Viren, Spyware, Datenschutz 11.251 Themen, 94.779 Beiträge

Verfolgung starten Optionen

Was lauscht da für ein Dienst?

Tapioka / 6 Antworten / Baumansicht Nickles

Hallo, vielleicht kann mir hier jemand helfen, habe schon in diversen Boards gefragt, aber niemand weiß was genaues!

Habe folgenden Artikle gelesen:

Durch Ausnutzens eines Lochs in Windows 2000 hat ein Hacker diesen Monat das Firmen-Netzwerk von Microsoft erkundet, und dabei hunderten von PCs einen Besuch abgestattet. Über einen Zeitraum von sechs Tagen ab dem 12.8. wandelte der Hacker mit Psudonym "Benign" (dt. "gutartig") auf einem eCommerce Server in Europa, sowie auf Workstations und Servern in Amerika. Eine Liste der besuchten Rechner lies er dem Nachrichten-Dienst NewsBytes zukommen.

Ohne Schaden anzurichten sei er über eine offene Hintertür ins System gelangt, nämlich den TCP Port 445, der bei Win2k per Default offen ist, um einen Dateiaustausch mit remoten Systemen zu ermöglichen (was der Hacker freundlicher Weise unterlassen hat). Benigns Eintritt wurde dabei in keinster Weise von irgendeinem Authentizierungs-Mechanismus aufgehalten, auch in seinem weiteren Weg hatten die Admin-Accounts entweder überhaupt kein Kennwort, oder einfach nur "password". Auf diesem Weg umging er alle Firewalls und hätte jede nur denkbare Aktion auf den Rechnern ausführen können — ein potenzieller Milliarden-Schaden!

Scott Culp, Chef des Microsoft Security Response Centers wollte den "Besuch" nicht bestätigen, räumte aber ein, dass Win2k von den Admins nicht das Setzen eines Passworts verlange, was in diesem Falle das Problem sei. "[Der offene Port 445] ist nicht ein Fehler von Windows 2000. Das Problem waren die nicht gesetzten Passwörter," sagte Culp und fügte hinzu, der Port 445 sei absichtlich offen, da Win2k schließlich für den Daten-Austausch von Geschäfts-Leuten über ein Netzwerk gedacht sei.

Der Chef des Sicherheits-Unternehmens Neohapsis kommentiert lapidar, "Port 445 ist derzeit eine vernachlässigte Angriffs-Möglichkeit. Wenn sie plötzlich genutzt würde, wäre das eine Katastrophe." Benign sagte in der Tat, sein Scanner habe zehn-tausende von Systemen identifiziert, bei denen der Port ungeschützt offen zugänglich war, tausende dieser Systeme hätten zudem kein gesetztes Passwort.

Was steckt da nun für ein Dienst hinter diesem Port?
Wie kann man sich damit verbinden und wie schließt man diese Lücke?

bei Antwort benachrichtigen
Cursor Tapioka „Was lauscht da für ein Dienst?“
Optionen

Installier dir ne Firewall wie ZoneAlarm und der Port wird unsichtbar nach außen!

bei Antwort benachrichtigen
Harry Hunger Tapioka „Was lauscht da für ein Dienst?“
Optionen

Das ist der Microsoft Directory Service (microsoft-ds). Microsoft schreibt selber dazu:

Directory Services provide name resolution and lookup capabilities, allowing users or devices to locate resources on the network by human readable or well-known names.

Wie man ihn deaktiviert erfährst du hier


Cursors Tip mir der Firewall ist in etwa das gleiche wie wenn du den Zugang zu einem Haus versperren willst in dem du die Haustür offen stehen lässt, aber ein paar Bretter davor nagelst. Irgendwie ist es halt doch sinnvoller die Haustür zu zumachen.

bei Antwort benachrichtigen
Götz von Anstetten Harry Hunger „Das ist der Microsoft Directory Service microsoft-ds . Microsoft schreibt selber...“
Optionen

Klasse der Link ist Gold wert!

Mich hat der microsoft-ds auch schon immer gestört, aber kann man den auch nur auf das interne LAN binden? So wie in der Anleitung beschrieben, ist er dann ja ganz deaktiviert. Ich habe hier nämlich ein kleines Netzwerk von W2K Rechnern, das zwar noch nicht am Internet hängt, aber irgendwann mal soll.

Diese Rechner haben natürlich Laufwerks-Freigaben und geben diese eben über den microsoft-ds frei, was ja irgendwie unter W2K die alten netbios Ports 137-139 ersetzt (Netbios ist bei mir auch nicht installiert!!!), wenn nun der microsoft-ds deaktiviert ist, ist es ja 'Asche' mit den Shares im LAN, deswegen wäre es doch gut diesen Dienst nur an das LAN zu binden, oder denken ich da jetzt falsch, Idee?

bei Antwort benachrichtigen
Mister Jingles Götz von Anstetten „Klasse der Link ist Gold wert! Mich hat der microsoft-ds auch schon immer...“
Optionen

Mit einer Personal Firewall kann man doch den 445 blockieren für den Zugriff von aussen. Das wars dann.

bei Antwort benachrichtigen
Götz von Anstetten Mister Jingles „Mit einer Personal Firewall kann man doch den 445 blockieren für den Zugriff...“
Optionen

Ich möchte aber kein Geraffele wie eine PersonalFirewall auf meinen Rechnern, ...Gründe dafür sind in diesem Board ja schon genug angeführt worden, im Extremfall wenn nicht geht setze ich eh ein fli-basierten PC vor's LAN!

Nur würde es mich interessieren ob das unter Windows möglich ist, über Registry, ini, dat oder was weiß ich, das Device für Dienst XYZ anzugeben?

bei Antwort benachrichtigen
Harry Hunger Götz von Anstetten „Klasse der Link ist Gold wert! Mich hat der microsoft-ds auch schon immer...“
Optionen

Man kann diesen Dienst nach außen deaktivieren, aber lokal offen lassen. Meines Wissens ist er dann aber für das Netzwerk auch deaktiviert. Du kannst ja mal den Autor der Anleitung Frank Kaune anmailen und fragen, vielleicht weis er es ja. Der war früher auch mal bei Nickles registriert.
Grüße, Harry

bei Antwort benachrichtigen