Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 22
Like Tree1Likes

Thema: Jo, nu bin ich auch hier ...

  1. #1
    Avatar von Lotti
    Lotti ist offline Mitglied
    registriert
    08-11-2016
    Ort
    Bonn
    Beiträge
    29

    Jo, nu bin ich auch hier ...

    Da ich nicht ausschließen kann, dass ich in diesem Forum vielleicht auch ein paar dumme Fragen stelle, hier ein paar Infos über mich:

    Ich bin "Hobbyprogrammierer". Begonnen habe ich in den 70ern mit einem Commodoere 64 und BASIC (das kennen wohl nur die Senioren). Nach Turbo Pascal (80er) wechselte ich dann zu HTML, PHP und SQL (intensiv) und seit letztem Jahr spiele ich auch mit Javascript (wat mutt dat mutt) rum. Ich kopiere keine fremden Scripte, sondern versuche sie zu verstehen und programmiere dann Zeile für Zeile selbst, um wirklich nur meine Wünsche umzusetzen und die volle Kontrolle zu haben.

    Warum bin ich hier?
    Vor einigen Wochen habe ich festgestellt, dass der Rechner eines Familienmitglieds im Haus sich unmittelbar nach Herstellen der Netzverbindung über zahlreiche willkürliche Ports mit diversen Servern verbindet (cmd: netstat -a).
    Die Adressen gehören alle zu Akamai Technologies (siehe Wikipedia). Der Rechner ist wohl Teil mehrerer Botnetze und Microsoft und andere Größen der Branche (laut Wikipedia sogar auch das deutsche Bundeskanzleramt) unterstützen dieses Geschäft (eigenmächtige Nutzung von Prozessorleistung und Transfervolumen) offensichtlich. Man findet Hinweise im Netz, dass man sich die "Botnet-Remote-Software" inzwischen sogar über die offiziellen Sicherheitsupdates (von Microsoft, Adobe ...) einfängt.
    Antivirenprogramme, Taskmanager, ProcessExplorer u.a. erkennen die Dienste nicht, obwohl das Thema und Problem schon seit mehreren Jahren bekannt ist.

    Gestern wurde auch mein Rechner infiziert, nachdem ich Avira aktualisieren und meinen (täglichen) Scan starten wollte. Nach Update der Virensignaturen kam die Meldung, dass Avira nicht (mehr) gefunden wurde. Danach konnte auch ich erste Remotes (Tendenz steigend) feststellen. Damit festigt sich nun mein Plan, Microsoft komplett zu verbannen.

    Allerdings denke ich mit meinem gefährlichen Halbwissen und Blick aus der Javascript-Froschperspektive, dass es doch möglich sein müsste, Informationen über die TCP- und UDP-Ports auszulesen (wie es netstat ja auch macht), um dann reagieren zu können?

    Die Stichwortsuche in diesem Forum hat mir bislang noch nicht weitergeholfen, aber vielleicht werde ich ja noch fündig. Wenn nicht, wäre das vielleicht ein neues Thema.

    Ergänzung:
    Es handelt sich bei den Remotes wohl doch nicht um eine missbräuchliche Nutzung. Auffällig war, dass in einem Zeitraum von mehreren Tagen Verbindungen über teils mehr als 20 Ports hergestellt wurden und auch Traffic erfolgte. Inzwischen hat sich das wieder normalisiert.
    Geändert von Lotti (22-11-2016 um 13:03 Uhr)

  2. #2
    Avatar von mikdoe
    mikdoe ist offline Administrator
    registriert
    01-05-2010
    Beiträge
    7.147

    AW: Jo, nu bin ich auch hier ...

    Herzlich Willkommen!

    Aber was hat ein Virus mit JS zu tun?
    Das deutsche Javascript Forum http://forum.jswelt.de http://forum.jswelt.de/images/logoJsWeltForumV4_32x22.png
    Sorry wenn ich manchmal ohne Hallo und nur klein schreibe! Dann bin ich nicht unfreundlich sondern mit nervigem kleinem Touch Tablet zugange

  3. #3
    tsseh ist offline Foren-Gott
    registriert
    19-05-2008
    Beiträge
    5.359

    AW: Jo, nu bin ich auch hier ...

    Zitat Zitat von Lotti Beitrag anzeigen
    Vor einigen Wochen habe ich festgestellt, dass der Rechner eines Familienmitglieds im Haus sich unmittelbar nach Herstellen der Netzverbindung über zahlreiche willkürliche Ports mit diversen Servern verbindet (cmd: netstat -a).
    das ist ja erst mal nicht ungewöhnlich

    Zitat Zitat von Lotti Beitrag anzeigen
    Die Adressen gehören alle zu Akamai Technologies (siehe Wikipedia). Der Rechner ist wohl Teil mehrerer Botnetze
    wie kommst du da auf botnetze ?

    Zitat Zitat von Lotti Beitrag anzeigen
    und Microsoft und andere Größen der Branche (laut Wikipedia sogar auch das deutsche Bundeskanzleramt) unterstützen dieses Geschäft (eigenmächtige Nutzung von Prozessorleistung und Transfervolumen) offensichtlich.Man findet Hinweise im Netz, dass man sich die "Botnet-Remote-Software" inzwischen sogar über die offiziellen Sicherheitsupdates (von Microsoft, Adobe ...) einfängt.
    das was ich dazu finde ist, dass u.a. Microsoft Updates über akamaitechnologies.com laufen.

    Zitat Zitat von Lotti Beitrag anzeigen
    Antivirenprogramme, Taskmanager, ProcessExplorer u.a. erkennen die Dienste nicht, obwohl das Thema und Problem schon seit mehreren Jahren bekannt ist.
    welches problem? das jemand einen server bei akamaitechnologies.com gemietet hat und deine software diesen dann nutzt?

    Zitat Zitat von Lotti Beitrag anzeigen
    Allerdings denke ich mit meinem gefährlichen Halbwissen und Blick aus der Javascript-Froschperspektive, dass es doch möglich sein müsste, Informationen über die TCP- und UDP-Ports auszulesen (wie es netstat ja auch macht), um dann reagieren zu können?
    was willst du auslesen und wie reagieren?
    angenommen der adobe reader macht ein automatisches update und lädt daten über akamaitechnologies.com. was willst du dann machen?

  4. #4
    Avatar von Lotti
    Lotti ist offline Mitglied
    registriert
    08-11-2016
    Ort
    Bonn
    Beiträge
    29

    AW: Jo, nu bin ich auch hier ...

    Hallo mikdoe,
    es geht ja gar nicht um einen Virus. Akamai bietet seine Botnet-Nutzung, zu der offensichtlich auch meine Rechnerleistung gehört, ganz legal gegen Entgelt an und vermietet sie an Dritte. Ich möchte das kontrollieren und natürlich verhindern - und ich dachte, mit JS wäre das vielleicht möglich?
    Die ungewollten Remote-TCP-Zieladressen enthalten fast alle z.B. die Zeichenketten "fra" und "-in-f".
    Ich würde mir wünschen, dass man mit JS die Ports (alle) abfragen kann und dann diejenigen anzeigen lässt, deren Remoteadresse eine der Zeichenketten enthält.

    - - - Aktualisiert - - -

    Hallo tsseh,
    Mir ist schon klar, dass inzwischen Vieles über Akamai läuft. Wenn ich ein Update mache oder gewollt einen Prozess anstoße, der über Akamai läuft, ist das ja kein Problem.
    Wenn ich dabei aber vermutlich ein Script untergejubelt bekomme, damit meine Prozessorleistung und meine Transferrate mitbenutzt werden kann, und Akamai diese gegen Entgelt Dritten anbietet, würde ich da gern schon ein Wörtchen mitreden.
    Ich würde - vielleicht mit JS ? - gern den Status meiner Ports auslesen (wie das ja netstat auch macht) und die Remoteadressen nach speziellen Zeichenketten durchsuchen. So könnte ich ungewollte Remotes angezeigen lassen und dann reagieren - z.B. die Verbindung über diesen Port trennen/unterbinden/umleiten ...?
    Das Scripten würde ich schon hinbekommen, wenn ich erfahre, wie ich die Ports auslesen kann.
    Wer weiß, dass er dumm ist, ist schlauer als jemand, der nicht weiß, dass er dumm ist

  5. #5
    tsseh ist offline Foren-Gott
    registriert
    19-05-2008
    Beiträge
    5.359

    AW: Jo, nu bin ich auch hier ...

    Zitat Zitat von Lotti Beitrag anzeigen
    Akamai bietet seine Botnet-Nutzung, zu der offensichtlich auch meine Rechnerleistung gehört, ganz legal gegen Entgelt an und vermietet sie an Dritte.
    wie kommst du darauf?

    Zitat Zitat von Lotti Beitrag anzeigen
    Ich möchte das kontrollieren und natürlich verhindern - und ich dachte, mit JS wäre das vielleicht möglich?
    nur mit serverseitigem js - nodejs

    Zitat Zitat von Lotti Beitrag anzeigen
    Wenn ich dabei aber vermutlich ein Script untergejubelt bekomme, damit meine Prozessorleistung und meine Transferrate mitbenutzt werden kann, und Akamai diese gegen Entgelt Dritten anbietet, würde ich da gern schon ein Wörtchen mitreden.
    wieso sollten sie das machen?

    Zitat Zitat von Lotti Beitrag anzeigen
    Das Scripten würde ich schon hinbekommen, wenn ich erfahre, wie ich die Ports auslesen kann.
    im einfachsten fall, indem du serverseitig einfach netstat aufrufst
    https://nodejs.org/api/child_process...les_on_windows

  6. #6
    Avatar von Lotti
    Lotti ist offline Mitglied
    registriert
    08-11-2016
    Ort
    Bonn
    Beiträge
    29

    AW: Jo, nu bin ich auch hier ...

    Hallo tsseh,
    Akamai vermietet und verkauft offiziell "Performance". Das steht außer Frage. DASS 2 Rechner im Haus "misbraucht" werden, haben 2 IT-Sicherheits-Spezialisten aus unserem Freundeskreis übereinstimmend festgestellt.

    Das wieso ist ein Thema für sich.

    In nodejs muss ich mich dann wohl mal einlesen.

    Danke
    Wer weiß, dass er dumm ist, ist schlauer als jemand, der nicht weiß, dass er dumm ist

  7. #7
    tsseh ist offline Foren-Gott
    registriert
    19-05-2008
    Beiträge
    5.359

    AW: Jo, nu bin ich auch hier ...

    Zitat Zitat von Lotti Beitrag anzeigen
    DASS 2 Rechner im Haus "misbraucht" werden, haben 2 IT-Sicherheits-Spezialisten aus unserem Freundeskreis übereinstimmend festgestellt.
    da sieht man mal wieder, dass heutzutage nicht viel dazugehört um spezialist zu werden

  8. #8
    Avatar von Lotti
    Lotti ist offline Mitglied
    registriert
    08-11-2016
    Ort
    Bonn
    Beiträge
    29

    AW: Jo, nu bin ich auch hier ...

    Du piekst aber gern, was?
    Wer weiß, dass er dumm ist, ist schlauer als jemand, der nicht weiß, dass er dumm ist

  9. #9
    tsseh ist offline Foren-Gott
    registriert
    19-05-2008
    Beiträge
    5.359

    AW: Jo, nu bin ich auch hier ...

    ja, natürlich

  10. #10
    Avatar von Lotti
    Lotti ist offline Mitglied
    registriert
    08-11-2016
    Ort
    Bonn
    Beiträge
    29

    AW: Jo, nu bin ich auch hier ...

    Ok, warum nicht?

    Ich formuliere mein Anliegen mal etwas um:
    Ich würde mir gern meinen eigenen Portscanner programmieren, den ich lokal starten oder im Hintergrund laufen lassen kann, und der mir dann definierte Feststellungen meldet, damit ich dann über optionale und ebenfalls selbst gebastelte Klickerchen alternativ reagieren kann.
    Mit PHP könnte ich das, aber das geht ja nicht lokal. Daher denke ich an JS oder eine Alternative, die ich lokal ausführen kann.
    In der JS-Referenz habe ich leider nichts passendes gefunden und dachte, dass es hier vielleicht Spezialisten gibt, die mir den "Einzeiler" zum Auslesen der Ports geben können
    Wer weiß, dass er dumm ist, ist schlauer als jemand, der nicht weiß, dass er dumm ist

  11. #11
    tsseh ist offline Foren-Gott
    registriert
    19-05-2008
    Beiträge
    5.359

    AW: Jo, nu bin ich auch hier ...

    Zitat Zitat von Lotti Beitrag anzeigen
    Mit PHP könnte ich das, aber das geht ja nicht lokal.
    du kannst php lokal installieren

    Zitat Zitat von Lotti Beitrag anzeigen
    Daher denke ich an JS oder eine Alternative, die ich lokal ausführen kann.
    du kannst lokal alles installieren, was auch auf einem server läuft

    Zitat Zitat von Lotti Beitrag anzeigen
    In der JS-Referenz habe ich leider nichts passendes gefunden
    wenn du das mit clientseitigem js machen könntest, wäre das ein sicherheitsleck

  12. #12
    Avatar von Lotti
    Lotti ist offline Mitglied
    registriert
    08-11-2016
    Ort
    Bonn
    Beiträge
    29

    AW: Jo, nu bin ich auch hier ...

    klar könnte ich PHP lokal (auf meinem Rechner) einrichten. Da aber mehrere Rechner betroffen sind (am WE kamen im Bekanntenkreis auch noch 3 dazu), wäre ein eigenständig laufendes Script ohne zu installierende SW halt besser. Ich würde ja gern auch den anderen helfen.
    Das "Delta" zwischen JS und Sicherheit ist schon klar.

    Gibt es denn überhaupt eine Möglichkeit, mit JS die 4 Infos (Proto, Lokale Adresse, Remoteadresse und Status) abzufragen, die netstat liefert?
    Wer weiß, dass er dumm ist, ist schlauer als jemand, der nicht weiß, dass er dumm ist

  13. #13
    tsseh ist offline Foren-Gott
    registriert
    19-05-2008
    Beiträge
    5.359

    AW: Jo, nu bin ich auch hier ...

    Zitat Zitat von Lotti Beitrag anzeigen
    Da aber mehrere Rechner betroffen sind (am WE kamen im Bekanntenkreis auch noch 3 dazu)
    es dürfte sich um jeden rechner handeln


    Zitat Zitat von Lotti Beitrag anzeigen
    Gibt es denn überhaupt eine Möglichkeit, mit JS die 4 Infos (Proto, Lokale Adresse, Remoteadresse und Status) abzufragen, die netstat liefert?
    clientseitig nicht, bzw. als addon dürfte es vielleicht gehen

  14. #14
    Avatar von Lotti
    Lotti ist offline Mitglied
    registriert
    08-11-2016
    Ort
    Bonn
    Beiträge
    29

    AW: Jo, nu bin ich auch hier ...

    Ok und schade, aber Danke
    Wer weiß, dass er dumm ist, ist schlauer als jemand, der nicht weiß, dass er dumm ist

  15. #15
    tsseh ist offline Foren-Gott
    registriert
    19-05-2008
    Beiträge
    5.359

    AW: Jo, nu bin ich auch hier ...

    du könntest einfach ein batch script schreiben oder den wsh nutzen

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. Auch hier: Falsche Darstellung im Internet Explorer
    Von kaykay im Forum CSS und (X)HTML
    Antworten: 3
    Letzter Beitrag: 05-06-2009, 15:25
  2. Habt ihr auch das Problem hier im Forum?
    Von WoWa im Forum Smalltalk
    Antworten: 14
    Letzter Beitrag: 10-06-2005, 23:14
  3. Bin neu hier
    Von TRUBRO im Forum Smalltalk
    Antworten: 2
    Letzter Beitrag: 04-02-2003, 15:22
  4. Ich bin neu hier
    Von Stephan II. im Forum JavaScript
    Antworten: 1
    Letzter Beitrag: 15-06-2001, 01:46

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •