Trojaner auf Port 80 !!!!! Firewall ???

Wie reagiert die Firewall wenn ein Trojaner auf den Port 80 zugreiffen will ,etwa Executor der auf dem port 80 läuft

Im Normalfalle , d.h. die gängigsten FW`s , müssen alle Anwendungen , unabhängig welchen Port sie benutzen , der Firewall freigegeben werden. Norton und Zonealarm z.B. fragen bei J E D E R Anwendung , die noch nicht registriert ist , ob es O.K. ist. Bei Norton werden aber auch schon bei der normalen Installation die meisten auf der Festplatte vorhandenen Anwendungen integriert. Um sicherzugehen sollte man bei Internetzugriffssteuerung alle angezeigten Anwendungen durchgehen und dort festlegen , wie sich die FW zu verhalten hat. Wer seinen PC dort ganz dicht machen will , kann den Port 80 völlig sperren und im Nachgang für erlaubte Anwendungen diesen öffnen. Aber Vorsicht , beim "Dichtmachen" auf Abfrage stellen ! Sonst blockt er , ohne das man es merkt. Demzufolge kann man auch keine Anwendungen mehr erlauben (zumindest nicht so einfach).
Wenn es so einfach wäre , den Port 80 für Trojaner zu nutzen , würden fast alle diesen Port nutzen. Aber , s.o. , ist es zum Glück nicht so.

Mir sind eigentlich nur nachfolgende Trojaner (TCP-Nutzer) für den Port 80 bekannt :

Ring Zero (Ring0) TCP
Executor 1.0, 2.0 TCP
Msncookie TCP
ShadowPhyre 2.57.15 TCP
Mo TCP

Diese sind von ihren Merkmalen auch einer FW bekannt und werden erkannt.
Das zeigt , das es relativ unsinnig ist , diesen (geschützten) Port zu nutzen.

cu

Ein Server von einem Trojaner offnet normalerweise nur einen Port oder ?

ja, klar man kann notify's machen usw...

aber wenn der Port 80 oder 21 (mail )geöffnet ist könnte man einfach einen von denen Trojaner nehmen IP saugen und anfangen oder !?

oder geht das nicht


Nehmen wir mal an der Victim hat keine FW...

Port 21 ist FTP nicht Mail.
Mail ist 25 und 110.

Zu Deiner Frage.

Ein Trojaner benutzt meistens nur einen Port.
In den meisten gängigen Trojanern (Sub7, Back Orifice & Netbus) ist eine Funktion integriert, Die es dem angreifer ermöglicht, ihm die IP-Adresse des Opfers über ein Chatprogramm (ICQ,MSN,AIM) anzuzeigen.

Ein einmal infizierter Rechner sendet nahezu unentwegt die aktuelle IP Adresse des Opfers an den voreingestellten Chatclient.

Das Problem besteht meistens darin einen Fremd-PC zu infizieren.
Die meisten Trojaner werden nicht nur von Firewalls, sondern auch von allen gängigen Virenscannern entdeckt und entfernt.

Weiterhin kann ich niemandem empfehlen einen anderen Rechner zu infizieren, oder sich in einen Infizierten Rechner einzuhacken.

1.) Es ist "Strafbar " !!!
2.) Mit ein bischen "glück" infiziert man sich seinen eigenen Rechner !!!! (Meist sogar mit dem Clientprogramm des Trojaners!!!)
3.) Es gibt Möglichkeiten Einen Trojamer Abzufangen und ihn in einer sogenannten "Sandbox" auszuführen, sodaß der Angreifer meint, er hätte zugriff auf einen Fremdrechner, er bewegt sich aber nur in einem für Ihm abgegrenzten "Spielraum".
In diesem Sandkasten können durchaus Dateien abgelegt sein, die schädliche Wirkungen auf das Angreifende System haben, wenn Sie durch den Angreifer geöffnet werden.
4.) Es ist einfach nur Dummer Kinderkram und man riskiert die Kündigung seiner Internetverbindung durch den Provider.

Also Finger Wech von Trojanern. Das Risiko ist einfach zu hoch, daß der Schuß nach hinten losgeht.

mfg

Phoenixx

Klar ist es unsinnig

aber theoretisch könnte man eben einfach in einen geöffneten port herein gehen ohne einen server vor zu schicken !? oder geht das nicht so einfach ?

Theoretisch.....
aber eben nur bei einem ungeschütztem Rechner ! Mit den richtigen Tools (FW , AV) geht es auch auf diesen Ports nicht.Diese Programme (Trojaner) haben typische Erkennungsmerkmale in ihrem Code, der von den FW`s erkannt wird. Diese blocken dann,wenn sie richtig eingestellt und auf dem neuestem Stand sind (Updates).

cu

Hast du diese Progs mal auspribiert denn ich denke nicht das man ohne einen Server installiert zu haben rein kann

dann wäre ja der Programmierer von subseven (defcon usw ) ja ziemlich blöde gewesen weil 1. ein neuer , verdächtiger Port geöffnet wurde und 2. ein server zu installieren wäre... klar kann man den server bei subseven editieren aber ich denke wenn es mit port 80 gienge bräuchte man das ja nicht unbedingt...

Naja...
Ausprobiert ist so ne Sache....

Wenn man von solchen Programmen hört, dann möchte man ja auch wissen, womit man es zu tun hat.

Aber man sollte nicht glauben, wieviele ungeschützte Rechner es im Internet noch gibt, bzw. wieviele verseuchte ....

Wenn man mal einen Portscan über einen ganzen IP-Block macht und sich ausschließlich auf die Trojaner-typischen Ports konzentriert, dann wird man mit 100% iger Wahrscheinlichkeit fündig.

Meistens sogar Mehrfach.

Mann sollte nur nie den Fehler machen und versuchen "offizielle" - Sites und server zu scannen, denn selbst ein Harmloser Portscan wird mittlerweile schon als Angriffsversuch angesehen.
Und mit der Ausrede, man hätte nur versucht sein eigenes Netzwerk zu testen und wohl einen Zahlendreher in der IP - Adresse gehabt kommt man heute vor gericht auch nicht mehr weit.

Naja.

Sich Daten von bereits infizierten Rechnern zu beschaffen ist dann auch nicht mehr weiter problematisch, es sei denn, der Zugang über den Trojaner währe mit einem Passwort belegt.

Theoretisch kann man über einige Windows-Funktionen einen PC "Hacken".
Windows stellt selbst verschiedene "Remote-Administration - Tools" bereit.

Über Netbios und Telnet kann man bei unsicheren NT-Systemen (NT4/2000/XP) mit sehr Hoher Wahrscheinlichkeit einen Zugang zu einem Fremdsystem herstellen. (Korrigier mich bitte Winbooster, wenn ich mich hier vertan habe!)

Mit sehr viel Glück sogar über die "Remoteunterstützung", falls diese beim "Opfer" nicht aktiviert ist.

@ Phoenixx

Ne,ne , da brauch ich nichts korrigieren ! Aber was sagt uns das ? Man kann ein System relativ sicher machen , aber eine 100%-ige Sicherheit wird es nie geben. Ein guter Schutz hilft dem "Otto-Normalverbraucher" , also macht den PC gegen Angriffe von Hack-Kiddys sicher. Vom Profihacher wird man kaum angegriffen , da die sich Ihre Objekte gezielt aussuchen und es meißt auf Server abgesehen haben .

cu