Moin!

Ich denke, es reicht zur Sicherheit aus. Aber natürlich lasse ich mich gerne hier im Forum eines Besseren belehren. Bin gespannt, ob und welche Maßnahmen ich nach Eurer Meinung noch noch ergreifen sollte, oder ob ihr es auch so seht, dass es ausreicht.

Du benutzt Windows ME. Ist dein Port 5000 geschlossen? Oder sonst irgendwelche Ports noch offen?

MS-Eingabeaufforderung aufmachen, "netstat -an" eingeben.

Da kommt dann möglicherweise sowas bei raus:
Aktive Verbindungen

Proto  Lokale Adresse         Remoteadresse          Status
  TCP    0.0.0.0:1341           0.0.0.0:0              ABHÖREN
  TCP    0.0.0.0:1608           0.0.0.0:0              ABHÖREN
  TCP    0.0.0.0:1447           0.0.0.0:0              ABHÖREN
  TCP    192.168.2.17:1341      ***.***.***.***:22       HERGESTELLT
  TCP    192.168.2.17:1608      192.168.2.1:1000       HERGESTELLT
  TCP    192.168.2.17:139       0.0.0.0:0              ABHÖREN
  TCP    192.168.2.17:3471      213.139.94.131:80      WARTEND
  TCP    192.168.2.17:1447      192.168.2.2:22         HERGESTELLT
  UDP    192.168.2.17:137       *:*
  UDP    192.168.2.17:138       *:*

Alle Zeilen, die "Abhören" als Status haben, sind potentiell verdächtig.

Microsoft hat dummerweise einen Bug drin, der hergestellte Verbindungen nicht von den "Abhören"-Ports abzieht. Du darfst alle Abhören-Zeilen ignorieren, zu denen du noch passende Zeilen mit "HERGESTELLT" findest. Ich habe im obigen Beispiel drei dauerhafte Verbindungen zu Servern, die über die Ports 1341, 1608 und 1447 laufen. Diese Ports tauchen unter "Lokale Adresse" zweimal auf, einmal "abhören", einmal "hergestellt". Das eine ist eine Folge des anderen, also ignorieren.

Bleibt als einziger Port dieser:
  TCP    192.168.2.17:139       0.0.0.0:0              ABHÖREN

Und über UDP diese zwei:
  UDP    192.168.2.17:137       *:*
  UDP    192.168.2.17:138       *:*

Die sind für die Windows-Dateifreigabe zuständig, und sollten definitiv abgeschaltet sein, wenn man im Internet rumsurft. Ebenso alle anderen Ports, die sich aufgrund der Liste noch ergeben. Wenn man nicht weiß, wozu man den Port braucht, braucht man ihn nicht, und sollte ihn schließen.

Port 5000 ist für ein "Universelles Plug and Play" zuständig. Dieser Dienst hat einige böse Bugs, die es zumindest erlauben, den Rechner von außen zum Absturz zu bringen. Und er hat nichts mit dem bekannten "Plug and Play" von PCI-Karten oder USB zu tun. Er wird aktuell nirgendwo genutzt und soll wohl mal dafür da sein, dass sich unterschiedliche Geräte im Netz gegenseitig bekanntmachen, so nach dem Motto "Hallo, ich bin ein Netzwerkdrucker." "Oh, das ist gut. Ich bin ein Kühlschrank. Druck doch mal die Einkaufsliste für nächste Woche".

Google findet zu typischen offenen Ports eigentlich sehr viel und relevantes Zeugs.

- Sven Rautenberg