1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Wir danken allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben.

Trojaner in Office X

Dieses Thema im Forum "Hardware" wurde erstellt von Thomas Treyer, 30. Dezember 2001.

Seite 2 von 2
  1. zwoelf11_

    zwoelf11_ New Member

    wenn du die ports durch zugriff von aussen zu machst, kann eigentlich nichts schlimmes passieren. ein versuch isses wert:

    lass word aus. tippe <TT>netstat -n</TT>.
    merk dir alles, was bei "Active Internet connections" steht.
    (am besten machst n neues terminal fenster auf)

    starte word. tipp im neuen fenster wieder <TT>netstat -n</TT>.
    wenn ich es richtig verstanden habe, müsste jetzt ein neuer tcp port mit
    (state) = <TT>LISTEN</TT> da stehen. merk dir die nummer vom port:
    bei <TT>127.0.0.1.3000</TT> wäre es die 3000.
    Es müsste noch ein UDP port offen sein (zusätzlich zur 1033?!) wo bei Foreign Address <TT>*.*</TT> steht. merk dir auch hier die port nummer.

    jetz machen wir die ports fürs ethernet zu:
    <TT>% sudo ipfw add 666 deny tcp from any to &lt;LANIP&gt; &lt;TCPPORT&gt; via en0</TT>
    <TT>% sudo ipfw add 667 deny udp from any to &lt;LANIP&gt; &lt;UDPPORT&gt; via en0</TT>
    <TT>% sudo ipfw add 668 deny udp from &lt;LANIP&gt; &lt;UDPPORT&gt; to any via en0</TT>

    &lt;LANIP&gt; ist deine Lan IP Addresse (die im anderen rechner eingetragen ist). Wenns mit der nicht funktionier, wer "localhost" auch ne idee...
    &lt;TCPPORT&gt; und &lt;UDPPORT&gt; sind die Ports, die du dir gemerkt hast.

    um zu kucken, ob die regeln alle da sind:
    <TT>% sudo ipfw show</TT>
    und um sie wieder abzuschaffen (ausser durch nen neustart:)
    <TT>% sudo ipfw delete 666</TT>
    <TT>% sudo ipfw delete 667</TT>
    <TT>% sudo ipfw delete 668</TT>

    wär interessant, ob das so einfach geht. andernfalls muss man vielleicht die ganze port range sperren...
    ich glaub ich sollte mir mal office kaufen :eek:)
     
    zwoelf11_, 31. Dezember 2001
    #21
  2. DonRene

    DonRene New Member

    das ist ja allgemein so usus. das du wenn du z.b. 10 mal quark lizensiert hast und der 11. startet quark geht das nicht. dann muss sich einer aus dem netz abmelden.

    wenn es nur das wäre, dann ist das alles nix neues .-(
     
    DonRene, 31. Dezember 2001
    #22
  3. Thomas Treyer

    Thomas Treyer New Member

    Eine Anti-Piraten-Software! Darauf wäre ich so schnell nicht gekommen. Na ja, das kann jeder in seine Software einbauen, wenn er will. Aber halt, das kann ja nicht sein. UDP- und TCP-Ports sind ja im ganzen Internet sichtbar und nicht auf das lokale Netzwerk begrenzt. Scannt MS etwa alle Macs, die gerade im Internet sind? Verwenden die dafür eine Multicast-Adresse? Warum verwenden die kein Protokoll, das nicht auf IP, sondern direkt auf Ethernet basiert?

    Ich würde einmal vermuten, dass die Piraten-Fangschaltung von MS auch dann noch funktioniert, wenn diese UDP- und TCP-Ports gesperrt sind. Ich vermute eben, dass diese Ports einen anderen Zweck haben.

    @zwoelf11: Ich rate davon ab, MS Office X freiwillig zu kaufen, nur um diese Port-Experimente zu machen. Es reicht ja schon, wenn all die armen MS-Opfer dieses Office X kaufen müssen, die von der Umwelt dazu gezwungen werden.

    Thomas
     
    Thomas Treyer, 31. Dezember 2001
    #23
  4. DonRene

    DonRene New Member

    wie sieht das denn mit einem andern progi aus?
    also wenn du das gleiche mit ps oder quark machst.

    da muss ja auch die meldung kommen das das app schon geöffnet ist
    wie machen das die andern?
     
    DonRene, 31. Dezember 2001
    #24
  5. zwoelf11_

    zwoelf11_ New Member

    @Thomas:
    Wie schon erwähnt, ist es relativ egal, ob die Ports im Netz zu sehen sind. Wenn man das Protokoll nicht kennt, kann da niemand mist mit machen.
    Microsoft wird definitiv nicht "das ganze internet" abscannen nach Office-Ports. Jedes Programm wird in seinem Netz (also seine benachbarten computer) nach Office kopieen absuchen.
    Ich denke die selbe Lizenz wird auf zwei Rechnern gleichzeitig laufen können, sobald die in einem anderen subnetz liegen.
    Office werd ich mir aus dem Grund bestimmt nicht kaufen (hab ich zuviel geld?). mein vater wird es vielleicht mal (-wieder...) kaufen, dann probier ich es aus.
    TCP/UDP sind die einziege Möglichkeit. Ein "normaler" User kann unter OSX (und unix und viele andere OS) nicht direkt auf die Ethernet schnittstelle schreiben.

    @DonRene:
    Soweit ich weiss haben damals viele Programme dies über AppleTalk
    gemacht. Ich erinner mich noch an ein Programm, was genau dies verhindert "AppleCloak" oder so hiess es, und macht deinen Rechner im AppleTalk netzwerk einfach nur "unsichtbar", was wohl ausreichte.
    Irgendwie gabs doch auch mal "Programmverbindungen" über AppleTalk, wie das genau war/ist weiss ich aber nichtmehr :eek:)

    Jedenfalls müsste das alles relativ simpel umgebar sein :eek:)
    Ob der wohl in intervallen prüft, oder nur beim Programmstart? Letzteres würde ja bedeuten: beim starten einfach nur ethernet-stecker ziehen ;o)

    Das (doofe) Spiel Counter-Strike für die Windows-Welt ist übrigends schon gewitzter: Der sendet den CD-KEY zu einem Zentralen Server. Gibt es den Key nicht, oder benutzt den schon einer, oder kann er nicht zum Server verbinden(!), kann man nicht spielen.
    Kann sein, dass Quake3 das auch macht.

    Lustig, was die sich so alles einfallen lassen, gell? :eek:)
     
    zwoelf11_, 31. Dezember 2001
    #25
Seite 2 von 2

Diese Seite empfehlen