[HaBo]

AceKiller73

Anzeige

Kleines Szenario:
An unsere Schule ist auf jedem Rechner VNC Server installiert, sodass der Lehrer jeden überwachen kann.
Kann den Dienst natürlich net killen, wegen mangelnder Rechte.
Frage:
Was passiert, wenn ich ein Programm schreibe, welches auf dem gleichen port lauscht?
Kann ich dafür sorgen, das die Anfrage nicht bei VNC ankommt?

MFG
Ace

keksinat0r

Dazu müsstest du das Programm vor VNC starten lassen, und somit den Port blockieren.
Das allerdings dürfte ziemlich unmöglich sein, da VNC wohl entweder als Dienst oder via Autostart gestartet wird.

Alternativ könntest du die Pakete filtern, was dank mangelnder Rechte wohl net so leicht werden würde...

MFG - Keks.

acdc

Damit du Administratorrechte (auf dem aktuellen PC) erhälst, müsstest du lediglich net user USER PASSWORD /add eingeben. Dann kannst du bestimmt den Dienst killen/das Port filtern/o.ä.

Vorraussetzung: Windows & Systemadministrator, der glaubt, dass seine Schüler zu dumm sind, um Die Eingabeaufforderung zu benutzen.

Harry Boeck

EIGENTLICH würde ich hier gern in die Richtung diskutieren, daß ein Lehrer, der sich sowas gefallen läßt bzw. es überhaupt ermöglicht, selbst dran Schuld ist.

Andererseits kenne ich aber die Situation an den Schulen aus unmittelbarer eigener Erfahrung. Die Lehrer, die die Rechner in Computerkabinetten, Bibliotheken und Unterrichtsräumen im wesentlichen in ihrer FREIZEIT (!) und OHNE WENIGSTENS sachkundige Einweisung, geschweige denn fachlich fundierte Ausbildung, in Gang halten müssen, tun mir einfach nur leid. Insbesondere angesichts dermaßen egoistisch verkommener Schüler, die, statt daß sie sich in Arbeitsgemeinschaften zusammenfinden und in einem Rutsch was sinnvolles für sich und für alle anderen Mitschüler tun, das bißchen Lebenszeit, das neben ihrem sinnlosen Ego-Shooter-Gedaddel übrig bleibt, für das Ärgern der wenigen Menschen aufwenden, die sich noch einen Kopf um ihr Wohlergehen machen.

Also, falls hier auch mal der Lehrer der Schule reinschaut:

Checkliste GEGEN schwachgeistige Möchtegern-Hacker:

1. Allen Computern im Bios abgewöhnen, von CD oder Diskette zu starten!

2. Das Bios mit einem maximal schweren Passwort schützen!
3. NICHT sowas wie "wassolls" als Passwort verwenden!
4. AUCH NICHT für die Administrator-Konten der Win-Dosen!

5. Die Win-Dosen GRUNDSÄTZLICH mit NTFS einrichten!
Wer heutzutage bei dem üblichen Schülercharakter und den Möglichkeiten, die solchen Typen zur Verfügung stehen, darauf baut, daß die armen, sich dumm stellenden Kids wohl kaum einen Schaden anrichten können, DER ist WIRKLICH selbst dran Schuld!

6. Streng zwischen EINEM Administrator-Konto und ansonsten NUR Normalbenutzerkonten unterscheiden!

7. Den Win-Dosen GRUNDSÄTZLICH und VOLLSTÄNDIG abgewöhnen, ÜBERALL dort, wo Schüler SCHREIBEN können, irgendetwas AUSFÜHREN zu können.

Bitte melden, wenn der letzte Punkt und seine Umsetzung in irgendeiner Hinsicht nicht trivial einleuchtet!

Es führen viele Wege nach Rom. Sie nützen allerdings ALLE nichts, wenn man nicht IRGENDEINEN beschreitet!

8. Der verantwortliche Lehrer, um dessen Rechner es hier geht, ist offenbar nicht auf den Kopf gefallen: Fernüberwachungssoftware IST zwingend notwendig, wenn man ein Rechnernetz auch nur halbwegs effektiv pflegen will.

Das hat NICHTS mit Spionage zu tun: Den Benutzern wird gerade bei VNC - wenn es denn so eingestellt ist - DEUTLICH angezeigt, DASS und WANN jemand zuguckt. Und den Lehrer will ich präsentiert bekommen, der in der Lage wäre, seine Zeit mit der Bespitzelung von Schülern zu verbringen.

Dass die Schüler zu dumm sind, den Fakt zu erkennen, weil sie gar nicht wissen, DASS eben genau das ANZEIGEN einer eventuellen Überwachung unmißverständlich ist, bedeutet - wie wir hier gerade aktuell sehen - NICHT, daß sie keinen Versuch unternehmen würden, die sich um sie sorgenden Erwachsenen mit Füßen zu treten, wo sie es können. (NICHT ALLE, aber ein paar solcher Typen wie unser säurehaltiger Totschläger hier reichen aus, um einem Lehrer die Freizeit zu NULLEN!)

Bei Fragen bitte hier melden!

P.S.: Das Angebot gilt NICHT für AceKiller!

Elderan

Hallo,
Wer's glaubt wird selig

acdc

Ich schrieb das nur aus eigener Erfahrung.

@HarryBoeck:

Nur weil AceKiller die Frage stellt heißt das nicht, dass er etwas zerstören/grundlegendes Verändern will.
Ich finde Sicherheitslücken heraus, weil ich Neugierig bin und ein kleines Machtgefühl verspüre, was mich aber nicht aufhält die Lücken dem SysAdmin zu berichten und gemeinsam Gegenmaßnahmen zu finden.
Das bringt nebenbei gesagt auch Sympathiepunkte!

Elderan

Hallo,

Also wenn man als eingeschränkter User unter Win XP SP2 diesen Befehl ausführt, erhält man erwartungsgemäß ein 'Systemfehler 5 aufgetreten, Zugriff verweigert'. Selbst als Administrator wird nur ein eingeschränktes Konto erstellt (sofern man den neuen User dann nicht den entsprechenden Gruppen hinzufügt).

Des Weiteren ist es so, dass er vermutlich an einer Domäne angemeldet ist, dort sind die Zugriffsrechte nochmal deutlich restriktiver.


Also ich kann mir nicht vorstellen, an welchem System du dies mit eingeschränkten Rechten durchgeführt hast, vermutlich an einem alten, ungepatchten.

Allerdings sollte man dann sein Post nicht so formulieren, als wäre 'net user .. /add' allgemein gültig.

Ob dies bei einen stein alten Win-OS auch noch funktioniert, wenn man an einer Domäne angemeldet ist, kann ich nicht sagen.
Aber auch in Schulen sind die Betriebssystem meistens auf einem neueren Stand

AceKiller73

@Harry Boeck:

Zunächst einmal bin ICH einer von den Vier Personen, die bei uns im Schulnetwerk dafür sorgen, dass alles reibungslos formuliert. Es liegt also keineswegs in meinem Interesse, irgendwelchen Schaden anzurichten.

Auch wenn es aus meiner Fragen vllt nicht richtig hervorgeht, aber ich wollte eher allgemein wissen, ob es möglich ist, ein Porgramm auf einem, schon belegten Port, horchen zulassen und ihn damit zu blockieren.

zudem halte ich mich nicht für so unfähig, in sachen programmierung und netzwerk.

Ich verstehe zwar, dass hier manchmal Menschen auftauchen, die versuchen ohne Wissen und Grund Schaden anzurichten. Mich aber gleich als sojemanden abzustempeln. .

MFG
Ace
PS: Hab deinen Post grade mal ganz gelesen und muss sagen, dass du wirklich sehr schnell Vorurteile gebrauchst mich als dumm bezeichnest....

Xalon

"Kann den Dienst natürlich net killen, wegen mangelnder Rechte."
Das hört sich ganz und gar nicht danach an das du das Netzwerk schützen willst und das du einer von 4 Admins auf deiner Schule bist... das bezweifle ich mal stark.

Aber um deine Frage zu beantworten: Das Programm das zu 1. gestartet wird bekommt auch den Port..

stone.dr

@Elderan mich wunderts immer wieder, wie lange diese Legende schon existiert
Ich selbst hatte Streitgespräche mit nem alten Kollegen, der so ein Tutorial online stellte (er hatte das dann auch noch als Systembug deklariert ).

Bis Windows XP Sp1 gabs einen Exploit, mit dem man aus dem eingeschränkten Benutzerkonto ein Administrator Konto erstellen konnte (psexec hieß der, glaube ich), naja SP1 - lange her ...

AceKiller73

Es geht hier ums Prinzip.

Ich wollte eingentlich nen Prog schreiben, was eben für jeden zugänglich ist. Außerdem werd ich nen Teufel tun und während der Stunden den VNC Server auf dem PC abschießen.

Zu den Admin Tätigkeiten:
Geht euch zwar eigentlich nichts an, aber wir haben an unserer Schule ein duales Systen, sprich Linux und Windows. (Unter Linux funzt. der VNC Server eh noch nicht richtig). Da wird "Rembo" benutzen, also immer images der Betriebssysteme anlegen, und gegebenen falls neu laden, haben Viren und Co keine Chance. Wir warten die Images, verwalten unsere E-learning Plattform, usw.

Zu den Vorhaltungen hier:
Ich finde es ziehmlich komisch, das ich hier sooo angemacht werden, weil ich hier eine simple, nicht illegale Frage stellen. Ich bin kein DAU den ihr 10 mal auf die Forenregeln hinweisen müsst. Ich habe nichts verbotenes getan und eine sinnvolle Frage gestellt.

Aber bitte, da hier solche Fragen nicht erwünscht sind, closen. *traurig traurig*

MFG
Ace

bitmuncher

Es wurde dir ja bereits gesagt, dass es nicht möglich ist 2 Programme an einen Port zu binden. Sobald ein Socket den Port belegt, steht dieser für andere Sockets nicht mehr zur Verfügung.

Allerdings kann ich dir nur zustimmen, dass die Entscheidung welche Fragen den Regeln widersprechen den Mods überlassen wird. Wer bei einem Beitrag Zweifel hat, sollte bitte den Ups-Link nutzen und den Beitrag einem zuständigen Mod melden, der dann eine entsprechende Entscheidung fällt. Dafür sind wir ja schliesslich da.

__________________

Harry Boeck

@AceKiller: Gut, wenn dem so ist, wie Du hier darstellst (Du also dem Lehrer unter die Arme greifen möchtest, um ihn dabei zu unterstützen, daß eben solcherlei Gegenarbeit verhindert werden kann), ist das OK.

Meine Lebenserfahrung sagt, daß mein Mißtrauen gesund ist.
Wenn Du tatsächlich bereits zu vernünftigen Menschen gehörst, wirst Du das sinnvolle Anliegen in meinem Posting verstehen können und sachlich drüber weg diskutieren, so daß jeder Teilnehmer von ganz allein merkt, daß diese Annahme gegenstandslos ist. (Wovon ich momentan den Eindruck gewinne.)

In diesem Fall wünsche ich Dir und Deinen Mitstreitern maximalen Erfolg bei der Absicherung Eures Systems.

Executor

naja auf jemandem rumhacken hin oder her.....ich bin es gewohnt, dass admins die passwörter haben. Du könntest den dienst - sofern du wirklich admin bist - völlig legal beenden, oder nicht?
wenn es dir nur um die ports gehen würde, hättest du ein anderes beispiel gewählt, oder besser wählen sollen.

So far

Executor

CDW

Hatte das mal in einer "schönen" Ausführung zu NT, finde den Originalartikel leider nicht mehr.
http://blogs.msdn.com/wndp/archive/2...ony-Jones.aspx
http://msdn2.microsoft.com/En-US/library/ms740621.aspx
doppelte Belegung ist jedenfalls möglich, wenn auch der Socketzustand bzw Verhalten danach unbestimmt ist.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.