Hallo !

.. irgendwie stehe ich etwas auf dem Schlauch:

Ich habe den Laptop meiner Eltern (XP Home, SP3) zur Wartung hier.. und wollte "mal schnell" :ugly: noch nachsehen ob nach meinen Wartungsmaßnahmen noch irgendetwas auf dem Gerät drauf ist was versucht "nach hause zu telefonieren".

Also ganz einfach Wireshark auf meine Linux Kiste installiert, ethernetschnittstelle auf "promiscuous" gestellt (ist ein Häkchen in der Gui) und "live capture" gestartet.

Nun sehe ich alle Zugriffe von und auf meine Linux Kiste, sowie alle "broadcast" Messages der Fritz Box bzw. des XP Laptops, aber wenn ich auf dem Laptop Netzverkehr erzeuge der nicht direkt an die Linuxkiste geht sehe ich den nicht.


Das Setup ist wie folgt:

Konfiguration a)

Laptop per USB WLAN stick an der Fritz Box, Linux Kiste per Edimax WLAN client (über Ethernet Kabel) an der Fritz Box. Da ich die Edimax im Verdacht hatte vielleicht Pakete die nicht an den Linux Computer addressiert sind zu filtern probierte ich Version b aus:

Konfiguration b)

Laptop per Ethernetkabel am Switch Eingang der Edimax. Rest wie bei A. Die Edimax verbindet so den Laptop und die Linux Kiste mit der FritzBox.

c) kein Edimax client: Linux Kiste per Ethernetkabel direkt an der Fritz Box, XP Laptop per WLAN an der Fritz Box. Gleicher Effekt.

auch bei b) sah ich aber den gleichen Effekt wie bei a).

Die Fritz Box erlaubt direkten Kontakt der WLAN Geräte untereinander.


Mein Denkfehler: Warum sehe ich mit Wireshark nicht was in meinem Netz unterwegs ist ? :confused: Wireshark läuft mit Root Rechten ...

Moin,


Mein Denkfehler: Warum sehe ich mit Wireshark nicht was in meinem Netz unterwegs ist ? :confused: Wireshark läuft mit Root Rechten ...

Weil ein Switch eben ein Switch ist und kein Hub. Der Switch verteilt ueblicherweise unicast traffic nicht auf alle Ports, sondern nur auf die, von denen er gelernt hat, dass dahinter jemand hockt, an den der Unicast gerichtet ist.
Wenn jetzt der Windowsrechner nach Redmont telefonieren will, warum soll dann der Switch das auch an den Port weitergeben, an dem dein Wireshark lauscht?

Gruss
WK

Ganz verstehe ich deine Konfigurationen nicht, aber immer wenn du einen Switch zur Verbindung untereinander nutzt, hilft dir auch der beste promiscious-mode nichts.
Der Switch leitet halt die Pakete direkt an die jeweiligen Ports weiter, an denen der Kommunikationspartner hängt.
Lösungsmöglichkeit:

Hub zur Verbindung nehmen
Switch mit MAC-Adressen fluten, so dass er alle Pakete an alles weiterleitet.
mir die Konfiguration anders erklären ;-)

Ah.. das hilft schonmal weiter: es ist ein Switch, kein Hub:

http://www.edimax.com/en/produce_detail.php?pd_id=19&pl1_id=1&pl2_id=5

=> Wirkt die FritzBox eigentlich auch als Switch ? Weil mit dem Linux PC am Ethernetkabel und dem Laptop am WLAN kam das Gleiche Ergebnis heraus...

Redmond stört mich da gar nicht so.. auch glaube ich nicht dass auf dem Laptop meiner Eltern etwas Interessantes abgeht, aber ich bekomme demnächst den weniger gut (höflich ausgedrückt :D ) gewarteten PC einer Freundin hierher.. und befürchte dass ich den einer Wurmkur unterziehen muss...


Die Idee mit der Mac-Adressenflut klingt interessant: wenn ich dem Switch mehr Mac Adressen anbiete(n könnte) als er verwalten kann schaltet er also auf "promiscuous" ? Allerdings ist mir nicht klar wie ich das tun sollte ohne zig Ethernetkarten zu verwenden...

^^^^^^^^^^^^^^^^^

Danke ! Werde mal ausprobieren ob ich das mit meiner Hardware so einsetzen kann ... Konfiguration b sollte ja mindestens damit gehen....

also ich mache das immer ganz einfach, ich nehme mein Notebook eine PCMCIA NIC und klemme das ding zwischen den zu überwachenden rechner und den router/switch/.... dann einfach per iptables das NB zu einem router/bridge machen. ips sauber einstellen und gut ist. schon kann man alles mit loggen was auf dem einen netzwerkport rein kommt und einem bleiben broadcasts von anderen rechnern erspart. auch wichtig, man kann den zu überwachenden rechner vom eigenen netz ein wenig abschirmen. dazu bedarf es aber noch ein paar weiterer iptables regeln.

gruß iluminat23

Und ich habe genau für diesen Zweck einen uralten 8-Port Hub vor der Verschrottung gerettet.

MfG Peter

hmm ... wieso wird nicht einfach wireshark auf dem windows pc installiert und dann geguckt??? :D

Was du für das Sniffen im geswitchten Netz benötigst ist ein Programm, welches ARP-Spoofing bzw. ARP-Poisoning bietet: http://de.wikipedia.org/wiki/ARP-Spoofing
Da gäbe es Beispielsweise ettercap oder Cain&Abel. Ob Ethereal/Wireshark das kann weiß ich nicht.

Meine Kenntnisse sind begrenzt .. und meine Bereitschaft Zeit in anderer Leute Rechner zu stecken auch ... daher habe ich die oben erwähnte Lösung einer zweiten Netzwerkkarte für mich verworfen.. außer ich hätte mal eine längere Schlechtwetterperiode....

Daher: entweder es klappt mit Ettercap .. oder ich muss mal sehen ob mir auch ein Hub "über den Weg hubbelt".... sonst bleibt es halt beim Standardprogramm das Ding von ner Boot CD aus zu scannen, einen Portscan über das Laufende Gerät drüberlaufen zu lassen.. und ansonsten mal zu sehen ob es meinen PC scannen will.....

:D


Jedenfalls vielen Dank für die Tipps, die haben mein Verständnis schon deutlich verbessert....


Edit: laut dem Link von Int80 müsste sogar Wireshark ARP spoofing können.. da ich dem zu testenden Rechner ganz leicht eine feste IP verpassen kann, IP und MAC von meiner Fritz Box und dem zu testenden Rechner kenne.. müsste das ja in vernünftiger Zeit (wireshark oder ettercap ) machbar sein .... mal etwas googlen.. ich melde mich in der nächsten Schlechtwetterperiode wieder und erzähle wie das geklappt hat ;-)

Auf die Idee mit Abhör-Methoden einem verdächtig(t)en Rechner auf die Spur zu kommen wäre ich jetzt nicht gekommen....

Auf die Idee mit Abhör-Methoden einem verdächtig(t)en Rechner auf die Spur zu kommen wäre ich jetzt nicht gekommen....Das ist ja leider der Ärger, den die netten Hacker von nebenan haben: Die Methoden etwas abzusichern oder zu kontrollieren ähneln stark denen, die auch die bösen Cracker benutzen. Da kann es schnell zu unliebsamen Verwechslungen kommen, besonders wenn Laien am Drücker sind.

*lach* du meinst jemand "verwechselt" sein Netzwerk mit dem seines Nachbarn ?

Ehrlich gesagt: Wenn mir jemand das erzählen würde würde ich es auch nicht glauben ... Jedenfalls ist es für solche Experimente doppelt gut dass die meisten modernen Router gleich Adressen umsetzen ... auf diese Weise geht schon kein "Müll" ins Netz raus...

@UzumakiNaruto : weil ich dem betreffenden Rechner nicht vertraue.. ist nicht meiner, ich vermute dass aufgrund der Art der Benutzung Würmer drauf sind.

Wenn es schon Würmer gibt die mithilfe von Kaspersky andere Würmer vom Rechner werfen (ob die Cracker wohl wenigstens Kaspersky Lizenzen gekauft haben ? :confused: ) muss man den Dingern auch zutrauen sich einfach ein paar Tage ruhig zu verhalten wenn sie Wireshark auf dem Rechner entdecken.... oder den wireshark einfach in den Haifischkäfig zu sperren ....

Wie gesagt, es geht darum einen Rechner aus Freundes-oder Verwandtenkreis mit begrenztem Aufwand so unter die Lupe zu nehmen dass man sagen kann "mit 90 %iger Wahrscheinlichkeit entwurmt". Aufgrund von Lizenzkey und anderem Geraffel (auch aufgrund des Zeitaufwandes) will ich nicht auf Verdacht eine Neuinstallation durchführen.. und mich hinterher mit Aktivierungen OEM Keys und ähnlichem Kram rumärgern. Und nein, einfach Linux installieren erfüllt auch nicht die Nutzeranforderungen ;)


Dank Eurer Hinweise habe ich in diesem Artikel http://www.zdnet.de/sicherheit_in_der_praxis_diagnosetool_oder_spyware _so_nutzt_man_wireshark_story-39001543-41003695-4.htm

die für einen Anfänger wie mich optimale Lösung entdeckt: die Fritz Box bietet an alle Verbindungen die über sie ins Internet gehen herunterzuladen:

http://fritz.box/cgi-bin/webcm?getpage=../html/capture.html


Hat auch den Vorteil dass die eigenen Logdateien nicht überlaufen ... ;)


Da die beiden Netze die ich administriere per Fritz Box am Web hängen .... ist das genau das was ich suche.....

a) sollte der verdächtige Rechner anfangen andere abzuscannen habe ich eine gute Chance dass das in den Logdateien meiner Linux Kiste auftaucht... da er die bestimmt auch scant

b) wenn sich etwas ins Internet verbinden will muss es an der Fritz Box vorbei.. und sollte dort in der abzuspeichernden Logdatei landen....


Vielen Dank ! Mein Problem ist damit elegant gelöst.. und wenn mir mal ein altertümlicher Hub über den Weg laufen sollte werde ich zugreifen :D

Hatte den Rechner jetzt in Bearbeitung... 3 Programme fanden 4 Würmer.. werde mal 4 Kerben in die Maus machen.

Und: nein, plattmachen und neuinstallieren wollte ich aus Zeitgründen nicht.. jedenfalls sollte die Kiste jetzt sicherer sein / weniger Spam versenden als vorher....

Hi,

als Alternative kannst du auf der Winkiste als Gateway vorübergehend den Linuxrechner angeben und dort per iptables weiterleiten. So kommst du "legal" an alle Informationen :-)

Mfg Michael

Das will ich aus zwei Gründen so nicht machen:

1. Muss ich zugeben dass ich zu dumm für IPtables bin: meine eigenen Versuche mit Anleitung gingen so daneben dass ich ohne Harrys IP Table Generator immer noch keinen FTP Server am Laufen hätte ;)

2. Auf der Kiste waren ziemlich intelligente Trojaner, einer hat sogar den Zugang zum Avira Update geblockt.. jetzt wo die ersten vier runtergeworfen sind bootet irgendwas den Rechner immer wieder mal neu ... mit der Anzeige das sei Avira.. offensichtlich soll man den Antiviren Scanner wieder deinstallieren....

Mit derartig geballtem Know how würde ich mich nicht darauf verlassen dass evtl. existierende Trojaner eine auf dem verseuchten PC eingestellte Route wirklich benutzen... nach meiner Meinung muss man die Malware so belauschen dass sie nichts dagegen tun kann.. z.B. per Hub oder über die Fritz Box da sich der Rechner physikalisch gar nicht anders ins Internet einwählen kann....

Aber wie gesagt: noch ist fast sicher dass noch etwas drauf ist... der trojanische Krieg hat erst begonnen... außerdem bin ich nicht ständig dort.. habe auch noch was anderes zu tun als mich um anderer Leute Virenschleudern zu kümmern :rolleyes:


Für meine Zwecke reicht die Logdatei aus der Fritz Box die dann per Wireshark analysiert wird aus... der Tipp mit dem Hub ist aber auch toll.. wenn mir so etwas mal über den Weg stolpern sollte....

Willst du den Trojaner entfernen oder die Kiste platt machen?? Sniffen per Hub ist mit das Beste. Leider haben die meisten Switches, die in SoHo Routern eingebaut sind, keine Möglichkeit einen Mirrorport bereitzustellen. Das würde ich sogar einem Hub noch vorziehen.

Platt machen wäre zwar das Sinnvollste, aber da die alte Kiste kein funktionierendes CD/DvD Laufwerk mehr hat .. ein Laptop ist (wer weiß ob die Treiber noch im Web sind....) ... will ich einfach die Trojaner mit minimalem Aufwand "tot machen".

Alleine was ich mit einem Linux Tool zum Rücksetzen des Admin Passwortes (derjenige der es gesetzt hatte hat es längst vergessen :ugly: ) an Konten auf der Kiste fand ist seltsam.... lauter Konten mit Admin Rechten und ohne Passwort.... und die meisten in der Benutzerverwaltung unsichtbar... muss mal gucken wie das zum Vergleich auf meiner XP Kiste aussieht....

Diesen Monat komme ich eh nicht mehr dazu, im nächsten nehme ich das Ding mal mit zu mir (Es steckt auch eine ganz schöne Fahrstrecke dazwischen...). Die Sache mit der Überwachung wird erst relevant wenn ich der Meinung bin dass wahrscheinlich nichts mehr drauf ist.... ich glaube diese Fritz Box Methode tut es da schon.. wenn sich die Kiste auf verdächtige Server verbindet ist noch was drauf....

Ist ja schaurig. Ganz ehrlich: Mach die Kiste platt. Die Kiste bekommst du nie sauber. Treiber aus dem Netz sind nicht notwendig, wenn die Kiste "alt genug" ist, dann erkennt Windows XP die meisten Sachen problemlos.

Magst du gruselige Gefühle ?

Die Besitzerin macht mit dem Ding Online-Banking.... auf meine Kommentare zu dem Thema meinte sie nur bei ihr sei eh nix zu holen ;-)


Mit dem Plattmachen hast du (wie üblich) recht, aber das Neuinstallieren einer Windows Kiste ohne CD/DvD Laufwerk übersteigt leider meine Kenntnisse... und einen Profi anzuheuern dürfte der Betroffenen zu teuer sein.... naja.. wäre mal ne Idee das nachzufragen...

Aua, aua, aua... :(

Das Ding hat kein CD-ROM? Ach so... mmhh... Kann die Kiste von USB booten? Andernfalls wird es wirklich schwer, da würde mir evtl. noch eine Installation per RIS über Netzwerk einfallen, aber dafür brauchst du die passende Infrastruktur (Windows Server usw.), also kaum sinnvoll.

Ja, sie kann vom USB booten.. die Geschichte mit den Admin Konten habe ich über eine Linuxversion die von USB bootet (für mich eine Premiere :D ) herausgefunden.


Allerdings weiß ich nicht (und traue mich auch nicht wirklich) wie man Windows über USB neu auf einen Uralt Laptop eines No-Name Herstellers einspielt :(

Da die Besitzerin Maxdome Kundin ist kann ich nicht "notfalls" Auf Linux umstellen ....

Daher mein Gedanke:

0. Habe sie angewiesen einmal pro Woche mit Malbyte und Avira zu scannen
(Seitdem ich dran war aktualisiert sich Avira wieder)
1. Von USB aus eine Linuxversion starten und von dem sicheren System aus mit AVG scannen
2. Die Trojaner-Board Sequenz (cclear, hijackthis, Malbyte) durchführen
3. Über Nacht "zur Beobachtung" in meinem Netz lassen und nachsehen ob er versucht sich irgendwohin zu verbinden


Und natürlich zuerst alle "seltsamen" Benutzerkonten löschen.

Mehr fürs Protokoll, daß diese "Entseuchungsversuche" sinnlos sind, wurde ja schon gesagt:

http://technet.microsoft.com/de-de/library/cc512587(en-us).aspx

Der Scan von einem Linux Boot Stick aus sollte zumindest alle Trojaner die älter als die Signaturen sind entdecken...

Insgesamt ist klar: 100%ig ist nur: plattmachen, neuinstallieren und keine (alten) Daten mehr einspielen die irgendwie ausführbaren Code enthalten können.


Auch fürs Protokoll: in Zukunft werde ich meine Finger von anderer Leute Virenschleudern lassen. "Seitdem du gescant hast kommt immer der Bildschirmschoner hoch wenn ich einen Film gucke"......

"Früher reagierte der Rechner ganz anders"

...

Auch wenn der Lerneffekt bisher nicht schlecht war...

Also bei uns im Office gilt der Grundsatz: Gereinigt wird nicht, wenn nur neu installiert.

... erzähle ich halt doch die ganze Geschichte:

Also ich bin bei $Guter_Freundin die mir irgendwas auf ihrem $Laptop_einer_Marke_von_der_ich_noch_nie_etwas_geh ört_habe zeigt.

Mir fällt auf dass der Avira Scanner unten rechts einen zugefalteten Schirm zeigt.

"Darf ich mir das mal ansehen ?" "Klar". Oh, Bezahlversion, Lizenz gültig bis Juli 09.. Update Versuch, Update geht schief "Server nicht erreichbar". Avira Homepage (und andere Antiviren Homepages) ist / sind aber erreichbar.

Der Desktop sieht "kastriert" aus, wie wenn ihn jemand für Leute beschränkt hätte die sich nicht mit Computern auskennen: keine Laufwerksbuchstaben, kein Zugang zu Systemeinstellungen, keine Chance an mein geliebtes Dos Prompt zu kommen.

"Woher kommt eigentlich der Rechner- wer hat ihn eingerichtet?"
"Den hat $EX_Freund gebraucht gekauft".
Oh je....

Irgendwie komme ich doch an ein paar Systemeinstellungen.
"Hast du was dagegen wenn ich den Zugang zum Remote Desktop auf deinem Rechner unterbinde ?"

"Oh prima, tue das, ich schätze den hat $Freund_ihrer_Tochter angelegt"
.... Mannomann....
"Frage mal $Ex_Freund nach dem Administrator Konto und Passwort".
Ende für diesen Tag.
Später die Nachricht dass sich $Ex_Freund nicht an das Administrator Passwort erinnert.

Also gegoogled, http://home.eunet.no/~pnordahl/ntpasswd/ gefunden, ist Open Source und Linux basiert, USB Stick bootbar gemacht.

Außerdem beim googlen gefunden dass das seltsame Verhalten des Benutzerkontos evtl. durch einen Scarewarebefall entstanden sein könnte.

Eines anderen Tages zurück zu ihr und den Rechner mit diesem Tool gebootet.


Finde ca 5 Benutzerkonten, alle ohne Passwort aber dafür (alle) mit Admin Rechten.
3 der 5 sind ihr bekannt, eines heißt "admin" (ich schätze das ist OK.. werde das mal mit meiner XP Home vergleichen) das andere Support mit einer seltsamen Nummer (!!!?!)

(Kein Wunder dass $Ex_Freund sich nicht an das Admin Passwort erinnert.. schließlich hat er keins vergeben....).

Eines der anderen Admin Konten ist nicht so verbogen wie das das sie benutzt. Das wird benutzt um den Benutzer den sie verwendet zum "Eingeschränkten Benutzer" zu machen, die überfälligen XP- Patches einzuspielen (Windows Tool findet zwei Trojaner), Avira Antivir Free zu installieren (jetzt klappt der Update.. Avira findet nochmal zwei Stück.. ganz schöne Sammlung).

Eines der Konten wird als nicht mehr benötigt gelöscht, die anderen fasse ich erstmal nicht an.

Das ist der jetzige Stand.


Das Problem: der Rechner erfüllte infiziert wie er war alle ihre Anforderungen. Von ihrem Konto wurde auch nie etwas abgebucht.

Seitdem ich dran war fährt er manchmal runter.. (angeblich aufgrund von Avira) und plötzlich tut auch der Bildschirmschoner (meist mitten im Film).


Das XP sieht ein wenig nach Professional aus.. aber so genau will ich das gar nicht wissen .... :ugly: jedenfalls will ich mich gar nicht nach Registration Keys oder ähnlichem erkundigen, zumal das Neuinstallieren über USB eine Frickelei mit ungewissem Ausgang ist.. und ich auf keinem Fall jemandem der sich nicht für Computer interessiert einen neuen Laptop kaufen müssen will.


Da einige Km zwischen uns liegen werde ich per Fernwartung den Bildschirmschoner ausschalten und sehen ob ich dar Runterfahren unterbinden kann, und das System sobald ich die Zeit habe mal (hier bei mir) von einer USB Linux Version aus komplett scannen.. außerdem alle Konten dicht machen und die Benutzten mit Passwort versehen.




=> Und die Moral von der Geschichte: beim nächsten $PC_von_Bekannten kann von mir aus ein Trojaner aus dem Bildschirm springen und im Wohnzimmer umhergaloppieren.. mehr als ein "Oh, sieht seltsam aus, bring die Kiste mal lieber zum Profi" ist bei mir nicht mehr drin. Selbst wenn er den Hafer aus dem Frühstücksmüsli frisst.. ich bin kuriert.

;)

Ich hätte erstmal ein Backup gemacht, z.B. von USB ein geignetes Linux/UNIX booten und über's Netzwerk oder auf eine USB-Platte ein Image machen. Danach kann man alles mögliche probieren, z.B. neu installieren, falls es nicht geht kann man das Image ja zurückspielen und von Vorn anfangen.

PS: Andererseits haben es manche Benutzer auch nicht anders verdient...

Das ist noch ein Gedanke... andererseits will ich gar nicht wissen was auf der Platte von den Vorbesitzern noch so alles drauf ist.. somit auch kein Image auf einer meiner Platten davon haben :D


Andererseits wäre so ein Image gar nicht schlecht um Antiviren-Installtionen zu testen.... :ugly:

Im Linux/UNIX geht ein Image ja nicht von sleber auf, weil man es erst mounten muss usw., und darum geht da auch erstmal nix raus. Das ist mit einer der Hauptgründe für das Mounten (und gegen Autorun) überhaupt.

Wenn Du glaubst, dass da was böses dabei ist, kannst Du ja später, wenn Du's dann nicht mehr brauchst, shred drüber jagen ... oder Du packst es gleich in einen Crypto-Container und wirfst später einfach den Schlüssel weg.

Gründe gegen ein Backup aufzuführen, bzw. eine Rechtfertigung für das Unterlassen eines Backups zu suchen, ist einfach doof. Wenn man die Möglichkeit hat ein Backup zu machen, dann sollte man davon unbedingt Gebrauch machen.
Backups laufen weitgehend automatisch, man muss sie nur vorbereiten und starten; später kommt man zurück und guckt, ob das Backup gut ist und das war's. Das ist nix im Vergleich zu den Problemen die man bekommt, wenn man keins macht; speziell in einem solchen Fall, in dem die Kiste bekanntermaßen als höchst fragil, gefährlich und gefährdet angesehen werden muss. Ob man nun repariert oder nicht, ein Backup sollte man auf jeden Fall und ganz dringend davon machen, bevor das Teil unbrauchbar wird.