hilfe: mein rechner wird attakiert...

Dieses Thema im Forum "Internet- und Netzwerk-Software" wurde erstellt von yoody, 18.02.2004.

  1. yoody

    yoody MacUser Mitglied

    Mitglied seit:
    27.01.2004
    Beiträge:
    66
    Zustimmungen:
    0
    hallo,

    habe mir vor 2 monaten die "norton personal firewall" zugelegt.
    bis jetzt war alles ruhig/ die logfiles waren immer leer.

    heute nachmittag schalte ich den rechner ein, gehe ins internet und meine firewall schlägt alarm:

    der logfile verzeichnet mittlerweile ca. 40000 zugangsversuche (entries), die glücklicherweise bisher alle abgewiesen wurden.
    über visual tracking habe ich herausgefunden, dass mein rechner aus der ganzen welt angegriffen wird.
    kenne mich leider noch nicht so richtig mit den ganzen ports usw. aus.

    einige ports und services sind mir aber besonders aufgefallen:

    btprjctrl port:2803 TCP

    windows file port:137 UDP

    rfa port:4672 UDP

    epmap port:135 TCP

    BitTorrent port:6882 TCP

    desweiteren angesprochene ports sind: 3562, 4662,


    ...weitere siehe angehängter screenshots von meinem "access history" logfile.

    alle aufzuzählen würde den rahmen hier sprengen, da es mindesten 1000 verschiedene IPs sind.

    habe vorhin meine ganze festplatte gescant und nichts gefunden.
    kann es aber trotzdem sein, dass ich mir irgendwas eingefangen habe, was diese angriffe provoziert?
    (gestern wurde mir beim surfen eine .exe datei auf den rechner geladen. kann das meinem mac etwas anhaben ?)

    hab ich jetzt ein problem? und was kann ich dagegen tun?


    > bitte auch die angehängten screenshots beachten...


    vielen dank für jede hilfe...yoody wavey
     

    Anhänge:

    • log_1.gif
      Dateigröße:
      29,1 KB
      Aufrufe:
      79
  2. T.Eisenhammer

    T.Eisenhammer MacUser Mitglied

    Mitglied seit:
    15.02.2004
    Beiträge:
    69
    Zustimmungen:
    0
    Öhm!? ...

    Das ist ganz normal das man den ganzen Tag angegriffen wird, wenn man am Internet hängt.
    .exe schaden keinem mac, weil sie auf / für die x86 architektur kompiliert wurden und so nicht auf einem ppc (powerPC) lauffähig sind.
    Bei den anderen Programmen kommt drauf an, ob jemand a) nen Fehler gefunden hat und diesen Ausnutzt und b) das der Angreifer grade die Mac version des BitTorrent (z.b.) angreifen will.
    Kann man getrost ignorieren denke ich.

    MfG, T.Eisenhammer.
     
  3. starbuxx

    starbuxx MacUser Mitglied

    Mitglied seit:
    13.04.2003
    Beiträge:
    1.442
    Zustimmungen:
    8
    ich glaub du kannst dich entspannen

    1. ist norton superempfindlich um die panik beim benutzer zu schüren und gibt auch alle üblich anfragen erstmal als potentiellen angriff an

    2. zum log: 4662 + 6882 + 2803 sind ja ports, die zu filesharing software gehoeren.
    wenn jemand, der deine adresse zuvor von deinem internetprovider bekommen hatte (ich gehe davon aus, das du keine statische ip hast) diese programme benutzt hat, dann versuchen andere clients, immernoch auf die adresse zuzugreifen, obwohl derjenige, der die filesharingsoftware darauf verwendet hat, diese gar nicht mehr benutzt.

    3. die zugriffe auf port 137 udp sind netbios zugriffe. werden haeufig verwendet, um den windows naming service auszuheben (als angriff), solange nicht mehr kommen. aber soweit ich weiss, besteht da unter OSX keine gefahr. muessen aber auch nicht boesartig sein (es sein denn, du kriegst 100 von der gleichen ip innerhalb kuerzester zeit)

    4.) wieso eigentlich norton? OSX hat doch ne firewall *wunder*

    gruesse,
    /.sbx./
     
  4. yoody

    yoody MacUser Mitglied

    Mitglied seit:
    27.01.2004
    Beiträge:
    66
    Zustimmungen:
    0
    hier ein kleiner zwischenstand:

    s. anhang:

    >>>
     

    Anhänge:

    • log_8.jpg
      Dateigröße:
      28,8 KB
      Aufrufe:
      82
  5. aska

    aska MacUser Mitglied

    Mitglied seit:
    11.02.2004
    Beiträge:
    189
    Zustimmungen:
    0
    http://linux.cudeso.be/cdp/UDP_TCP_PortList.pdf

    Das PDF enthält eine Liste mit Ports.

    Laut Web ist 4662 = eMule/eDonkey.
    Port 3562 find ich auf die Schnelle auch nichts zu. Aber T.Eisenhammer hat Recht, das sind eigentlich keine Angriffe, da "kucken" nur Rechner ob bei Dir einer dieser Services läuft und gehen dann wieder. Mein Log sieht übrigens genauso aus.
    Mach halt alle diese Ports zu und Du hast Ruhe.

    edit: Das hab ich ungeschickt formuliert. Mach alle Ports dicht und dann nur die auf die Du brauchts, also zB TCP 80 für WWW, TCP 21 für FTP etc..
     
  6. T.Eisenhammer

    T.Eisenhammer MacUser Mitglied

    Mitglied seit:
    15.02.2004
    Beiträge:
    69
    Zustimmungen:
    0
    Öhm!? ...

    zu 4.
    fuer ein paar freaks -> ist das ne kernel firewall ala iptables bzw. ipchains oder ist das was selbstgeschustertes von apple?

    MfG, T.Eisenhammer.
     
  7. starbuxx

    starbuxx MacUser Mitglied

    Mitglied seit:
    13.04.2003
    Beiträge:
    1.442
    Zustimmungen:
    8
  8. kermit

    kermit MacUser Mitglied

    Mitglied seit:
    26.05.2003
    Beiträge:
    994
    Zustimmungen:
    28
    Eine weitere Erklärung für die Meldungen:

    Deine "gute" Firewall meldet dir z.B. Portscans als "Angriff".
    (Zum Vergleich: Als wolle man jemanden der an einer Türe
    klopft oder klingelt zum Einbrecher erklären...)

    Also keine Panik. Die meißten Personal FW sind überempfindlich
    konfiguriert...


    kermit
     
  9. Icetheman

    Icetheman MacUser Mitglied

    Mitglied seit:
    31.08.2002
    Beiträge:
    2.014
    Zustimmungen:
    24
    Genau deshalb hab ich mir Netbarrier zugelegt.
    Denn dort kann man die empfindlichkeit einstellen-
    Kann nur empfehlen umzusteigen.
    So bekommt man auch die Programme in den Griff die vom Rechner aus nach drausen kontakt aufnehmen wollen.
     
  10. yoody

    yoody MacUser Mitglied

    Mitglied seit:
    27.01.2004
    Beiträge:
    66
    Zustimmungen:
    0
    huh

    danke erstmal...:p

    @ aska:

    die ports habe ich eigendlich alle zu.
    die firewall piepst und meldet sich nur ständig. das gabs vorher nicht.

    hab die firewall (panther) jetzt auch gefunden;)

    die probier ich gleich mal aus.


    danke nochmal.
     
Die Seite wird geladen...