Wo spionieren die Chinesen im "System"? (ausgehende NetBios-Versuche)

PeterK

Lt. Junior Grade
Registriert
Apr. 2008
Beiträge
365
Obwohl mein XP-System mit Agnitum Outpost Firewall 3.5 eigentlich schon seit vielen Jahren recht problemlos läuft und ich auch regelmäßig mit Avira AntiVirus und diversen Rootkit-Scannern alle aktiven Partitionen überprüfe, habe ich doch Zweifel, ob sich nicht bereits einige Spione im System befinden. Mit schöner Regelmäßigkeit gibt es ja täglich einige Angriffsversuche, wie zB. PortScans, von allen möglichen Hosts im Internet. Bei mir waren es am häufigsten "ChinaNet" und "ChinaUnicom", die ich deshalb jetzt total geblockt habe, obwohl PortScans und NetBios-Verbindungen natürlich sowieso schon von der Firewall abgeblockt werden. Soweit also alles kein Problem.

Was mich allerdings beunruhigt, ist die Tatsache, daß manchmal nach einigen eingehenden Verbindungsversuchen dieser chinesischen Hosts, schon kurz danach, aus dem "System" heraus, NetBios-Verbindungen zu den Chinesen versucht werden. Es scheint mir so zu sein, als ob es bereits einen versteckten Prozess gibt, der am Windows Socket spioniert und auf die eingehenden Verbindungsversuche wartet. Aber vielleicht stelle ich mir das ja nur falsch vor und es hat jemand eine bessere Erklärung, wie eine solche "Reaktion" vom "System" möglich ist. Im Anhang befinden sich 2 Beispiel-Logs.

Mit werlchen Tools kann man diese Spione im System lokalisieren?
 

Anhänge

  • NetBiosToChinaNet.png
    NetBiosToChinaNet.png
    9,3 KB · Aufrufe: 160
  • NetBiosToChinaUnicom.png
    NetBiosToChinaUnicom.png
    9,3 KB · Aufrufe: 177
Zuletzt bearbeitet:
Äh, ohne Outpost wirklich zu kennen, aber ist Outpost Firewall 3.5 nicht uralt? Ganz abgesehen davon, sind Software Firewalls generell unnütz und machen das System auch nicht sicherer. Sie erzeugen ein Sicherheits Theater, geben Meldungen aus mit dem kein Laie was anfangen kann und machen das System deutlich unsicher, als ohne.

Die Ct schrieb schon zu Software Firewalls:

Zu Firewalls allgemein:

Einen nennenswertes Plus an Sicherheit bieten die getesteten Personal Firewalls nicht. Mit der Windows Firewall, einem guten Virenscanner und einer guten Versionspflege der installierten Anwendungen ist man in allen Situationen hinreichend vor eingehenden Zugriffsversuchen geschützt.
Setzt man zu Hause einen Router ein, muss man sich um eingehende Verbindungen in aller Regel ohnehin nicht kümmern.
Anfragen aus dem Internet leitet der Router ohne manuell angelegte Ausnahmeregeln nicht weiter, sodass sie erst gar nicht die Personal Firewall erreichen.

Fazit eines Redakteurs in der Ct:

Finger weg!

Auf der anderen Seite entdeckten wir auf fast jedem System, bei dem wir eine Personal Firewall nachrüsteten, ein Sicherheitsloch, das echte Gefahr bedeutet.

Wer also etwas für seine Sicherheit tun will, achtet besser darauf, dass er seinen Virenschutz um einen guten Verhaltenswächter ergänzt, falls er keinen mitbringt. Anwender kostenloser AV Programme wie Antivir, MSE, können dazu etwas das kostenlose Threatfire installieren. ...........
Quelle: Ct Heft 23/2010
 
Hallo Boogeyman,

ich mache mir doch gar keine Sorgen um eingehende Verbindungsversuche, sondern um versuchte, aber natürlich geblockte NetBios-Verbindungen aus dem "System" heraus ins chinesische Netz.

Wenn die Ct' meint, daß die Windows-Firewall gut genug sei, dann mag das für Windows 7 ja vielleicht stimmen, aber bei XP würde ich meine alte Agnitum Outpost 3.5 in jedem Fall vorziehen. (Die gab es mal gratis bei Chip, ohne Laufzeit-Limit).

Ich habe auch einen Router mit Firewall, aber dem traue ich nicht und es ist auch viel umständlicher, neue Regeln dafür zu definieren als für die Firewall. Mich interessiert allerdings nicht, welche Firewall-Lösung die beste ist, sondern wie die ausgehenden Verbindungsversuche ausgelöst werden und wie man die versteckten Prozesse finden kann.
 
Name: netbios-ns
Purpose: NetBIOS Name Service
Description: UDP NetBIOS name query packets are sent to this port, to ask the receiving machine to disclose and return its current set of NetBIOS names.

In der Systemsteuerung die Eigenschaften deiner Netzwerk-Karte/Adapter/Modem aufrufen und dort die NET-BIOS Unterstützung / Freigabe entfernen.

Ein Scan mit einer Rescue-CD sollte Klarheit bringen, wähle einen Hersteller deines Vertrauens, lade die ISO herunter, brenn sie auf CD und boote von dieser, vorher lies die Anleitung:
Kaspersky:http://support.kaspersky.com/viruses/rescuedisk?level=2
AVG:http://www.avg.com/us-en/avg-rescue-cd
F-Secure:http://www.f-secure.com/linux-weblog/2009/09/22/rescue-cd-311/
Bitdefender:http://download.bitdefender.com/rescue_cd/
Dr.Web:http://www.freedrweb.com/livecd/?lng=en
Knoppicillin:http://www.heise.de/software/download/knoppicillin_download_edition/37894
Mcafee:http://www.mcafee.com/us/downloads/free-tools/how-to-use-stinger.aspx
Emisoft:https://www.computerbase.de/downloads/sicherheit/antimalware/emsisoft-emergency-kit/
Symantec/Norton:http://security.symantec.com/sscv6/WelcomePage.asp
 
Server und Client für Microsoft-Netzwerke waren schon immer sowohl für die PPPOE-Verbindung als auch für die Netzwerkkarte deaktiviert. Allerdings besteht bei der PPPOE-Verbindung im Moment noch ein Netzwerkmonitortreiber, obwohl ich WinPCAP in den Autoruns bereits deaktiviert habe. Das werde ich besser komplett deinstallieren, denn darüber könnte ein Spion ja am Socket mitlesen, oder ?

Nachtrag:
Habe den Netzwerkmonitortreiber jetzt entfernt. Mal abwarten, ob das vielleicht hilft ??

Die Rescue-CDs von Kasperky und AVG haben leider auch nichts finden können. Trotzdem vielen Dank für die Liste!

Nachtrag (1.10.11):
Auch Bitdefender hat nichts gefunden.
 
Zuletzt bearbeitet:
PeterK schrieb:
Ich habe auch einen Router mit Firewall, aber dem traue ich nicht und es ist auch viel umständlicher, neue Regeln dafür zu definieren als für die Firewall.

Hast du einen Router im Einsatz, oder liegt der jetzt im Schrank, weil du ihm nicht vertraust?
Sonst sind das oft ganz banale Sachen, der Rechner bekommt eine Anfrage bist du da» der Rechner meldet zurück» ja. Da Netbios für Freigaben unter anderem zuständig ist, meldet dein Rechner einfach nur zurück» Nix freigeben» sind bei dir Freigaben vorhanden? (um das mal stark vereinfacht darzustellen) Da wird nix großes vertrauliches versendet.
Software Firewalls machen da aber oft ein Brimborium daraus, wie toll sie doch schützen. :rolleyes: Das liegt einfach nahe, da auch Antiviren Boot CD`s keine infizierten Dateien bei dir auf dem Rechner finden.
Sonst gibt es diverse Portscans, womit du überprüfen kannst, ob der Rechner von außen zu erreichen ist:
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Viel wichtiger wäre:

  • Ist das OS auf dem aktuellsten Stand? (alle Patches installiert)
  • Liegen alle installierten Programme, besonders Browser Plugins in der aktuellsten Version vor (Flash, Java, PDF Plugin, Media Player Plugins usw.)
  • keine Software aus dubiosen, bzw. nicht vertrauenswürdigen Quellen verwenden

Sonst ist das Internet voll, zu den nichtssagenden Infos "Outpost und Netbios", einfach mal danach suchen. ;)

Eine Software zu verwenden, die vom Hersteller nicht mehr gepflegt wird, ist auch keine besonders gute Idee.
Migriere einfach von Outpost zu Brain 1.0 und schmeiß den Firewall Mist vom Rechner. Auch ist die Windows Firewall auch unter XP vollkommen ausreichend. Sonst ist Hilfe aus der Ferne einfach schwierig, weil hier keiner deine Einstellungen am System, bzw. deine Software Konstellation kennt.

Lemon with Ice schrieb:
@Boogeyman Das war aber nicht seine Frage oder ? Wieso also am Thema vorbei ?
Wenn hier jemand fragen würde, wie man seinen vCore auf 10 Volt erhöhen kann, sollte man ihm auch sagen, welche Auswirkungen sein Handeln hat. Sonst ist dein Beitrag ja auch wenig hilfreich und für Belehrungen ist höchsten die Moderation hier zuständig. ;)
 
Zuletzt bearbeitet: (Ergänzung)
@Boogeyman

1. War das eine Frage und keine Belehrung

2. Ist es wohl ein großer Unterschied zischen Hardware und Software

3. Kann eine Firewall Hilfreich sein gewisse Dinge zu Bewältigen

4. Kommt jetzt wieder eine Frage und ist keine Belehrung !!

Welche Auswirkungen hat denn sein handeln wenn er eine Firewall verwendet ? Ist es nicht egal ob mit oder ohne so wie ja deine Behauptung ist. Dann dürfte es ja keine negativen Auswirkungen haben oder ?

Achso, so ein Redakteur muss natürlich nichts zum schreiben finden, man will mit der Zeitschrift ja auch kein Geld verdienen und wenn sie was schreiben haben sie immer Recht.

Tschüß
 
Wenn du ein Problem, bzw. eine Frage zu meinen Ausführungen hast, dann schreib mir eine PN. Es macht hier keinen Sinn, das noch weiter Off Topic zu machen.

Nur noch so viel:
Welche Auswirkungen hat denn sein handeln wenn er eine Firewall verwendet?
Auswirkungen? Sieht man doch im Thread sehr deutlich!
  • Eine Software Firewall wirft einem Meldungen an den Kopf, mit dem kein Laie was anfangen kann und sie werden fehlinterpretiert.
  • macht ein Sicherheits Theater, wo überhaupt keine Gefahr besteht.
  • generell ist das Verwenden von Software, die nicht mehr unterstützt wird suboptimal
  • macht eine Software Firewall das System nicht sicher, sondern oft genau das Gegenteil

Sonst muss man einfach mit den Ausführen in einem öffentlichen Forum leben können, nicht jeder schreibt das, was man ev. gerne hören möchte. ;)
 
Jetzt Frage ich mich aber wirklich warum ich eine Firewall verwende und MS die mir auch noch gratis zum BS dazu gibt. Meldungen hab ich auch noch keine erhalten.

Ah ich habs ! Das bist bestimmt keine Software Firewall sondern eher ein eingebauter Router stimmts ?

:heilig:
 
Naja, er meint damit wahrscheinlich eher die Produkte von Drittanbietern, die in der Tat viel Wirbel um Nichts machen. Da ist die Win-FW dagegen natürlich ein Segen... aber auch diese ist bei Verwendung eines Routers schlicht und einfach überflüssig (sofern der betroffene Rechner allein am Router hängt).
 
@Lemon with Ice
Einfach mal Luft anhalten, bis drei zählen, dann denken und dann erst schreiben.
citius hat es vollkommen richtig erkannt, hier geht es um Firewalls von Drittanbietern, warum schaffst du das nicht? Auch schrieb ich ja bereits:

Boogeyman schrieb:
Auch ist die Windows Firewall auch unter XP vollkommen ausreichend.
 
Boogeyman schrieb:
Hast du einen Router im Einsatz, oder liegt der jetzt im Schrank, weil du ihm nicht vertraust?

Mein PC ist per LAN an eine Alice-Box angeschlossen, deren IP-Filter ich allerdings nicht benutze, weil die Konfiguration zu umständlich ist und weil ich zZ. keine weiteren Rechner über LAN oder WLAN betreibe.
http://static.alice.de/provider/con...0-48/data/Handbuch_pk_Alice_IAD_WLAN_3231.pdf

Da wird nix großes vertrauliches versendet.
Software Firewalls machen da aber oft ein Brimborium daraus, wie toll sie doch schützen. :rolleyes: Das liegt einfach nahe, da auch Antiviren Boot CD`s keine infizierten Dateien bei dir auf dem Rechner finden.

Ich habe auch nie gesagt, daß da etwas via NetBios versendet wird. Nein, das ist doch überhaupt nicht das Problem.

Das Problem ist, daß da jemand aus meinem Rechner heraus via NetBios nach Hause (China) telefonieren möchte. Dies ist übrigens auch schon einmal passiert, als der PC noch gar nicht Online verbunden war.

Sonst gibt es diverse Portscans, womit du überprüfen kannst, ob der Rechner von außen zu erreichen ist:
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Ja danke, aber das habe ich bereits vor einigen Wochen ausgiebig getestet. Ergebnis: Die Firewall hat alles abgeblockt und mir jeden Angriffsversuch gemeldet.

Ist das OS auf dem aktuellsten Stand? (alle Patches installiert)Liegen alle installierten Programme, besonders Browser Plugins in der aktuellsten Version vor (Flash, Java, PDF Plugin, Media Player Plugins usw.)
keine Software aus dubiosen, bzw. nicht vertrauenswürdigen Quellen verwenden

Ja, das System wird nach jedem MS-Patchday upgedated.
Standardmäßig werden Java, Flash, ActiveX, Cockies, externe Elemente usw zunächst einmal von der Firewall geblockt und lassen sich für vertrauenswürdige Seiten natürlich entsprechend per Konfiguration freigeben.
Selbstverständlich installiere ich auch keine Malware. ;)

----------------------------------------
  • Eine Software Firewall wirft einem Meldungen an den Kopf, mit dem kein Laie was anfangen kann und sie werden fehlinterpretiert.
  • macht ein Sicherheits Theater, wo überhaupt keine Gefahr besteht.
  • generell ist das Verwenden von Software, die nicht mehr unterstützt wird suboptimal
  • macht eine Software Firewall das System nicht sicher, sondern oft genau das Gegenteil
Bisher habe ich keine Probleme, die Meldungen meiner Firewall zu verstehen. Ich würde Angriffswarnungen auch nicht als Theater ansehen. Wenn mir zu viele Angriffe in kurzer Zeit gemelset werden, dann logge ich mich manchmal auch aus und gleich wieder neu ein, um eine andere IP zu erhalten.
Die Router-Firewalls, die iR. unter Linux laufen, sind auch nur Software und arbeiten im Prinzip genauso wie eine Desktop-Firewall. Außerdem wird die Router-Firewall wahrscheinlich niemals von meinem Provider upgedated.

----------------------------------------

Das gleiche Problem mit den ausgehenden Verbindungsversuchen nach China haben übrigens auch andere Systeme, wie man hier sehen kann:
http://ask-leo.com/whats_a_port_scan_and_should_i_be_worried_about_them.html
But something you said has me a tad concerned that perhaps you still have an issue:
I also notice that when I turn on my computer that my computer tries to send UDP packets to the same IPs from Chinanet ...
That's not good.
Make sure that's what your firewall is really telling you (it's often easy to misinterpret), but if your computer is sending out to an IP address in China that you don't expect, know or want - well, that's not good. It's not a port scan (those are incoming only), but it does seem like it's an infection of some sort trying to "phone home" and let some computer over there know that your system has been compromised and is ready to receive instructions remotely.
Yes, even though your anti-virus scan is showing nothing, I'd be more likely to believe that it missed something and that your system has been compromised.
Like I said, though, make sure your firewall is telling you what you think it is. An incoming connection attempt that's blocked is nothing to really worry about. An outgoing attempt, however, is a concern.
 
Zuletzt bearbeitet:
Ja danke, aber das habe ich bereits vor einigen Wochen ausgiebig getestet. Ergebnis: Die Firewall hat alles abgeblockt und mir jeden Angriffsversuch gemeldet.
Angreifen wird dich als Privat Person keiner wollen, das sind oft nur fehlgeleitete Pakete oder Portscans. Das ist kein Angriff, sondern vollkommen normal.

Wenn mir zu viele Angriffe in kurzer Zeit gemelset werden, dann logge ich mich manchmal auch aus und gleich wieder neu ein, um eine andere IP zu erhalten.
Du bist Paranoid ! ;)
Das sind keine Angriffe, sondern ganz banale Sachen, siehe meine Ausführung oben.
Die Router-Firewalls, die iR. unter Linux laufen, sind auch nur Software und arbeiten im Prinzip genauso wie eine Desktop-Firewall.
Da gibt es nur einen kleinen, aber gravierenden Unterschied. Ein Software Firewall läuft auf dem System, das es schützen soll und deswegen wird das nie zuverlässig funktionieren.
Bisher habe ich keine Probleme, die Meldungen meiner Firewall zu verstehen.
Anscheinend jetzt doch! ;) Outpost kann dir ja nicht sagen, welcher Prozess, oder welches Programm auf Netbios zugreifen will. Das ist auch keine Wunder, denn Outpost 3.X ist alt, wird nicht mehr vom Hersteller unterstützt und gibt Meldungen aus, die du nicht verstehst, neue Software Firewalls sind da einen Schritt weiter.
Ein sehr mächtiges Tool ist der Process Explorer, damit kann du auch sehen, was alles im Netzwerk passiert, bzw. welcher Prozess/Programm auf Komponenten des OS zugreift. Wenn dir das zu Komplex ist, dann musst du ev. mal eine andere Software Firewall verwenden, wie Comodo.
 
Zuletzt bearbeitet:
OK, das Problem hat sich wohl erledigt, denn ich habe eine Erklärung im Netz gefunden. Demnach versucht Windows zunächst einmal die IP-Adresse der eingehenden Verbindungsversuche aus China per DNS lookup in einen Hostnamen zu übersetzen. Dies soll aber angeblich nicht von den Chinesen unterstützt werden, so daß die DNS-Anfrage fehlschlägt. Danach würde Windows es dann per NetBIOS_NameService-Anfrage bei der ursprünglichen IP-Adresse selbst versuchen, den Hostnamen zu erfragen.

Ich habe das mal in der Logdatei der Firewall überprüft und es scheint tatsächlich kurz vor jedem ausgehenden NetBIOS_NS auch ein DNS lookup zu geben.

In || Remote: 61.143.182.138 Port 30110 || Local: 192.168.1.105 Port 1026
(nterm)

This is likely Messenger Spam from a source in China

Out || Remote: 61.143.182.138 Port 137 (netbios-ns) || Local: 192.168.1.105
Port 137 (netbios-ns)

Since this is port 137 to port 137 it is likely Windows trying to find the
hostname for 61.143.182.138 which fails on the reverse DNS lookup as China
Telecom does not have reverse lookups enabled, hence Windows then attempts
to use a Hostname lookup which is what your seeing here UDP port 137 -> UDP
port 137.
Quelle: http://us.generation-nt.com/answer/should-i-be-worried-help-63335432.html

--------------------------------------------------------

Nachtrag für Boogeyman:

Wie ich jetzt erst auf einer versteckten Konfigurationsseite der Alicebox IAD WLAN 3231 gesehen habe, war die Firewall des Routers doch die ganze Zeit eingeschaltet. Allerdings hat sie offensichtlich keinen Einfluß auf die PPPoE-Verbindung. Da mein Provider, Alice Hansenet, aber eine PPPoE-Verbindung von Windows ins Internet vorsieht, brauche ich also doch eine Desktop-Firewall. Der Router scheint mir für mein Mini-LAN (mit nur einem PC) deshalb zZ. ziemlich überflüssig und ich habe ihn von einer Dauerverbindung auf manuelle Einwahl umgestellt. Die PPPoE-Verbindung arbeitet völlig unabhängig davon wie gehabt.
 

Anhänge

  • AliceBoxFirewall.png
    AliceBoxFirewall.png
    28,8 KB · Aufrufe: 124
Zuletzt bearbeitet:
Zurück
Oben