Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Teil eines Botnetzes-wie weiss mans?

Coolebra / 8 Antworten / Baumansicht Nickles

Hallo Sicherheitswaechter,

ich moechte gern wissen woran man erkennt, dass man schon teil eines Botnetzes geworden ist. Welche typischen Anzeichen muss ein Rechner aufweisen, was muessten Anti-Viren/Trojaner/Rootkit finden, damit mans eindeutig weiss?
Was diese, oder auch Firewalls so alles melden ist naemlich meistens kaum zu verstehen, und um Definitionen zu lesen muss man auch erst ins Internet; die wenigsten programmhersteller denken naemlich noch daran, PDF-handbuecher mit aufklaerendem Material IN DEUTSCH mitzuliefern.

Hat einer von euch schon mal einen Zombierechner besessen ohne es zu merken?
Danke im voraus

Ruhe ist nicht die erste Bürgerpflicht "Irgendwo ist immer eine Schraube locker" (Reinhard Mey in der entkernten Kerner-Show)
bei Antwort benachrichtigen
Conqueror Coolebra „Teil eines Botnetzes-wie weiss mans?“
Optionen

Wenn Du Teil eines Botnetzes bist, wirst Du dies merken, wenn Du schon längere Erfahrung mit PCs hast. Im anderen Fall würde ich schauen, dass ich sogenannte Rettungs-DVDs besorge mit Virenscanner, Trojanerscanner und Rootkitscanner.
Diese dann von DOS ausführen, d.h. ohne Betriebssystem.


"Hat einer von euch schon mal einen Zombierechner besessen ohne es zu merken?"
Diejenigen bei denen Microsoft ein 17 Jahre altes Sicherheitsleck mit einem Patch schloß, die merkten dass Sie Teil eines Botnetzes ware, denn deren PC startete nicht mehr.Siehe auch hier:
http://www.nickles.de/forum/windows-xp/2010/rootkit-schuld-am-bluescreen-nach-den-neuesten-patches-538656850.html

bei Antwort benachrichtigen
speedy27 Coolebra „Teil eines Botnetzes-wie weiss mans?“
Optionen

Wenn du Mitglied eines Botnetzes geworden bist, merkst du es als Erstes, dass du keine Links mehr aufrufen kannst, die zu irgendeinem Sicherheitsunternehmen oder online Virenscannern führen. Symantec, Norton, Kaspersky zum Beispiel. Alle diese Seiten werden geblockt und werden nicht mehr dargestellt. Virenscanner auf dem PC werden auch geblockt und wirkungslos gemacht. Sie werden so umprogrammiert, dass sie dir ein intaktes System vorgaukeln. Meistens bekommst du auch Post von deinem Provider, der dich dezent darauf hinweist und Abhilfe fordert.
Wenn der PC merklich an Geschwindigkeit verliert, oft einfach kurzzeitig einfriert, dann aber wieder kurz läuft und keinerlei Ursache für dieses Verhalten erkennbar ist, sollte mit dem Überlegen begonnen werden.
Wenn ein solcher Fall eingetreten ist, hilft nichts anders, als eine Neuinstallation - ohne wenn und aber. Jeder Rettungsversuch des Betriebssystems ist vergeudete Zeit. Die Betonung liegt hier auf "JEDER". Auch Linux-Boot-Virenscanner-CDs nützen da nichts mehr. Daten sind im Allgemeinen nicht davon betroffen, da die Botnetze ja nicht auf irgendeinen Befall aufmerksam machen wollen.

bei Antwort benachrichtigen
winnigorny1 Coolebra „Teil eines Botnetzes-wie weiss mans?“
Optionen

Also nen Zombie-Rechner hatte ich noch nicht. Auch nicht im Freundes- Bekannten- oder Verwandtenkreis.

Aber man sollte schon merken, wenns pressiert. Zum Beispiel daran, dass man plötzlich gewaltige Performance-Einbrüche hat, wenn der Zombie Systemressourcen an sich reisst.

Gruss aus dem schoenen Hamburg, Winni
bei Antwort benachrichtigen
organ seller Coolebra „Teil eines Botnetzes-wie weiss mans?“
Optionen

probier mal bothunter.
ich habe die live cd (ubuntu 8.10 oder 9.04) mal in einer VM laufen lassen und es funzte soweit ganz gut.

http://www.bothunter.net/

die livecd muss auf einem PC im gleichen Netz laufen, d.h. den infizierten Rechner benutzen geht NICHT !

Das Genie überblickt das Chaos.Wer Ordnung hält ist bloß zu faul zum suchen. Wer AsRock Boards verbaut, ist selber Schuld.
bei Antwort benachrichtigen
Coolebra Nachtrag zu: „Teil eines Botnetzes-wie weiss mans?“
Optionen

Hey speedy, winnigorny und organseller (*g*),

vielen dank fuer eure konkreten fachlichen tipps! Mit einer aussage wie "wirst Du dies merken, wenn Du schon längere Erfahrung mit PCs hast" von Conqueror dagegen kann ich ueberhaupt nichts anfangen, das ist mir zu sehr allgemeinplatz. Tja, woran denn, hm?
Deswegen umso brauchbarer was ihr anderen hier geschrieben habt, thx.
Ich werd mal den bothunter probieren, organseller. Unter
http://www.heise.de/newsticker/meldung/BotHunter-spuert-Zombie-PCs-im-LAN-auf-215354.html
habe ich noch mehr zum thema gefunden. Wo wenn nicht bei heise.de, wenns um security geht... ;)

Gruesse,
Coolebra

Ruhe ist nicht die erste Bürgerpflicht "Irgendwo ist immer eine Schraube locker" (Reinhard Mey in der entkernten Kerner-Show)
bei Antwort benachrichtigen
shrek3 Coolebra „Teil eines Botnetzes-wie weiss mans?“
Optionen

Hinweise darauf lassen sich finden, wenn

  • systemrelevante Programme wie z.B. regedit, msconfig, Taskmanager sich nicht mehr aufrufen lassen
  • man per msconfig (falls aufrufbar) nach den Dateinamen googelt, die dort in der Registerkarte "Systemstart" aufgelistet sind
  • nach den im Task-Manager aufgelisten Dateinamen der Prozesse googelt
  • wesentlich mehr Daten ins Internet abgehen als empfangen werden
  • der Virenschutz sich nicht mehr updaten lässt
  • Programme nur schwerfällig gestartet werden können usw.
Das sind natürlich nur alles Indizien (es sei, man hat per Google ermittelt, dass Datei xy ein Schädling ist) - aber Schädlinge haben es schon deutlich schwerer, sich dem aufmerksamen Auge eines Users völlig zu entziehen.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Conqueror shrek3 „Hinweise darauf lassen sich finden, wenn systemrelevante Programme wie z.B....“
Optionen

Ich denke dass was Du geschrieben hast, sind Anzeichen eines Virusprogrammes.[z.B. regedit, msconfig, Taskmanager sich nicht mehr aufrufen lassen, der Virenschutz sich nicht mehr updaten lässt] Rootkits sind so programmiert, dass sie sich eigentlich gar nicht kenntlich machen, sonder nur dann wenn der PC sowieso beschäftigt ist. Sonst wäre es ja zu einfach.
"Schläfer" ist die Bezeichnung dafür.

bei Antwort benachrichtigen
shrek3 Conqueror „Ich denke dass was Du geschrieben hast, sind Anzeichen eines Virusprogrammes....“
Optionen

Schon klar, was du da sagst.

Als Teil eines Botnetzes wird der Rechner aber zu bestimmten Zwecken eingesetzt - und sei es, an der Weiterverbreitung von Schädlingen beteiligt zu werden, was entsprechende Aktivitäten zur Folge hat.

Dabei bleiben zwar die eigenlichen Initiatoren im Hintergrund (und sind somit nach wie vor nur äußerst schwer auszumachen) - dies gilt jedoch für die nach außen hin wirksamen Schädlinge nicht mehr.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen