News Versuch: Wie schnell bekommt ein Windows-XP-PC mit Internet Trojaner-Besuch?

Also wenn ich das richtig verstanden habe hat er die Maschine direkt ins Internet gehängt (also kein Router, kein NAT, etc.). Dazu eben Firewall und AV deaktiviert.
Heißt jeder der die IP findet (und es gibt genug Crawler die das machen) kann sich mit der Maschine verbinden und sich vergnügen.

Das ist ungefähr so wie wenn ich ein Auto im schlimmsten Viertel in den USA abstelle, die Schlüssel stecken, und die Tür offen lasse.

Dementsprechend nicht wirklich überraschend. Hat schon seinen Grund warum man Server die vom Internet aus erreichbar sind extra überwachen und relativ aktuell halten sollte.
Ripcord schrieb:
Bin da kein Experte aber Ist es nicht möglich sowas bereits von den Servern der Netzbetreiber rausfiltern zu lassen bevor die Daten weitergeschickt werden?
Zum Vergrößern anklicken....
Was genau willst du filtern? Grundsätzlich ist dieses Experiment nicht unbedingt auf Privat-Nutzer umlegbar.
INU.ID schrieb:
Mich wundert es auch ein wenig, denn gegen "Abklopfen" der Ports usw. sollte WinXP (bzw. ein OS allgemein) doch eigentlich genug Sicherheiten bieten. Ich meine, es wurde doch schließlich lange Zeit mit Updates versorgt. Dass dann immer noch so viele "Lücken" offen bleiben? Schon bissl krass, find ich.
Zum Vergrößern anklicken....
ICMP ist eine Möglichkeit, das läuft auf einem niedrigeren Level ab wo keine Ports Anwendung finden.
Ansonsten sind so Dinge wie NetBIOS idR standardmäßig aktiviert.
ToZo1 schrieb:
...
Zum Vergrößern anklicken....
Du könntest eventuell an einem Pi-Hole Interesse finden.
Schnitzelnator schrieb:
Stellt mal einen Linuxserver online und loggt die Zugriffe mit ;) - Das Ding wird quasi sekündlich mit Anfragen bombardiert, die Brute-Force attacken auf z.B. SSH machen.(Edit: Sicherheit kennt eben keine Pausen oder Gnadenfristen ;) )
Zum Vergrößern anklicken....
Erste Aktion bei jedem meiner Server am Internet: Neuer Account mit sudo-Rechten, ssh-pubkey pushen, und sowohl root als auch Passwort-Authentifizierung deaktivieren.
Ports gibt es nur benötigte und idealerweise mit Whitelisting.
Lexx schrieb:
Wenn ja, dann schick mir mal deine IP,
ich check sschnell, ob dein Amiga sicher ist.
Zum Vergrößern anklicken....
127.0.0.1
 
Zuletzt bearbeitet:
Mal ne ( hoffentlich nicht allzu dämliche ) Frage : Macht es einen positiven Unterschied wenn ich mit einem Smartphone per USB-Tethering den alten XP-PC ans Internet hänge, hinsichtlich der Sicherheit ? Würde mit meinem good old Msi X58A-GD65 gerne mal wieder ...
 
sterreich schrieb:
Was genau willst du filtern? Grundsätzlich ist dieses Experiment nicht unbedingt auf Privat-Nutzer umlegbar.
Zum Vergrößern anklicken....
Das was einwandfrei ohne großen Aufwand erkennbar ist oder zumindest MAC-Adressen blockieren die nachweisbar permanend Schadsoftware verbreiten. Klar gibt es Möglichkeiten das zu umgehen aber komplett zu resignieren ist auch nicht der richtige Weg.
 
Zuletzt bearbeitet:
Wer verbindet sich schon mit dem Internet ohne Router bzw. mit Router aber alle Ports "forwarded" ? Der Youtuber ist ein Held... nicht. Außerdem wären die meisten XP Rechner wenigstens mit SP3 (und einer Unmenge an Patches die noch nach SP3 kamen) am Laufen. Wer schlau war, hat sich sogar die weiteren Patches von Windows PosReady 2009 geholt, damit sind die Kisten schon ganz gut in Summe geschützt. Dazu gab's auch noch außer Plan den EternalBlue- und den BlueKeep Patch. Damit hätte er es mal probieren müssen, aber dann hätte er nichts zu berichten gehabt...
 
Registrierzwang schrieb:
Wer verbindet sich schon mit dem Internet ohne Router bzw. mit Router aber alle Ports "forwarded" ? Der Youtuber ist ein Held...
Zum Vergrößern anklicken....
Also mit einem völlig aktuellem, voll gepatchtem Gerät könnte man das im Extremfall heutzutage sogar so machen. Wenn das Betriebssystem richtig konfiguriert ist, sollte kein einziger Port nach außen offen sein. Wenn man Linux für den Desktop installiert ist auch oft der SSH-Dienst gar nicht aktiv.

Wenn ein Rechner nicht auf irgendwelchen Ports lauscht, ist meistens auch egal, ob man eine Firewall an hat.
Das Problem hier ist vermutlich, dass in dem alten System wahrscheinlich Tonnen längst bekannter Sicherheitslücken sind, die routinemäßig von den Bots abgeklappert werden. Und sicherlich finden die Bots eben extrem schnell gleich mehrere Wege, Schadcode einzuschleußen.

Wahrscheinlich muss man nicht mal einen Port offen haben, sondern es reicht schon ein präpariertes IP-Paket zu senden, das im Windows-Kernel dann einen Buffer-Overflow verursacht oder ähnliches.
 
Ja gut, wenn er wirklich nur das "Ur-XP" (von ner alten XP-CD^^) installiert hat, ohne irgendwelche Updates usw, dann wundert mich das nicht mehr. Dann liegen schließlich auch noch ~13 Jahre zwischen Release (2001) und Support-Ende (2014).

Dann wundert es mich sogar eher, dass das Ding nicht noch viel mehr abbekommen hat. :ugly:
 
Aeshma-Deva schrieb:
Ich muss die lsass.exe ins www lassen, wenn der MS Virenkiller updaten möchte. Warum es soviele verschiedene exe's für ein Programm geben muss, kann nur MS beantworten.
Zum Vergrößern anklicken....
Grundsätzlich macht es Sinn, mehrere spezifische Programme zu haben die miteinander interagieren als einen einzigen Blob. Quasi nicht eine sondern mehrere potentielle Hürden. Aber die Dokumentation von MS ist leider weitestgehend nutzlos in der Erklärung.
Smartscreen überprüft Links jeglicher Art.
mpdefendercoreservice ist extrem neu. Microsoft sagt nur es ist für "Stabilität".
msmpeng ist der "traditionelle" Antivirus
lsass ist für Policies zuständig und hält sämtliche Systemschlüssel und Passwörter.
Mecker_Manni schrieb:
Wenn du dir so sehr sorgen drüber machst, schmeiss dein PC/Tablet/Handy etc etc ausm Fenster und leb in einer Höhle.
Wirst nich drumrum kommen. Achja, dein PC telefoniert grade nachhause, aber brich nicht in Panik aus.
Zum Vergrößern anklicken....
Ziemlich ignoranter Take. Man kann sich durchaus vor unnötiger Telementrie schützen.
Mein PC telefoniert ziemlich sicher nicht "nach Hause". Außer mein PC, meine Firewall und mein DNS Server lügen mich an. Läuft halt kein Windows drauf und ich Sinkhole was mir nicht passt. Selbiges gilt für mein Handy, dass frei von Google, Apple, Facebook und Co. ist.

PCGH_Torsten schrieb:
Wenn ich mich richtig erinnere, hatte XP in der Ursprungskonfiguration eine ganze Menge Netzwerkports standardmäßig offen. Netsend, remote-Krams, etc.. Mir fehlt die nötige Kompetenz, um den "Angriff erkennen und beobachten"-Teil umzusetzen. Aber ich würde davon ausgehen, dass selbst mit Windows 98 unter gleichen Bedingungen weniger bis nichts passiert wäre.
Zum Vergrößern anklicken....
Hier eine Liste mit defaultmäßig offenen Ports. Davon müsste so ziemlich jeder in irgendeiner Form und Weise exploitbar sein und mind. 3 direkt mit Remote Code Execution.

Open Ports on Windows XP

Open Ports on Windows XP
www.mobydisk.com
Grestorn schrieb:
Die theoretische Anfälligkeit dürfte hoch sein, da es fast sicher jede Menge unerkannte Sicherheitslücken in den Stacks auf dem Amiga gibt.
Zum Vergrößern anklicken....
Da wäre ich mir nicht einmal so sicher. Einerseits ist das OS am Amiga um Welten weniger komplex als ein Windows XP, geschweige denn aktuelle Systeme. Grundsätzlich gilt halt, je weniger Komplexität/Umfang, desto geringer die Wahrscheinlichkeit von Sicherheitslücken.
Andererseits lehne ich mich mal aus dem Fenster und behaupte gerade zu den Anfangszeiten war die Softwarequalität "höher". Den es gab nur relativ wenige Leute die wirklich solche Systeme entwickeln konnten. Und das waren dann eher Ausnahmetalente wie ein Wozniak.
(Ja ich weiß Security stand damals nicht wirklich im Fokus bei Entwicklung)
kofferman schrieb:
Mal ne ( hoffentlich nicht allzu dämliche ) Frage : Macht es einen positiven Unterschied wenn ich mit einem Smartphone per USB-Tethering den alten XP-PC ans Internet hänge, hinsichtlich der Sicherheit ? Würde mit meinem good old Msi X58A-GD65 gerne mal wieder ...
Zum Vergrößern anklicken....
Grundsätzlich ist es egal, ob du ein Smartphone oder deinen regulären Router verwendest. Anders als in diesem Experiment hier hängt dein PC nicht direkt erreichbar am Internet. Sobald du natürlich surfst und dich mit externen Dingen verbindest ist es etwas anders.
Ripcord schrieb:
Das was einwandfrei ohne großen Aufwand erkennbar ist oder zumindest MAC-Adressen blockieren die nachweisbar permanend Schadsoftware verbreiten. Klar gibt es Möglichkeiten das zu umgehen aber komplett zu resignieren ist auch nicht der richtige Weg.
Zum Vergrößern anklicken....
Es gibt zahlreiche Gründe, warum das nicht wirklich realistisch ist. Nur ein paar:
  • Wie schon von einigen erwähnt hast du da mal das Riesen-Problem von False/Positives.
  • Nicht wenig Traffic im Internet verschlüsselt und ohne Deep Packet Inspection wissen nur die 2 interagierenden Maschinen, was da unterwegs ist.
  • Es gibt zahlreiche Wege seine Herkunft zu verschleiern bzw. wechseln(Cloud-Anbieter, Dynamische/Geteilte IPs, Botnets,CDNs...)
  • Der Grundgedanke des Internets ja die Dezentralität, so dass man nicht ohne Weiteres mal jemanden davon abklemmen kann.
Als Privater sollte es dich nicht betreffen sofern du nicht Dinge unnötigerweise ins Internet hängst (IoT).
Als Unternehmen kannst du Blacklisting und dergleichen betreiben. Aber das ist wie Hau-den-Maulwurf.
 
INU.ID schrieb:
Vermutlich hab ichs überlesen: War der PC bzw. die VM direkt am Netz, oder über einen lokalen Router?

IP-Scanner, die permanent das Netz durchsuchen?

Mich wundert es auch ein wenig, denn gegen "Abklopfen" der Ports usw. sollte WinXP (bzw. ein OS allgemein) doch eigentlich genug Sicherheiten bieten. Ich meine, es wurde doch schließlich lange Zeit mit Updates versorgt. Dass dann immer noch so viele "Lücken" offen bleiben? Schon bissl krass, find ich.
Zum Vergrößern anklicken....
Es gibt bzw. gab nach dem Supportende offenbar noch genug User, sodass es sich gelohnt hat weiter nach Exploits zu suchen. Afaik haben doch sogar die Bahn (DB) und zumindest einige Geldautomaten einen WindowsXp Unterbau gehabt, gerade bei letzterem ist es kaum verwunderlich das nach unberkannten Sicherheitslücken gesucht wird.
 
EoptimizeR schrieb:
Es gibt bzw. gab nach dem Supportende offenbar noch genug User, sodass es sich gelohnt hat weiter nach Exploits zu suchen. Afaik haben doch sogar die Bahn (DB) und zumindest einige Geldautomaten einen WindowsXp Unterbau gehabt, gerade bei letzterem ist es kaum verwunderlich das nach unberkannten Sicherheitslücken gesucht wird.
Zum Vergrößern anklicken....
Die XP Rechner der Bahn und in Bankomaten hängen nicht am Internet bzw. sind teils sogar airgapped.
 
Auf meinem Retrorechner ist tatsächlich noch ein Windows XP x32 druf, ist bis jetzt nix Spezielles passiert. Aber auf dem System läuft natürlich auch ein zusätzlicher Antivirus, sowie ist die windowseigene Firewall aktiv. Der Router dürfte auch noch helfen.
 
Alex2150 schrieb:
Gehe hin und wieder über meinen Amiga 1200 mit Workbench ins Internet. Gibt da ja mittlerweile Möglichkeiten. Da würde mich mal die Anfälligkeit interessieren, da es sich hier um eine komplett andere Architektur handelt!
Zum Vergrößern anklicken....

Direkt mit deinem A1200, oder über WinUAE etc. (welches OS)?

Die Zugriffe kannst Du ja in beiden oben genannten fällen mitverfolgen.

Lexx schrieb:
Machst du dein Telebanking darüber?

Wenn ja, dann schick mir mal deine IP,
ich check sschnell, ob dein Amiga sicher ist.
Zum Vergrößern anklicken....

Bestimmt kannst Du das ....
 
Zuletzt bearbeitet:
Ich habe mehrere Amiga. Der mit dem Internet hat derzeit das OS 3.1. ja, ich finde Commodore einfach magisch. Habe zwar auch einen enthusiasten pc mit Rtx 4090, bin aber in der Freizeit dann doch immer eher Amiga zocken oder basteln. Habe noch einen Amiga mit 030er Blizzard und einen mit 060er terrible Fire. Und natürlich meinen Amiga 500 plus aus der Kindheit, der aus seinem vergilbten Gehäuse raus in ein crystal case gesteckt wurde, mit rgb Beleuchtung. Finde einfach unglaublich, was die Community da auf die Beine stellt, Letzlich auch den Internetzugang. Dass man vorsichtig sein sollte, hiermit ins Netz zu gehen ist klar. Mich würde aber einfach interessieren, ob der Amiga wiederum sicherer wäre als Windows XP, da man eine völlig andere Architektur hat und natürlich ein viel weniger komplexes Betriebssystem, wodurch es auch weniger Schwachpunkte gibt, welches im übrigen auch von der Community immer weiter vorangetrieben wird. Dann ist die Zielgruppe natürlich auch noch klein, sodass mir der Zugang sicherer vorkommt, als der zu Windows xp, obgleich der Sicherheitsstandard natürlich bei weitem nicht äquivalent zu modernen Systemen ist. Ach ja, die gute Zeit!!! Zocke immer wieder gerne Lionheart, Bubba N Stix und natürlich mein absoluter Favorit: Turrican 2 (auch die neue AGA Version)! Damals gab es noch die Zeitschrift Amiga Games neben der heutigen PC Games und man freute sich als Kind immer auf die neue Demo Disk. Was für ein Moment, als Amiga Games den einen Level aus lionheart auf Disk für 7 DM dabei hatte und ich die Zeitung sabbernd im Kiosk kaufte. Habe noch fast alle Zeitungen eurer Kollegen von Amiga Games hier im Regal. Ok, höre jetzt auf zu träumen! Ist am Thema vorbei!! Aber war ne geile Zeit!!!
 
ToZo1 schrieb:
Ja, WindowsXP war zu Lebzeiten (also MS-Supportzeiten) schon dafür bekannt, daß wenn man ohne Servicepack, Virenscanner und sowas wie Zonealarm ins Netz ging, sich damit innerhalb von Minuten alles mögliche an Schadsoftware einfing. Ich weiß jetzt nicht, was an dem Experiment einen Wissensmehrwert liefert? Einzig die Tatsache, daß es heute immer noch genug Viren- und Trojanerviehzeug gibt, was XP kompromitieren kann, erstaunt mich etwas. Man sollte meinen, sowas lohnt sich quantitativ nicht mehr.

Ergänzung: Im Übrigen habe ich vor kurzem mal unter Windows10 das Programm "Simplewall" installiert, was mir im Gegensatz zur Windowsfirewall auch rausgehende Verbindungsanfragen anzeigt. Ich bin geradezu entsetzt, welche und wieviele Exe-Files ungefragt nachhause/nach draußen telefonieren wollen. Das gab es zu XP-Zeiten so nicht.
Warum will z.B. die ntoskrnl.exe rausfunken?
Dann eine lsass.exe (Local Security Authority Subsystem Service, was hat der im Internet zu suchen?), ein cleanmgr.exe (Disk Space CleanUp Manager im Internet?), compattelrunner.exe (Telemetrie, is klar das die alles zum Mutterschiff funken will), devicecensus.exe (auch Telemetrie), microsoftedgeupdate.exe (obwohl Edge nicht aufgerufen wurde), phoneexperiancehost.exe (..\windowsapps\microsoft.yourphone_1.24032.123.0_x64_... wurde nie eingerichtet oder gar gestartet sowas), ... die die plausibel sind (von svhost.exe bis hin zu smartscreen.exe), erwähne ich garnicht erst. Gefühlt jede 2. Exe will irgendwas zum Mutterschiff funken... das ist doch nicht normal. Und bei Win11 dürfte das nochmal um ne Potenz schlimmer sein.
Zum Vergrößern anklicken....

Dafür habe ich PiHole eingerichtet, bin bei über 4 Mio Filtern mittlerweile bei über 70% Müll...

Am schlimmsten sind die Funksteckdosen von Tuya, die funktionieren zum Glück auch ohne Homeserver...

Screenshot 2024-05-19 082939.png
 
sterreich schrieb:
Also wenn ich das richtig verstanden habe hat er die Maschine direkt ins Internet gehängt (also kein Router, kein NAT, etc.). Dazu eben Firewall und AV deaktiviert. Heißt jeder der die IP findet (und es gibt genug Crawler die das machen) kann sich mit der Maschine verbinden und sich vergnügen.
Zum Vergrößern anklicken....

Ja, denke auch das UPnP oder die Netzwerk IP von dem XP exklusiv gemappt wurde. So geht man schon seit einem viertel Jahrhundert nicht mehr ins Internet. Hinter einem NAT wäre garnichts passiert.

Kann sich noch jemand an Ping-of-Death erinnern? Hätte in dem Fall wohl geklappt ^^
 
Schnitzelnator schrieb:
Bis SP2 gab es keine standardmäßig aktive Firewall. Ich kannte damals Leute, die den PC direkt am Modem hatten und ohne FW im Netz waren.
Zum Vergrößern anklicken....
Blaster Worm lässt schön grüßen.
2003

Als 12 Jähriger habe ich mich immer gewundert, warum ich nach den Formatieren und neu aufsetzen von Win XP den Wurm bekommen habe.
Lag wohl an den billigen Telekom Modem ohne Firewall. XD
 
Erinnert sich noch wer an den Sasser Wurm? Das war ja ein Spaß, da saßen wir drei Jungs ahnungslos vor dem Rechner und dachten, der Shutdown Countdown ließe sich abbrechen, wenn das Virusprogramm vor dem Ende den Worm fand. Der Wilde Westen.
 
ToZo1 schrieb:
Ergänzung: Im Übrigen habe ich vor kurzem mal unter Windows10 das Programm "Simplewall" installiert, was mir im Gegensatz zur Windowsfirewall auch rausgehende Verbindungsanfragen anzeigt. Ich bin geradezu entsetzt, welche und wieviele Exe-Files ungefragt nachhause/nach draußen telefonieren wollen. Das gab es zu XP-Zeiten so nicht.
Warum will z.B. die ntoskrnl.exe rausfunken?
Dann eine lsass.exe (Local Security Authority Subsystem Service, was hat der im Internet zu suchen?), ein cleanmgr.exe (Disk Space CleanUp Manager im Internet?), compattelrunner.exe (Telemetrie, is klar das die alles zum Mutterschiff funken will), devicecensus.exe (auch Telemetrie), microsoftedgeupdate.exe (obwohl Edge nicht aufgerufen wurde), phoneexperiancehost.exe (..\windowsapps\microsoft.yourphone_1.24032.123.0_x64_... wurde nie eingerichtet oder gar gestartet sowas), ... die die plausibel sind (von svhost.exe bis hin zu smartscreen.exe), erwähne ich garnicht erst. Gefühlt jede 2. Exe will irgendwas zum Mutterschiff funken... das ist doch nicht normal. Und bei Win11 dürfte das nochmal um ne Potenz schlimmer sein.
Zum Vergrößern anklicken....
Sicher dass das Tool nur Verbindungen zum Internet anzeigt und nicht einfach alle IP Sockets? Die kann man nämlich auch bei ein und dem selben PC benutzen um Applikationen miteinander reden zu lassen.
h_tobi schrieb:
Dafür habe ich PiHole eingerichtet, bin bei über 4 Mio Filtern mittlerweile bei über 70% Müll...

Am schlimmsten sind die Funksteckdosen von Tuya, die funktionieren zum Glück auch ohne Homeserver...

Anhang anzeigen 1460549
Zum Vergrößern anklicken....
Wow, bei mir sind es weniger als 25% und dabei ist das meiste Werbung, nicht grundsätzlich gefährliches.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

PCGH-Redaktion
News Deutscher User schafft das eigentlich Unmögliche: Intel i486 läuft unter Windows XP
2
Antworten
37
Aufrufe
2K
PCGH_Torsten
PCGH_Torsten
PCGH-Redaktion
News Windows optimieren: Microsoft PC Manager bekommt neues Update
2
Antworten
27
Aufrufe
2K
Misanthrop68
Misanthrop68
PCGH-Redaktion
News Windows 10: AMD mit Support-Ende bei Strix Point?
2 3
Antworten
59
Aufrufe
2K
Aeshma-Deva
Aeshma-Deva
PCGH_Sven
Special Windows 10: Wie geht es für euch nach dem Supportende weiter und ist Linux eine Option?
10 11 12
Antworten
228
Aufrufe
7K
Schnitzelnator
S
PCGH-Redaktion
News Windows 11 PC Manager: Reinigungstool wird in weiterem Land getestet
Antworten
13
Aufrufe
561
Tomoyo_Chan
Tomoyo_Chan
Oben Unten
Zurück