Gdata Meldung: Ihr Rechner wurde abgetastet

Hallo,

ich habe gerade folgende Nachricht von Gdata erhalten:

Ihr Rechner wurden von einem entfernten Rechner auf offene Internet-Dienste (Ports) abgetastet. Die Firewall hat diesen Angriff unterbunden. 
Netzwerk Info:Netzwerk                 : Drahtlosnetzwerkverbindung
Entfernter Rechner       :

Da mich so etwas immer verunsichert, wollte ich fragen, ob ich jetzt irgendetwas tun muss oder beachten sollte. Und was genau, da überhaupt passiert ist.

Ich habe gerade auch schon etwas gegoogelt und gelesen, dass so ein Angriff eigentlich bereits vom Router abgewehrt werden müsste. Kann es sein, das wir beim Router etwas falsch eingestellt haben. Wir haben seit einer Woche einen Neuen und vielleicht haben wir ja etwas vergessen beim Einstellen.

Hallo,

ich habe gerade folgende Nachricht von Gdata erhalten:

Ihr Rechner wurden von einem entfernten Rechner auf offene
Internet-Dienste (Ports) abgetastet. Die Firewall hat diesen
Angriff unterbunden. 
Netzwerk Info:Netzwerk                 :
Drahtlosnetzwerkverbindung
Entfernter Rechner       :

Da mich so etwas immer verunsichert, wollte ich fragen, ob ich
jetzt irgendetwas tun muss oder beachten sollte. Und was
genau, da überhaupt passiert ist.

Es ist eine Meldung, dass deine Firewall einen Portscan unterbunden hat. Ein Portscan an sich ist noch keine akute Bedrohung, er dient der Vorbereitung einer möglichen solchen. Also an sich ist alles in Ordnung und deine Abwehrsysteme hatten das im Griff

Ich habe gerade auch schon etwas gegoogelt und gelesen, dass
so ein Angriff eigentlich bereits vom Router abgewehrt werden
müsste. Kann es sein, das wir beim Router etwas falsch
eingestellt haben. Wir haben seit einer Woche einen Neuen und
vielleicht haben wir ja etwas vergessen beim Einstellen.

Der Router wehrt diese nur ab, wenn er eine integrierte Firewall hat und diese auch aktiviert ist. Genaues dazu müsstest du bei deinem Provider erfragen, von dem du den Router hast.

Liebe Grüße
maria

Der Router wehrt diese nur ab, wenn er eine integrierte
Firewall hat und diese auch aktiviert ist. Genaues dazu
müsstest du bei deinem Provider erfragen, von dem du den
Router hast.

bzw. wenn du diesen Router hinter dem Router vom Provider selbst aufgestellt hast, in der zugehörigen Beschreibung.

Achso, okay. Vielen Dank schonmal.

Kann ich den ansonsten etwas gegen solche Angriffe tun?
Eigentlich hat Gdata ihn doch jetzt abgewehrt, das heißt du das ich mir keine Gedanken machen muss oder?

Hallo,

bzw. wenn du diesen Router hinter dem Router vom Provider
selbst aufgestellt hast, in der zugehörigen Beschreibung.

Was sollte das für einen Sinn machen?

LG
66er

Hallo,

Hallo,

ich habe gerade folgende Nachricht von Gdata erhalten:

Ihr Rechner wurden von einem entfernten Rechner auf offene
Internet-Dienste (Ports) abgetastet. Die Firewall hat diesen
Angriff unterbunden. 

alles Bestens!

…
Da mich so etwas immer verunsichert, wollte ich fragen, ob ich
jetzt irgendetwas tun muss oder beachten sollte. Und was
genau, da überhaupt passiert ist.

Ich habe gerade auch schon etwas gegoogelt und gelesen, dass
so ein Angriff eigentlich bereits vom Router abgewehrt werden
müsste. Kann es sein, das wir beim Router etwas falsch
eingestellt haben. Wir haben seit einer Woche einen Neuen und
vielleicht haben wir ja etwas vergessen beim Einstellen.

Um das zu beantworten solltest Du uns entweder Dein Routermodell nennen oder im Handbuch nach Firewall und Ports suchen.

LG
66er

Hallo,

Ich habe gerade auch schon etwas gegoogelt und gelesen, dass
so ein Angriff eigentlich bereits vom Router abgewehrt werden
müsste.

Jepp.

Es ist also wichtig zu wissen, wie Du zu diesem Zeitpunkt im Internet warst.
Die meisten Computer hängen ja nicht direkt per Modem im Netz, sondern hinter einem Router. Und der macht etwas, dass sich NAT nennt.

Portscan sind ganz alltägliche Ereignisse im Netz, bedingen aber, dass der Angreifer auch bis zum Computer durchkommt. Und das wird durch NAT fast vollständig unterbunden. Außer:

• Der Angreifer hat Deine genaue Adresse durch einen Verbindungsaufbau. Beispielsweise weil Du z.B. beim Surfen seinen Server angefragt hast oder er einen solchen Verkehr belauschen konnte.

• Der Angreifer hat die genaue Adresse geraten.

• Der Angreifer sitzt in Deinem eigenen Netzwerk. Zum Beispiel, wenn Du bei der Installation des neuen Routers Dein neues Netz offen gelassen hast. Dann kann jemand aus der Nähe mal suchen, was Du so im Netz eingebunden hast. So ein offenes Netz hat eine große Anziehungskraft.

Ciao, Allesquatsch

Das macht schon Sinn
Wenn der Router des Providers keine eigene Firewall hat, kann man eine Firewall dahinter setzen. Oder auch, wenn man mehrere PCs betreibt. Dann bleibt fast keine andere Wahl als diese über einen weiteren Router zum Provider-Router zu verbinden.

Es ist alles bestens. Es wird wahrscheinlich nicht der letzte Portscan bleiben, aber dazu musst du dir keine Gedanken machen.

vielen Dank für die schnellen Antworten.

Es ist also wichtig zu wissen, wie Du zu diesem Zeitpunkt im
Internet warst.
Die meisten Computer hängen ja nicht direkt per Modem im Netz,
sondern hinter einem Router. Und der macht etwas, dass sich NAT nennt.

Jep, war über einem Router „Speedport“ drin und habe mir jetzt noch mal die Einstellungen angesehen, die Firewall dort ist aktiviert.

Portscan sind ganz alltägliche Ereignisse im Netz, bedingen
aber, dass der Angreifer auch bis zum Computer durchkommt. Und
das wird durch NAT fast vollständig unterbunden. Außer:

• Der Angreifer hat Deine genaue Adresse durch einen
  Verbindungsaufbau. Beispielsweise weil Du z.B. beim Surfen
  seinen Server angefragt hast oder er einen solchen Verkehr
  belauschen konnte.

Also ich glaube das ich nur auf Youtube war.

• Der Angreifer hat die genaue Adresse geraten.

• Der Angreifer sitzt in Deinem eigenen Netzwerk. Zum Beispiel,
  wenn Du bei der Installation des neuen Routers Dein neues Netz
  offen gelassen hast. Dann kann jemand aus der Nähe mal suchen,
  was Du so im Netz eingebunden hast. So ein offenes Netz hat
  eine große Anziehungskraft.

Letzteres kann es nicht gewesen sein, wir haben ein Passwort.

Vielen Dank für die Hilfe!!

2. Meldung
   Hallo,
   ich habe diese Meldung nun schon wieder von Gdata erhalten. Es ist die selbe IP Adresse wie letztes Mal.
   Diesmal war ich auch tumblr unterwegs. Daraufhin hab ich mal in meinem Verlauf geschaut und es kann sein, dass ich auch letztes Mal als ich die Meldung erhielt auf tumblr war.
   Kann es an der Seite liegen, weil es ja auch die selbe IP war?

Tut mir Leid für all die Fragen, aber ich kenn mich mit sowas nicht so aus und eine solche Meldung verunsichert vor allem da sie nun schon zum zweiten Mal kam.

Das macht Unsinn!

Wenn der Router des Providers keine eigene Firewall hat, kann
man eine Firewall dahinter setzen. Oder auch, wenn man mehrere
PCs betreibt. Dann bleibt fast keine andere Wahl als diese
über einen weiteren Router zum Provider-Router zu verbinden.

Das ist, zumindest in dieser Pauschalität, hanebüchener Blödsinn. Richtig ist das nur dann, wenn Anschluss und lokales Netz über IPv6 ans Internet angebunden sind, wenn also nicht nur der Router, sondern jedes Endgerät eine direkt aus dem Internet ansprechbare Adresse besitzt.

Das wird in Zukunft irgendwann mal Standard werden. Derzeit sieht die Standardinstallation aber so aus, dass allenfalls der Router über IPv6 angebunden ist, das lokale Netz hingegen über IPv4 aufgespannt wird. Damit ist ausschließlich der Router selbst direkt aus dem Internet ansprechbar und es gibt keinerlei Notwendigkeit, irgendeine Firewall einzusetzen.

Insbesondere nutzt eine Firewall auf dem Router überhaupt nichts, wenn ein Angriff indirekt, z. B. über einen Trojaner ausgeführt wird.

Gruß

Ihr Rechner wurden von einem entfernten Rechner auf offene
Internet-Dienste (Ports) abgetastet.

Abgetastet? Das klingt ja wie ein Besuch beim Proktologen…

Ich habe gerade auch schon etwas gegoogelt und gelesen, dass
so ein Angriff eigentlich bereits vom Router abgewehrt werden
müsste.

Üblicherweise ist der PC hinter dem Router aus dem Internet nicht direkt erreichbar. Es gibt drei Möglichkeiten, wie es dennoch zu einem Portscan kommen kann:

• der Scan wurde nicht aus dem Internet ausgeführt, sondern aus dem lokalen Netz. Wenn du mehrere Geräte betreibst, kann es z. B. sein, dass ein Gerät die anderen Geräte nach bestimmten Diensten fragt, etwa ‚Bist du ein Drucker?‘. Es kann aber natürlich auch sein, dass eines der Endgeräte sich einen Trojaner eingefangen hat, und jetzt versucht, die anderen Endgeräte auszuspähen.
• der Router ist so eingerichtet, dass er alle oder bestimmte Anfragen aus dem Internet an einen bestimmten PC im lokalen Netz durchreicht. Das solltest du dann aber wissen, denn das muss von dir aktiv und gezielt so eingestellt worden sein

Wir haben seit einer Woche einen Neuen

Warum habt ihr einen neuen Router? Habt ihr einen neuen Providervertrag, oder hat euer Internet-Provider seinen Dienst in irgendeiner Form verändert? Dann kann die dritte Möglichkeit zum Tragen kommen:

• ihr habt neuerdings IPv6 und eure Endgeräte kommunizieren auch intern über dieses Prtotokoll. In dem Fall hat jetzt jedes Endgerät eine direkt aus dem Internet erreichbare Adresse. Damit greift der Schutz, den der Router euch bislang gewährt hat, nicht mehr.

Gruß

Üblicherweise ist der PC hinter dem Router aus dem Internet
nicht direkt erreichbar. Es gibt drei Möglichkeiten, wie es
dennoch zu einem Portscan kommen kann:

• der Scan wurde nicht aus dem Internet ausgeführt, sondern
  aus dem lokalen Netz. Wenn du mehrere Geräte betreibst, kann
  es z. B. sein, dass ein Gerät die anderen Geräte nach
  bestimmten Diensten fragt, etwa ‚Bist du ein Drucker?‘. Es
  kann aber natürlich auch sein, dass eines der Endgeräte sich
  einen Trojaner eingefangen hat, und jetzt versucht, die
  anderen Endgeräte auszuspähen.

Wir haben nur drei Laptops, die mit dem Router verknüpft sind und zu dem Zeitpunkt war nur ich am PC. Kann das dann trotzdem der Grund sein?

• der Router ist so eingerichtet, dass er alle oder bestimmte
  Anfragen aus dem Internet an einen bestimmten PC im lokalen
  Netz durchreicht. Das solltest du dann aber wissen, denn das
  muss von dir aktiv und gezielt so eingestellt worden sein

Wir haben an den Einstellungen nichts verändert. Von daher fällt diese Möglichkeit schonmal raus.

• ihr habt neuerdings IPv6 und eure Endgeräte kommunizieren
  auch intern über dieses Prtotokoll. In dem Fall hat jetzt
  jedes Endgerät eine direkt aus dem Internet erreichbare
  Adresse. Damit greift der Schutz, den der Router euch bislang
  gewährt hat, nicht mehr.

Unser alte Router ging leider nicht mehr. Da musste ein neuer her.
Irgendwas mit IPv6 hab ich bei den Einstellungen gesehen. Das heißt also das jeder Laptop eine eigene Adresse hat und nun der eine auf den anderen zugreifen möchte? Aber müssten dann die anderen nicht auch eine solche Meldung bekommen? Bis jetzt war das nicht der Fall.

Wie ist das den mit diesen offenen Ports? Wie findest man heraus, ob man welche hat und wenn ja, ist es besser und sicherer diese zu schließen?

Ich verstehe nicht, dass du mein Statement als hanebüchernen Unsinn bezeichnest, wenn du dann selbst zugegeben detaillierter als ich doch anführst wo es Sinn macht. Hauptsache gemotzt.

Die IP-Adresse gehört zu einem PC im Netz. Diese kann statisch zugewiesen sein (dies sieht für den Angreifer jetzt auf den ersten Blick so aus), kann aber auch beim Verbindungsaufbau dynamisch vergeben werden. D. h. Ein PC der sich ins Internet einwählt ist über seine IP-Adresse genau identifiziert und erreichbar, hat aber nicht unbedingt immer dieselbe IP-Adresse bei jedem Verbindungsaufbau. Wie das für Angreifer und dich aussieht kann man so jetzt nicht 100%ig sagen.

Es bleibt, dass deine Firewall Portscans abwehrt. Infos zu Portscans: http://www.nwlab.net/art/portscan/firewall-scan.html

Nachdem du sagst, die anderen PCs waren zumindest zum Zeitpunkt des ersten Versuchs nicht online bzw an, kann ich mir kaum vorstellen, dass die Scans von intern kommen. Wenn du ganz sicher gehen willst:

Auf obiger Site gibt es auch einen Link, über den du für jeden deiner Laptops die IP-Adresse ermitteln kannst (geht auch über cmd.exe mit der Anweisung ipconfig oder ipconfig /all auf jedem Laptop). Wenn du diese weißt, lässt sich ermitteln, ob die Angriffe vom internen Netz (also einen der Laptops) gestartet werden.

Eine letzte Möglichkeit für interne Scans wäre der Provider Router selbst. Dieser ist dein Gateway (IP-Adresse ebenfalls über ipconfig /all zu ermitteln) und wenn die Scans von da kommen sollten, mal beim Provider nachfragen. (Zumindest bei der Fritzbox habe ich vor längerer Zeit gesehen, dass so etwas vorkommen kann).

Bei weiteren Fragen, gerne melden.

Wir haben nur drei Laptops, die mit dem Router verknüpft sind
und zu dem Zeitpunkt war nur ich am PC. Kann das dann trotzdem
der Grund sein?

Jedes eingeschaltete Gerät versendet Broadcasts, egal ob gerade jemand angemeldet ist, oder nicht. Ausserdem könnte auch der Router den PC angefragt haben. Das kannst du aber leicht herausfinden, indem du die in der GData-Meldung unter „Entfernter Rechner“ vermerkte Adresse prüfst. Oder diese, der Einfachheit halber, hier mitteilst. Ohne Angabe dieser Adresse können wir hier nur spekulieren.

Wir haben an den Einstellungen nichts verändert. Von daher
fällt diese Möglichkeit schonmal raus.

Solange du keine halbwüchsigen Kinder (zu Besuch) hast…

Irgendwas mit IPv6 hab ich bei den Einstellungen gesehen. Das
heißt also das jeder Laptop eine eigene Adresse hat und nun
der eine auf den anderen zugreifen möchte?

Ne, das heisst erstmal noch nichts.

Wie ist das den mit diesen offenen Ports? Wie findest man
heraus, ob man welche hat und wenn ja, ist es besser und
sicherer diese zu schließen?

Unter Windows: Eingabeaufforderung, netstat -a. Da sollte eine ziemliche Liste gezeigt werden. Deren Bedeutung dürfte dir ziemlich schleierhaft sein - und das kann sie wahrscheinlich ruhig auch bleiben.

Ich vermute stark, dass dein GData sich nur wichtig machen und mit angeblichen Abwehrerfolgen prahlen will - so wie Geheimdienste gerne prahlen, um ihre weitere Finanzierung sicherzustellen, und dann doch nur heisse Luft liefern.

Aber darüber lässt sich ohne detailliertere Information, insbes. die Adresse des angeblichen Angreifers, wie bereits gesagt, nur spekulieren.

Gruß

Also ich glaube das ich nur auf Youtube war.

Das glaubst Du.
In Wirklichkeit hast Du beim Aufruf eines YouTube Videos Deine Daten an eine zwei- bis dreistellige Anzahl Server diverser Unternehmen geschickt. Werbung ist ein typisches Einfallstor für unerwünschte Kommunikation.

Und der Übergang zwischen Werbung und kriminellem Handeln ist fließend.

Ciao, Allesquatsch