hilfe: mein rechner wird attakiert...

[yoody]

hallo,

habe mir vor 2 monaten die "norton personal firewall" zugelegt.
bis jetzt war alles ruhig/ die logfiles waren immer leer.

heute nachmittag schalte ich den rechner ein, gehe ins internet und meine firewall schlägt alarm:

der logfile verzeichnet mittlerweile ca. 40000 zugangsversuche (entries), die glücklicherweise bisher alle abgewiesen wurden.
über visual tracking habe ich herausgefunden, dass mein rechner aus der ganzen welt angegriffen wird.
kenne mich leider noch nicht so richtig mit den ganzen ports usw. aus.

einige ports und services sind mir aber besonders aufgefallen:

btprjctrl port:2803 TCP

windows file port:137 UDP

rfa port:4672 UDP

epmap port:135 TCP

BitTorrent port:6882 TCP

desweiteren angesprochene ports sind: 3562, 4662,


...weitere siehe angehängter screenshots von meinem "access history" logfile.

alle aufzuzählen würde den rahmen hier sprengen, da es mindesten 1000 verschiedene IPs sind.

habe vorhin meine ganze festplatte gescant und nichts gefunden.
kann es aber trotzdem sein, dass ich mir irgendwas eingefangen habe, was diese angriffe provoziert?
(gestern wurde mir beim surfen eine .exe datei auf den rechner geladen. kann das meinem mac etwas anhaben ?)

hab ich jetzt ein problem? und was kann ich dagegen tun?


> bitte auch die angehängten screenshots beachten...


vielen dank für jede hilfe...yoody wavey

 

[T.Eisenhammer]

Öhm!? ...

Das ist ganz normal das man den ganzen Tag angegriffen wird, wenn man am Internet hängt.
.exe schaden keinem mac, weil sie auf / für die x86 architektur kompiliert wurden und so nicht auf einem ppc (powerPC) lauffähig sind.
Bei den anderen Programmen kommt drauf an, ob jemand a) nen Fehler gefunden hat und diesen Ausnutzt und b) das der Angreifer grade die Mac version des BitTorrent (z.b.) angreifen will.
Kann man getrost ignorieren denke ich.

MfG, T.Eisenhammer.

 

[starbuxx]

ich glaub du kannst dich entspannen

1. ist norton superempfindlich um die panik beim benutzer zu schüren und gibt auch alle üblich anfragen erstmal als potentiellen angriff an

2. zum log: 4662 + 6882 + 2803 sind ja ports, die zu filesharing software gehoeren.
wenn jemand, der deine adresse zuvor von deinem internetprovider bekommen hatte (ich gehe davon aus, das du keine statische ip hast) diese programme benutzt hat, dann versuchen andere clients, immernoch auf die adresse zuzugreifen, obwohl derjenige, der die filesharingsoftware darauf verwendet hat, diese gar nicht mehr benutzt.

3. die zugriffe auf port 137 udp sind netbios zugriffe. werden haeufig verwendet, um den windows naming service auszuheben (als angriff), solange nicht mehr kommen. aber soweit ich weiss, besteht da unter OSX keine gefahr. muessen aber auch nicht boesartig sein (es sein denn, du kriegst 100 von der gleichen ip innerhalb kuerzester zeit)

4.) wieso eigentlich norton? OSX hat doch ne firewall *wunder*

gruesse,
/.sbx./

 

[yoody]

hier ein kleiner zwischenstand:

s. anhang:

>>>

 

[aska]

http://linux.cudeso.be/cdp/UDP_TCP_PortList.pdf

Das PDF enthält eine Liste mit Ports.

Laut Web ist 4662 = eMule/eDonkey.
Port 3562 find ich auf die Schnelle auch nichts zu. Aber T.Eisenhammer hat Recht, das sind eigentlich keine Angriffe, da "kucken" nur Rechner ob bei Dir einer dieser Services läuft und gehen dann wieder. Mein Log sieht übrigens genauso aus.
Mach halt alle diese Ports zu und Du hast Ruhe.

edit: Das hab ich ungeschickt formuliert. Mach alle Ports dicht und dann nur die auf die Du brauchts, also zB TCP 80 für WWW, TCP 21 für FTP etc..

 

[T.Eisenhammer]

Öhm!? ...

zu 4.
fuer ein paar freaks -> ist das ne kernel firewall ala iptables bzw. ipchains oder ist das was selbstgeschustertes von apple?

MfG, T.Eisenhammer.

 

[starbuxx]

http://www.apple.com/macosx/features/security/

basiert auf ipfw

gruesse,
sbx

**EDIT*** http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html ''hab ich vergessen ***/EDIT***

 

[kermit]

Eine weitere Erklärung für die Meldungen:

Deine "gute" Firewall meldet dir z.B. Portscans als "Angriff".
(Zum Vergleich: Als wolle man jemanden der an einer Türe
klopft oder klingelt zum Einbrecher erklären...)

Also keine Panik. Die meißten Personal FW sind überempfindlich
konfiguriert...


kermit

 

[Icetheman]

Genau deshalb hab ich mir Netbarrier zugelegt.
Denn dort kann man die empfindlichkeit einstellen-
Kann nur empfehlen umzusteigen.
So bekommt man auch die Programme in den Griff die vom Rechner aus nach drausen kontakt aufnehmen wollen.

 

[yoody]

huh

danke erstmal...

@ aska:

die ports habe ich eigendlich alle zu.
die firewall piepst und meldet sich nur ständig. das gabs vorher nicht.

hab die firewall (panther) jetzt auch gefunden

die probier ich gleich mal aus.


danke nochmal.

 

[starbuxx]

@kermit

portscans als angriff zu melden ist auch nicht verkehrt. deswegen blockt eine gut konfigurierte fw die auch meist (nach der n-ten portanfrage von der gleichen ip innerhalb von zeitraum x) bzw. laesst sie im "stealth mode".

bei einem portscan geht es ja auch darum sicherheitslücken aufzuspüren (man kann damit natuerlich auf einfach die funktionalität eines portforwardings / dienstes überprüfen) -> häufig aber tatsächlich die vorbereitung eines angriffs.

@yoodie

eine firewalll auf einmal reicht aber
wenn du weiterhin ueber versuchte angriffe (so es denn welche sind) informiert werden wollst: hier gibts 'snort' (ein intrusion detection system / IDS). ist gnu/gpl und damit kostenlos http://www.securemac.com/macosxsnort.php

gruesse,

/.sbx./

 

[SirSalomon]

Es ist kein Selbstbau. Die interne Firewall beruht auf IPFW, dem Vorläufer vom IPTABLES. Das aber beruht leider auf Kernel 2.4 und findet somit keine Verwendung unter Mac OSx.

Wenn es denn eine Umsetzung für OSx gibt sag bitte Bescheid, ich möchte gerne meine Firewall hier wieder laufen haben.

Um auf den eigentlichen Thread wieder zurück zu kommen. Die "Übergriffe" finden in der Tat fast regelmäßig statt.

Sie haben aber nur einen Sinn und Zweck, wenn Du die "offenen" Ports bei Dir auch in Verwendung hast.

Die Meldungen von Norton sind nicht mal übertrieben, sondern eben standard Einstellungen, die grundsätzlich gemeldet werden.

 

[parka]

die ipfw, welche in darwin integriert ist, ist nicht "selbstgeschustert".
sie stammt aus der unix welt, genauer aus dem bsd, auf dem darwin basiert.
ist ein quasi unix-standard.

ist schon ernst zunehmen.

norton macht meist mehr ärger auf dem rechner als es gutes tut.

 

[SirSalomon]

Original geschrieben von starbuxx
http://www.apple.com/macosx/features/security/

basiert auf ipfw

gruesse,
sbx

**EDIT*** http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls.html ''hab ich vergessen ***/EDIT***

 

Das ganze gibt es übrigens auch in deutsch und zwar hier:

FreeBSD - Firewall

In wie weit die Umsetzung auch für Mac OS X gilt kann ich nicht beurteilen.

 

[starbuxx]

slightly OT

@salomon

danke!

ich merke ehrlich gesagt nicht ob ich deutsch oder englisch lese, deshalb poste ich wahrscheinlich zu haeufig englischsprachige links, obwohl deutsche verfügbar sind.

werd versuchen in zukunft drauf zu achten

gruesse,
/.sbx./

 

[SirSalomon]

Re: slightly OT

Original geschrieben von starbuxx
@salomon

danke!

ich merke ehrlich gesagt nicht ob ich deutsch oder englisch lese, deshalb poste ich wahrscheinlich zu haeufig englischsprachige links, obwohl deutsche verfügbar sind.

werd versuchen in zukunft drauf zu achten

gruesse,
/.sbx./

 

Lernfähig, fein fein

Aber mir ist es auch egal ob English oder Deutsch. Gerade im Sicherheitstechnischen Bereich ist Englisch oftmals die bessere Wahl. Einfach weil teilweise die deutsche Überstzung völliger Stuss ist und nicht das wiederspiegelt was die Englische Literatur vorgibt

 

[kermit]

Zu diesem Thema:
NG

Hier steht auch viel zum Sinn oder eher Unsinn einer Personal FW...


kermit

 

[yoody]

das einzige was mich jetzt noch nervt ist das ständige piepsen der firewall und das aufspringen des "norton personal firewall access attempt" fensters, dass mich über jeden neuen zugangsversuch informiert.

ne ausgeschaltete firewall bringsts ja auch nicht. mit dem ständigen piepsen machts aber auch keinen spass.

gibts dafür noch lösungen?


ps: danke für die vielen hilfreichen links..

 

[kermit]

Original geschrieben von starbuxx
@kermit

portscans als angriff zu melden ist auch nicht verkehrt. deswegen blockt eine gut konfigurierte fw die auch meist (nach der n-ten portanfrage von der gleichen ip innerhalb von zeitraum x) bzw. laesst sie im "stealth mode".

bei einem portscan geht es ja auch darum sicherheitslücken aufzuspüren (man kann damit natuerlich auf einfach die funktionalität eines portforwardings / dienstes überprüfen) -> häufig aber tatsächlich die vorbereitung eines angriffs.

 

Sorry das ich das sagen muss, aber schwachfug! Bei einem Portscan geht
es nicht immer um das aufsüren offener Ports, damit man versuchen kann dort
einzubrechen.



Lese zB hier

kermit

 

[kermit]

Original geschrieben von Icetheman

So bekommt man auch die Programme in den Griff die vom Rechner aus nach drausen kontakt aufnehmen wollen.

 

Und genau das ist _ein_ Problem der Personal FW: Du musst den Programmen
zB dem Browser eine "Internetfreigabe" erteilen, damit diese ins Netz dürfen.
Meinst du nun, dass sich ein Trojaner oder ein anderes irgendwie schädliches
Programm, das einen Netzzugriff wünscht sich mit "Hallo, ich bin das ultimative
hacking Passwortklauende und Backdoor-bereitsellende Programm und brauch
Zugang zum Netz"?! Eher wird eine Meldung kommen wie "Internetexplorer
benötigt Internetfreigabe".

kermit