scanning efter "bagdøre"

bagdøre kan evt. være porte der er åbne... som hackere så kan gå ind og scanne... og derefter få adgang vha. den åbne port (det er noget i den stil)...

En bagdør kan være en trojansk hest. Det vil sige du f.eks downloader et freeware prg. og med dette prg. kan følge en trojansk hest, som gør det muligt for ejeren via en bagdør at komme til din computer. Det du kan gøre er at tjekke for trojanske heste ind imellem. Flere AV prg. finder og fjerner også trojanske heste, men ikke dem alle. Der er også prg. som spybot og ad-aware som finder og fjerner disse trojanske heste.
Du kan læse meget mere om disse ved at gå på http://www.spywarefri.dk

Og så kan du selvfølgelig installere et prg. direkte rette mod disse trojanske heste, som du også kan finde på forsiden af spywarefri.

Jeg ved ikke om det er muligt, men kunne du ikke bruge "nmap" fra en anden maskine på det samme lan og scanne alle porte. Den ville nok kunne sige om der er en "server" (trojansk hest) der lytter på en eller anden port.
Jeg har ikke prøvet så jeg ved ikke om det virker.

forresten nmap kan du finde her http://www.insecure.org/nmap/

oh, forresten, du skal nok passe på ikke at scanne over gammelt netværks udstyr. Jeg havde en gammel cisco 2600 router som gik ned hver gang jeg scannede over den.

Hvis du vil prøve at scanne din computer for åbne porte kan du bruge en af dem som ligger her: http://www.spywarefri.dk/onlinevark.htm og her har jeg aldrig hørt om at folks computere gik ned.

aovergaard,den ville kun fange bagdøre som kan nås fra internettet og der kunne mange firewalls og andre node i mellem din computer og spywarefri droppe pakker på forskellige porte.
Så ja, en online scanning ville virke for at se om du er sårbar fra internettet, MEN det gør dig ikke 100% sikker på at du ikke har en bagdør, så vidt som jeg forstår ting.

Det er rigtig, defor skal det jo også kombineres med diverse spyware programmer så man kan være så sikker som det nu engang er muligt at blive.

men.... når jeg nu vil scanne en PC fra en anden PC inden for netværket (og dermed firewall'en), vil den så ikke bare finde ALLE porte og melde dem åbne? Der er jo intet som beskytter den...

Jeg havde håbet nogen havde lavet et program som specifikt gik på de bagdøre som diverse vira lavede.

>slindmann, lyder lidt vildt det du nævner der, men du har givetvis ret.
du kunne også prøve dette program i 14 dage
http://www.anti-trojan.net/en/download.aspx,

Du kan se de forskellige trojanerporte her: http://www.spywarefri.dk/trojporte.htm

>tomdane, du skal se en bagdør som en almindelig server der venter på at en klient (hackeren) skal forbinde sig til den IP og port (også skrevet IP:port). En scanning fra en PC til en anden på alle porte vil kun give "bingo" på porte hvor der er en server der lytter efter forbindelser.

Du kan se forskellen ved en lille test, først laver du en "telnet ip 80" (nummeret her er port nummeret og 80 er for http). Ip adressen skal være en webserver. Nu vil telnet give dig et blank vindue og du har faktisk en forbindelse mellem dig (som klient) og web serverne (som server). Du kan bare ikke snakke http og derfor kan du og serverne ikke rigtig snakke samme, derfor skal du bruge en browser, okay, du kan skrive "get" og enter og få noget tilbage.

Nu kan du lave en "telnet ip 12345" hvor 12345 er en port der sandsynligvis ikke er noget på og der vil telnet give op og lave en timeout fordi der ikke er nogle server til at svare.

Hvis du finder en port hvor du har en trojansk hest, ville du givetvis få en blank skærm som ved at telnette en webserver på port 80. Se evt. aovergaards svar over listen af porte.

Ved at lave en "nmap" fra en lokal maskine til en lokal maskine (med de rigtige parameter) kan man faktisk blive overrasket over hvor mange porte der er åbne og lytter. Det skal lige siges at nmap ikke er et anti-noget program, det er ment som et netværks administrations værktøj og mange noder (firewalls) er programmeret til at dedektere sådanne "angreb" på internettet og din ISP vil givetvis lukke din forbindelse hvis du prøver at scanne maskiner på internettet (hvis du bliver opdaget :-)

men som IT-ansvarlig i et netværk med 60 PC'er kan jeg jo godt acceptere at der på PC'erne er åbne porte, idet de jo må formodes at være sikre inden for firewall'en. Dermed vil jeg ikke blive overrasket over åbne porte.

Men OK, jeg kan jo scanne, og så checke listen igennem for de porte som er kendt for at blive brugt til bagdøre, dog er jeg ikke meget for at skulle løbe en txt-fil med 65000 porte igennem.

Er der nogen gode bud på hvordan en PC på indersiden af et firmanetværk bør sættes op?

Du behøver ikke at scanner interne PC, da din firewall ikke NAT'ter ind, så du bliver ikke angrebet ude fra.
Men som ansvarlig skal du sørger for at du er updateret med antivirus og jeg vil tro at de også tager div. trojanske heste.

En scanning med nmap giver kun en liste med de åbne porte, så der er ikke 65000 linjer i din tekst fil.

Du kan ikke rigtig styre hvilken porte dine PC på indersiden åbner, for det er afhæging af hvad programmer der er installeret og dit styresystem. Det eneste du kan gøre er at installere noget personligt firewall men om det kan betale sig er vel en anden sag.

Jeg er af den mening at det altid kan betale sig at scanne en maskine også selv om den står i PZ (Privat zone) altså bag firewall og skulle være sikker. Der er jo en grund til at man har en firewall. Det er jo som regel fordi man skal bruge noget på internettet eller vil tilbyde noget på internettet og så er der "huller" i firewall'en. At det er "huller" man selv har lavet betyder ikke noget. Der bliver også ved med at blive fundet nye måder at komme ind på private netværk på.
Jeg synes faren er at man siger .."jeg har en firewall så jeg er sikker" En firewall er også bare en maskine som bare er gjort mere sikker. Kommer en hacker først indenfor firewall'en vil det jo være rent slaraffenland hvis alt er usikkert på indersiden. Det gør jo bare ondt værre.
Portscan alle maskiner på det private net og følg altid med i hvad der sker på internettet.
Tilmeld dig nyheds breve fra cert, for at få de sidste nye "huller" og se om du har udstyr der er "huller" i.

Husk at ikke alle huller er nogle der skal lukkes. nogle huller bruger du jo måske at tage backup af maskiner eller andet. Det er også "huller" som bare skal være der.
Undersøg hvad der er på hverenkelt port du finder og luk de ting du ikke bruger.
Husk også at lukke for alle de porte du ikke bruger i din firewall.

Jeg vil bare lige give en bemærkning med på vejen.

En trojaner kan godt lytte på en host uden at åbne en port. Den kan også "lytte" på en port, som er åbnet af et andet program (f.eks. din web server). En port scanning vil derfor ikke altid afsløre om hosten er inficeret.

Der bruges teknikker som "raw sockets" og "sniffing". Læs evt. denne artikel:
http://www.infosecuritymag.com/2002/jul/faster.shtml

Du har fået en masse gode råd som andre også kan benytte sig af hvis du ellers sørger for at få dette spørgsmål lukket.