Offene Ports

Hallo, ich habe laut netstat so ca. 20 Ports offen, was mich doch etwas stutzig macht, da ich nie irgend welche Viren drauf hatte...
Hier mal die netstat Log File:
Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:445 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:1025 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:1027 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:2181 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:2383 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:3303 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:4570 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:4690 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:4737 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:4754 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:5000 0.0.0.0:0 ABH?REN
TCP 0.0.0.0:18350 0.0.0.0:0 ABH?REN
TCP 127.0.0.1:2179 127.0.0.1:2181 HERGESTELLT
TCP 127.0.0.1:2181 127.0.0.1:2179 HERGESTELLT

TCP 213.20.162.237:139 0.0.0.0:0 ABH?REN
TCP 213.20.162.237:4690 64.12.25.142:5190 HERGESTELLT
TCP 213.20.162.237:4737 207.44.162.2:80 HERGESTELLT
TCP 213.20.162.237:4754 66.139.79.154:80 HERGESTELLT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:2175 *:*
UDP 0.0.0.0:2184 *:*
UDP 0.0.0.0:2194 *:*
UDP 0.0.0.0:2206 *:*
UDP 0.0.0.0:3018 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:4683 *:*
UDP 213.20.162.237:137 *:*
UDP 213.20.162.237:138 *:*
UDP 213.20.162.237:1900 *:*
UDP 213.20.162.237:4682 *:*

Was kann man da machen, oder ist das normal?

 

Mart1,

unter:

http://www.ntsvcfg.de/

das Script ausführen und dann einen Port-Scan machen:

http://webscan.security-check.ch/test/lang=d/sid=2c84eec1b534f1cbdfd1e5dec07c1ff4

oder

http://www.port-scan.de/

oder

http://check.lfd.niedersachsen.de/start.php

Gruß

Günter

 

@ Mart1

127.0.0.1 und 0.0.0.0 beziehen sich ausschließlich auf Deinen EIGENEN Rechner.
Das ist völlig normaler lokaler Traffic

213.20.162.237 ist sicher die IP Deines ISP. Sobald Du ins Netz gehst, bekommst Du eine Verbindung dorthin.

Bevor Du Dich mit netstat oder anderen Netzwerktools beschäftigst und Dich panisch macht (unnützerweise!), solltest Du Dich mit den Grundlagen von TCP/IP beschäftigen!

Bedeutung von einzelnen Ports findest Du unter:
http://www.portsdb.org/
TCP/IP-Grundlagen
http://www.netzmafia.de/skripten/netze/netz8.html
http://www.h.shuttle.de/mitch/tcpip.de.html

 

Hi danke für die Infos und die Links, hatte mal bei Trojaner-info.de geschaut, da standen bei port 5000 einige Trojaner. naja seis wies is, jetz weis ich mehr über TCP/IP Thx a lot.

 

du sollst unbedingt das hier ausführen und dich dann wieder melden.
https://www.grc.com/x/ne.dll?bh0bkyd2

 

Warum sollte er das tun?
Aufgrund seines netstat Logs?
Das mußt Du mir dann aber doch erklären...

 

Es ist in der Tat bedenklich, warum so viele Ports geöffnet sind, die nicht durch Systemprozesse initiiert sind. Du solltest mal eine Prozessanalyse vornehmen und überprüfen, welche Prozesse diese Ports öffnen. Am besten geht das mit den Tools von syinternals :

http://www.sysinternals.com/ntw2k/source/tcpview.shtml

Damit kannst du feststellen, welche Prozesse die Ports öffnen.[/i]

http://www.sysinternals.com/ntw2k/freeware/procexp.shtml

Damit kannst du eine intensive Prozess-Analyse durchführen.

 

der beste Portfilter ist Windows 98
ich verweise mal auf diesen Thread
http://www.pcwelt.de/index.cfm?pid=18&sid=39941&fa=120&bid=238&tid=8291

 

So stimmt das nicht ohne weiteres. Wenn ich auf einem Win 98-System Subseven installiert habe, dann sind dort die einschlägigen Ports auch geöffnet.Bei NT-OS habe ich dagegen noch eine gewisse Sicherheit gegenüber solchen Trojanern, wenn ich nicht als Admin aktiv bin. Das, worum es in dem von dir verlinkten Beitrag geht, ist die Tatsache, dass XP wesentlich mehr Ports durch Systemprozesse öffnet als Win98, was dann zum Problem wird, wenn der Code der zugrundeliegenden Dateien fehlerhaft ist und zum Beispiel durch Buffer Overflows Zugangsmöglichkeiten zum Systen hergestellt werden können, wie Sasser und Blaster dies praktiziert haben.

 

???
Die stehen auf abhören, keine Verbindung hergestellt und das am lokalem Rechner? Was ist daran seltsam?
Also wenn ich da auf 'nen AD-Server ein netstat -a loslasse, der komplett vom Netz getrennt ist, bekomme ich noch mehr an Aufzählung...

135 ms-rpc
445 microsoft-ds
1027 messenger service
2383 ms-olap4
5000 upnp

etc.
Quelle:
http://www.portsdb.org/

Alles lokaler Traffic, bis auf die Verbindungen zum Provider. Und 80 (http),139 (netbios) und 5190 (z.B. ICQ) sind auch nicht besonders bedenklich. Okay, netbios im Internet muß nicht unbedingt sein.

Manche deklarieren das ja auch als Trojaner...

 

Es ist eine Sache, ob eine Verbindung hergestellt ist und eine andere Sache, ob ein Port geöffnet ist. Mal ein schlagendes Beispiel aus der aktuellen PC-Welt zum Thema : "Das Böse schläft nie"

Hier wird ein Screeshot von netstat -an gezeigt. Da ist folgendes zu sehen :


Aktive Verbindungen

Proto Lokale Adressen Remoteadresse Status

TCP 0.0.0.0:6776 0.0.0.0.0 Listening
TCP 0.0.0.0:1243 0.0.0.0.0 Listening
TCP 192.168.20.47:1025 192.168.20.141:139 Time_Wait
TCP 192.168.20.47:1026 192.168.20.38:139 Time_Wait
TCP 192.168.20.47:137 0.0.0.0.0 Listening
TCP 192.168.20.47:138 0.0.0.0.0 Listening
TCP 192.168.20.47:139 0.0.0.0.0 Listening
UDP 192.168.20.47:137 *:*
UDP 192.168.20.47:138 *:*

Kommentar des Redakteurs David Wolski (hier im Forum mit dem Nick : dw) :

Kontrollverlust: netstat.exe zeigt offene Netzwerk-Ports an. Die verdächtigen Ports 1234 und 6776 hat ein Backdoor-Programm geöffnet, in diesem Beispiel 'Subseven'. Der PC ist als kompromittiert zu betrachten.

Ich sehe das genauso.

Also von wegen Entwarnung, weil nur auf dem lokalen Rechner gehorcht wird.
Tja, unser Antidepressiva muss halt noch viel lernen

 

Das ist richtig.
Aber wer muß das nicht?
Und ich lerne auch noch gern dazu ;-)

Nur, wenn Du Dir mal die Mühe machst und analysierst, WELCHE Ports beim TO offen sind, dann wirst Du sehen, daß es sich um lokalen Standardtraffic handelt.

Schon mal 'n netstat -a bei 'nem Server gesehen?
DNS, epmap, MS-ds, netbios usw.usf.
Allein die Ports, die svchost incl. aller Subprozesse lokal öffnet, sind kaum zu zählen.

Aber das zeigen die Tools, die Du empfohlen hast viel deutlicher.
Sind übrigens auch meine erste Wahl zur Analyse.

Ich bin eben kein Freund von übertriebener Panikmache und wenn ich sehe, daß die Begriffe Ports und IP fallen und sofort auf Teufel komm raus losgescannt werden muß, weil man sich ja ach so bedroht fühlt, dann frage ich mich schon...

 

hab mal des tcpview benutzt:
Da kam son Prozess, der mir sehr verdächitg vorkam:
[System Process0], bei dem man keine Properties anzeigen konnte und der auf TIME_WAIT stand. weis jemand was das ist?

 

Den solltest Du auf jeden Fall blocken oder beenden.
Systemprozesse sind böse und gefährlich.
Gehe in den Taskmanager und kille alle Prozesse mit der PID 0.
Und am besten auch noch die mit der PID... ach, am besten alle...
Die mit dem Namen svchost auf jeden Fall...

Bei mir läuft der 0 öfter. Manchmal auch unter dem Namen SystemProcess4 oder 2 ... Ist zwar niemals zu einem Endpoint connected, aber man kann ja nie wissen...
Da ist auch noch der IE mit der Process ID 2012...
Moment, ist nicht Process ID 0 die böse? Vom SystemProcess?
Ich muß jetzt bestimmt den Rechner neu aufsetzen...

Ich geb's auf...