Re: [OT] Nach Trojans forschen
Also sprach Michael Renner <michael.renner@gmx.de> (Sat, 12 Nov 2005
13:57:54 +0100):
> On Saturday 12 November 2005 08:40, Richard Mittendorfer wrote:
> > [netscan nach ports]
> > OS details: Microsoft Windows Server 2003
> > Nmap finished: 1 IP address (1 host up) scanned in 1154.959 seconds
> > </snip>
> >
> > Das Ganze wird noch dahingehend erweitert werden, dass neu
> > geoeffnete/filtered Ports per Mail an den Admin gehen. Kann mir jemand
> > sagen, wo ich Informationen zu Trojans/Spyware und deren Port bekomme?
> > Und gibt's eine Moeglichkeit einen solchen zu identifizieren (Bei
> > "filtered" kann ich mir das aber irgendwie nicht vorstellen?)?
>
> Du musst natürlich verhindern, dass für einen beereits gemeldeten Port wieder
> und wieder Mails raus gehen.
Logo. Das ueberprueft das Script anhand des letzten results.
> Hier kann ein Blick in 'arpwatch' nicht schadeen.
Praktisch Teil, ja. Laeuft sowieso - falls ein neuer Rechner im WLan
auftaucht / MAC/IP sich geaendert hat.
> http://www.sans.org/resources/idfaq/oddports.php
> hat einne Liste, die scheinbar veraltet ist. Vielleicht findest du beim
> googlen nacch 'well know ports worm' mehr.
Da hab ich inzwischen schon einiges gesichtet, diese Liste ist aber um
einiges uebersichtlicher, thx.
Ich denk, das Script wird einstweilen bei jedem (neuen) Port Alarm
schreien. Eine direkte Identifizierung, ob es nun ein Trojan (oder was
immer) ist, wird mir vom Netz aus wahrscheinlich nicht gelingen. Viele
der (L)user installieren halt irgendwelchen Kram, der wieder ein Port
aufmacht ..blabla.. nicht mein Problem - Bloed nur, wenn was
Unsittliches dann andere M$-Schuesseln im Netz infiziert.
Weiters waer's vermutlich interessanter den Traffic der Ports genauer
unter die Lupe zu nehmen. Das scheint mir automatisiert aber recht
aufwendig zu sein. Werd' naechste Woche weitersehen..
sl ritch
Reply to: