backdoor-g-1

#1 halo

hab eine frage ?
habe win98 se und norton firewall 2002

hab die statistiken gestren geöffnet und hab bei verbindungen

backdoor-g-1 ( weiss leider nicht mehr den port )gefunden.

wo kann ich im internet über dies etwas finden ?

kann mir jemand erklären was das genau ist ?

vielen dank für ihre antwort

grüsse

#2 Versuchs mit ner Suchmaschine:
Trage (mit Anfürungszeichen) "Backdoor-g-1" ein
Ein Backdoor ist eine Art Trojaner, der auf einem System auf welchem er sich befindet, eine "Hintertür" öffnet. Über diese hintertür kann ein Dritter unbemerkt Zugriff auf das System bekommen.
In deinem Fall ist es durchaus möglich, daß dein PC auf einem Port gescannt gescannt wurde, welcher in Nortons Datenbank als Trojanerport vermerkt ist.
Das bedeutet nicht zwingend, daß Du auch so einen Trojaner "an Board" hast.

Im Zweifelsfalle PC mit AV-Software scannen.
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Einen Trojaner als Backdoor zu bezeichnen ist Falsch.
Desweiteren sind Backdoors auf WINsystem eher seltenheit.
Backdoors werden Hauptsächlich im Linux/Unixbereich angewandt

Es gibt diverse "Win/LinuxBackdoors"

Ein Backdoor ist eine möglichst unsichtbare Möglichkeit Zugang auf ein System zu erhalten.

Die Häufigsten Aufgaben sind

1.) Accounts mit Root/AdminRechten
2.) Logdateien auslesen
3.) Sniffen (Daten spähen)
4.) Root/Adminzugriff erhalten
5.) Zugangsmöglichkeiten die nicht zum Standard gehören

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#4 hallo

hab im internet nachgeschaut was backdoor-g-1 installiert ( registry, usw ) . hab nisvhts gefunden.
kann jemand mir eine seite sagen wo ich das finden kann.
hab kav laufen gelassen. hat aber nichts gefunden.

noch eine frage

bin immer eingelogt hier im forum. probier mich auszuloggen über logout aber passiert nichts bleib eingelogt

was kann ich tun ?

danke für die antwort

lw

#5 Danke für die Korrektur, aber auf Grund der vielfältigsten Mischformen ist es nicht gänzlich falsch
Ich formuliere es anders. Ein Trojaner kann Backdoor-Qualitäten haben und hat sie allermeist auch, dazu zählen teilweise auch die von Poiin aufgelisteten Punkte. Auch ein Wurm kann Backdoor-Routinen enthalten.

Wie ich schon sagte: die Meldung von NPF besagt nicht, daß Du den Von NPF erwähnten trojaner auf dem PC hast. Diese art von Meldung ist komplett irreführend, da von Symantec wohl nicht ausreichend erklärt. Wenn Du solche Meldungen in deinem Log liest, bedeutet das nicht, daß Dir jemand einen trojaner "schicken" möchte, sondern lediglich, daß irgend ein Host diesen Port aus welchem Grund auch immer angespreochen hat. Nicht weiters der Rede wert...

was macht dieser Backdoor nun ? : http://www.glocksoft.com/trojan_list/BackDoor_G.htm

---> Logout/Login : wenn Du die Möglichkeit hast es zu definieren, dann aktzeptiere alle Cookies für "board.protecus.de".

Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#6

Zitat

Einen Trojaner als Backdoor zu bezeichnen ist Falsch.

Was du schreibst, ist theoretisch sicher richtig (weil ein Backdoor i.d.R. gar nicht vorgibt, irgendwie nützlich zu sein.) Dennoch zählen eigentlich alle Definitionen, die mir bisher so begegnet sind (auch "professionelle"), Backdoors eindeutig zu den Trojanern. Einige kennen sogar gar keine andere Trojaner-Art, als Backdoors... :o

Ich persönlich würde/werde daher Backdoors weiterhin zu den Trojanern zählen (quasi als Konvention.)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#7 Backdoor VS Trojaner

Ein Trojaner basiert auf dem Client(Opfer) Server(Täter) Prinzip.

Die Server sind relativ gleich, es ist jedenfalls einfach einen Fertigen Server zu finden.
Es gibt zahlreiche Scanner um Clients aufzuspüren.
Opfer werden in größeren Aktion meißt nicht Einzelnd ausgesucht.
Es trifft eher zufällig zu.
Trojaner werden durch Sicherheitslücken (meißt Mensch genannt) eingeschmuggelt und nisten sich im OS ein.


Ein Backdoor

Backdoors werden normal z.b. mit "rootkits" eingerichtet.
Basierend auf Fehlern im System.Backdoors können normal nicht von jedem Xbeliebigen ausgeführt werden, wenn diese Installiert sind.
Backdoors können auch nicht mit speziellen Scannern gefunden werden *G*.
Backdoors direkt können kein System abstürzen lassen und/oder in der systemleistung beeinschränken.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#8

Zitat

poiin2000 postete
Ein Trojaner basiert auf dem Client(Opfer) Server(Täter) Prinzip.

Leider nicht korrekt!!!!! Eine normaler Trojaner beruht darauf, daß das Opfer einen SERVER erhält auf den der Täter mit einem CLIENT sich verbindet.

Nur ein Server kann dienste anbieten - somit muß das Opfer den Server haben.


R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Ja und Nein

Es ist ein Server(Opfer) Client(Täter) System.
Wobei der Server weniger Rechte als der Client hat.

Deswegen habe ich es auch umgedreht.

Auslegungssache.

Ein Server sollte normal mehr Rechte als ein Client haben.

Ganz richtig wäre dann.

Server[(Opfer)weniger Rechte] Client[(Täter)mehr Rechte]

Das ist aber wie gesagt, wegen der Außergewöhnlichen Rechteverteilung Auslegungssache.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#10 Definition Server:
Ein Service ist eine Softwareeinheit, die bestimmte Dienste erbringt; sie läuft auf ein oder mehreren Maschinen ab. Ein Server stellt eine Menge von Operationen (Prozeduren) zur Verfügung.

Definition Client:
Ein Client ist eine Anwendung, die auf einer Clientmaschine läuft und i.a. eine Anforderung initiiert, und die den geforderten Dienst vom angeforderten Service erhält.

Somit ist die Sache klar gereglt. Ich denke aber auch, daß gerade diese Sache sehr wichtig ist, um das Arbeitsprinzip zu verstehen. Deswegen lass ich da nicht mit mir diskutieren

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#11 Jedem seine Meinung.
Finde es aber immer gut, das auch ich noch etwas dazulernen kann.

Nebenbei ich verstehe das Prinzip eigentlich sehr gut.

Trotz allem hatte ich aus irgendeinem Grund die Rechte mit Server/Client verbunden.

naja ... man lernt ja ein ganzes leben lang

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#12 Ich finde die allg. Lage zur Begriffsdefinition alles andere als zufriedenstellend

Nur eine Seite habe ich gefunden, die ganz bewußt zwischen Trojaner und BAckdoor unterscheidet. Und auch hier überschneiden sich deren Eigenschaften.

Backdoor
"Backdoor Programme gehen schon eher in den Bereich der Hackerszene. Diese kleinen Programme kommen ebefalls per E-Mail oder Download. Sie ermöglichen einem Hacker oder anderen "bösen" Person relativ viel Unfug auf dem eigenen Rechner anzustellen. Sehr bekannte Backdoor Programe sind z.B. Back Orifice 2000, SubSeven oder NetBus. Sie öffnen für Eindringlinge eine Hintertür zum eigenen Rechner. Andere Personen können dann via Internet gezielt Daten klauen, löschen oder uploaden, die Systemeinstellungen verändern, das CD-Rom-Laufwerk schleißen bzw. öffnen, Fehlermeldungen generieren, den Rechner neu booten, Deinen Desktop sehen oder z.B. um 180 Grad drehen, die Mausbewegungen invertieren, angschlossene Geräte wie WebCams usw. starten... - mit anderen Worten: Man ist hilflos ausgeliefert. Diese Programme stellen eine Art gigantische "Fernbedienung" dar."

Trojaner
"Trojanische Pferde sind Programme, deren Hauptfunktion ist, Systeme und deren Anwender auszuspionieren. Sie können Sicherheitslücken erkunden, Hintertüren im System öffnen oder bestehende Infrastrukturen zerstören. Trojaner sind beispielsweise in der Lage, die Zugangsdaten von Homebanking- Anwendungen auszulesen, um diese dann ohne Wissen des Anwenders online per Internet weiterzugeben. Sie versuchen mit allen Methoden, Ihre Präsenz im Rechnersystem zu verbergen.
Trojanische Pferde werden als Tarnung an Share- und Freewareprogramme angehängt. Die Vorgehensweise ist denkbar einfach: Der User lädt nichtsahnend ein Programm aus dem Internet und startet es. Meistens erfüllen die Tarnprogramme nicht die gestellten Erwartungen und werden sofort gelöscht oder deinstalliert. Doch was der Geschädigte nicht weiß, ist, daß im Hintergrund ein weiteres Programm installiert wurde: Das trojanische Pferd. Hierbei ist es egal, ob man zum Zeitpunkt des Installation online war, oder nicht. Trojanische Pferde sind meistens kleine Programme, die "lediglich" einen Eintrag in der Windows-Registry vornehmen. Doch dieser Eintrag hat gravierende Folgen: Er öffnet bestimmte Ports ihres PC und läßt sie das nächste mal, wenn sie online gehen, vor Hackern absolut ungeschützt.
Trojanische Pferde bestehen aus 2 Teilen: Dem Client und dem Server. Der Server ist der infizierte und der Client derjenige, der mittels des Trojaners Zugriff auf den Server zu bekommen versucht. Wenn der Server das nächste mal online geht, benötigt der Client lediglich die IP-Nummer des Servers und schon hat er vollen Zugriff auf dessen PC. Er kann z.B. das CD-Rom Laufwerk Ihres PC`s öffnen, Sreenshots ihres Desktops machen, Dateien kopieren oder löschen, Passwörter decodieren usw... kurz gesagt: der Client hat die volle Kontrolle über das Server-System.
Ein neues Kapitel im Bezug auf Trojaner wurde am 04.August 1998 aufgeschlagen, als die amerikanische Hackergruppe CULT OF THE DEAD COW das "Windows Remote Administration Tool" (Fernwartungswerkzeug) BACK ORIFICE präsentierte, welches selbst Laien ermöglicht, individuelle Trojaner zu konfigurieren. Danach folgten rasanten Tempo noch viel leichter zu bediene Trojaner wie Netbus & Subseven etc... und heutzutage hat die AntiViren-Industrie probleme die Trojaner zu erkennen, weil die Trojaner sich immer besser und geschickter Tarnen & Verstecken können bzw. ihre Form ist heutzutage sogar änderbar...
Quelle : http://www.geocities.com/h_invincible/Viren.htm

Das ist warscheinlich nicht der Weisheit letzter Schluss.
wenn ich mir das so durchlese, scheint der einzigste Unterschied darin zu bestehen, daß ein Trojaner zu Spionage in der Lage ist, sich Informationen beschaffen kann um sich dann auch wieder unbemerkt "davonzumachen".
Er muß nicht zwingend dahingehend ausgelegt sein, eine Hintertür zu öffnen
über welche ein Dritter dann Zugriff erhält. Nun scheint es Backdoors mit trojanischen Qualitäten zu geben und Trojaner mit Backdoor-Funktionen, was in meinen Augen eine klare Definition wirklich erschwert.

@ Poiin, wenn ich Dich richtig versteh, meinst Du, daß ein Backdoor lediglich eine "Schwäche" (bzw. nutzt diese aus--->[Exploit ?!]) an einer bestimmten Stelle im System erzeugt, die nur der ausnutzen kann, der auch konkret davon weiß, evtl sogar lokalen Zugang benötigt ?
Wenn Du sagst, daß ein Backdoor nicht mit Scannern gefunden werden kann-
die Virendefinitionen meines Scanner sind voll davon, zumindest namentlich.
Ist ein BAckdoor deiner Auffassung nach keine Code ?
Grüsse, Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#13 Eine Backdoor ist im Prinzip fehlerhafter Code in einer Softwarekomponente - ich würde die gern noch etwas unterteilen:

- Schwachstellen in Standardsoftware durch Programmierfehler - also beispielsweise in Betriebssystemen

- Schwachstellen in Software, die mit Absicht eingefügt wurde, damit 3. Zugriff erlangen können.

@Josch: Netbus, BackOrifice und Co. sind IMHO die klassischen Trojaner und keine Backdoor. Die zwei Definitionen widersprechen sich auch dahingehend.

Backdoors - Fehler in Software

Fehler und Löcher in Software gibt es, seit es Software gibt. Viele der Löcher wurden im Laufe der Zeit gestopft, jedoch bleibt ein grundsätzliches Problem bestehen: Das Schreiben korrekter Software scheint ein unlösbares Problem darzustellen – es wimmelt von Fehlern. Für diese Betrachtung wird ein Fehler nicht nur als Abweichung von der Spezifikation sondern auch als eine nicht korrekte Spezifikation definiert. Dies ist besonders wichtig, wenn man Internetwürmer wie I Love you betrachtet, die eine solche falsche Spezifikation eines oder mehrerer Programme ausnutzen. In diesem Fall wird die durchaus gewollte Skriptingfähigkeit der eMail Clients Outlook und Outlook Express genutzt, um schädliche Funktionen auf dem Zielsystem auszulösen. Die Spezifikation der beiden Programme sah keinerlei Schutzmechanismen für einen solchen Gebrauch von Visual Basic Script vor. Diese Mechanismen wurden nachträglich mit den Servicepacks 1 und 2 in die Spezifikation aufgenommen.
Eine Abweichung von der Spezifikation, also der Fehler im klassischen Sinn, liegt dann vor, wenn eine Ungenauigkeit in der Umsetzung des Programms ausgenutzt werden kann. Dies ist beispielsweise der Fall, wenn Dienste oder Programmteile aufgerufen werden, wobei keine Vorkehrung gegen Pufferüberläufe getroffen werden. Dies ist ein beliebter Punkt um Systeme zum Stillstand zu bringen.

Um solchen Fehlern vorzubeugen wird seit langer Zeit ein gutes Software Engineering gefordert, welches durch Evaluierungsstellen überwacht und durchgesetzt wird. Aber wie wir alle wissen, haben selbst mit größter Sorgfalt konstruierte Systeme Fehler.


Trojaner:

Ein Trojanisches Pferd ist ein Programm, dessen implementierte Ist-Funktionalität nicht mit der angegebenen Soll-Funktionalität übereinstimmt. Es erfüllt zwar diese Soll-Funktionalität, besitzt jedoch darüber hinausgehende, beabsichtigte zusätzliche Funktionen.
Ein Trojanisches Pferd besitzt verborgene Eigenschaften, um z.B. in ein System einzudringen, um Daten aufzuzeichnen oder zu manipulieren.


Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#14 @ joschi : ich habe von RemoteScanner geredet, die einzelne Subnetze nach Infizierten System scannen

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#15 Ich möchte aber auch nicht verschweigen, daß es inzwischen auch andere Trojaner gibt. Bei diesen ist der Untermieter (Programmteil auf dem Computer des Opfers) eine Art Zwitterwesen - er ist sowohl Client als auch Server:

Ist der Trojaner aktiv, so versucht er sich zu einer bestimmten IP-Adresse zu verbinden - in diesem Fall ist er Client - sobald dies erfolgreich geschehen ist, erfolgt allerdings eine ganz normale Serverfunktionalität auf dem Rechner des Opfers.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...