nicht angemeldet
Zonealarm Alert
0 0 0 0
0
0 0 0 0 Achtung bei Microsoft "Sicherheits-Updates"
Zonealarm Alert
Hallo,
ich habe mir ZoneAlarm installiert und ich bekomme jetzt ständig Meldungen wie:
The firewall has blocked Internet access to your computer TCP Port 135 from 213.7.0.74 TCPPort 4853 TCP Flags S
The firewall has blocked Internet access to your computer ICMP Echo Request Ping from 213.4.21.155
Ist das gefährlich oder nicht? Was bedeutet das? Ist das normal?
Gruss
steff
-
Hallo!
Nun, das ist zwar erschreckend; aber es ist normal. Was deine Firewall blockt, sind Angriffe auf deinen Rechner.
Gruß, denito
-
hi,
Nun, das ist zwar erschreckend; aber es ist normal. Was deine Firewall blockt, sind Angriffe auf deinen Rechner.
unsinn. der grösste teil davon dürfte normales "netzrauschen" sein.
gruss,
wahsaga-
Hi!
Nun, das ist zwar erschreckend; aber es ist normal. Was deine Firewall blockt, sind Angriffe auf deinen Rechner.
unsinn. der grösste teil davon dürfte normales "netzrauschen" sein.Nein, in diesem Fall hat er IMHO Recht. Ich habe das auch mit Ethereal vermehrt beobachtet, IMHO ist 135 kein typischer Trojaner-Port oder der eines File-Sharing Programmes, sondern der RPC-Port den so ziemlich jedes Windows-System standardmäßig abhört. Und eben in diesem Dienst gab es und gibt es einige Löcher, z.B. hat sich Lovesan genau so verbreitet, indem er eines der Sicherheitslöcher ausgenutzt hat.
Ich weiß jetzt nicht was genau das in diesem Fall ist, aber ich weiß dass es schon wieder neue Sicherheistlöcher im RPC-Dienst gibt, für die ein Patch zur Verfügung steht. Ich würde das auf alle Fälle einspielen: http://www.heise.de/newsticker/data/dab-17.09.03-003/
Grüße
Andreas-
Hallo,
danke für die Auskunft. Gerade habe ich die Meldung bekommen, dass ein Programm MSIPCSV.EXE sich mit dem Internet verbinden will.
Das klingt jetzt aber schon nach etwas, oder ist das normal?
Gruss
steff-
Hallo!
Hast Du das Patch installiert? Das solltest Du _unbedingt_ machen. Und nicht nur Du, alle mit Win NT, 2000 und XP, sonst jammern wieder alle in 2 Wochen wenn sie sich den nächsten Wurm eingefangen haben, und vielleicht ist der dann nicht mehr so schlecht programmiert wie lovesan der unabsichtlich durch Abstürze auf sich aufmerksam gemacht hat und so den Hype ausgelöst hat.
danke für die Auskunft. Gerade habe ich die Meldung bekommen, dass ein Programm MSIPCSV.EXE sich mit dem Internet verbinden will.
Das klingt jetzt aber schon nach etwas, oder ist das normal?
http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=was+ist+MSIPCSV.EXE&btnG=Google+Suche&meta=lr%3Dlang_de
Lösung steht im ersten Ergebnis.Grüße
Andreas-
Hallo!
Hat zwar nichts mit dem Problem zu tun, aber ich habe gerade versucht, neben Port 135 auch Port 1025 auf meinem Windows 2000 Rechner zu schließen, bin dazu aber anscheinend nicht in der Lage, ich finde einiges dazu, aber immer nur Diskussionen was sich dahinter verbirgt und höchstens noch den Tipp den mit ner Firewall dicht zu machen. Naja, das ist halt ein Port von Windows, ich denke das hat was mit irgendwelchne online-Spielen zu tun, nur habe ich sowas nicht installiert(zumindest nicht bewußt), nur wie schließe ich den? Ich meine schonmal irgendwo gelesen zu haben wie das geht, aber ich finde es einfach nicht wieder. Weiß jemand vielleicht wie das geht?
Grüße
Andreas-
hi,
Hat zwar nichts mit dem Problem zu tun, aber ich habe gerade versucht, neben Port 135 auch Port 1025 auf meinem Windows 2000 Rechner zu schließen, bin dazu aber anscheinend nicht in der Lage, ich finde einiges dazu, aber immer nur Diskussionen was sich dahinter verbirgt und höchstens noch den Tipp den mit ner Firewall dicht zu machen.
direkt mein erster goole-treffer, http://noedler.de/artikel/port1025.htm, sagt dazu, dass der taskplaner von windows (mstask.exe) dafür verantwortlich sei.
wenn dem so ist, und du den taskplaner nicht nutzt, dann deaktiviere doch mal den zugehörigen dienst, dann sollte auch auf diesem port nicht mehr als "listening" angezeigt werden.gruss,
wahsaga -
Hi Andreas,
Hat zwar nichts mit dem Problem zu tun, aber ich habe gerade versucht, neben Port 135 auch Port 1025 auf meinem Windows 2000 Rechner zu schließen, bin dazu aber anscheinend nicht in der Lage
Vielleicht helfen dir diese Links:
https://grc.com/port_135.htm
https://grc.com/port_1025.htm
http://www.kssysteme.de/s_content.php?id=fk2002-02-02-3414Viele Grüße
Torsten--
<img src="http://www.siechfreds-welt.de/selftest/ie_ex.jpg" border="0" alt="">-
Hi!
Vielleicht helfen dir diese Links:
http://www.kssysteme.de/s_content.php?id=fk2002-02-02-3414Ja, nach dem bin ich vorgegangen, aber da stand nichts von port 1025, aber nach eine Neustart war er doch geschlossen, hat sich also erledigt.
Danke Euch!
Grüße
Andreas
-
-
-
-
Hallo steff,
Hallo,
danke für die Auskunft. Gerade habe ich die Meldung bekommen, dass ein Programm MSIPCSV.EXE sich mit dem Internet verbinden will.
Das scheint "Spyware" zu sein. Siehe auch:
http://www.internetfallen.de/Hacker-Cracker/Spyware/spyware.html
Grüßle, lach
-
Hallo,
danke für die Auskunft, aber ich bekomme die Anzeige immer dann, wenn ich auf forum.de.selfhtml.org gehe ???
Gruss
steff
-
-
-
-
-
Nur keine Panik hier!
Das ist völlig normal das ab und zu 'ne Anfrage von Irgendwoher kommt...aber das hier ist eine gute Stelle um auf den Thread "Firewalls" von vor einigen Tagen zu verweisen
http://forum.de.selfhtml.org/archiv/2003/9/57502/
Grüße,
Markus
-
-
Hallo,
ich habe mir ZoneAlarm installiert und ich bekomme jetzt ständig Meldungen wie:
The firewall has blocked Internet access to your computer TCP Port 135 from 213.7.0.74 TCPPort 4853 TCP Flags S
The firewall has blocked Internet access to your computer ICMP Echo Request Ping from 213.4.21.155
Ist das gefährlich oder nicht? Was bedeutet das? Ist das normal?
das ist normal,die meisten anfragen sind andere Pc's die wissen wollen ob du online bist,
zonealarm gibt den pings von anderen Pc keine antworten zurück bzw. blockt diese anfragen
somit bist du sozusagen unsichtbar für andere.
Das anzeigen dieser meldungen kannst du auch abschalten,ich glaube da ist ein häckchen
wenn die meldung erscheint (nicht mehr anzeigen oder so).
es gab mal ne hilfe bei http://www.zonealarm.de aber die domain scheint nicht mehr
zu funtzen?!Gruss vom Alain
--
..."Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher." (Albert Einstein)-
Hi,
ja, aber die die verwies glaub ich nur auf http://www.zonelabs.com...
eine deutsche bedienungsanleitung findest du unter http://www.trojaner-info.de/zone/zonealarm.html
mfg
-WebViper---
ss:| zu:] ls:/ fo:) de:> va:) ch:| sh:} n4:) rl:° br:& js:| ie:| fl:) mo:|
Linux - life is too short for reboots!
This is unix land.
In quiet nights you can hear windows machines reboot. -
Hallo!
das ist normal,die meisten anfragen sind andere Pc's die wissen wollen ob du online bist,
Es kommt drauf an, zum Teil passiert das durch die dynamische IP-Verghabe, wenn Du ketzt die IP eines Rechers hast der vorher auf dem Port zu erreichen war, oder es sind irgendwelche Scanner die besteimmte IP-Bereiche und dyndns-Adressen Scannen. Und das machen sehr viele Leute, denn das kann jeder der einen Internetanschluss hat, ob der in Russland oder sonstwo sitzt. Diese Leute suchen nicht irgendwelche Rechner, sondern sie suchen Rechner mit offenen Ports. Das heißt wenn Du alle Ports schließt bist Du völlig uninteressant.
Allerdings kannst Du (die Firewall) nicht einfach alle ungültigen TCP-Pakete "droppen", denn dann kann TCP nicht mehr korrekt funktionieren, denn wenn dann bei einer normalen, erlaubten Verbindung mal ein Fehler passiert, ist TCP nicht mehr in der Lage dies zu korrigieren.
Das heißt ein Angreifer kann durchaus per TCP herausbekommen ob es einen Rechner mit der IP gibt. Und dann wiederum bist Du absolut von der Firewall abhängig das die Ports auch zuverlässig geblockt sind, aber es gibt keine so komplexe Software die keinen Fehler enthält. Wenn Du dagegen entsprechend den Standards reagierst, das heißt die Dienste die an einem Port lauschen alle deaktivierst, dann wird der Angreifer zwar erfahren dass Du da bist, aber davon hat er nichts da Dein Rechner keinen Angriffspunkt bietet.Das Problem ist, dass Du durch unnötiges "droppen" von Requests zusätzlichen Traffic erzeugst(erneute Veruche nach Timeout), bei normalen fehlerhaften Versuchen auf der Gegenseite für lange Timeouts und somit für unnötige Verzögerungen sorgst, ohne dabei ein Stück Sicherheit gewonnen zu haben
Eher das Gegenteil ist der Fall, dann weiß der Angreifer dass Du eine Firewall verwendest, und vielleicht weiß er auch ob diese verwundbar ist. Außerdem kann er sicher sein dass hinter der Firewall einige anfällige Dienste noch laufen, da der User sich mit der Firewall in trügerischer Sicherheit wiegt und sich um deren Deaktivierung und Sicherheitsdpatches nicht kümmert. Somit bist Du also ein erheblich interessanteres Ziel.
Und wenn dann jemand ohne große Ahnung die Firewall eingerichtet hat wird man darin sicher das ein oder ander Loch finden, muss der Anwender nur im falschen Moment mal eben genervt auf "OK" geklickt haben, schon gibt es eine Regel die bestimmte Anfragen dann doch durchlässt...Und das deaktivieren der Dienste dauert auch nicht länger als eine Firewall zu installieren, siehe:
http://www.kssysteme.de/drop versus reject: http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject
Man liest im Internet nämlich immer wieder das genau Gegenteil dass man am besten so wenig wie möglich über sich verrät indem man Pakete einfach "droppt", aber das Gegenteil ist der Fall.zonealarm gibt den pings von anderen Pc keine antworten zurück bzw. blockt diese anfragen
somit bist du sozusagen unsichtbar für andere.bist Du da so sicher? ICMP ist nicht das einzige Protokoll um eine Antwort zu bekommen.
Grüße
Andreas
-
-
Hallo,
ich habe mir ZoneAlarm installiert und ich bekomme jetzt ständig Meldungen wie: [...]
Ist das gefährlich oder nicht? Was bedeutet das? Ist das normal?Es ist ungefaehrlich und normal. Schalte diese Meldungen ab.
Vielleicht interessieren Dich diese Seiten:Die Zone Alarm FAQ
http://www.home.pages.at/heaven/sec0092.htm#3de.comp.security.firewall FAQ
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.htmlDie absolut sichere Firewall :-)
http://home.pages.at/heaven/absolut.htmGruesse,
Thomas
-
Hallo,
ich habe mir ZoneAlarm installiert und ich bekomme jetzt ständig Meldungen wie:
The firewall has blocked Internet access to your computer TCP Port 135 from 213.7.0.74 TCPPort 4853 TCP Flags S
The firewall has blocked Internet access to your computer ICMP Echo Request Ping from 213.4.21.155
Ist das gefährlich oder nicht? Was bedeutet das? Ist das normal?
Hast du ein Filesharingprogramm und gehst du damit ab und an online?
Ja: dann sind es die Anfragen andere Rechner die sich mit dir verbinden möchten (auch wenn du gerade nicht online bist damit). Ähnliches gilt für ICQ, Jabber und Co.
An sich ist das wenig problematisch, aber jetzt weiss du, dass wenn du online bist, dein Rechner eben "erreichbar" ist.Grüße
Thomas-
hi,
Hast du ein Filesharingprogramm und gehst du damit ab und an online?
selbst wenn nicht: wenn du beim einwählen die dynamische IP zugeteilt bekommst, die wenig vorher ein anderer benutzer hatte, der filesharing betrieben hat, dann schlagen noch 'ne ganze zeitlang anfragen von den clients anderer benutzer bei dir ein ...
gruss,
wahsaga-
Danke für die Auskunft.
Ich habe kein Filesharingprogramm.
Gruss
steff
-
-
-
-
Servus,
ich glaube mein Schwein pfeift.
So eine Meldung habe ich schon bekommen.
Nur gut, dass ich schon immer sehr konservativ war und soche Patches auschliesslich über Microsoft direkt heruntergeladen habe.Gruss Matze
-
Hi!
ich glaube mein Schwein pfeift.
So eine Meldung habe ich schon bekommen.
Nur gut, dass ich schon immer sehr konservativ war und soche Patches auschliesslich über Microsoft direkt heruntergeladen habe.Ich bekomme die Mails im Augenblick im Minutentakt! Es gab einen Counter den die infitzierten System jeweils einmal hochgezählt haben, als ich geguckt habe waren das ca. 1.5 Mio, und pro Sekunde ca. 100 mehr. Der Provider hat das allerdings bemerkt und vom Netz genommen. Ich glaube da können wir uns auf einige gefasst machen, zumal eine so eine Mail mal eben 150 KB groß ist, meine Güte diese Idioten...
Man sollte in Outlok Express unbedingt die HTML-Ansicht deaktivieren also alles als Text anzeigen, sonst installiertt sich das Teil nur wenn man sich die email anguckt. Dazu benötigt man allerdings Outlook Express 6.
Und wie gesagt, auch das nächste Patch installieren: http://www.heise.de/newsticker/data/dab-17.09.03-003/
Und wer die Nase voll hat: http://www.knoppix.org/ ;-)
Die machen übrigens auch bei der "online-demo" mit.
Grüße
Andreas-
Hallo,
ich hab seit gestern abend 19:00 bis eben gerade 70 Kopien des Virus erhalten, eben erst wieder 4 Mails, drei davon mit dem Virus. Da gibt es wieder eine schöne Welle, die durch das Internet schwappt.
fs
-
-
-