Viren, Spyware, Datenschutz 11.213 Themen, 94.155 Beiträge

Verfolgung starten Optionen

Was lauscht da für ein Dienst?

Tapioka / 6 Antworten / Flachansicht Nickles

Hallo, vielleicht kann mir hier jemand helfen, habe schon in diversen Boards gefragt, aber niemand weiß was genaues!

Habe folgenden Artikle gelesen:

Durch Ausnutzens eines Lochs in Windows 2000 hat ein Hacker diesen Monat das Firmen-Netzwerk von Microsoft erkundet, und dabei hunderten von PCs einen Besuch abgestattet. Über einen Zeitraum von sechs Tagen ab dem 12.8. wandelte der Hacker mit Psudonym "Benign" (dt. "gutartig") auf einem eCommerce Server in Europa, sowie auf Workstations und Servern in Amerika. Eine Liste der besuchten Rechner lies er dem Nachrichten-Dienst NewsBytes zukommen.

Ohne Schaden anzurichten sei er über eine offene Hintertür ins System gelangt, nämlich den TCP Port 445, der bei Win2k per Default offen ist, um einen Dateiaustausch mit remoten Systemen zu ermöglichen (was der Hacker freundlicher Weise unterlassen hat). Benigns Eintritt wurde dabei in keinster Weise von irgendeinem Authentizierungs-Mechanismus aufgehalten, auch in seinem weiteren Weg hatten die Admin-Accounts entweder überhaupt kein Kennwort, oder einfach nur "password". Auf diesem Weg umging er alle Firewalls und hätte jede nur denkbare Aktion auf den Rechnern ausführen können — ein potenzieller Milliarden-Schaden!

Scott Culp, Chef des Microsoft Security Response Centers wollte den "Besuch" nicht bestätigen, räumte aber ein, dass Win2k von den Admins nicht das Setzen eines Passworts verlange, was in diesem Falle das Problem sei. "[Der offene Port 445] ist nicht ein Fehler von Windows 2000. Das Problem waren die nicht gesetzten Passwörter," sagte Culp und fügte hinzu, der Port 445 sei absichtlich offen, da Win2k schließlich für den Daten-Austausch von Geschäfts-Leuten über ein Netzwerk gedacht sei.

Der Chef des Sicherheits-Unternehmens Neohapsis kommentiert lapidar, "Port 445 ist derzeit eine vernachlässigte Angriffs-Möglichkeit. Wenn sie plötzlich genutzt würde, wäre das eine Katastrophe." Benign sagte in der Tat, sein Scanner habe zehn-tausende von Systemen identifiziert, bei denen der Port ungeschützt offen zugänglich war, tausende dieser Systeme hätten zudem kein gesetztes Passwort.

Was steckt da nun für ein Dienst hinter diesem Port?
Wie kann man sich damit verbinden und wie schließt man diese Lücke?

bei Antwort benachrichtigen
Installier dir ne Firewall wie ZoneAlarm und der Port wird unsichtbar nach ... Cursor
Das ist der Microsoft Directory Service microsoft-ds . Microsoft schreibt ... Harry Hunger
Götz von Anstetten Harry Hunger „Das ist der Microsoft Directory Service microsoft-ds . Microsoft schreibt selber...“
Optionen

Klasse der Link ist Gold wert!

Mich hat der microsoft-ds auch schon immer gestört, aber kann man den auch nur auf das interne LAN binden? So wie in der Anleitung beschrieben, ist er dann ja ganz deaktiviert. Ich habe hier nämlich ein kleines Netzwerk von W2K Rechnern, das zwar noch nicht am Internet hängt, aber irgendwann mal soll.

Diese Rechner haben natürlich Laufwerks-Freigaben und geben diese eben über den microsoft-ds frei, was ja irgendwie unter W2K die alten netbios Ports 137-139 ersetzt (Netbios ist bei mir auch nicht installiert!!!), wenn nun der microsoft-ds deaktiviert ist, ist es ja 'Asche' mit den Shares im LAN, deswegen wäre es doch gut diesen Dienst nur an das LAN zu binden, oder denken ich da jetzt falsch, Idee?

bei Antwort benachrichtigen
Mit einer Personal Firewall kann man doch den 445 blockieren für den ... Mister Jingles
Ich möchte aber kein Geraffele wie eine PersonalFirewall auf meinen ... Götz von Anstetten
Man kann diesen Dienst nach außen deaktivieren, aber lokal offen lassen. ... Harry Hunger