Comodo Firewall - Aushebeln oder zumindest einen Port von Aussen öffnen.

[Nooby]

Hallo Gemeinde,

ich habe ein Problem und bin bei der Lösungssuche auf euer Board gestoßen. Ich hoffe, Ihr könnt mir weiterhelfen oder mir zumindest einen Wink in die richtige Richtung geben.

Zuerst möchte ich sagen, dass es sich bei dem anzugreifenden Rechner um meinen persönlichen, im 200km entfernten Zuhause und die nächsten 4 Wochen physisch nicht zu erreichenden DesktopPC handelt.

Ich habe das System für die Fernwartung konfiguriert. DynDNS, UtrlaVNC und die Comodo Firewall laufen darauf. Zwischen Rechner und Leitung hängt KEIN Router, lediglich ein simples DSL-Modem. Nun mein Problem:
Ich habe VNC für ein und ausgehende Verbindungen freigeschalten. Während meiner Konfigurationswut habe ich DANACH den Standardport für VNC auf 11256 gesetzt. Dass das ein Fehler war, hab ich erst gemerkt, als ich im genannten entfernten Ort den Zugriff testen wollte.

Ich habe mich nun schon eine Weile mit dem hacken von Systemen beschäftigt. Ein Portscan ergab, dass die Ports 20,21,25,80,8080,143,220,110 und 443 offen sind. Leider erreiche ich mit Telnet keinen Handshake, da weder ein EMail-, noch ein FTP- oder anderer Server darauf laufen habe. Jetzt komme ich nicht mehr weiter ... ?(

 

[Xalon]

Wenn er sie als offen erkennt (nutz dazu am besten -sS) dann muss da auch ein Dienst lauschen.

mfg,
Xalon

 

[Nooby]

Gibt es an den angegebenen offenen Ports irgenwelche Standarddienste, die noch laufen könnten? Wie kann ich einzelne Ports an sprechen und die Antwort auswerten? Habe im Internet nur etwas von TTCP gelesen. Aber das ist beim Windows 2003 Server Rescue Kit dabei. Das hab ich natürlich nicht.

Was heisst -sS?

 

[Gulliver]

-sS bezieht sich sicherlich auf eine Option vom nmap scanner.

Zu Deiner Frage: Das ist fuer Dich nicht moeglich. Vergiss es und richte den PC ordentlich erneut ein.

 

[Nooby]

Geht nich, gibs nich. Sry.
Ich bin Programmierer, leider aber kein Netzwerktechniker und schon lange kein Hacker. Aber wenn ich lernen muss, wie ich TCP Pakete abfange, modifiziere, meinetwagen fragmentiere und an meinen Rechner sende. Irgendwie gehts immer.

Es ist mir schade um den Strom ist, wenn ich nichts damit anfangen kann. Ausserdem ist es eine nette Beschäftigung, die mich in meinem Berufsfeld nur weiterbringen kann.

 

[Harry Boeck]

Wenn die Ports...

20 FTP (Daten)
21 FTP (Steuerung)
25 SMTP-Mail
80 HTTP
8080 HTTP-Proxy
143 IMAP-Mail
220 IMAP3-Mail
110 POP3-Mail
443 HTTPS

...NICHT von Dir eingerichtet wurden, sieht es recht seltsam aus.

Die nächstliegende Frage wäre da: Laufen da irgendwelche Dienste, deren Du Dir nicht bewußt bist? Und: Warum bist Du Dir derer nicht bewußt?

Ich kenne es sowohl von Windows- als auch von Linux-Systemen, daß Dienste dieser Art standardmäßig ungebeten eingerichtet werden, und von Modems, daß Dienste dieser Art standardmäßig durchgelassen werden. Mitunter halten Modems, wenn man ihnen nicht explizit auf die Finger haut, von sich aus die Ports 80 und/oder 443 für ihre eigene Fernsteuerung offen.

Aus "UtrlaVNC und die Comodo Firewall" schließe ich mal, daß das Windows XP sein müßte.

Wenn Du wirklich nichts davon kennen solltest, solltest Du das System wohl nach dem Urlaub (oder was auch immer) neu einrichten, denn dann hätte sich da was gewaltig verselbständigt.

Ich vermute allerdings eher, daß es noch nicht gründlich konfiguriert wurde.
Oder aber nicht tatsächlich DEINEN Rechner widerspiegelt. Wie auch immer das zu erklären wäre...

Zum Einbruch (in den EVENTUELL eigenen Rechner):

Das kommt ganz drauf an, WAS da denn nun KONKRET an Programmen hinter den Diensten hängt, die DU kennen sollen tätest!

Die Dienste selbst sind offenbar genau drei Stück:
- HTTP-Server
- FTP-Server
- Mail-Server

Für gewöhnlich sind die Teile der Server, die unmittelbar die eingehenden Anfragen aus dem Netz entgegennehmen und auf Ebene dieser Protokolle verarbeiten, nach Jahren (mitunter 2 Jahrzehnten) der Entwicklung recht robust - es sei denn, man installiert sich Neuentwicklungen oder Schrott.

Angriffe richten sich gewöhnlich gegen Aufsätze auf Anwendungsebene wie PHP-Module hinter dem HTTP-Server oder auf übliche Dussligkeiten wie nicht gesicherte Zugänge oder gar nicht gesetzte Passwörter.

WENN allerdings Du beteuerst, von alledem NICHTS zu ahnen, erwachsen ernste Zweifel an entweder der Korrektheit dieser Aussage oder dem Sinn, etwas von diesen Dingen "angreifen" zu wollen.
WENN Du andererseits zum Beispiel genau wüßtest, was an PHP-Modulen hinter dem Webserver hängt UND in einem jener eventuell verschleierten und außerdem sonstwie zugangsgesicherten Module eine Möglichkeit vorgesehen hättest, um im Ausnahmefall einen beliebigen Prozeß mit beliebigen Parametern starten zu können, DANN - ja: KÖNNTEST Du eben genau das.

DANN wäre allerdings die nächste Frage zu klären, ob und wie Du sowas wie den Ultra-VNC blind und mit anderen als den voreingestellten Parametern gestartet kriegst. oder wie Du gegebenenfalls per Blindsteuerung eines Webbrowsers etwas VNC-artiges (oder was auch immer Dir liegt) auf das System holst und dort startest und konfigurierst.

Es gibt für solche Zwecke auch Trojaner (was für Dich in diesem Fall ja eher eine Art Hintertür ins eigene Haus wäre), die den Browser dann doch nicht mehr ganz so blind dastehen lassen (dazu mußt Du allerdings selbst z.B. beim CCC suchen - ich brauchte sowas noch nicht).

Alles in allem eine interessante Fragestellung.

 

[Nooby]

Original von Harry Boeck
Aus "UtrlaVNC und die Comodo Firewall" schließe ich mal, daß das Windows XP sein müßte.

Korrekt. Es handelt sich um Windows XP.
EDIT: SP2, Recht aktuell (Winfuture UpdatePack 1.18 )

Original von Harry Boeck
Ich vermute allerdings eher, daß es noch nicht gründlich konfiguriert wurde.
Oder aber nicht tatsächlich DEINEN Rechner widerspiegelt. Wie auch immer das zu erklären wäre...

Ich bin mir zu 99.9% sicher, dass es sich um Meinen Rechner handelt, da ich DynDNS auf Funktion Überprüft hatte. Mehrfach!

Original von Harry Boeck
Das kommt ganz drauf an, WAS da denn nun KONKRET an Programmen hinter den Diensten hängt, die DU kennen sollen tätest!

Wie bereits erwähnt, bin ich mir keinem laufenden Web-, FTP-, Mailserver oder dergleichen bewusst. Das muss aber nichts heißen. Ich setze mich für gewöhnlich nicht mit der netzwerktechn. Absicherung von Systemen auseinander. Firewall druff und ich bin schon ma grundlegenend gegen Sasser, Blaster & Co. geschützt. Es laufen aber einige Installationen auf dem Rechner. Zb. AntiVir. Wär es nicht eine Farce, wenn ich über eben diesen Updatedienst eindringe? Jodoch habe ich den PC vor kurzem komplett neu aufgesetzt. Ich habe einen Intel Core2Dou mit nem Gigabyte-P35-Board verbaut. Vll hat hier ein Treiber seiner Lauscher offen.

Original von Harry Boeck
WENN allerdings Du beteuerst, von alledem NICHTS zu ahnen, erwachsen ernste Zweifel an entweder der Korrektheit dieser Aussage oder dem Sinn, etwas von diesen Dingen "angreifen" zu wollen.

Also eigentlich will ich mich ja in den NSA Server einklinken und gucken, was der Harry die letzten Jahre so getrieben hat.
PS.: Ich wusste, dass mir in diesem Threat vorgehalten wird, dass ich mich nicht in MEIN System hacken will. Deshalb seh ichs gelassen.

Original von Harry Boeck
WENN Du andererseits zum Beispiel genau wüßtest, was an PHP-Modulen hinter dem Webserver hängt UND in einem jener eventuell verschleierten und außerdem sonstwie zugangsgesicherten Module eine Möglichkeit vorgesehen hättest, um im Ausnahmefall einen beliebigen Prozeß mit beliebigen Parametern starten zu können, DANN - ja: KÖNNTEST Du eben genau das.

Hätte ich genau das getan ... denkst Du, dann wäre ich hier?

Original von Harry Boeck
DANN wäre allerdings die nächste Frage zu klären, ob und wie Du sowas wie den Ultra-VNC blind und mit anderen als den voreingestellten Parametern gestartet kriegst. oder wie Du gegebenenfalls per Blindsteuerung eines Webbrowsers etwas VNC-artiges (oder was auch immer Dir liegt) auf das System holst und dort startest und konfigurierst.

Das wäre natürlich ein interessanter Ansatz! Wobei ich den VNC-"artigen" Server eben genau MIT den voreingestellten Parametern starten müsste. Die FW ist eben noch genau darauf konfiguriert.

Original von Harry Boeck
Alles in allem eine interessante Fragestellung.

Danke.

 

[IsNull]

Hallo,

Ich habe hier zu noch eine kleine Verständniss Frage:

Wenn ich einen Win XP SP2 Rechner mit einer Druckerfreigabe am Internet habe, ohne einen Nat Router bez. Firewall od. ähnlichem dazwischen, ist dann der microsoft-ds Dienst auf Port 445 von aussen ganau so erreichbar wie im internen LAN? Ich denke schon, oder?

 

[Harry Boeck]

PS.: Ich wusste, dass mir in diesem Threat vorgehalten wird, dass ich mich nicht in MEIN System hacken will. Deshalb seh ichs gelassen.

Ist ja auch nicht böse gemeint - nur eben so SELTSAM...

Nicht, daß ich nicht auch schon mal vor dem Problem gestanden hätte, irgendetwas falsch eingestellt zu haben und dadurch nicht mehr auf den Rechner zu kommen, aber es gab da immer noch andere Lösungen.

Nichtsdestotrotz fände ich es sehr interessant, über mögliche Hacks der aktuellen Comodo Firewall zu lesen. Die Fragestellung an sich ist hier im Hackerboard erstmal bestens aufgehoben.