dr.disk Geschrieben 3. Juni 2002 Geschrieben 3. Juni 2002 Kennt von Euch jemanden einen Trojaner auf Port 34443? In der Linux-Firewall wurde protokolliert, daß der W2K-Server versuchte einen Broadcast (255.255.255.255) auf Port 34443 aufzubauen. Ich hab keine Ahnung und auch nichts gefunden was das gewesen sein könnte. Zitieren
given_to_fly Geschrieben 3. Juni 2002 Geschrieben 3. Juni 2002 Hi. Also für diesne Port kenne ich keinen. Ich kenne aber ein paar die um diesen Port herum fungieren. Hier: 33911 Trojan Spirit 2001 a 34324 BigGluck , Tiny Telnet Server 34555 Trinoo (Windows) 35555 Trinoo (Windows) Vielleicht wurde er modifiziert oder vielleicht kann man einstellen auf welchen Port angegriffen werden soll. Auf jeden Fall sind das die Trojaner die ich gefunden habe die um diese Zahl herum fimmeln ;o) Gruß Hexdump Zitieren
FunkyBeat Geschrieben 3. Juni 2002 Geschrieben 3. Juni 2002 Würde ich nicht zu ernst nehmen. Windows schickt in allen Lebens- und Gemütslagen irgendwelche Broadcasts durch die Gegend... ich hab mich da mitlerweile dran gewöhnt... Zitieren
dr.disk Geschrieben 3. Juni 2002 Autor Geschrieben 3. Juni 2002 Ok, das ist schon klar. In der Regel sind das NetBios Meldungen. Die gehen aber nur an das Netz indem der Windows-Rechner ist, nicht an 255.255.255.255. Dazu kommt, daß der Rechner das erst seit ein paar Tagen macht - irgendwelche neue Software wurde aber nicht installiert. :confused: Zitieren
Sven Eichler Geschrieben 3. Juni 2002 Geschrieben 3. Juni 2002 @ funkybeat: Also, ich bin ja nun nicht gerade das, was man den Sicherheitsexperten im Bereich PC nennt, aber es kann ja wohl nicht sein, dass ein Server urplötzlich versucht, auf irgendwelchen Ports Verbindungen zu öffnen, und Du sagst "Nimm esnicht so ernst"... Also, das finde ich (trotz echt dickem Fell und sonnigem Gemüt) ein wenig herb... (Soll jetzt nicht böse klingen, ich war jetzt echt nur ein wenig baff..., vielleicht weisst Du da einfach mehr als ich...) Wenn Softwaremässig nichts verändert wurde und noch nie vorher eine Aktivität auf diesem Port zu vermelden war, dann kann da irgendwas nicht stimmen, denn auch wenn Windows wirklich mal planlos ein der Gegend rumbroadcastet, dann sicher nicht ganz zufällig auf dem Port, oder...? Ich persönlich würde mir aber echt mal ernsthafte Gedanken über eine vernünftige Virenschutzsoftware machen, falls noch nicht vorhanden... Habt Ihr eine, wenn ja, was? Zitieren
dr.disk Geschrieben 3. Juni 2002 Autor Geschrieben 3. Juni 2002 NAI TVD. Das sollte an Virenschutz eigentlich reichen... Zitieren
FunkyBeat Geschrieben 3. Juni 2002 Geschrieben 3. Juni 2002 Ein Broadcast ist kein Versuch, eine Verbindung aufzubauen, eher ein 'Hallo, da bin ich' nach dem Gießkannenprinzip. Ins Internet gehen Broadcasts auch nicht, weil sie nicht geroutet werden (können). Die Daten, die mit dem Broadcast rumgeschickt werden, bleiben also innerhalb des Netzes. (für Korrekturen an obigem bin ich offen <g>) Hock dich doch mal mit nem Sniffer an das Netz und guck, ob ein Rechner drauf antwortet, wer alles mit dem W2K-Server auf welchen Ports kommuniziert. Zitieren
dr.disk Geschrieben 3. Juni 2002 Autor Geschrieben 3. Juni 2002 Ok, ein Broadcast ist kein Verbindungsaufbau im klassichen Sinne. Stimmt. Er würde aber Dial on Demand dennoch anstoßen... Sniffer ist so ne Sache - da ist allerhand Verkehr im Netz... Zitieren
FunkyBeat Geschrieben 3. Juni 2002 Geschrieben 3. Juni 2002 Ein guter Sniffer kann auch gut filtern. Wenn die Firewall den broadcast intern wegschmeisst sollte das doch keinen dial on demand auslösen. Noch dazu, da broadcasts nicht geroutet werden können, kann eigentlich kein Paket an den pppd geschickt werden, was den zum wählen veranlassen würde... kann ich mir nicht vorstellen Zitieren
dr.disk Geschrieben 3. Juni 2002 Autor Geschrieben 3. Juni 2002 Es wurde auch keine Einwahl ausgelöst - die Firewall hat, wie Du erwähnt hast das Paket ja verworfen. Unter Win kenne ich zwar keinen Packetsniffer, dafür aber einige unter Unix. Das die Filtern können weiß ich auch. Das nächste Problem ist, daß ich auf dem Server kein Sniffer installieren kann. Und auf allen anderen Rechnern finde ich dann nicht raus, welches Programm das Paket erzeugt hat... Zitieren
TschiTschi Geschrieben 3. Juni 2002 Geschrieben 3. Juni 2002 Die 255.255.255.255 ist eine Broadcast, die normalerweise - z.B. bei DHCP - verwendet wird, um im lokalen Netzwerk einen Server zu finden. Da diese Broadcast nicht über den nächsten Router drüber geht - wie FunkyBeat richtig bemerkt hat - eignet sich dieses Paket NICHT um irgendwie Unfug zu stiften, weil es das Internet gar nicht erst erreicht. Was Deine Portnummer angeht, kenne ich diesen Wert nicht und nach der aktuellen Liste der Well Known Ports ist er auch keiner Applikation zugewiesen (und ich habe natürlich auch keinen Trojaner in meiner Liste gefunden, der diesen Port hätte! GG Zitieren
nic_power Geschrieben 3. Juni 2002 Geschrieben 3. Juni 2002 Ethereal (http://www.ethereal.com/) gibts auch fuer Windows, einfach installieren und mal in die Paeckchen schauen. Vielleicht steht ja irgeneine sinnvolle Information drin, die Dir einen Tip geben koennte, welche Anwendung dies ist. Ansonsten kannst Du auf der Windows-Maschine nochmal nachsehen, ob irgendein Prozess eine Verbindung geoeffnet hat, die den von Dir genannten Port anspricht. Nic Zitieren
Sven Eichler Geschrieben 3. Juni 2002 Geschrieben 3. Juni 2002 @ funkybeat: OK, ich geb mich geschlagen, bin halt nur der MEinung, dass Aussagen wie "Mach Dir da mal keine Sorgen, wird schon nix sein" unter Umständen ganz schön gefährlcih werden kann... Hm, naja, allerdings nur, wenn derjenige, der das sagt, nicht weiss, wovon er redet... Du scheinst ees zu wissen, daher: *sorry* :e@sy :D Zitieren
@@@ Geschrieben 4. Juni 2002 Geschrieben 4. Juni 2002 Ich denke eher, dass es sich hierbei um eine Multicast Adresse handelt, aber den genauen Adressberiech weis ich (noch) nicht. Wie gesagt, ist nur ne Vermutung, aber ich werd mal nachschauen. Zitieren
nic_power Geschrieben 4. Juni 2002 Geschrieben 4. Juni 2002 Wie kommst Du denn darauf? Multicast-Adressen liegen im Bereich 224.0.0.0 - 239.255.255.255 Nic Zitieren
@@@ Geschrieben 4. Juni 2002 Geschrieben 4. Juni 2002 Original geschrieben von nic_power Wie kommst Du denn darauf? Multicast-Adressen liegen im Bereich 224.0.0.0 - 239.255.255.255 Nic Stimmt allerdings, also kann es eigentlich nur ein Broadcast sein, denke ich. Zitieren
given_to_fly Geschrieben 4. Juni 2002 Geschrieben 4. Juni 2002 @ dr.disk: Hier ist genau was de Port ist : ov-nnm-websrv 3443/tcp OpenView Network Node Manager WEB Server ov-nnm-websrv 3443/udp OpenView Network Node Manager WEB Server Zitieren
dr.disk Geschrieben 4. Juni 2002 Autor Geschrieben 4. Juni 2002 Das weiß ich auch, da fehlt aber eine 4. Muß heißen 34443. Nochmals zu oben, weiß nicht wehr: ich kann auf dem Windows-Rechner keine Software installieren, ist also schwierig dort einen Sniffer zu installieren. Wo anders oben. Wirklich Sorgen mache ich mir nicht, ist bloß etwas seltsam. DCHP, BootP und wie sie alle heißen ist nicht installiert. (Also alles rein statisch). Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.