind?
z.B. bestimmte Ports die normal nicht benutzt werden oder bestimmte Anzeigen die auf ein Virus/ nen Trojaner hindeuten?
Die Möglichkeiten sind recht eingeschränkt wenn du der Sache nicht weiter nachgehst, da nichts an einen bestimmten Port gebunden ist. Prinzipiell lässt sich jeder Port für alles nutzen, was du im Netzwerk tun willst.
Die WKP würd ich prinzipiell als halbwegs unverdächtig einstufen.
(Google: Well Known Ports) es sei denn du findest dort Dinge vor die deiner Meinung da nicht sein dürften.
Wobei natürlich auch hier gilt - ich kann auch meine *schadsoftware* auf nem WKP laufen lassen.
Am ehesten würd ich diesen Versuch übrigens mit nmap machen, nicht mit netstat, da nmap nicht nur offene verbindungen findet sondern auch bescheid geben kann welcher port lauscht. Und auf den eigenen rechner kann man ja ruhig sehr aggressiv vorgehen, sollte alles zu finden sein.
Es gibt natürlich auch "Standard" Ports für Schadsoftware, hier hilft ein weiteres mal google. Alle Ports aufzählen würd jetzt ziemlich ins leere laufen, da wir ports von 0 - 65535 haben. (0-1024 = Well known Ports)
Hier hilft tatsächlich wenn man was verdächtiges findet - traffic analysieren. Hier hilft Wireshark, oder ne MITM attack auf die eigene Verbindung. Aber auch hier würd ich doch mal stark behaupten es kommt sehr auf den Coder an wie schwer oder einfach die analyse ist.
Die Ausschlußmethode dürfte hier eher helfen "traffic von an ist okay weil google das MS zuordnet", "traffic von an ist okay, weil ich grad mit winamp internetradio hör" etc. etc.
Hier muss man auch bedenken dass clients sich die ports zufällig suchen können und sagen ich kommunizier heut an 12000 morgen an 1025 etc.
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
4dimensional - 46
Anfänger
(offline)
Dabei seit 06.2007
4
Beiträge
|
|
Geschrieben am: 03.02.2010 um 22:53 Uhr
|
|
zum thema traditionelle viren und netzwerkverkehr geb ich dir natürlich vollkommen recht..
Leider ist es mittlerweile so das die Hoaxes und sonstige "Maschinenkiller" nicht mehr das maß der dinge sind, sondern eher die "Loader", Trojaner und Bots aktiv sind, die in ihrer funktionsweise nicht einmal dem System aktiv oder spürbar schaden. Ganz einfach damit man sie eben nicht bemerkt und ein rechner zu illegalen Zwecken im hintergrund übernommen werden kann oder simpel mails verschickt.. moderne maleware verursacht netzwerktraffic..
hier hilft das natting im router nicht, was viele mit einer firewall verwechseln.. bedingt durch personal firewalls, selten per Virenscanner, aber fast immer durch intrusion prevention systeme, die ein bestandteile jeder internet security ist, kann dies erkannt werden..
deweiteren wird man bei veränderungen am system gewart.. auch hier hilft kein simpler virenscanner..
aber die diskusion ab sinn oder unsinn ist so alt wie das rad selbst..
einzig und allein eine Spamerkennung halte ich für hirnfrei, wo wir wieder beim surfverhalten wären.. allerdings auch nur im privaten umfeld..
Ich bedanke mich bei allen die schweigen, obwohl sie nichts zu sagen haben.
|
|
Klischeepunk - 41
Champion
(offline)
Dabei seit 01.2005
8907
Beiträge
|
Geschrieben am: 03.02.2010 um 23:09 Uhr
Zuletzt editiert am: 03.02.2010 um 23:15 Uhr
|
|
Zitat von 4dimensional: zum thema traditionelle viren und netzwerkverkehr geb ich dir natürlich vollkommen recht..
Leider ist es mittlerweile so das die Hoaxes und sonstige "Maschinenkiller" nicht mehr das maß der dinge sind, sondern eher die "Loader", Trojaner und Bots aktiv sind, die in ihrer funktionsweise nicht einmal dem System aktiv oder spürbar schaden. Ganz einfach damit man sie eben nicht bemerkt und ein rechner zu illegalen Zwecken im hintergrund übernommen werden kann oder simpel mails verschickt.. moderne maleware verursacht netzwerktraffic..
Ist mir durchaus bewusst ;) Ich wollte nur drauf hinweisen.
Zitat von 4dimensional:
hier hilft das natting im router nicht, was viele mit einer firewall verwechseln.. bedingt durch personal firewalls, selten per Virenscanner, aber fast immer durch intrusion prevention systeme, die ein bestandteile jeder internet security ist, kann dies erkannt werden..
deweiteren wird man bei veränderungen am system gewart.. auch hier hilft kein simpler virenscanner..
aber die diskusion ab sinn oder unsinn ist so alt wie das rad selbst..
einzig und allein eine Spamerkennung halte ich für hirnfrei, wo wir wieder beim surfverhalten wären.. allerdings auch nur im privaten umfeld..
das NAT-ing wollte ich auch gar nicht anmerken ... diese sog. Firewalls privater router sind natürlich lächerlich.
Dieses "Veränderungen am System" bemerken lässt sich meist aber schon dadurch verhindern nicht als Admin zu surfen - bzw. dem Rat "System aktuell halten" zu folgen. Gut, greift bei win < XP nicht, aber wer ein älteres MS system hat sollte sowieso dringend bei Papi/Mami geld schnorren und die alte kiste zum fenster rauswerfen, bzw. das Ding von jeglichem öffentlichen Netz abstöpseln, die Dinger sind prädestiniert als Virenschleudern.
Bei Linux/Unixioden/... System besteht hier die Gefahr überhaupt nicht, bzw. in sehr geringem ausmass, durch eine sinnvolle Nutzerkapselung, scheißegal was "Otto Normal" ausführt - ans system darf der Prozess einfach nicht.
MS hat uns inzwischen ja die UAC geschenkt die versucht etwas ähnliches zu fabrizieren, aber meist kläglich am "User Faktor" scheitert - unter anderem dadurch dass einem einfach irgendwann die nerven durchgehn, wenn man versucht auf seine config file die leider in irgendeinen unterordner von "%SYSTEM%Programme" mitgepackt wurde schreibend zuzugreifen.
Prinzipiell kann allerdings eine Firewall auf einem Endsystem _niemals_ eine Lösung sein, weil hier die Gefahr des angriffs einfach zu hoch ist. Wenn "Otto Normal" seinen Virus runterlädt, wie gehabt alle warnungen ignoriert (Und warnungen kommen inzwischen einfach auch systemseitig) und auf alle "Hier nur klicken wenn du geistig nicht voll zurechnungsfähig bist" knöpfe gedrückt hat tut die firewall gar nichts mehr. Der angriff auf derartige systeme ist einfach zu leicht und scheitert wie die meisten anderen bemühungen am faktor Mensch.
Die einzig vertretbare Lösung wo ich einverstanden wäre sie als "Sicher" zu bezeichnen wäre eine HW Firewall zwischen "Otto normal" und dem www, an die selbiger nicht ohne weiteres rankommt und vorallem überhaupt nicht auf die Idee kommt etwas zu installieren oder irgendwelche meldungen zu klicken.
schlägt die firewall alarm gibts eine nette freundliche warnmeldung auf einen beliebigen msg server der Hostseitig läuft und blinkt "Otto Normal" ins gesicht und sagt "rechner bitte zum händler für inspektion bringen" . Oder bei erkannten tatsächlichen intrusion/extrusions kurzerhand besagten traffic lahmlegt.
Leider gehts hier ans geld und gefragt sind die letzten vorm Endkunden: Die Provider. Oder eben daran die Inhalte der Router Firmwares etwas auf Vordermann zu bringen.
Personal Firewalls sind einzig und allein Gelddruckmaschinen. Von dem Standpunkt rück ich nichtmal nen Millimeter ab. Und sie behindern sogar gewollte Arbeit im Netz, wobei man mit nem kleinen kästchen kurzerhand ne DMZ errichtet und intern dürfen sich die Hosts austauschen wie sie lustig sind.
Mal ganz im Ernst - ich kenn quasi NIEMAND außer denen die dran verdienen (etwas plan von der materie vorausgesetzt) die Personal Firewalls auch nur IRGENDEINEN vorteil zusprechen geschweigedenn sie guten gewissens empfehlen würden.
Im gegenteil - ich kenn Leute die bewusst davon abraten, nach dem Motto "du sollst dich gar nicht erst sicher fühlen, sondern dir bewusst machen was du tust, 1.eres führt zu problemen, 2teres löst sie"
Das musst ich noch loswerden bevor ich die Geschichte Ad Acta leg und wir uns gar zu weit vom Thema entfernen :)
/e: Personal Firewalls steht hier stellvertretend für die gesamte Namensgebung dieses Krams. also Internet security system/suite, Firewall, und wie sie je nach hersteller gerade heißen.
Dieser Post wurde 2 mal ROT-13 verschlüsselt.
|
|
Forum / Bits und Bytes
|
[