Angriff im internen Netzwerk aber nix zu finden

[Magic Mike]

Hallo erstmal...

mir ist gestern was sehr seltsames passiert,sitze an meinem Laptop und plötzlich meldet sich die Firewall: Es wurde ein Angrif abgewehrt Port 1029 von Ip ...

die Ip war die vom Internet rechner meiner Freundin, also hier im internen Netzwerk.
Ich als erstes WinTT Sicherheitscheck alles nach Liste abgearbeitet aber nichts gefunden, währendessen aber dauernd auf dem Laptop neue Warnungen von Zonealarm mit"wandernder" portnummer, so als würde ein Troyaner nacheinander alle ports ausprobieren. (waren laut Internetrecherche alles ports von WinHole)

Und jetzt kommts: ich wechsle auf dem Internetrechner das Benutzerkonto und lösche vom Adminkonto die Tempordner aller Benutzerkonten und sofort ist schluss mit den portscanns!

Jetzt kommt die Frage:
Kann ein Troyaner der sich nicht einnisten kann wegen eingeschränktem Benutzerkonto sich trotzdem versuchen im internen Netz zu verteilen? Ich dachte immer der muss sich erst auf einem Rechner installieren um sich weiterzuverteilen. Und müsste der AV Guard von Antivir das nicht melden?

[Anonymous]

Kann ein Troyaner der sich nicht einnisten kann wegen eingeschränktem Benutzerkonto sich trotzdem versuchen im internen Netz zu verteilen? Ich dachte immer der muss sich erst auf einem Rechner installieren um sich weiterzuverteilen. Und müsste der AV Guard von Antivir das nicht melden?

zu 1. Ich nehme an, das er versucht hat, sich einzuschleusen.
Lese Dir mal genau Wiki durch.
zu 2. Ein Antivirenprogramm kann eigentlich nur so gut arbeiten, wie die Progs. die Virensignatur updaten(meine Meinung). Eine hundertprozentige Erkennungsrate wird es, denke ich, nie geben. Es kommt also trotzdem auf den User an......
--------------------------------
Frage: Ist Dein Heim-Netzwerk über einen Router(mit interner Firewall) aufgebaut?

[Magic Mike]

Das Netzwerk läuft über die FritzBox Fon WLAN 7170 SL.
(Da ist Router und Firewall alles mit drin, die ist auch gut eingestellt von wegen IP Filter und MAC-Filter für WLAN
Die Portweiterleitungen für Battlefield und VPN werden auch nur dann aktiviert wenn sie wirklich gebraucht werden, waren also auch aus)

Ausser dem Bürorechner, da ist noch ein (bzw eigentlich zwei) D-Link Router dazwischen, der war aber aus.

die IP war aber nicht die von der FritzBox, sondern die des zweiten Rechners. Der Laptop war über WLAN der FritzBox auch im Internet, damit war ich zu dem Zeitpunkt hier im Forum.

Ich nutze auch keine Sharingsoftware, lediglich der Web.deMessenger ist auf dem Internetrechner am Laufen.

Wenn der AV von Antivir die nicht immer erkennt, gibts dann ein Programm was mir LAN-weit melden kann wenn irgendwelche Ports geöffnet werden. Oder sollte das nicht eigentlich ZoneAlarm machen? Das auf dem I-netrechner hat sich nämlich nicht gemeldet,nur das auf dem Laptop.

[Magic Mike]

Danke für den Link zum WIKI, jetzt hab ich endlich mal den Unterschied zwischen Backdoor und Trojaner geschnallt. Ich dachte damit ist das gleiche gemeint .

[DeinMuddn]

gibts dann ein Programm was mir LAN-weit melden kann wenn irgendwelche Ports geöffnet werden. Oder sollte das nicht eigentlich ZoneAlarm machen? Das auf dem I-netrechner hat sich nämlich nicht gemeldet,nur das auf dem Laptop.

Hi, ja es gibt da ein Programm was dir alles meldet, bin damit sehr zufrieden und es ist von AVM und sogar kostenlos!

FRITZ!DSL Software Version 02.02.30 (FRITZ!DSL Protect)

Nach dem installieren unter "Einstellungen" (Portfreigabe verwenden) auf Benutzerabfrage setzen!

[cuckoo]

Was ist der Port 1029 der genutzt wird? also beim Verbindungaufbau über TCP/IP spielt eigentlich nur der Serverport eine Rolle, der Client braucht zwar auch einen, der aber nicht so wichtig ist da über diesen keine verbindungsanfragen laufen und zumindest Windows vergibt an Clients automatisch den 1. freien Port >1000. Von da aus gesehen war es kein Angriff aus den eigenen Netzwerk sondern nur eine Meldung vom Firewall der mit den Port nichts anfangen kann oder nicht richtig eingestellt ist. Näheres kann man über NT Forum nachlesen. (Google)

Cuckoo

[Magic Mike]

@DeinMuddn
Danke für den Link, das Programm sagt mir aber auch nur wenn ein Port von aussen oder nach draussen geöffnet wird ?

Oder find ich nur die Einstellung nicht zum Überwachen des internen Netzes?

Oder müsste ich dann allen Netzwerkverkehr über einen zentralen Server jagen und dort ein Paketfilter installieren?

@ cuckoo
Hää?
Die Rechner im internen Netzwerk kommunizieren über Port 137 respektive 138 (NetBeui over TCP/IP),da nur benutzerabhängige Freigaben bestehen.
Sämtliche anderen ports sind durch die Firewall nach aussen gesperrt, kann also der Angriff nicht von draussen gekommen sein!

Da im Moment des Angriffs weder irgendwelche Spiele noch Serverdienste gelaufen sind kann also eigentlich kein Client Zugriff auf Port 1029 verlangen und somit ZoneAlarm "verwirren".

[Helloween]

Hi,
also was ich so gefunden hab ( Port (Protokoll) ) betzieht sich meissten auf ICQ.....

[DeinMuddn]

Stimmt!

Port 1029:
ICQ, LSASS (TCP/UDP)
InCommand (TCP/UDP)

[Magic Mike]

Hab hier mal ein paar Links, die mir alle sagen das es irgendwas seltsames sein muss.
TCP 1029 - Port Protocol Information and Warning!
Win32.Kipis.B (ganz unten auf der Seite)
Registered ports, 1024 to 1999

Ausserdem ist auf den Rechnern kein ICQ oder MSN Messenger drauf, also wie sollten sie dann ports anfragen?

Und wie am Anfang beschrieben blieb es ja nicht bei dem einen port, sondern "wanderte" immer höher bis etwa 2050.
In dem gesamten portrange treiben sich laut liste
Portliste - Ports, die sehr haeufig durch Trojaner verwendet werden
schon ein paar Schadprogramme rum.

Aber dann versteh ich auch warum ich auf dem Rechner meiner Freundin nichts finden konnte, da war ja kein ICQ o.ä., und wahrscheinlich hats dann versucht sich im internen Netz ein anderes Opfer zu suchen.

Muss ich nur noch rausfinden wie es reinkam, da ja eigentlich die firewall des routers alle ports nach drausen sperrt.