Was mache ich jetzt - bitte für doofe erklären...
Hallo juschka01,
du schreibst es soll für doofe erklärt werden!
hast du meinen ersten link nicht angesehen?
Dort ist es so erklärt was du tun mußt, das es auch "doofe" verstehen!
http://faq.underflow.de/#SECTION000120000000000000000
P.S. Falls deine kenntnisse "für doofe erklärt" am pc noch nicht ausreichen um auf Links zu klicken, hier der Text des Links: (sorry für die anderen das jetzt soviel text kommt)
Wenn ein System kompromittiert wurde, sollte man genau wissen wie man zu verfahren hat, um den Schaden einzudämmen. Virenscanner bieten zwar als einfache Lösung an, das System zu ,,säubern``, dies kann aber nicht erfolgreich sein, da ein Angreifer (Virus / Wurm / Dialer / Cracker etc.) längst beliebige Systemdateien ersetzt haben könnte (und vermutlich auch hat) und sich so im System festgesetzt hat. Solch einer Reinigung durch einen Virenscanner kann man nur dann vertrauen, wenn man Prüfsummen aller (System-)Dateien hat und diese auch von einem Nachweisbar sauberen Datenträger aus verifizieren kann. Dies ist jedoch sehr selten der Fall, da ein solches Verfahren auf einem Desktop-System kaum zu realisieren ist.
Deshalb sollte man folgendes Vorgehen wählen:
1. System sofort von allen Netzwerkverbindungen (LAN, Internet etc.) trennen.
2. Evtl. den gesamten Inhalt der Systemdatenträger sichern, um im Falle eines straf-/ zivilrechtlichen Vorgehens Beweise zu haben. Für die meisten Heimanwender dürfte dies aber nicht nötig sein. Eine Ausnahme bildet der Fall, dass man einen sog. ,,Dialer``installiert hat. Hier sollte man auf jeden Fall eine Vollsicherung durchführen. Falls man vermutet, dass auch schon Kosten angefallen sind, sollte man evtl. sogar den gesamten Rechner als Beweismittel zur nächsten Polizeidienststelle bringen und Anzeige erstatten.
3. Feststellen welcher Art die Kompromittierung war und auf welchem Wege das System kompromittiert wurde.
4. Alle evtl. betroffenen Dritten informieren.
5. Evtl. nötige Patches und Updates herunterladen. Hierzu ist ein sauberer Rechner notwendig, wie z.B. ein anderes System, oder ein Rettungssystem, wie z.B. Knoppix, das von CD lauffähig ist. Die Patches und Updates sollten wenn möglich auf einem schreibgeschützten Datenträger (CD-ROM, Diskette etc.) gespeichert werden, damit sie nicht kompromittiert werden können.
6. Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern oder sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen.
7. Alle Datenträger neu formatieren und sämtliche Software von den Originaldatenträgern neu einspielen.
8. Das letzte, vor der Kompromittierung erstellte, Backup der Daten (nicht die Vollsicherung, die zu Beweiszwecken erstellt wurde!) zurückspielen.
9. Die genutzte Sicherheitslücke (z.B. durch Einspielen der nötigen Patches) schließen und prüfen, ob es evtl. weitere, ähnliche Lücken gibt und diese ebenfalls schließen.
10. Erst jetzt das System wieder an die Netzwerke anbinden.
11. Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen.
Dieses Verfahren wird auch von Mircosoft, CERT und den entsprechenden Abschnitten des ,,Users' Security Handbook``der IETF (RFC 2504, Abschnitt 6.2) als Maßnahme zur Beseitigung einer Kompromittierung empfohlen.
Dass es wirklich nicht ausreichend ist, nur das Schadprogramm allein durch einen Virenscanner entfernen zu lassen, hat der Wurm Sobig - in all seinen Varianten - gezeigt. Er installierte unbemerkt (auch von Antivirus-Herstellern) ein Trojanisches Pferd und zusätzlich eine modifizierte Version des WinGate Proxies, der u.a. von Spam-Versendern zur Verschleierung ihrer Identität oder als quasi anonyme Ausgangsbasis für Angriffe auf andere Systeme mißbraucht wird. Nähere Informationen zu diesem Vorfall finden sich unter
http://www.lurhq.com/sobig.html und
http://www.lurhq.com/sobig-e.html (englisch).
Weiterführende Informationen zum Thema:
Empfehlungen von Microsoft:
http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx http://www.microsoft.com/germany/ms/technetdatenbank/overview.asp?siteid=600230
Warum nach einer Kompromittierung der Rechner nicht mehr dir gehört:
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx
GarfTermy
