Ports schließen?

Meine Empfehlung ist die Seite von hyrican da steht auch etwas über Ports schließen, denn hyrican schwört da drauf!

Systemsicherheit ist das Zauberwort. Lies die Seite und teste und du bist schon wieder schlauer, obwohl, das geht ja bald nicht mehr, oder?

Freut mich, dass du so aktiv bist, aber Kazaa macht mir noch Kopfweh, obwohl es nicht mein Rechner ist leide ich mit...

Ach ja, mein Sohn schwört auf den BVB, das nur am Rande....Papa VfB...ACTION!

Ein Port ist offen wenn ein Dienst oder Programm das Funktionalitäten für's Internet anbietet läuft. Beendet man den Dienst/ das Programm ist der Port sozusagen zu denn es läuft nix dahinter was angegriffen werden kann.
Verschiedene Windowsdienste bieten solche Funktionalitäten an, die meisten sind für einen Homeuser überflüssig. Beispiel Datei- und Druckerfreigabe über Netbios hält die Ports 135-139 offen wird aber bei einem Single-Pc nicht benötigt, mit wem will man den Drucker auch teilen? Beispiele für wichtige Ports sind Port 80, da läuft der Browser drüber und Port 110 das ist der E-Mailclient.
Genug geschwätzt, kaiserfive hat dir schon den richtigen Link gegeben*grins*, die Anleitung zum Dienste konfigurieren schließt deine Ports und du kommst auch danach noch ins Internet sonst könnte ich dir jetzt nicht schreiben. Und nicht vergessen - die Anleitung bezieht sich auf einen Singlerechner nicht für ein Netzwerk.

hyrican

Hiho, auch wenn der Thread shcon sehr alt ist, aber meine Fragen passen perfekt hierher *g*

Ich habe vorhin einen Portscan auf http://www.port-scan.de durchgefürht!

Dabei hab ich mitbekommen, dass der Port 10000 gefiltert ist, also durch meine FW überwacht wird, aber halt trotzdem "offen" ist, der benutzer davon ist "webmin?" ... Kennt das jemand, bei google kam ich dorthin:
http://www.freewarepage.de/download/282.shtml
das brauche ich doch nciht, oder? also ich selber weiß garncith, dass ich das drauf hab auf meiem PC ...

wie kann ich den Port 10000 jetzt deaktiveren ? Bei dienste ist "webmin?" nciht zu finden ...

2.
oder wie kann ich den Port 901schließen, der von einem Tool benutzt wird, was ich überhaupt ncith kenne ... SWAT(SAMBA)
http://www.manpage.ch/faq/swat.php ich galube sogar das is für Linux ...

und meine 3. Frage währe:
Ich brauhe die Remoteunterstützung nciht, bei den Diensten fand ich aber 3 Dienste, wo was von Remote steht ...
"Remote-Registrierung" konnte ich deaktiveren (kann ich das auch ohne weiterführende Probs machen?); "Telnet" hab ich auch deaktiviert
aber "Remoteprozedurablauf(RPC) scheint auch für andere Dienste wichtig zu sein, also sollte/muss ich den aktiviert lassen?

nach den schließer dieser 2/3 diensten ist leider der Port 3389 immernoch offen (dieser wird vom Remotedesktop benutzt) ...

Im Link aus meiner Signatur "allgemeine Tips" findest du eine Anleitung zum Port schließen. Dabei werden auch die Windowsdienste so konfiguriert das kein Port mehr offen ist. Das dürfte deine Frage wegen Remote beantworten. Der RPC-Dienst ist wichtig und muß laufen, wenn du dich mal an Sasser erinnerst der brachte den RPC-Dienst zum abstürzen und der Rechner startete sofort neu. Was alles davon abhängt siehst du in den Eigenschaften des Dienstes im Reiter "Abhängigkeiten".
Die Ports die du angibst können von diversen Programmen benutzt werden, die Angabe der Webseite ist da irreführend. Um herauszufinden welches Programm die Ports offen hält hol dir ActivePorts, Link ebenso in "Systemsicherheit".
Wenn du nicht klarkommst meld dich wieder.

hyrican

Hiho, also dieser Link bei der allgemeinen Systemsicherheit is echt klasse!

Aber da bleibt mir doch noch ne Frage!

mit active Ports, werden mir da nur die im Mom. aktiven ports angezeigt? Also ncith die, die "nur" auf lauschen sind!?

DAs birngt mir dann doch auch ncith allzuviel, denn gerade die port die auf "lauschen" sind bzw. halt so halb offen sind doch die gefährlichen, oder habsch da was missverstanden?
Also bei Active ports sehe ich halt ganz andere und weniger Prots als mit port-scan.de ....!

Halb offen gibts nicht. Entweder offen oder geschlossen.
Doch, Programme die auf "lauschen" stehn werden auch angezeigt, beim Status steht dann "Listen".
Was meinst du mit du "siehst weniger Ports", meinst du offene Ports oder wie?

hyrican

Hm, naja, also z.B. bei prot-scan.de wird mir der Port 901 angezeigt ... bei active-port aber nciht ... wo kommen da die Unterschiede her?

und auch so kommt mir das ein wenig dürftig vor, was da so angezeigt wird, zwischen 0 und 700 wird nur der Port 4 also "offen" bzw. Listen angezeigt ... is das normal, da gibtet doch noch den Port 135 etc ...`?

Danke schonmal für die Hilfe, bringt mich echt weiter!

Active Ports ist kein Portscanner der dir sämtliche rund 64000 Ports anzeigt sondern Active Ports zeigt nur die Ports die gerade benutzt werden mit der zugehörigen Anwendung. Die Anzahl der angezeigten Ports bei Active Ports und Portscan.de ist nicht vergleichbar.
Der 901er Port wird auf Portscan.de als was angezeigt offen, gefiltert, vorhanden oder wie? Poste mal bitte ein Log von HijackThis.

hyrican

Moin!

Ach so, ist das, aber dann kann man den active-scaner doch ncith wirklcih als "vertrauenswürdig" verkaufen, wenn da viele ports ncoh fehlen!=

bei portscan werden bei mir alle ports als gefiltert angezeigt, also ich habe keien "Angst" möchte mcih halt nur informieren; bin ja noch jung und kann was lerenen udn sowas macht och spaß auch aof die Gefahr hinaus ich nerve hier jemand *g*

hijackthis - werden da die ports angezeigt?

Zitat

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Spiele\ICQ-Installzeug\ICQLite.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\AVG Free\avgcc.exe
C:\Programme\onlineTV 2\onlineTV.exe
C:\Programme\Netscape\Netscape Browser\netscape.exe
C:\Dokumente und Einstellungen\Udo\Eigene Dateien\Programme\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Dokumente und Einstellungen\Udo\Eigene Dateien\ICQ\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Dokumente und Einstellungen\Udo\Eigene Dateien\ICQ\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SysMetrix] C:\Programme\SysMetrix\SysMetrix.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Spiele\ICQ-Installzeug\ICQLite.exe -trayboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Dokumente und Einstellungen\Udo\Eigene Dateien\ICQ\ICQToolbar\http://toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\http://EXCEL.EXE/3000
O12 - Plugin for .xsl: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcces…e/bridge-c5.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1123401080046
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{220E59DC-189D-4BE2-BEED-D54A58018F60}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{220E59DC-189D-4BE2-BEED-D54A58018F60}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{220E59DC-189D-4BE2-BEED-D54A58018F60}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

Alles anzeigen

hab heir noch ne sehr gute seite gefunden, mit GANZ vielen möglichkeiten prots zu sceannen gefunden:
http://www.zdnet.de/itmanager/prin…07650-11000009c

oder z.B. in der eingabeaufforderung mit "netstat -a" gibt er mir wieder andere ports an, aber z.B. 901 nciht ... *g* aber naja ich denke das is nichts für mich, man soltle wohl bei 1 progie bleiben, denn was man nciht weiß, macht einen nciht heiß *g*

also dein highjackthis-logfile scheint soweit
ganz i.o. zu sein.
bleiben nur noch die original win-services.
bei dem 3000er port fällt mir nur sowas
tauschbörsenähnliches ein, die nutzen gern
mal die höheren ports für p2p.

MOIN @soucerer Jojo, mein Log-file is och i.O. ich hab ja och ken Problem *g*, aber THX für die überprüfung?
Wo hast du denn was von nem 3000er Port gelesen?

@blue der Linkis zwar garnith schlecht, aber da wird doch für einen Workshop geworben ... ich kann da cniht viele In-fos für mich herauslesen *g* oder ich versteh ich das net, aber trotzdem THX!

hier hab ich mal meinen scan hinzugefügt ...

Zitat von Top-se

Ach so, ist das, aber dann kann man den active-scaner doch ncith wirklcih als "vertrauenswürdig" verkaufen, wenn da viele ports ncoh fehlen!

Unsinn. 1. ist es kein Scanner sondern ein Anzeigetool und
2. fehlen die Ports nicht
Nein, in HijackThis werden die Ports nicht angezeigt, ich dachte ich krieg vielleicht nen Ansatz welches Tool deine "unsichtbaren" Ports benutzt. Tippe mal auf ICQ. Mach mal nen Screenshot von der Anzeige von Active Ports bitte.
Bei welchem Scan auf Portscan.de wird der Port 901 angezeigt?

hyrican

des war ja en 10000er oops sorry
naja kann ja mal im eifer des gefechts passieren :oops:

@soucerer: kp :wink:

hyrican

Zitat

2. fehlen die Ports nicht

so sind sie dann? Sorry für mein Unverständins, aber wenn ich was wissen will, dann genau

der Port 901 wird beim schnell-test angezeigt! meinste ich soll man nen standart, oder intensiv-scann machen?

mein active-ports-liste als .txt angehängt!

willste auch mal sehen, wenn ICQ gestartet ist?

Jo, mach mal ne Liste wenn ICQ läuft.
Kanns mir aber erst morgen ansehn, krieg gleich Besuch.

hyrican

Moin, na dann viel Spaß während dich dien Besuch besucht *g*

kp mit ICQ guckst du:
ich denke aber ICQ belegt nru den port 1352, so sehe ich das ... *g*

top-se liest gerne:
http://www.tecchannel.de/tecdaten/show.…rticleid=401852

edit: http://www.security-gui.de/portlist.php

ICQ benutzt laut deinem Log mindestens Port 443, 1816, 2101.
Das bei einem Schnelltest Port 901 aufgeführt wird ist komisch, imho wird beim Schnelltest dieser Port gar nicht getestet. Außerdem hast du ne Firewall also sollte gar kein Port angezeigt werden. Alles komisch bei dir. Mach mal einen TCP-Test.
Deine Aussage in einem anderen Post das ActivePorts nur 1 Port anzeigt ist anhand des Logs auch widerlegt.
Auf jeden Fall laufen bei dir diverse Windowsdienste die mit ziemlicher Sicherheit auch bei dir unnötig sind. Wenn du nen Einzelrechner hast mach mal die Dienstekonfiguration aus meinem Link " allgemeine Systemsicherheit". Dann dürfte der Portscan erheblich besser ausfallen.
Hinter dein Port 901-Problem bin ich noch nicht gekommen, neige aber dazu das Problem auf die Webseite zu schieben.

Helloween
Eine solche Auflistung ist im allgemeinen sinnlos denn nur die ersten 1024 Ports sind von Windows fest vergeben. Außerdem kann in so ziemlich jedem Programm/Schädling der Port den er benutzt geändert werden, es bringt also nix anzunehmen das ein offener Port immer von demselben Programm/ Schädling benutzt wird.

hyrican