10 GB leichter :(

[Leon2003]

Hallo,

bereits zum zweiten mal innerhalb von 6 Monaten wurden alle Dateien mit den Endungen exe, com, ini, dll von meiner D: Partition gelöscht. Dabei bin ich mir relativ sicher keinen Virus oder Trojaner auf der Platte zu haben. Ich gehe eher davon aus, dass hier direkt auf meinen Rechner zugegriffen wurde, vermutlich durch ein skript.

Das war die Konfiguration:
WinXP, keine Firewall installiert, Ports 135-139 somit offen, Netbios an TCPI gebunden, Datei und Druckerfreigabe aktiv jedoch keine freigegebenen Ordner oder Laufwerke, ständige Verbindung zum IRC.

Dazu 2. Fragen

1. Wenn ein Hacker meine IP-Adresse kennt (leicht über IRC), den offenen Port 139 findet (auch leicht) und auf das installierte Netbios zugreifen kann, kann er dann Daten auf meinem Rechner verändern oder löschen auch wenn keine Freigaben vorhanden sind ?

2. Ich verstehe nicht, warum auch diesesmal nur die Partition D: betroffen ist. Es wurden keine Änderungen an der registry vorgenommen, keine Server installiert. Ist es schwieriger auf die C: Partition zuzugreifen als auf D: ?

Und bitte keine flames zur oben genannten Konfig. Ich bin mir der blauäugigkeit durchaus bewußt .

Leon

 

[stpe]

es sind, auch dann, wenn Du nicht explizit freigaben eingerichtet hast, sogenannte administrative freigaben vorhanden. (diese sind versteckt fuer jedes laufwerk vorhanden, also c$, d$, ...) wenn Du nun als administrator kein kennwort vergeben hast, ist Dein system offen wie ein scheunentor, und auch mit kennwort kann ein (wirklich) boeser mensch nicht wirklich hundertprozentig aufgehalten werden.

 

[stpe]

noch etwas: melde Dich am besten mal kurz aus dem internet, damit Du eine neue ip-adresse bekommst, da Deine in Deinem post von gerade steht

ich weiss ja nicht, auf was fuer gedanken andere leser Deiner frage kommen

 

[Leon2003]

thx stpe danach hatte ich gesucht.

u.a. sind C$ und D$ als Standardfreigabe bei mir eingestellt. Ich habe nun folgendes eingerichtet um mein system zumindest einigermaßen sicher zu machen.

1. Ein Passwort vergeben
2. Kerio Firewall installiert
3. Ports 135, 137-139 und Port 21 permanent gesperrt
4. Netbios deaktiviert
5. Datei u. Druckerfreigabe deaktiviert
6. Automatische Standardfreigaben deaktiviert

Ich hoffe das sollte es das nächste mal ein bisschen schwieriger machen.

Jetzt noch was anderes. Bei der Suche nach Tips und Tricks um meinen PC sicherer zu machen mußte ich einmal den IE verwenden statt Mozilla. Ich mußte feststellen wie leicht es ist, sich mit dem IE mit aktiviertem "Aktive Scripting" einen Trojaner auf die Platte zu holen. Wählt man z.B.

wwwortliste:de (ACHTUNG: BEI IE MIT AKTIVIERTEM ACTIVE SCRIPTING KOMMT HIER NEN TROJANER -Karma.Hotel.A.3.- AUF DIE PLATTE, wers trotzdem wagen will: einfach ":" durch "." ersetzen. "Antivir" erkennt ihn, "the cleaner" nicht !)

Der Trojaner sitzt nun noch friedlich im Temp Verzeichnis. Aber der erste Schritt ist gemacht, ohne das man davon etwas merkt.

Leon

 

[redfranko]

Hallo Leon2003, da hast Du Dein System schon ganz gut abgesichert. Jetzt noch den Nachrichtendienst stoppen und deaktivieren, dann gibt es auch keine netten Pop-ups von Nadja, Steffi oder wie immer sie auch heißen mögen ....
Aber Kerio ist schon klasse. Erschreckend manchmal in das Eventlog von Kerio zu schauen, und zu entdecken was früher alles ungefiltert durchgeflutscht ist.