FileShare-Proggies und Ihre Sicherheitsl??cken! 1. Beispiel: Morpheus!

FileShare-Proggies und Ihre Sicherheitslücken! 1. Beispiel: Morpheus!

Hi Leutz,

ich habe im alten Board mal dazu aufgerufen, Erfahrungen über FileShare-Proggies zu berichten. V.a. Sicherheitslücken und so!

Hab da jetzt was zu Morpheus gefunden! V.a. der engl. Artikel ist interessant (auch wenn er mir so erscheint, daß die nicht ganz die Ahnung haben [nur ZA normal ist schon komisch, da man ja keine Ports getrennt blokken kann!])

http://board.gulli.com/showthread.php?s=6a43f12051232dbf7a4f96f385150755&threadid=107036
(hm... stimmt, leider nur für Registrierte , aber wer das Glück hat und noch einen Account bekommen hat...)

http://www.opentechsupport.net/forums/showthread.php?threadid=2344
(geht jetz )

Vielleicht findet ja noch wer was!

-= RandZ =-

Noch ein SuperLink zu Morpheus! (Auch die Antworten anschauen!)

http://www.heise.de/newsticker/forum/go.shtml?read=1&msg=43&g=20011003odi000

RandZ

@RandZ

Aus Deinen Antworten:

der 1. link ist nur registierte Besucher des Boardes

der 2. link ist tot???

der 3. link ist recht interessant, sagt aber nichts über die
funktionsweise bzw. art der hintertür aus!! eigentlich
schade, wäre ganz sicher interessant!!!

MfG Rushjo

@Rushjo:

Sorry, habz gefixt! Ja, der Gulli geht leider nur mit Accaount


An alle:

Was mich wahnsinnig interessieren würde ist, ob vielleicht einer von Euch schlechte Erfahrungen hat... egal mit welchem p2p sharetool...

THX

@RandZ

THX fürs Fixen des Links!!!
Das der Mod dort ZoneAlarm als
Desktop-Firewall nutzt ist ein bißchen "strange"!!!!
Aber sonst coole, interessante Info!!!

MfG Rushjo

Hi!

Ich habe da auch ein Problem mit Audio-Galaxy. Jedesmal nach dem Einloggen kann ich darauf warten, dass sich ein "Standard Backdoor/Sub Seven" an meiner Firewall die Zähne ausbeißt. Kann ich da irgendwas dagegen machen, z.B. dem User eine Nachricht zukommen lassen, dass ich seine IP habe und er das doch mal lassen könnte? Oder ist das so sinnvoll bzw. durchführbar wie einem Schwein das Stabhochspringen bei zu bringen?!

@sTEk

Ich schätze mal, Du hast eine Desktop-Firewall
wie z.B. AtGuard etc.???!!!
Dabei kann es passieren, wenn ein Internet-Programm
wie Audio-Galaxy einen ungewöhnlichen Port nutzt, z.B.
den traditionellen Port von SubSeven, daß die
Verbindung als angeblicher Trojaner-Zugriff gemeldet
wird. Desweiteren kann es Dir doch egal sein, wenn
Jemand sich bei Dir über SubSeven einzuloggen, solange
Du keinen Trojaner auf Deinem System hast!!!

Wo liegt dann das Problem?? (Die Frage ist, um Dir
weiterzuhelfen zu können!!!)


MfG Rushjo


P.S. Eine Nachricht, an dem "Verursacher" macht meiner
Erfahrung nach, nur wenig bis keinen Sinn, da der
jeweilige Nutzer davon keine Ahnung hat bzw. Ihn das
nicht interessiert oder dies Absicht ist und er das so
oder so nicht zu geben wird!!!

@sTEk haste schon mal versucht herauszufinden wem die IP gehört? könnte ja ein audiogalaxy-server sein der sich mit dir connecten will (wie bei napster). es muss nicht gleich alles ein subseven-user sein.

Nun ja, es ist anscheinend eine T-Online-Adresse, da sie mit 217 beginnt. Meiner Erfahrung nach sind bis jetzt alle mir bekannten DSL-User über 217.x.x.x Adressen im Netz.

Warum aber benutzt ein Prog den gleichen Port wie ein bekannter Trojaner? Das ist mir etwas unverständlich, denn wenn ich den Port freigebe, auch wenn nur für diese Anwendung, habe ich gleich wieder eine weitere Lücke im System.

Hier mal zwei Meldungen aus dem Protokoll:

Datum: 11.10.2001 Uhrzeit: 15:12:23
Regel "Standard Backdoor/SubSeven blockieren" blockierte (217.85.109.196,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (217.85.109.196,27374)
Remote-Adresse, Dienst ist (217.85.1.122,1461)
Prozessname ist "N/A"

Datum: 10.10.2001 Uhrzeit: 15:14:44
Regel "Standard Backdoor/SubSeven blockieren" blockierte (217.225.182.162,27374). Details:
Ankommende TCP-Verbindung
Lokale Adresse, Dienst ist (217.225.182.162,27374)
Remote-Adresse, Dienst ist (217.85.104.32,1559)
Prozessname ist "N/A"

@sTEk

Erstmal eine Sache vorweg, dies ist genau der
Fall wie ich ihn oben beschrieben habe.
Ein Programm versucht sich über den Port zu verbinden,
dabei heißt die Ansage Deiner Desktop-FW nicht, da
dieses Programm wirklich ein Trojaner sein muß!!!
Wie auch schon Akkad schrieb, kann es einfach ein
Programm diesen Port nutzen. Dies machen manche
Programme, wenn die Programmierer den Port nicht von
der Definition der zu nutzenden Ports ausgenommen
haben (in Unkenntnis der "häufig" genutzten
Trojanerports) oder das Programm per Zufall den
zunutzenden Port selber bestimmen darf und/oder das
Programm einfach unsauber programiert wurde.

So wie es aus den Logfiles hervorgeht, handelt es sich
um ein Programm auf dem anderen Rechner, welches
versucht, auf Deinen Rechner zu zugreifen. Wie
schonmal gepostet, scanne einfach mal Dein System auf
Viren/Trojaner mit einem gängigen Virenscanner/-killer,
wenn dieser dann nichts findet, brauchst Du Dir trotz
dieser Anfragen keinen Kopf machen. Denn wenn kein
Trojaner auf Deinem System ist, dann kann sich
logischerweise auch kein Trojaner auf das Request antworten.
Falls Dich die Anfragen stören, dann definiere doch
einfach die Standardregel von NortonInternetSecurity so
um, daß die D-FW die Anfrage ohne Kommentar und
Event-Notifyication Icon blockt. Das betreffende, damit
geblockte, Programm sucht sich dann schon einen
anderen Port.
Desweiteren kann man über den Sinn bzw. Unsinn einer
D-FW streiten, wie schon öfter auf dem Board
geschehen!!! Ich will hier keine neue Diskussion los
treten.

MfG Rushjo


P.S. Hoffe, alle Unklarheiten sind beseitigt!!!!
P.S.S. Die Annahme, daß wenn Du dem Dienst das
Nutzen dieses Portes erlaubt, Du eine Lücke in Deinem
System schaffst, ist falsch/ so nicht richtig!! Ich denke,
dies wurde durch meine oben gemachten Ausführungen
klar!

@Rushjo

Danke.
Damit wäre mein Problemchen geklärt. Ich habe im übrigen meine FW so eingestellt, dass sie mich nicht andauernd mit solchen Meldungen und Abfragen bombardiert, dummerweise ist der Port von der Software aus in den Sicherheitsregeln schon gesperrt und wird geloggt.

@sTEk

Du kannst eigentlich bei jeder D-FW die Block- und
Permit-Regeln ändern/modifizieren. Bei Norton
Firewall gehst Du einfach auf Sicherheit und dann
auf Stufe anpassen/definieren, hier sind die einzelnen
Regel unter der Rubrik "Web" aufgeführt. Einfach auf die
Regel klicken und dann auf "modifizieren". In dem neuen
Fenster gibt es dann einen Button mit den Aufschrift
"Ereigniss mitloggen", denn einfach ausschalten.
Bei AtGuard ist der Weg ähnlich, nur Du gehst gleich
über Settings/Optionen auf die Einstellungen, dann wie
oben beschrieben!!
In diesen Einstellungen, kann man durch einfaches
Klicken auf die betreffende Regel und dann löschen
diese auch komplett entfernen.
Sonst poste einfach mal den Namen Deiner D-FW und
dann sehen wir mal weiter!!!

MfG Rushjo

mach doch mal folgendes: probiere doch selber mal dich bei deinem pc mit subseven zu connecten. wenns klappt und die passwortabfrage kommt, dann haste einen drauf. desweiteren schaue doch mal die liste deiner aktiven tasks an. hat es dort vielleicht programme welche dir komisch vorkommen? werden irgendwelche programme vielleicht von der registry (runonce etc..) aus gestartet? ein gutes programm um dies alle zu überprüfen ist der JAMMER .

regedit

schau mal nach unter Start -> Ausführän -> regedit (enter) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run ; runonce ; runonceEx; runservices ; runservicesOnce da muss (nicht) (wennst nen trojan drauf hast) irgend ein komisches prog drinstehn des du nicht kennst und dir seltsam vorkommt... bei mir (win98)
steht blos eins drin und zwar -> LoadPowerProfile Rundll32.exe powrprof.dll,LoadCurrentPwrScheme den anderen misst hab ich rausgelöscht den brauch ich nicht! ABER NICHT SELBER LÖSCHEN! ich hab gewusst was ich brauch und was nicht! keine ahnung was bei dir drinnsteht!!!!! Alle angaben ohnä gewähr