[HaBo]

schmidtl_dd · 13.01.06, 16:06

Hi

hab grad was über Backdoors gelesen und mal ne Frage:

Ein Rechner könnte diverse Hintertüren aufhaben. Also lasse ich von einem zweiten Rechner aus "nmap -sV" auf ihn los. Wenn dort keine offenen Ports zu sehen sind, kann dort keine Backdoor sein. Wenn dort Ports offen sind kann nur der entsprechende Dienst als Backdoor dienen, d.h. er wurde ggf. manipuliert (z.B. der ssh auf 22) Durch Neuinstallation des Dienstes ist das Problem zu beseitigen, wenn man sicherstellt, das der Dienst nicht erneut manipuliert werden kann (z.B. wenn keiner Schreibrechte auf das ssh binary hat)

Ist das so richtig? Korrekturen? Stell ich mir das zu einfach vor?

Kann es Ports geben, die sich gegenüber nmap als geschlossen geben, auf speziell manipulierte IP Pakete aber reagieren?

DolphVS · 13.01.06, 16:26

Zitat:

Kann es Ports geben, die sich gegenüber nmap als geschlossen geben, auf speziell manipulierte IP Pakete aber reagieren?

Ja, da gibts auch bestimmte Programme oder Hacks, dass der PC auf gar keine Scans mehr antwortet, denke aber schon, dass du mit irgendeiner Scantechnik, das schaffst, wen etwas auf dem PC ist.

Zitat:

Wenn dort Ports offen sind kann nur der entsprechende Dienst als Backdoor dienen, d.h. er wurde ggf. manipuliert (z.B. der ssh auf 22) Durch Neuinstallation des Dienstes ist das Problem zu beseitigen, wenn man sicherstellt, das der Dienst nicht erneut manipuliert werden kann (z.B. wenn keiner Schreibrechte auf das ssh binary hat)

Meist werden keine Dienste manipuliert sondern ein eigener Port aufgemacht. meist liegen Trjanerports über Portnummer. GfI LanGuard kennt trojanerports und scannt nach ihnen, glaube das programm gibts 10 tage Trial (hier)

PS: NMap ist gut geeignet, da es sehr viele Scantechnicken beherrscht.

PPS: Hier eine Trojanerportliste (Trojanerports)

Anzeige

- Anzeige -

**Elderan** · 13.01.06, 17:19

Hallo,
es gibt auch diverse Hintertüren, die keinen Port öffnen.
Immer wenn dein PC startet, bauen diese z.B. eine Verbindung zu einem IRC Channel auf, und erhalten darüber weitere Anweisungen.
Oder der Internet-Explorer zur Kommunikation benutzt.
Dabei wird unsichtbar der MSIE gestartet, und ruft eine Website auf. Die Website gibt weitere Befehle, die dann die Backdoor ausführt.
Die Backdoor antwortet dann über den MSIE dem Server.

Hier ein Video dazu: http://ulm.ccc.de/old/chaos-seminar/...recording.html
(Zum Ende des Video)

The Dude · 13.01.06, 17:34

fuer weitere ideen siehe z.b. http://www.portknocking.org/

schmidtl_dd · 13.01.06, 18:25

aber wenn die Schadsoftware via IRC Instruktionen bekommt muß sie diese doch auf einem port entgegennehmen...

Lesco · 13.01.06, 19:35

Zitat:

Original von schmidtl_dd
aber wenn die Schadsoftware via IRC Instruktionen bekommt muß sie diese doch auf einem port entgegennehmen...

Ja allerdings muss dieser Port nicht für Verbindungsanfragen geöffnet sein, da der Rechner hier als Client und nicht als Server fungiert.

schmidtl_dd · 14.01.06, 11:51

ahhh....stimmt ja

Anzeige

- Anzeige -

13.01.06, 16:06	#1 (permalink)
schmidtl_dd Registriert seit: 02.12.05 Likes: 0	Backdoor? Anzeige Hi hab grad was über Backdoors gelesen und mal ne Frage: Ein Rechner könnte diverse Hintertüren aufhaben. Also lasse ich von einem zweiten Rechner aus "nmap -sV" auf ihn los. Wenn dort keine offenen Ports zu sehen sind, kann dort keine Backdoor sein. Wenn dort Ports offen sind kann nur der entsprechende Dienst als Backdoor dienen, d.h. er wurde ggf. manipuliert (z.B. der ssh auf 22) Durch Neuinstallation des Dienstes ist das Problem zu beseitigen, wenn man sicherstellt, das der Dienst nicht erneut manipuliert werden kann (z.B. wenn keiner Schreibrechte auf das ssh binary hat) Ist das so richtig? Korrekturen? Stell ich mir das zu einfach vor? Kann es Ports geben, die sich gegenüber nmap als geschlossen geben, auf speziell manipulierte IP Pakete aber reagieren?

13.01.06, 17:34	#4 (permalink)
The Dude Registriert seit: 13.11.04 Likes: 0	RE: Backdoor? fuer weitere ideen siehe z.b. http://www.portknocking.org/

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Windows Backdoor	Cyberm@ster	(In)security allgemein	4	16.05.08 13:28
Backdoor.Bifrose.wj	carbon1980	(In)security allgemein	4	12.10.07 19:26
Kleine Backdoor	TUXfriend91	Code Kitchen	8	11.04.06 23:53
BackDoor-CGZ	franzi	Virenschutz · Tools & Aggressive Software	8	18.02.05 22:50

13.01.06, 17:19	#3 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, es gibt auch diverse Hintertüren, die keinen Port öffnen. Immer wenn dein PC startet, bauen diese z.B. eine Verbindung zu einem IRC Channel auf, und erhalten darüber weitere Anweisungen. Oder der Internet-Explorer zur Kommunikation benutzt. Dabei wird unsichtbar der MSIE gestartet, und ruft eine Website auf. Die Website gibt weitere Befehle, die dann die Backdoor ausführt. Die Backdoor antwortet dann über den MSIE dem Server. Hier ein Video dazu: http://ulm.ccc.de/old/chaos-seminar/...recording.html (Zum Ende des Video)

13.01.06, 18:25	#5 (permalink)
schmidtl_dd Themenstarter Registriert seit: 02.12.05 Likes: 0	aber wenn die Schadsoftware via IRC Instruktionen bekommt muß sie diese doch auf einem port entgegennehmen...

14.01.06, 11:51	#7 (permalink)
schmidtl_dd Themenstarter Registriert seit: 02.12.05 Likes: 0	ahhh....stimmt ja

[HaBo]

Backdoor?