# shutdown -a funktioniert nicht...



## tomate (2. Dezember 2004)

war nur zwei Minuten ohne Schutz online und habe mir natürlich gleich den Blaster gezogen. Halb so schlimm, gibt hier ja genügend Infos zum Entfernen dieser Plagegeister.

Alle schreiben immer von "shutdown -a". Damit kann man das zwanghafte herunterfahren verhindern und somit in Ruhe Vorkehrungen treffen. Aber genau das geht bei mir nicht. Auf der Festplatte gibt es auch keine shutdown.exe. Hier im Forum konnte ich nichts dazu finden, was mich doch wundert, da ja eigentlich alle dieses Problem gehabt haben müssen. Oder ich bin megablind und verwirrt (wahrscheinlicher...).

Viele Grüße
tomate


----------



## buckrhodes (2. Dezember 2004)

hehe genau das selbe prob hab ich auch 2 min online nachm formatiern und schon kam das automatische runterfahrn... zum glück kann ichs noch mit shutdown -a umgehn...

 aber ich wär auch froh wenn mir einer sagen könnte wie ich das problem ein für alle mal wegbekomm...


----------



## MCIglo (2. Dezember 2004)

shutdown gibts nur unter XP.
2k fährt nicht von alleine herunter!

Als kleiner Tipp für die, die mit Windoof ohne Router online gehen wollen:
W2Ksp4.exe
Windows2000-KB823980-x86-DEU.exe <- MSBlast
Windows2000-KB835732-x86-DEU.exe <- Sasser

Die 3 einfach von microsoft.com saugen und auf CD brennen. Solltet ihr mal Windoof neu installieren müssen einfach die 3 installieren, bevor ihr online geht. Nun könnt ihr in Ruhe die restlichen Updates saugen.


----------



## tomate (2. Dezember 2004)

doch W2000 fähr von alleine runter. Das beschreibt auch die Chip so.
Aber was soll ich machen, wenn es diese "shutdown-Funktion" unter W2000 nicht
gibt?

Viele Grüße
tomate


----------



## MCIglo (2. Dezember 2004)

Glaub mir, Win2k fährt nicht runter, wenn der RPC-Dienst gecrashed wird.

Chip.de hat auch geschriben, dass sich der Bofra-Wurm durch eine Sicherheitslücke im IE und Apache Webserver verbreitet. Genauso schwachsinnig. Chip.de schreibt auch, Norton ist n guter VIrenscanner. Chip.de schreibt auch, Zonealarm is ne gute Firewall.

So, nun hör ich aber auf, hab ja schließlich selbst mal bei denen gearbeitet (der IT-Support wird von meinem alten Ausbildungsbetrieb gekauft)
Es ist auch nciht alles falsch, was die sagen, aber man darf eben nciht alles glauben


----------



## tomate (2. Dezember 2004)

ok, stimmt. Aber was soll ich jetzt machen? Wie kann ich dieser verlauste W2000 Kiste  das automatische herunterfahren austreiben. Warum die das tut, weis ich in diesem Fall nicht, aber sie tut es. Und es ist ganz sicher ein Virus.

Viele Grüße
tomate


----------



## Neurodeamon (2. Dezember 2004)

Wenn Windows2k herunterfahren möchte, brauchst Du natürlich eine shutdown.exe:
Die bekommst Du z. B. hier:
http://www.petri.co.il/software/shutdown.zip

Siehe Anleitung auf englisch:
http://www.petri.co.il/quickly_abort_shut_down_commands_on_xp_2003.htm

Hoffe das hilft


----------



## MCIglo (2. Dezember 2004)

Öhm, du solltest vlt alles vorher lesen, nicht nur Topic 

Mir ist kein Virus bekannt, der ein 2k System sofort herunterfährt. Versuch mal, die genannten Patches zu saugen. Danach formatierste eifnach nomma und installierst das Zeug.


----------



## Neurodeamon (2. Dezember 2004)

MCIglo hat gesagt.:
			
		

> Öhm, du solltest vlt alles vorher lesen, nicht nur Topic


*shutdown -a funktioniert nicht* - nach meinem Tipp sollte es gehen - weswegen auch immer man shutdown brauchen sollte.

In die Diskussion »geht/geht nicht« wollte ich mich nicht einmischen. Ich lese die CHIP nicht und kann dazu nicht viel sagen - halte sowieso nicht viel von den meisten Zeitschriften mit ihrer Panikmache, etc.

MCIglo, mal etwas ganz anderes. Das SP und die Patches kann man doch gleich per Slipstream auf die Installations-CD bannen. Dann spart man sich das nachpatchen gleich


----------



## zeromancer (3. Dezember 2004)

Um mal auf die Kernfrage zu kommen

"Wie bekommt man Blaster vom Rechner?"

Mit dem CoolWebShredder: http://www.chip.de/downloads/c_downloads_11353799.html
Symantec hat eine große Liste von Tools: http://www.symantec.com/avcenter/tools.list.html

usw - einfach mal googlen...


----------



## Neurodeamon (3. Dezember 2004)

Die Kernfrage sollte eher lauten: _Wie schaffe ich es KEINEN Wurm auf den Rechner zu bekommen_


----------



## zeromancer (3. Dezember 2004)

Neurodeamon hat gesagt.:
			
		

> Die Kernfrage sollte eher lauten: _Wie schaffe ich es KEINEN Wurm auf den Rechner zu bekommen_




Is' einfach: Rechner ausgeschaltet lassen und lieber was sinnvolles machen   

Heavy


----------



## tomate (3. Dezember 2004)

wieso möchte mir eigentlich niemand glauben, daß sich mein W2000 Rechner von selber herunterfährt. Die Fehlermeldung lautet so ähnlich wie:

"NT-Autorität/System.Services.exe wurde unerwartet mit dem Fehlercode 128 beendet. Das System wird heruntergefahren und neu gestartet."

Sich die shutdown.exe herunterzuladen ist an sich eine gute Idee, nur leider bringt mir das nichts, weil ich auch nicht mehr kopieren kann.Von daher bekomme ich diese Datei auch nicht auf meine Festplatte.

Was soll ich jetzt machen? Ok, ich könnte den Rechner neu aufsetzten. Aber ich möchte einfach wissen, wie man dieses Mistding entfernen kann. Irgendwann passiert so was mal wieder, oder es ruft einer an, der genau das gleiche Problem hat.

Vielleicht muß man sich dieser Sache unter DOS annehmen? Gibt es für DOS vielleicht einen Scanner, der diesen Virus entfernen kann?

Die Patches:
Windows2000-KB823980-x86-DEU.exe <- MSBlast
Windows2000-KB835732-x86-DEU.exe <- Sasser
habe ich installiert!

Viele Grüße
tomate


----------



## Neurodeamon (3. Dezember 2004)

tomate hat gesagt.:
			
		

> wieso möchte mir eigentlich niemand glauben, daß sich mein W2000 Rechner von selber herunterfährt.


Ich enthalte mich einer Beurteilung, ich glaube Dir das sich Dein Rechner herunterfährt. Deshalb auch meine Links.
Wenn es Dich beruhigt - ich kenne diesen Fehler nicht im Zusammenhang mit Würmern und Win2k. Eventuell ist nur Windows murks gegangen 

Besorge Dir Knoppix, surfe damit den Link an und lade Dir die Datei auf eine Diskette (am besten entpackt). Starte von der Notfallkonsole (Windows Boot-CD) und kopiere die Datei auf die Festplatte. So hast Du schon mal das Kopieren-Problem umgangen!

Lege eine Verknüpfung (auf dem Desktop) auf die shutdown.exe und gib in den Eigenschaften (Ziel) den Parameter "-a" mit an. Fertig. Wenn das System wieder herunterfahren will sollte ein Doppelklick auf die Verknüpfung reichen.

Die Kunst Viren zu scannen 

Knoppix:
http://www.oreillynet.com/pub/wlg/5118

Oder eine Bootdisk mit ntfsdos von Sysinternals und F-Prot

Oder eine Barts PE-Disk

Oder Winternals Administrators Pack (was wie Barts-PE ist, nur kommerziell und teuer).

Happy Scanning


----------



## tomate (3. Dezember 2004)

die Knoppix-CD ist sehr gut. Danke für den Tipp.
Die shutdown.exe habe ich jetzt einfach unter DOS in das Verzeichnis WINNT kopiert. Zum Glück ist C: mit FAT32 formatiert. Nach dem Anmelden habe ich ja 60 sec. Zeit um die Verknüpfung anzulegen. Das habe ich auch gemacht. Nachdem dann die Meldung zum Herunterfahren angezeigt worden ist, habe ich einen Doppelklick auf die Verknüpfung gemacht und einen Hinweis erhalten, der mir Sinngemäß mitteilt:
Sie sind nicht berechtigt das System herunterzufahren...."
Das hört sich ja eigentlich recht gut an, wenn man davon ausgeht, daß sich diese Meldung auf den Virus bezieht. Wie dem auch sei, das System startet trotzdem erneut.
Erzeuge ich einen shutdown mit der shutdown.exe, kann ich diesen mit shutdown.exe /A eliminieren. Den shutdown welchen der Virus erzeugt kann ich damit nicht aushebeln. Stattdessen erhalte ich die Meldung:"Unable to abort shutdown of the specidied system.
1. You misspelled the vomputer name
2.The computer ist not a NT computer.
3. You do nat habe sufficient access to reboot the computer.
4.The computer cannot be found on the network

Also mit der shutdown.exe unter W2000 funktioniert das offensichtlich nicht.

Eine andere Lösung als Knoppix oder ähnliches gibt es wohl nicht...?

Viele Grüsse
tomate


----------



## mike_h (3. Dezember 2004)

hallo,
w2k fährt runter - habe ich selber gehabt das problem.
folgendermaßen habe ich es gelöst:

in den DIENSTEN folgende einstellung gemacht:


Dienst                                  Autostarttyp                        Register Wiederherstellen
RAS-Verbindungsverwaltung   manuell                               keine Aktion
Remote Prozeduraufruf (RPC) automatisch                         Dienst neu starten
RPC-Locator                          manuell                               kein Aktion

bei mir hat rpc auf "Computer neu starten " gestanden.
nahdem die dienste eingestellt sind konnte ich die updates laden und habe dann BIT DEFENDER installiert. seither habe ich ruhe. man soll die dienste wieder zurückstellen - das habe ich mir verkniffen - läuft seit ca. 8 monaten fehlerfrei so.


ciao
mike


----------



## Da Hacker (3. Dezember 2004)

Hallo,

so, ich glaube der Hacker muss hier ran!

@"Wie verhindere ist, dass der Wurm auf meinen PC kommt?":
Eine Firewall sperrt den Computer - relativ sicher - ab. Am besten du schaust mal unter:
Zone Alarm Website

@"Wie verhindere ich das Ausführen der Exe 'Blaster, Sasser,...'?":
Das ist eigentlich kein Virus im eigentlichen Sinne, sondern eine Exe, die einen Windowsfehler provoziert.
Das Ausführen kann duch - wie oben schon beschrieben - die Eingabe "shutdown -a" in der Eingabeaufforderung verhindert werden. Außerdem kann mit "msconfig" die Datei "Blaster, teekids,.." ausgeschaltet werden!
Wer diesen Wurm noch nie erlebt hat, aber wissen will, wovon hier die Rede ist, der kann sich hier meinen Fake-Blasterwurm herunterladen(der ist nicht schädlich!):
Blaster Wurm Testsignatur (funktioniert leider nur unter WinXP korrekt, bei anderen Betr.Sys. kann es zu Verzögerungen kommen!)

@"Wie entferne ich Blaster & Co.?":
Ganz einfach: Einen Virenscanner installieren. Antispytools bringen manchmal auch etwas! Z. B. hier:
Antivir
Ad Aware 

Ciao:
Da' Hacker


----------



## MCIglo (3. Dezember 2004)

Da Hacker hat gesagt.:
			
		

> Hallo,
> 
> so, ich glaube der Hacker muss hier ran!
> 
> ...



Änder mal bitte deinen Namen. So einen geistigen Müll hab ich schon lange nicht mehr gehört. Und dann auch noch von einem, der sich Hacker nennt.  
Wer sein System kennt, bekommt ohne solche Schwachsinnssoftware mehr an Sicherheit geboten. Und vor allem Zonealarm ist neben Norton Internet Security der größte Dummfug. Nen Kreuz überm Monitor hilft genauso gut!

Saug dir die genannten Patches, formatiere dein System und bevor du das erste Mal Online gehst, installierst du die. Dann machste Winupdate. Gepaart mit einem guten Administrator-Kennwort haste schon mehr Sicherheit als dir Zonealarm jemals bieten kann.




> @"Wie verhindere ich das Ausführen der Exe 'Blaster, Sasser,...'?":
> Das ist eigentlich kein Virus im eigentlichen Sinne


Na dann poste doch hier mal die Definition eines Viruses.
Auf jeden Fall aber ist es Malware und gehört nciht auf den PC!


> Das Ausführen kann duch - wie oben schon beschrieben - die Eingabe "shutdown -a" in der Eingabeaufforderung verhindert werden.


Nein, das Ausführen des schadhaften Codes kann NICHT mit shutdown -a unterbunden werden. Lediglich das Herunterfahren, was Windows initialisiert, nachdem ein wichtiger Bestandteil des System gecrasht wurde kann unterbunden werden.



> Außerdem kann mit "msconfig" die Datei "Blaster, teekids,.." ausgeschaltet werden!


1. msconfig gibt es unter 2k nicht
2. Eine 'Datei (Namens Blaster) ausschalten' <-HÄ?!



> Wer diesen Wurm noch nie erlebt hat, aber wissen will, wovon hier die Rede ist, der kann sich hier meinen Fake-Blasterwurm herunterladen(der ist nicht schädlich!):
> Blaster Wurm Testsignatur (funktioniert leider nur unter WinXP korrekt, bei anderen Betr.Sys. kann es zu Verzögerungen kommen!)


blub
Ach ja, die Zip-Datei ist beschädigt.



> @"Wie entferne ich Blaster & Co.?":
> Ganz einfach: Einen Virenscanner installieren. Antispytools bringen manchmal auch etwas! Z. B. hier:
> Antivir
> Ad Aware


Für den Anfang tuts AntiVir. Du solltest dir aber überlegen, ob du dir nicht für 40€ Kaspersky Personal 5 kaufst.
- Extrem einfach zu konfigurieren
- viel schnelleres Update der Virendefinitionen (teilweise mehrmals pro Stunde)
- EMail-Schutz
- der einzige Virenscanner, der nicht mit bekannten Exescramblern und Laufzeitkomprimierung umgangen werden kann!


C Ya
MC.Iglo
(Greyhat*)


---------------------------------------------------
*Whitehat = Hacker
Blackhat = Cracker
Greyhat = beides, je nach Stimmung


----------



## Neurodeamon (3. Dezember 2004)

Schlagt euch, beisst euch, gebt euch tier... ähm, ja ok.
Ahhh ... habe ich schon erwähnt, das ich unser Forum liebe? 

Wie schön erwähnt eliminiert Windows (zumindest rudimentäre) Benutzerverwaltung einen großteil der Schädlinge, weil sie schlicht und einfach unter normalen Umständen keine Rechte haben sich im System einzunisten.
Also, Mädels uns Jungs: Während der Installation / zumindest aber vor dem ersten Online-Vergnügen sollte man sich nur noch mit einem normalen Benutzerkonto anmelden und nicht mehr mit dem Administrator-Benutzer. Wenn man Software installieren muss, kann man a) umloggen oder besser b) die Installationsdatei mit Administratorrechten starten (Wenn ich mich nicht täusche per: Rechtsklick auf die Datei -> Starten als ...)

Firewall?
Am besten einen alten 486 oder Pentium 200 oder ähnliches als Linux-Router drauf oder einen Hardware Router mit eingebauter Firewall.

Bei Software Firewalls scheiden sich die Geister. Anfänger stehen drauf (is auch ok so) und Erfahrenere mögen sie gar nicht (und gönnen sie auch den Anfängern nicht  ).

Ein Antivirenprogramm wie Antivir ist für den Anfang schön und gut. (Aus Erfahrung empfehle ich auch den Kaspersky Antivirus (am besten Version 5 Standard oder Pro - weil super einfach zu bedienen - im Gegensatz zu allen Vorversionen)).

Kleiner Erfahrungsbericht:
Seit es nötig einen Virenscanner zu haben verwende ich einen. Zuerst McAffee auf dem 286er, dann lange Zeit F-Prot, dann umstieg auf AVP (So hieß Kaspersky früher mit Kooperation mit anderer AV-Firma) und später KAV (als der andere Anbieter AVP Kaspersky die Rechte entzog und das Antivirenprogramm komplett verhunzte). Seither habe ich nur zwei Viren gehabt - einmal den Michelangelo (da waren AV-Programme noch rar und erlebten durch den Michelangelo einen ersten Hipe) und später den Marburg95 Virus (erster Windows 95 Virus) weil ich EINMAL das AV-Programm deaktiviert hatte und einen Download nicht gescannt hatte .

Und das können andere User auch schaffen - mit meinen Coialis-Kapseln für nur 9.98 ... ähh.. ok, auch umsonst. Man braucht nur mindestens Brain v1.0, welches man IMMER laufen lassen sollte  ;-]  - und gesundes misstrauen allem und jedem gegenüber .. oder so


----------



## MCIglo (4. Dezember 2004)

Du sprichst einen sehr wichtigen Punkt an (Surfen mit einem User und nicht dem Admin). Jedoch ist das z.B. bei MSBlast keine große Hilfe. Der Diest läuft mit Systemrechten (mehr als Admin) und der ausgeführte Code wird auch mit diesen Rechten ausgeführt.

Zum Thema Viren: ich habe seit 1997 einen i386 PC und hatte seitdem keinen einzigen Virus, obwohl ich nur sehr selten Antiviren-Software nutze. Brain 1.0 machts eben möglich. Genauso war ich nicht von Sasser, Blaster oder wie sie noch alle heißen betroffen und ich habe weder einen Router noch eine Desktopfirewall!
Mit dem 486er kann ich aber nur zustimmen!
http://www.fli4l.de/ <- auf eine alte Kiste installieren und als Router nutzen. Einfacher, günstiger und gleichzeitig sicherer geht es wohl nicht mehr!


----------



## Da Hacker (4. Dezember 2004)

Hallo,

*Beiß* *Schlag* *Uff* *Kick*   

@MCIglo:
Niemand hat gesagt, dass der Computer rückstandslos von dem Wurm verschont bleiben soll! Meine Lösung war sehr vereinfacht, aber sie hilft auf jeden Fall sich den Wurm - so ziemlich - vom Hals zu halten. Ich bin einfach mal davon ausgegangen, dass er sich dazu nicht extra eine neue Kiste kaufen will und mit einem einfachen Lösungsweg zufrieden ist - aber du musst ja alles zunichte machen   ! Ach, nimm's nicht so ernst. 

@tomate:
Ja, wenn es die anderen und du so wollen, dann kaufe dir Kaspersky, kaufe dir einen neuen Computer und so weiter.
Aber wenn es für dich reicht, dann besorge dir AntiVir´& Firewalls!

Naja, ciao:
Da' Hacker


----------



## MCIglo (4. Dezember 2004)

> Niemand hat gesagt, dass der Computer rückstandslos von dem Wurm verschont bleiben soll! Meine Lösung war sehr vereinfacht, aber sie hilft auf jeden Fall sich den Wurm - so ziemlich - vom Hals zu halten


Also eigentlich sollte man seinen PC ganz frei von solchen Dingen halten und nicht nur teilweise


> Ich bin einfach mal davon ausgegangen, dass er sich dazu nicht extra eine neue Kiste kaufen will und mit einem einfachen Lösungsweg zufrieden ist


Also 20€ kann man für einen alten 486er shconmal ausgeben, oder?



> aber du musst ja alles zunichte machen


Das klingt, als hätte ich deine Zukunft auf dem Gewissen. Das wollte ich nciht, tut mir Leid 
 ;-] 



> Ja, wenn es die anderen und du so wollen, dann kaufe dir Kaspersky, kaufe dir einen neuen Computer und so weiter.
> Aber wenn es für dich reicht, dann besorge dir AntiVir´& Firewalls!



"Firewalls" sind keine Software, die man sich auf den Rechner installiert, den man schützen will!
Firewalls sind ein Konzept, was sicherstellt, dass man mit seinem PC relativ sicher arbeiten kann. Dazu gehören gepatchte Systeme, gute Passwörter, Brain 1.0 und auch meinetwegen Paketfilter. Aber Paketfilter wie Zonealarm nutzen - wie bereits gesagt - nichts! Ist in etwa das glecihe, wie wenn du bei einem Cabrio die Fenster hochdrehst, aber das Dach offen und den Schlüssel stecken lässt. Also lieber das Cabrio in eine Garage stellen ud diese verschließen (Router).


----------



## mvbruch (20. Dezember 2004)

Hi MCIglu,

ich lese gerade mit wachsender Begeisterung deine Beiträge. Du hast schon mal im Support gearbeitet und bist also ein Profi. Respekt, die Supporter die ich kennengelernt habe waren alles richtige Spezialisten, die mir bei einer defekten Grafikkarte gesagt haben das ich Windows neu installieren soll (trotz Fehlerton im BIOS und einer Linuxinstallation). Wenn du dein System für sicher hälst (Windows meine ich jetzt) ohne Firewall na dann viel Spaß  Und was meinst du macht ein Router genau er routet und wenn der nicht richtig konfiguriert ist routet der alle Anfragen auf allen Ports durch. Super. Für normale Anwender reicht eigentlich der Anti Vir und die Zonealarm (alleine schon aus dem Grund das er alle Ports nach aussen dicht macht). Wobei ich ehrlich gesagt auch lieber die Sygate Personal Firewall empfehle. Sollte sich jemand sinnigerweise dazu entscheiden einen Rechner als Router einzusetzen kann ich die IPCOP (http://www.ipcop.org) empfehlen. Sehr gute Sache. 

Gruß Martin

p.s. was heisst eigentlich BHFH ich kenne nur den BOFH


----------



## MCIglo (20. Dezember 2004)

mvbruch hat gesagt.:
			
		

> Hi MCIgl*o*,
> Zonealarm (alleine schon aus dem Grund das er alle Ports nach aussen dicht macht).
> p.s. was heisst eigentlich BHFH ich kenne nur den BOFH



Nur mal so zur Info: ZoneAlarm macht die Ports NICHT zu, sondern versetzt diese in einen Zustand, den es garnicht gibt!
Mein Lieblingsbeispiel: Ein großes Haus an einer viel befahrenen Straße wird mit einer Folie überzogen, auf der steht "Hier ist kein Haus". Genau das machen alle Desktopfirewalls. Und die Folie von ZoneAlarm ist zusätzlich noch extra bunt und beleuchtet.

Bastard Hacker From Hell


----------



## mvbruch (20. Dezember 2004)

Deswegen ist schon richtig das man die IPCOP Firewall nehmen soll. Somit ist das ganze netz ein wenig mehr abgesichert.


----------



## MCIglo (20. Dezember 2004)

Und was hast du, wenn du dir einen anderen Rechner mit IPCOP vor deine Windoof-Kiste setzt?
Richtig, einen Router!
Und das ist dann wieder nichts anderes mehr, als das bereits von mir erwähnte fli4l.de



> Wenn du dein System für sicher hälst (Windows meine ich jetzt) ohne Firewall na dann viel Spaß


Gerade durch den Bezug auf das 'BHFH' weiß ich, dass mein PC sicherer ist, als alle die PCs, die mit einer DesktopFirewall geschützt sind. Ich weiß auch, dass es keine 100%ige Sicherheit gibt (außer Stecker ziehen). Aber wer sollte sich die Mühe machen, in meinen PC einzudringen? ScriptKiddies haben keine Chance, und wahre Blackhats interresieren sich nicht für *.dip.t-dialin.net.
Wovor sollte ich also Angst haben?
Hatte keine Probleme mit Sasser, MSBlast und Co. (Brain 1.0 machts möglich)


----------



## mvbruch (20. Dezember 2004)

Jo sicher ist das auch ein Router der aber zusätzlich eine Firewall und noch vieles mehr. VPN, Portforwarding, Proxy etc.und alles was für Admins wichtig ist. Ich komme halt nicht nur aus der Support Ebene sondern auch aus der Admin Ebene. Viel größer ist halt der User der vor den Kisten sitzt. Die meisten DAUs wissen wie man ne Windows CD einlegt und meinen dann sie sind Admin. Ihr Supporter tut mir wirklich leid mit was für Helden ihr das jeden Tag zu tun habt. Wenn die User eine Mail von dickeTitten.de mit ne exe oder src Datei im Anhang ist machen die die auf. "Kann ja nicht schlimm sein " Dann schleicht sich ein Trojaner ein der einen Port nach draussen aufmacht und versucht irgendetwas zu connecten. Und was macht die Desktop Firewall? Richtig den Port erst gar nicht auf und fragt den User ob sich das Programm wirklich mit dem Internet verbinden darf. Also sinnvoll sind die DF allemal vor allem bei unbedarften User (Empfehlung Sysgate Personal Firewall). Mit IPCOP trotz KlickiBunti sind die meisten so oder so überfordert.


----------



## JohannesR (20. Dezember 2004)

Neurodeamon hat gesagt.:
			
		

> Die Kernfrage sollte eher lauten: _Wie schaffe ich es KEINEN Wurm auf den Rechner zu bekommen_


[flame]Indem man ein ordentliches Betriebssystem verwenden...[/flame]
Hach, ich konnte es mir einfach nicht verkneifen.

Aeh, achja... Und was mir grade noch so einfaellt... Den ganzen Windows-Firewall-Rotz kann man leider getrost vergessen. Nichts davon ist wirklich ,,sicher", sofern es dieses sicher ueberhaupt gibt. Solange teile der Firewall nicht in den Betriebssystemkern integriert sind, kann sowas einfach nicht wirklich schuetzen. Und ueber die Windows-XP-Firewall... Naja, ich halt meinen Mund. Mein Tipp: DSL-Router mit Firewall, oder, besser, DSL-Router vor einer Linux/Unix-Firewall.


----------



## rsspider (20. Dezember 2004)

Kurze Frage. Warum habt ihr alle sone Angst? Und vor was?
Ich verstehe den ganzen Sicherheitszirkus nicht.


----------



## MCIglo (20. Dezember 2004)

mvbruch hat gesagt.:
			
		

> Jo sicher ist das auch ein Router der aber zusätzlich eine Firewall und noch vieles mehr. VPN, Portforwarding, Proxy etc.und alles was für Admins wichtig ist.


es geht hier aber um einen PrivatPC und kein Unternehmen. Wer rbaucht @home schon VPN usw.?
Portforwarding haste auch mit einfachen IPtables, muss nciht IPCOP sein.


> Dann schleicht sich ein Trojaner ein der einen Port nach draussen aufmacht und versucht irgendetwas zu connecten. Und was macht die Desktop Firewall? Richtig den Port erst gar nicht auf und fragt den User ob sich das Programm wirklich mit dem Internet verbinden darf.


Nein!
Es gibt alleine für die Firewall von WinXPSP2 5 dokumentierte Möglichkeiten, sie zu deaktivieren oder die Config so zu ändern, dass sie nicht mehr schützt.
Außerdem gibt es noch Möglichkeiten wie z.B. das einfache beenden der Firewall, das Crashen (dank der zahlreichen Bugs, die solche Software hat), das Joinen eines laufenden Prozesses, der nach außen darf usw. (und mit dem Joinen meine ich nun nicht das von ZA z.B. geblockte verändern einer Exe, sondern wirklich den Speicher eines Prozesses, der bereits läuft)

Folgendes Szenario:
ohne DFW: Wurm kommt mit Mail an. User öffnet mit Userrechten den Anhang. Wurm verbreitet sich über die mitgelieferte SMTP-Engine, hat aber keine Chance, sich ins System selbst zu integrieren, da die benötigten Rechte fehlen. Außerdem dropped der Wurm eine Shell, welche einen Port öffnet. Der Angreifer connected zur Shell und stellt fest, dass er nichts ausrichten kann, da die Shell nur Userrechte hat. Kaum ein Schaden für den PC. Einmal kurz als Admin anmelden und nen anständigen AntiVirus drüber laufen lassen und das System ist wieder sauber.

mit DFW: Wurm kommt mit Mail an. User öffnet mit Userrechten den Anhang. Wurm crasht dank eines Bugs in der DFW diese und erlangt (da die DFW mit Systemrechten läuft) vollen Zugriff auf das System. Infiziert alle Datein und nistet sich tief im System ein. Da die DFW nun aus ist, kann er sich selbst über die SMTP-Engine weiterschicken. Zusätzlich wird vom Wurm der ja mitlerweile mit Systemrechten ausgestattet ist eine Shell gedropped. Der Angreifer connected (wird ja von niemandem verhindert) und kann mit den Systemrechten alles machen, was er will. Ein solches System ist einzig und alleine durch ein vollständiges Formatieren aller Festplatten wieder unter Kontrolle zu bekommen. (Wrm könnte ja auf einer anderen Festplatte mit einer dort liegenen exe verbunden/ausgetauscht worden sein.


----------



## mvbruch (20. Dezember 2004)

Gutes Beispiel was du gebracht hast. Du hast aber die millionen Portscans im Internet vergessen die jede Stunde laufen und gerade t-online Kunden ausspionieren ob die Rechner irgendein Port offen haben (Was bei 80% der Fall ist). Datenklau ist für die meisten überhaupt nicht relevant, die wollen die User einfach nur ärgern (Sasser Blaster etc die keine Adminrechte benötigen um sich einzunisten). Letztendlich kann man Monate darüber philosophieren. Ich denke wir haben beide recht. Und das du dein System mit Bordmitteln so abgesichert hast, das keine Gefahr besteht, ehrt dich. Die meisten User wären mit sowas hoffnungslos überfordert Die wollen halt den Rechner anschalten und dann irgendetwas machen und für die sind die DFW richtig. Die Versierten sind eh besser abgesichert.

ps. Hast du eine ICQ Nummer oder so was? Dann kann man ja mal chatten


----------



## MCIglo (20. Dezember 2004)

mvbruch hat gesagt.:
			
		

> Du hast aber die millionen Portscans im Internet vergessen die jede Stunde laufen und gerade t-online Kunden ausspionieren ob die Rechner irgendein Port offen haben
> 
> ps. Hast du eine ICQ Nummer oder so was? Dann kann man ja mal chatten



Und was haben sie davon?
Nichts!
Ist mir doch sowas von egal, wer weiß, welche Ports auf meinem System offen sind.
Ich habe einen FTPD auf 4321/tcp und MySQL auf 3306/tcp offen. Und wen interresierts? Sollen sie doch mit ihren Portscans kommen. Sie kommen eh nicht in mein System, do sowohl FTPD wie auch MySQL auf dem aktuellsten Stand sind und kein Login von remote möglich ist.
Und das ausspionieren von t-Online Kunden? Dann weiß halt jemand, dass 217.235.13.188 Port 21, 80, 3306, 3389 offen hat. Er weiß aber dennoch nicht, wer das ist und hat auch keine Chance, auf das System zu kommen (bei einem fähigen Admin)
Das Problem an der Sache ist einfach nur, dass sämtliche DFWs dem User diese Portscans als extrem gefährliche Angriffe zeigen. Der User denkt sich dann 'gut, dass ich die 50€ an Norton bezahlt habe, sonst wäre mein PC jetzt kaputt'. Das ist völliger Humbug. Kam dieser Portscan von einem fähigen Mann, erkennt genau dieser nämlich, dass hier eine DFW am werk ist, die die Ports versucht zu verstecken. Der geht dann nur noch die Exploit-Sammlung durch und es ist nur eine Frage der Zeit, bis er das richtige hat, um die DFW zu crashen. Und dann haben wir wieder das von mir oben geschilderte Szenario.
Ich sage auch nicht, dass alle DFWs prinzipiell shyce sind. Aber um eine DFW so einzustellen, dass sie wirklich ein System schützen kann, benötigt man genausoviel wissen, wie wenn man sein System ohne DFW schützen will. Ich habe auch auf meinem Rechner ne Kerio installiert. Diese soll mich aber nicht schützen, sondern sie wird nur aktiviert um mir zu melden, wer gerade einen Portscan auf meine IP macht. Ich setze dann zum Gegenangriff an und er guggt dumm aus der Wäsche 

P.S. Nein, habe kein ICQ (mehr)


----------

