Wichtig : suche Router-Portüberwachungs-Software !

[Crizz]

Ich hab heute ein ganz besonderes Problem und möchte dazu um Hilfe bitten.

Ich bin in diesen Tagen Opfer eines ganz miesen Angriffs von Web-Jacking geworden. Irgendjemand hat ICQ-Chats meiner Frau mitgeschnitten, die man auslegen könnte, wenn man den Background nicht kennt, und mir diese zukommen lassen.

Nun geht´s weniger um den Content sondern um die Sache, das wir quasi belauscht wurden.

Was hier heute los war kann sich jeder selber ausmalen.....

Was mir dann Gänsehaut gemacht hat war, das ein Ausdruck eines Teils plötzlich in unserem Netzwerkdrucker lag. Bei der Überprüfung unserer PC´s habe ich festgestellt, das die Geräte, auf denen ICQ installiert war, mit einem Malware / Spyware-Programm verseucht waren, und zwar vom feinsten - muß kompletten Remote-Zugriff geliefert haben, daher wohl der Ausdruck, denn ich hab keinerlei Textdatei mit entspreechendem Inhalt oder passendem Datum auf den PCs gefunden.

Hab ich dann dank Info von diversen Websites, insbesondere der Technischen Universitäten, beheben können, zusätzlich die Router-Firmware upgedatet. Hab zwar jetzt die aktuelle Avast-Version drauf, aber mir stellt sich nun noch die Frage :

Da immer wieder neue Sicherheitslücken in Browsern, Routern und Betriebssystemen entdeckt und geschlossen werden, gibt es ein Programm, mit dessen Hilfe ich sehen kann, wenn über einen Port von außen versucht wird, auf meinen PC zuzugreifen ? Das evtl. die IP logged ? Irgendwas bräuchte ich, damit ich erkennen kann, WANN und WO versucht wird, mich zu attackieren.

Für jede Hilfe bin ich sehr dankbar, denn mein Blutdruck war heut so hoch das jedes Messgerät geplatzt wäre.

[ER Corvulus]

ist beim windoof schon dabei ...

Code: Alles auswählen

Netstat /a

in eine textdatei spülen

Code: Alles auswählen

Netstat /a > c:\log\net.txt

und die hie und da mal mit der alten version vergleichen...

Grüsse Wolfgang

[neverminded]

Wow, das klingt ganz schön beängstigend! Was du suchst ist eine gut konfigurierte Firewall. Da kenn ich mich leider nicht so toll aus...
Aber ganz wichtig ist: je weniger Dienste und Programme genutzt werden, bzw. installiert sind desto besser. Auch sollte der Benutzer des Computers nie Administrator sondern immer nur Standardbenutzer sein. So kann sich kein Virus/Malwareprogramm mit den Benutzerrechten (in dem Fall Administratorrechten!) installieren.
Programme die Administratorberechtigungen brauchen können meistens über "Ausführen als..." gestartet werden.
Naja, und Chatprogramme sind nicht dafür bekannt besonders sicher zu sein
Sonst eben immer aktuelle Softwarestände und Windowsupdates.

[Crizz]

Sehr interessant - vor allem seh ich da ein paar Ports, wo irgendwelche http-connects zu Freenet auf "wartend" stehen auf dem einen PC. Nun noch die Frage, wie ich die sperren kann. Unter msconfig find ich keinen Dienst, der Rückschlüsse darauf zuläßt. Ich hab auch eigentlichnie was mit Freenet zu tun gehabt, das wundert mich nun wieder.....

[thrillhouse]

setzte eine Transparente FIrewall dazwischen und fertig.

Du solltest alle Rechner in deinem Netzwerk neu installieren. Alle "alten" Daten bevor Du sie wieder auf einen Rechner bringst mit einem Virenscanner checken. Der Virenscanner MUSS auf einem jungfräulichen Rechner als erstes installiert werden. Auf diesem Rechner musst Du alle "alte" Daten vorher am besten mit einer Linux BootCD löschen.
Wenn dieser Rechner dann installiert ist, kannst Du die alten Daten von CD oder Festplatte einspielen.
Dieser Rechner sollte ein nicht zu einfaches root/admin Passwort haben.

nennt mich Paranoid, aber nur so wirst Du annähernd sicher sein können, das Du dir keine neue Viren/ Würmer einfängst.

[Crizz]

letztzes Kommando zurück, da hab ich den Übeltäter schon gefunden - USB-Stick eines AVS-Gates. Kommt grad auf den Müll.

@Thrillhouse : Werd ich mir mal am WE vornehmen, piece by piece, bit by bit. So ne Aufregung wie heute vertrag ich nicht nochmal.

[obbl]

Nimm mal von sysinternals.com den TCPView. Der zeigt Dir auch das Programm inkl. Dateiname an, der die Verbindung aufgebaut hat.

http://technet.microsoft.com/en-us/sysi ... 97437.aspx

Gruss
Martin

[Crizz]

Danke, Martin - das is mal ne Ansage, schau ich mir gleich an !

[Mataschke]

Hab zwar jetzt die aktuelle Avast-Version drauf

Jetzt??? isses zu spät!

vor allem seh ich da ein paar Ports, wo irgendwelche http-connects zu Freenet auf "wartend" stehen auf dem einen PC

wenn du die Ports überprüfen willst dann mach aber alle Browser und icq und alle Programme von denen du weisst sie wollen ins Netz zu! Und dann schaue nach
mach mal nur ne Ebay Seite auf, wirst dich wundern wieviele Connects ausser Ebay da dazukommen

Ansonsten gilt das was Thrillhouse schrieb: Jungfräuliches system mit allererster TAT , Virenscanner druff usw.

[135erHeli]

Sicher im Netz und Windows Passt nicht wirklich zusammen was spricht gegen Linux und wenn man Windows nicht gerade mit DirectX braucht ne Virtuelle Maschine starten und es dann laufen lassen

[neverminded]

Bitte. Das ist einfach eine absolut unproduktive Aussage. Auch wenns witzig gemeint sein sollte.
Windows Dienste deaktivieren, auf dem aktuellen Stand halten via Updates. Nur Benutzer- keine Adminrechte. Aktueller Virenscanner und einen Router mit aktueller Firmware und schon ist so gut wie alles sicher. 100%ige Sicherheit gibt es nicht. Weder mit Windows noch mit Linux.

[FPK]

Sicher im Netz und Windows Passt nicht wirklich zusammen was spricht gegen Linux

Dass man sich unter Linux genauso ein Rootkit einfangen kann und immer nur entsprechende Sicherheitsmaßnahmen (Virenscanner, externe Firewall, möglist kein Arbeiten mit Admin/Root-Rechten, Vorsicht mit Mails und Programmen aus obskuren Quellen etc.) dagegen helfen.

[neverminded]

Sicher im Netz und Windows Passt nicht wirklich zusammen was spricht gegen Linux

Dass man sich unter Linux genauso ein Rootkit einfangen kann und immer nur entsprechende Sicherheitsmaßnahmen (Virenscanner, externe Firewall, möglist kein Arbeiten mit Admin/Root-Rechten, Vorsicht mit Mails und Programmen aus obskuren Quellen etc.) dagegen helfen.

Danke

[Crizz]

Ich werd hier auf jeden Fall für die tägliche Arbeit im Web ne VM-Ware einrichten bzw. bis dahin eingeschränkte Nutzerkonten. Admin gibbet nur noch für Service, und den kontrolliert und beschränkt.

Wenn ich dann an Stichworte wie "Gläserner Bürger" oder "Bundestrojaner" denke wird mir wieder schlecht.....

[Digger]

noscript für FF3 ist auch ein guter schutz, zusätzlich natürlich