Heimnetzwerke - WIFI, LAN, Router und Co 16.535 Themen, 81.366 Beiträge

Verfolgung starten Optionen

WPA WLAN eingebrochen

scherzkeks-lustig1 / 7 Antworten / Baumansicht Nickles

Hallo Nickles Community,

Ich betreibe wie viele andere auch ein WLAN NEtz zu Hause (wohne im Zentrum einer Großstadt). Das WLAn war mit WPA PSK TKIP gesichert, das Passwort bestand aus Buchstaben und Zahlen(keine Wörter). Nun wurde es vor 2 Tagen gehackt. Ich benutze mein WLAn zusätzlich für die Syncronisation meiner Rechner, daher habe ich die Dateifreigabe aktiviert und 2 Ordner freigegeben. Nun war der Einbrecher so "freundlich" mir eine Nachricht in Form 2er erstellter Ordner zu hinterlassen. Nun zu meiner Frage, gibt es eine Möglichkeit herauszufinden welche Daten er sich angesehen bzw. kopiert hat?? Durch die Ordnererstellung kenne ich das Datum und die Uhrzeit wann dies passiert ist.
Mittlerweile habe ich auf WPA2 und AES mit mximalem Schlüssel und MAC Filter umgestellt, allerdings wüsste ich gern welche Daten kopiert wurden.

Vielen Dank

bei Antwort benachrichtigen
UselessUser scherzkeks-lustig1 „WPA WLAN eingebrochen“
Optionen

Hallo scherzkeks-lustig1!

"Nun wurde es vor 2 Tagen gehackt."
Bist du sicher, dass es sich um einen systematischen Hack handelt oder doch eher um jemanden, der Hinweise auf deine Passphrase besaß? Theoretisch ist es schon möglich, WPA(1) zu knacken, ist aber bei entsprechender Schlüssellänge recht zeitaufwändig und mit einigem Know-How verbunden. (Habe es einmal ausgetestet, dass klappt nicht so einfach mit den einschlägigen Tools, mir es noch gar nicht gelungen)
Der Einbrecher weiß auch in der Regel gar nicht, ob sich dieser Aufwand wirklich "lohnt" (außer einer anonymen Internetverbindung).

"gibt es eine Möglichkeit herauszufinden welche Daten er sich angesehen bzw. kopiert hat?"
Das ist abhängig vom Dateisystem, welche Vorgänge es protokolliert und wie die Ordner und Dateien attributiert werden. Bei NTFS fällt mir die Info "Letzter Zugriff" ein, an welche du mit der rechten Maustaste unter "Eigenschaften" gelangst. Diese Beschreibung wird anscheinend nicht nur angelegt, wenn du Dateien öffnest oder kopierst, sondern es genügt schon, den Ordner im Explorer zu öffnen. Damit hast du die Spuren vielleicht schon verwischt, vielleicht müsste man die Datei-Attribute gleich in der Kommando-Zeile abfragen. Aber sicher bin ich da nicht.

MfG

UU

Rückmeldungen über Hilfestellungen sind sehr erwünscht:1. investiere ich Zeit, um dir zu antworten und2. möchte ich auch etwas dazulernen.
bei Antwort benachrichtigen
scherzkeks-lustig1 UselessUser „Hallo scherzkeks-lustig1! Nun wurde es vor 2 Tagen gehackt. Bist du sicher, dass...“
Optionen

"Bist du sicher, dass es sich um einen systematischen Hack handelt"
ansich schon, der eine Ordner hieß "Meister, Dateifreigaben deaktivieren" und der andere "Unglaublich, viele offene Rechner", hinweise auf meine Passphrase hat niemand, das Passwort kenne nur ich. Es war 9 Zeichen lang und bestand aus kleinen Buchstaben und Zahlen. Ich war mir ansich auch recht sicher das WPA nicht so schnell geknackt werden kann.. ist auch an nem Samstag Nachmittag passiert. Das mit dem zuletzt geändert und zugegriffen hat sich in dem Moment erledigt wo die Datei im Explorer angezeigt wird und mit einer ANwendung verknüpft wird. Bei TXT Dateien ist das noch nicht so, allerdings bei allen anderen. Achso, System ist XP Pro SP3. Router ist ein Siemens SL2 141, der loggt meines Wissens nach dummerweise nichts mit. Loggt XP da in der Richtung was??
Lass jetzt nochmal Virenscanner und hijackthis durchlaufen. Glaub zwar nicht das ich da was finde aber mal sehen.

bei Antwort benachrichtigen
kuhfkg1 scherzkeks-lustig1 „ Bist du sicher, dass es sich um einen systematischen Hack handelt ansich schon,...“
Optionen

Tach scherzkeks-lustig1,

ich glaube nicht, dass der "Einbrecher" deinen WPA-Schlüssel geknackt hat.

Eine Kombination aus 9 Buchstaben und Zahlen ist zwar nicht allzu lang aber das geht dann wohl schon sehr lange.

Vielmehr denke ich, dass es dem Hacker gelungen ist, in deinen Router zu kommen, da liegt fast immer der Schwachpunkt.

Wenn das Router Zugangpasswort schwach ist und mit der Wörterbuchmethode geknackt wird dann liegt der Router offen und in vielen Modellen ist der Schlüssel sogar in Klarschrift abgelegt und nicht in Sternen***.

Ich schalte meinen Router immer spannungslos wenn ich ihn nicht brauche, da bleibt also schon mal nicht stundenlang Zeit zum Schlüsselraten.

Mein WPA-TKIP Schlüssel hat 26 Zahlen und Buchstaben, groß und klein geschrieben und da in unserem Kaff kaum Hacker wohnen dürften und ich nur Niederwild wäre habe ich keine Befürchtungen und Spaßvögel sollten scheitern.

Tschau, kuhfkg1

Einer von 10 von 100000,ich hab Wegener, was brauch ich da noch Wagner
bei Antwort benachrichtigen
UselessUser kuhfkg1 „Tach scherzkeks-lustig1, ich glaube nicht, dass der Einbrecher deinen...“
Optionen

"Wenn das Router Zugangpasswort schwach ist und mit der Wörterbuchmethode geknackt wird dann liegt der Router offen"
Aber wie kommt man denn an den Router, wenn man die Funkverbindung nutzen muss? Meines Wissens doch nur über die WPA-verschlüsselte Verbindung.

Weiterhin sollte die Router-SSID keinen Hinweis auf das verwendete Router-Modell geben.

MfG

UselessUser

Rückmeldungen über Hilfestellungen sind sehr erwünscht:1. investiere ich Zeit, um dir zu antworten und2. möchte ich auch etwas dazulernen.
bei Antwort benachrichtigen
kuhfkg1 UselessUser „ Wenn das Router Zugangpasswort schwach ist und mit der Wörterbuchmethode...“
Optionen

@UselessUser,

wenn du einen WLankanal entdeckst, dieses WLan anklickst, in deinen Browser in die Adresszeile 192.168.2.1 eingibst und "Enter" drückst stehst du vor der Tür, Startseite, des Routers.

Es gibt bestimmt eine Unzahl von Routern die noch mit dem Auslieferungspasswort, bei T-Online 4mal Null, laufen.

Ich bin Laie, aber es gibt da wohl so einige Programme, die da helfen.
Und da ist dann ein schwaches Passwort die beste Möglichkeit Eingang in das fremde Netz zu bekommen.

Tschau, kuhfkg1

Einer von 10 von 100000,ich hab Wegener, was brauch ich da noch Wagner
bei Antwort benachrichtigen
scherzkeks-lustig1 kuhfkg1 „@UselessUser, wenn du einen WLankanal entdeckst, dieses WLan anklickst, in...“
Optionen

@kuhfkg1,

das mit dem 192.1681.1 oder ähnlich klappt nur wenn man sich vorher mit dem Netzwerk verbunden hat, was durch das verschlüsselte Netz unterbunden werden sollte.

Ich hab den Virenscan jetzt durch und ich hab doch tatsächlich einen Trojaner gefunden. Jetzt spricht natürlich einiges dafür das der Angreifer über dieses Leck ins System gekommen ist aber auch einiges dagegen.
Dafür:
-er braucht das WPA Passwort nicht zu knacken
-kann auch aufs Netzwerk zugreifen

Dagegen:
-Warum hat er die Ordner dann nicht auf meinem Desktop erstellt, sondern in einem der freigegebene Ordner?? (Lese und Schreibzugriff innerhalb des Netzes möglich)
-hat das wpa netz geknackt und mir den Trojaner untergeschoben

und vor allem, Warum hat er sich gemeldet???

bei Antwort benachrichtigen
jueki scherzkeks-lustig1 „WPA WLAN eingebrochen“
Optionen

Ich habe kürzlich gesehen - ein frisch eingerichtetes WLAN, ein aus 9 Buchstaben bestehendes Paßwort für WPA2 (allerdings nur ein Ortsnamen) - nach einer halben Stunde war anstelle der bekannten 2 Nutzer noch ein dritter Namens "V1" da...
Auch dort wohnen nach Angaben des Besitzers nur sehr alte Leuts in der näheren und weiteren Umgebung.
Paßwort erneuert und durch ein komplziertes ersetzt - gut is.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen