Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Viren, Würmer und Rootkits im Netzwerk

DevNull667 / 8 Antworten / Baumansicht Nickles

Kurz zu meiner Umgebung: Ich teile mir mit drei Nachbarn einen DSL-Internetanschluss den wir über einen W-Lan Router (Netgear WPN 824) und entsprechenden Netzwekkarten realisiert haben. Die Firewall im Router ist selbstverständlich aktiviert und alle Passwörter für die Routeradministration und W-Lan Verbindung entsprechen allgemein gültigen Regeln. Alle haben mehr oder weniger aktuelle Windows XP Rechner die Hardwareseitig auch ohne Probleme laufen. Das Netzwerk + Internetverbindung funktioniert offensichtlich auch.... Zu meinem Problem: Meine Nachbarn und ich sind nicht die Einzigen die unsere Rechner Benutzen! Die Symptome sind sehr subtil und ich wollte es zuerst nicht glauben. Weder Virenscanner (NOD32 4.5) noch spyware-tools finden die Ursache meiner Probleme. Aber es gibt etwas auf meinem Rechner was ich nicht will.... Z.B. Werden meine mp3's gekürz. D.h. soweit ich das verstanden habe wird die Abspieldauer, nicht aber die eigentliche Größe der Datei, negativ verändert. Vermutlich Winamp hat mir dazu einmal eine Warnmeldung herausgegeben.(Screenshot vorhanden) Es erzeugt Tracking-Cookies die angeblich von falk.de kommen und von verschiedenen Virenscannern als schadhaft eingestuft wurden. Aufgefallen ist es als ein Freund mit seinem Laptop am Netzwerk teilnehmen wollte und plötzlich von Warnungen seiner Firewall überschüttet worden ist. Kurze zeit später zeigten sich auch bei ihm falk.de Cookies. Keiner von uns war je auf der Seite von Falk. Hab dann mein System vorläufig ohne Netzwerk neu aufgesetzt, Firewall(Outpost) eTrust Pestpatrol und Nod32 installiert und mich für befreit gehalten. Wegen Zugriffsproblemen in der Netzwerkumgebung deaktivierte(nicht beendete) ich kurz die Firewall. Darauf hin beendete sich Nod32 und Outpost selbstständig. Zufall? Nach dem Reaktivieren der Firewall forderte ein Unbekannter Prozess(mir und dem Betriebssystem+Firewall) eine ausgehende Internet Verbindung zu der Ip "224.0.0.22".Die verwendeten Protokolle sind IGMP und UDP der Remoteport ist 0. Dies findet jetzt bei jedem Start von WinXP statt. Das neuste und für mich erschreckenste ist folgender Umstand. Ich habe "tracert" und "ping" benutzt um die Connectivität zu einem Freund(mit seinem Wissen) zu testen. Kurze Zeit später meldete mir meine Firewall einen Portscan aus dem Internet des ersten Netzwekknoten mit dem der Freund verbunden war. Erkennt jemand den nicht offensichtlichen Sinn hinter folgender Firewall Meldung? "25.11.2005 13:52:56 Angreifer blockiert Port-Scan von e176178226.adsl.alicedsl.de entdeckt (gescannte Ports: TCP (1835, 2062, 2206, 2330, 1941, 1971)). 24.11.2005 20:40:08 Angreifer blockiert Port-Scan von e176178226.adsl.alicedsl.de entdeckt (gescannte Ports: TCP (1370, 1381, 1319, 1357, 1361, 1340))." Auch hierzu existiert ein Screenshot. Was ich möchte: Kann mir jemand helfen diesen Menschen aus meinem Netzwerk zu jagen oder mir die vorgetragenen Symptome anders zu erklären? Hatte jemand ähnliche Probleme in der Vergangenheit oder Aktuell? Wer kann mir die Möglichkeiten von rootkits tiefgründig erläutern? Wie finde ich laufende Prozesse die nicht im Taskmanager angezeigt werden. Mit welchen Virenscannern kann ich evl. unter Linux meine Windowsplatten untersuchen? Wie konnte mein Pc aus dem Internet gescannt werden wo doch meine Firewall im Router alle anfragen aus dem Internet blockt(wenn man Diversen Testseiten trauen kann) Welche Rolle spielt IGMP(muss man das haben)? Vielen dank an alle die versuchen mir zu helfen......

bei Antwort benachrichtigen
idefix1968 DevNull667 „Viren, Würmer und Rootkits im Netzwerk“
Optionen

1) Bitte schreibe mehr in Absätzen. So liest kaum einer den langen Text.
2) falk.de Dieser Tracking Cookie kommt doch nicht zwingend von falk.de nur weil er so benannt ist. Auch andere Seiten können Dir dies so verpassen.
3) Tracking Cookies kannst Du auf vielen Internetseiten bekommen. Sogar auf der Lidl Seite. Diese kannst Du zwar mit Programmen wie Spybot Search & Destroy blockieren oder verhindern, andererseits sind für manche Seiten Cookies notwendig, um diese überhaupt korrekt angezeigt zu bekommen. Du nimmst Dir damit natürlich etwas die Möglichkeit alles ansehen zu können. In Deinem Browser kannst Du aber die Behandlung von Cookies von Drittanbietern oder generell auf "Anfrage" setzen. Konsequenz: haufenweise anfragen.

4) Du kannst eine IP direkt aufrufen. Wenn Du also wissen willst was für eine Seite dahintersteckt und Du gut geschützt bist kannst Du die Seite im Browser direkt aufrufen.
5) Eine Neuinstallation und sofortiger Schutz vor einer Internetverbindung und aller notwendigen Win Updates sollte Besserung bringen.
6) Ihr könnt ja gemeinsam den Router nutzen, aber Ihr müßt nicht untereinander ein Netzwerk offenhalten. Die Sperrung des Hakens bei Datei & Druckerfreigabe reicht schon. Von den anderen Nutzern des Routers bekommst Du dann keine Daten.

7) Bist Du Dir sicher, daß Du im Router keine Ports geöffnet hast? (viele wollen das für Filesharing oder Internetspiele). Damit öffnest Du sowieso ein riesiges Tor nach außen. Portscanner oder einfach das Wissen um die Standardports (wie z.B. Port 80 für den Router) reichen schon.
8) teste mal www.ewido.net (Startbutton, allerdings auch ein ActiveX Element zur Installation. Da muß man schon Vertrauen haben) oder/und www.hijackthis.de
9) Rootkits: Direkte Einträge in die Registry, die je nach Programmierung verschiedene Aufgaben ausführen können. Wie z.B. im Falle von Sony der Überwachung illegaler Kopiervorgänge. Konsequenz: andere können dies nach Bekanntwerden auch verwenden und damit ein Systemschutz aushebeln.
10) Unter Linux: Knoppix CD mit Virenscan nutzen (von CD startendes Betriebssystem)

Gruß, Henning

bei Antwort benachrichtigen
DevNull667 idefix1968 „1 Bitte schreibe mehr in Absätzen. So liest kaum einer den langen Text. 2...“
Optionen

Ok, da ist was schief gelaufen mit den Absätzen.... Eigentlich waren Absätze vorhanden die wohl durch Copy & Paste beim Einfügen ins Formular verschwunden sind. Freue mich aber das sich hier trotzdem um meine Probleme bemuht wird.

zu 4) Klar kann mein Browser mit einer URL alleine nichts anfangen und benutzt einen DNS-Server um die URL in eine Ip aufzulösen.

zu 5) Selbstverständlich sind Virenscanner(nod32 ver4.5), Firewall(Outpost), Pestpatrol und Windows mit allen verfügbaren Updates ausgestattet :-)

zu 6) Soweit ich informiert bin hält das eben nicht alles ab.... Zumindest bin ich für andere im Netzwerk sichtbar. Denke eher an Subnetzierung, muss mich aber noch weitergehend damit auseinander setzen.

zu 7) Nein, bin ich nicht. Bin noch nicht dazu gekommen über 65000 Ports zu scannen. Die ersten tausend sind jedenfalls aus dem Internet nicht zu erreichen. Filesharing ist in unserem Netzwerk nicht erlaubt. Bei unserem alten Router (Netgear WGR614) war der Port 113 "closed" aber sichtbar. Hab ich mit Portforwarding auf eine nicht existente Ip im Netz ebenfalls verborgen.

zu 8) Danke für den Tipp mit Ewido, das ist das Programm das der Freund mit dem Laptop auch benutzt und da durch auch den Angriff auf sein System festgestellt hat. Hat damal bei mir und den Nachbarn keinen Erfolg gehabt....werde es aber noch mal Testen und dann berichten.

zu 9) Hatte Rootkits als etwas anderes verstanden. Vergl. IX Rootkit-Erkennung unter Windows (S. 134).

zu 10) Hab die letzte Sicherheits cd der ct' durchlaufen lassen. Hat einiges gefunden und gelöscht. Nach Windows start und erneutem durchlaufen der Cd waren die meisten Dinge aber wieder da.....

Vielen Dank, wenn Dir noch was einfällt lass es mich bitte wissen.

Gruß Bastian

bei Antwort benachrichtigen
idefix1968 DevNull667 „Ok, da ist was schief gelaufen mit den Absätzen.... Eigentlich waren Absätze...“
Optionen

zu 10) Dann wirst Du wohl vorher die Systemwiederherstellung deaktivieren müssen. Diese setzt das ganze beim Neustart wieder zurück. Einige Würmer und Viren können nur bei abgeschalteter Systemwiederherstellung entfernt werden. Du kannst diese wenn sie ganz hartnäckig sind im abgesicherten Modus (F8 beim PC Start) entfernen. Nachdem alles entfernt wurde und der PC neu gestartet wurde, kannst Du die Systemwiederherstellung wieder aktivieren.

zu 8) ich würde sagen es gibt kaum ein Programm, daß alles findet. Daher ist nach einer Infektion dieser Dimension wie garftermy schon sagte wirklich eine Neuinstallation (daher ist ein Image immer eine gute Sache/ich arbeite mit Acronis True Image) angesagt. Bzw. zu empfehlen.

zu 6) Ich habe hier ein Netzwerk von 2 PC's und einem Notebook laufen (2x LAN +1x WLAN). Alles XP home mit SP2. Wenn ich hier die Datei und Druckerfreigabe ausschalte bin ich für andere meiner PC's nicht mehr im Netzwerk sichtbar.

zu 4) http://212.... ruft ja direkt die IP auf. Obwohl das in diesem Falle bestimmt nicht zu empfehlen wäre. :-)

Gruß, Henning

bei Antwort benachrichtigen
DevNull667 idefix1968 „zu 10 Dann wirst Du wohl vorher die Systemwiederherstellung deaktivieren...“
Optionen

Das mit der Systemwiederherstellung werde ich testen. Danke, sehr gute Idee! (Wieso bin ich nicht darauf gekommen :-)

Wenn Du Deine Rechner Pingst würde es mich wundern wenn Du sie nicht siehst!?!

Gruß Bastian

bei Antwort benachrichtigen
idefix1968 DevNull667 „Das mit der Systemwiederherstellung werde ich testen. Danke, sehr gute Idee!...“
Optionen

Ach ja... Man muß einen Haken setzen um die Systemwiederherstellung auszustellen, nicht um sie anzustellen. Habe ich falsch beschrieben. Systemsteuerung/(Leistung und Wartung je nach Einstellung)/System/Systemwiederherstellung ...
Gruß, Henning

bei Antwort benachrichtigen
Mario32 DevNull667 „Viren, Würmer und Rootkits im Netzwerk“
Optionen

IGMP=
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol

224.0.0.22=
eine Multicast IP zugeordnet zu deinem Lokalen Netzwerk an eurem Router!


Comment: This block is reserved for special purposes.
Comment: Please see RFC 3171 for additional information.

224.0.0.0 - 224.0.0.255 (224.0.0/24) Local Network Control Block

Local Network Control Block (224.0.0/24)


Addresses in the Local Network Control block are used for protocol
control traffic that is not forwarded off link. Examples of this
type of use include OSPFIGP All Routers (224.0.0.5) [RFC2328].

(Und ja, da hat auch ein Nameserver in Schweden was mit der Verwaltung dieses Adressraumes zu kriegen! [Dieser Hinweis nur weil vor Monaten mal jemand beinahe paranoid immer wieder mit "Schweden" kam wo ihn angeblich eine Universität ausspionieren solle])


http://www.faqs.org/rfcs/rfc3171.html

http://ws.arin.net/whois/?queryinput=224.0.0.22

http://ws.arin.net/whois/?queryinput=N%20.%20MCAST-NET


Kann mir jemand helfen diesen Menschen aus meinem Netzwerk zu jagen oder mir die vorgetragenen Symptome anders zu erklären?


Nur wegen Portscans hast du keinen Menschen in deinem Netzwerk den du rausjagen könntest/müßtest!
Portscans sind auch nix anderes als das klingeln an der Haustür und von daher auch nicht gefährlich oder gar illegal!(Wenn auch viele (dummen) Provider in Ihre AGB schreiben das Portscans nicht erlaubt sind!)

Wenn Ihr mit Alice ins Internet geht ist das doch wohl mutmaßlich DSL über Kabelnetz, oder?! Bei dieser Übertragungsvariante ist das mit den zuordnen von WAN IPs afaik etwas anders als bei TelefonleitungsDSL über PPPoE Protokoll.
Bei Telefon wo dein Rechner/dein LAN eine eigene WAN IP am Breitband POP bekommt;
und bei Kabel teilen sich wohl an so einem Kabelverteilerpunkt Verschiedenste Parteien eine externe IP in einem nochmals an diesem Verteilerpunkt aufgebautem "netzuntersgment; quasi seperate LAN IP Adresse".


Lass dich einfach nicht von (eigentlich Sinnfreien) Meldungen einerr DesktopFirewall wegen Normalem Hintergrundrauschen des Internet verrückt machen! ( Netzwerkkontrolpakete, Pingpakete

Wer kann mir die Möglichkeiten von rootkits tiefgründig erläutern? Wie finde ich laufende Prozesse die nicht im Taskmanager angezeigt werden.

http://www.google.com/search?q=rootkits
für erklärungen

http://www.sysinternals.com/utilities/rootkitrevealer.html
als ein Beispiel für ein Programm zum anzeigen.


HTH


P.S. auch Tracking Cookies sind nicht Gefährlich im Sinne das sie deinem System etwas böses tun wie ein Virus, wurm Trojaner oder dergleichen! Die Cookies sind nur in der Lage eine harmlose kleine Textdatei, von einem Server zum anderen weitergehend, auslesen und verändern zu lassen in deinem Browser. Damit wird nur von den Servern im Internet festgestellt wo du vorher warst, wo du hingehst ob du wiederkommst usw. usf.
Also höchstens ein "Datenschutznervproblem" wenn deine Bank beispielsweise mitmachen würde und dein Sexshopversand auch und die Bank würde so mitkriegen das du vorher dort warst und die online überweisung also für die Lederpeitsche ist! ;-)

Ohne Tracking Cookies könntest du bspw. bei Amazon keine 1klickbestellung nutzen oder dir anzeigen lassen was du "kürzlich angeschaut" hast.

bei Antwort benachrichtigen
DevNull667 Mario32 „IGMP http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol 224.0.0.22...“
Optionen

Auch Dir Dank für Deine Bemühungen( wie allen Anderen übrigens auch),

hier im Haus gehen wir nicht mit Alice ins Internet. "e176178226.adsl.alicedsl.de" war der letzte Knotenpunkt vor der Ip-Adresse die ich mit "tracert" und "ping" abgefragt habe. Diese Ip gehörte zu einem Freund mit dem ich im selben Moment telefoniert habe. Dessen Provider ist Alice und es handelt sich um einen "normalen" DSL-Anschluss auf Telefonbasis(ISDN). Genau wie übrigens der Anschluss, den ich mit meinen Nachbarn benutze, nur das wir als Provider Versatel benutzen. Jedenfalls wurde als Urheber des Portscans "e176178226.adsl.alicedsl.de" von Outpost identifiziert. Wie kann das sein wenn die Router-Firewall eigentlich nur angeforderte Pakete aus dem Internet ins lokale Netz durchlassen sollte??? Hat etwa der Router die Seuche? Na ja, das war der erste Portscan den ich auf meinem lokalen system hatte, seit ich Router mit Hardwarefirewall verwende..... Denke das war nur um mich zu ärgern! Paranoia zu haben bedeutet nicht das man nicht verfolgt wird.

Kannst Du mir erklären wozu auf meinem Rechner IGMP benötigt wird? Hier läuft garantiert keine gewollte Serverfunktion.

Hab mir jetzt noch einen Heise Artikel zu dem Thema durchgelesen und werde nun erst mal einige Dinge abarbeiten. Werde meine Ergebnisse dann hier weiter kund tun....

Gruß Bastian

bei Antwort benachrichtigen
Mario32 DevNull667 „Auch Dir Dank für Deine Bemühungen wie allen Anderen übrigens auch , hier im...“
Optionen
Wie kann das sein wenn die Router-Firewall eigentlich nur angeforderte Pakete aus dem Internet ins lokale Netz durchlassen sollte???

Kommt halt drauf an wie das hardwareteil konfiguriert ist, und was es GENAU macht! I.d.R. sind ja in so einem "Routerteil" keine "echten" Firewallfunktionen implementiert, sondern nur "einfache" NetworkAdressTranslation-funktionen. (Kenne Funktionsumfang deines Teils jetzt nicht!) Ggfs werden ja pingpakete defaultmäßig "genattet"

Hat etwa der Routerbild die Seuche?

Also das ein (i.d.R. auf Linux o.ä. BS basierender) Router mit Schadsoftware in seinem Flashbaustein zu kämpfen hat ist bei deiner Homeumgebung wohl auszuschließen!

Kannst Du mir erklären wozu auf meinem Rechner IGMP benötigt wird?


Sorry, nicht wirklich. Frag mal MS ob deren BS das wegen irgendwelcher gesetzten Haken irgendwo in Einstellungen aktiviert das es sich für "Rundumaussendungen" von IPpaketen "meldet".
bei Antwort benachrichtigen