Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Verfolgung starten Optionen

Viren, Würmer und Rootkits im Netzwerk

DevNull667 / 8 Antworten / Flachansicht Nickles

Kurz zu meiner Umgebung: Ich teile mir mit drei Nachbarn einen DSL-Internetanschluss den wir über einen W-Lan Router (Netgear WPN 824) und entsprechenden Netzwekkarten realisiert haben. Die Firewall im Router ist selbstverständlich aktiviert und alle Passwörter für die Routeradministration und W-Lan Verbindung entsprechen allgemein gültigen Regeln. Alle haben mehr oder weniger aktuelle Windows XP Rechner die Hardwareseitig auch ohne Probleme laufen. Das Netzwerk + Internetverbindung funktioniert offensichtlich auch.... Zu meinem Problem: Meine Nachbarn und ich sind nicht die Einzigen die unsere Rechner Benutzen! Die Symptome sind sehr subtil und ich wollte es zuerst nicht glauben. Weder Virenscanner (NOD32 4.5) noch spyware-tools finden die Ursache meiner Probleme. Aber es gibt etwas auf meinem Rechner was ich nicht will.... Z.B. Werden meine mp3's gekürz. D.h. soweit ich das verstanden habe wird die Abspieldauer, nicht aber die eigentliche Größe der Datei, negativ verändert. Vermutlich Winamp hat mir dazu einmal eine Warnmeldung herausgegeben.(Screenshot vorhanden) Es erzeugt Tracking-Cookies die angeblich von falk.de kommen und von verschiedenen Virenscannern als schadhaft eingestuft wurden. Aufgefallen ist es als ein Freund mit seinem Laptop am Netzwerk teilnehmen wollte und plötzlich von Warnungen seiner Firewall überschüttet worden ist. Kurze zeit später zeigten sich auch bei ihm falk.de Cookies. Keiner von uns war je auf der Seite von Falk. Hab dann mein System vorläufig ohne Netzwerk neu aufgesetzt, Firewall(Outpost) eTrust Pestpatrol und Nod32 installiert und mich für befreit gehalten. Wegen Zugriffsproblemen in der Netzwerkumgebung deaktivierte(nicht beendete) ich kurz die Firewall. Darauf hin beendete sich Nod32 und Outpost selbstständig. Zufall? Nach dem Reaktivieren der Firewall forderte ein Unbekannter Prozess(mir und dem Betriebssystem+Firewall) eine ausgehende Internet Verbindung zu der Ip "224.0.0.22".Die verwendeten Protokolle sind IGMP und UDP der Remoteport ist 0. Dies findet jetzt bei jedem Start von WinXP statt. Das neuste und für mich erschreckenste ist folgender Umstand. Ich habe "tracert" und "ping" benutzt um die Connectivität zu einem Freund(mit seinem Wissen) zu testen. Kurze Zeit später meldete mir meine Firewall einen Portscan aus dem Internet des ersten Netzwekknoten mit dem der Freund verbunden war. Erkennt jemand den nicht offensichtlichen Sinn hinter folgender Firewall Meldung? "25.11.2005 13:52:56 Angreifer blockiert Port-Scan von e176178226.adsl.alicedsl.de entdeckt (gescannte Ports: TCP (1835, 2062, 2206, 2330, 1941, 1971)). 24.11.2005 20:40:08 Angreifer blockiert Port-Scan von e176178226.adsl.alicedsl.de entdeckt (gescannte Ports: TCP (1370, 1381, 1319, 1357, 1361, 1340))." Auch hierzu existiert ein Screenshot. Was ich möchte: Kann mir jemand helfen diesen Menschen aus meinem Netzwerk zu jagen oder mir die vorgetragenen Symptome anders zu erklären? Hatte jemand ähnliche Probleme in der Vergangenheit oder Aktuell? Wer kann mir die Möglichkeiten von rootkits tiefgründig erläutern? Wie finde ich laufende Prozesse die nicht im Taskmanager angezeigt werden. Mit welchen Virenscannern kann ich evl. unter Linux meine Windowsplatten untersuchen? Wie konnte mein Pc aus dem Internet gescannt werden wo doch meine Firewall im Router alle anfragen aus dem Internet blockt(wenn man Diversen Testseiten trauen kann) Welche Rolle spielt IGMP(muss man das haben)? Vielen dank an alle die versuchen mir zu helfen......

bei Antwort benachrichtigen
1 Bitte schreibe mehr in Absätzen. So liest kaum einer den langen Text. 2 ... idefix1968
Ok, da ist was schief gelaufen mit den Absätzen.... Eigentlich waren ... DevNull667
zu 10 Dann wirst Du wohl vorher die Systemwiederherstellung deaktivieren ... idefix1968
Das mit der Systemwiederherstellung werde ich testen. Danke, sehr gute Idee! ... DevNull667
Ach ja... Man muß einen Haken setzen um die Systemwiederherstellung ... idefix1968
Mario32 DevNull667 „Viren, Würmer und Rootkits im Netzwerk“
Optionen

IGMP=
http://de.wikipedia.org/wiki/Internet_Group_Management_Protocol

224.0.0.22=
eine Multicast IP zugeordnet zu deinem Lokalen Netzwerk an eurem Router!


Comment: This block is reserved for special purposes.
Comment: Please see RFC 3171 for additional information.

224.0.0.0 - 224.0.0.255 (224.0.0/24) Local Network Control Block

Local Network Control Block (224.0.0/24)


Addresses in the Local Network Control block are used for protocol
control traffic that is not forwarded off link. Examples of this
type of use include OSPFIGP All Routers (224.0.0.5) [RFC2328].

(Und ja, da hat auch ein Nameserver in Schweden was mit der Verwaltung dieses Adressraumes zu kriegen! [Dieser Hinweis nur weil vor Monaten mal jemand beinahe paranoid immer wieder mit "Schweden" kam wo ihn angeblich eine Universität ausspionieren solle])


http://www.faqs.org/rfcs/rfc3171.html

http://ws.arin.net/whois/?queryinput=224.0.0.22

http://ws.arin.net/whois/?queryinput=N%20.%20MCAST-NET


Kann mir jemand helfen diesen Menschen aus meinem Netzwerk zu jagen oder mir die vorgetragenen Symptome anders zu erklären?


Nur wegen Portscans hast du keinen Menschen in deinem Netzwerk den du rausjagen könntest/müßtest!
Portscans sind auch nix anderes als das klingeln an der Haustür und von daher auch nicht gefährlich oder gar illegal!(Wenn auch viele (dummen) Provider in Ihre AGB schreiben das Portscans nicht erlaubt sind!)

Wenn Ihr mit Alice ins Internet geht ist das doch wohl mutmaßlich DSL über Kabelnetz, oder?! Bei dieser Übertragungsvariante ist das mit den zuordnen von WAN IPs afaik etwas anders als bei TelefonleitungsDSL über PPPoE Protokoll.
Bei Telefon wo dein Rechner/dein LAN eine eigene WAN IP am Breitband POP bekommt;
und bei Kabel teilen sich wohl an so einem Kabelverteilerpunkt Verschiedenste Parteien eine externe IP in einem nochmals an diesem Verteilerpunkt aufgebautem "netzuntersgment; quasi seperate LAN IP Adresse".


Lass dich einfach nicht von (eigentlich Sinnfreien) Meldungen einerr DesktopFirewall wegen Normalem Hintergrundrauschen des Internet verrückt machen! ( Netzwerkkontrolpakete, Pingpakete

Wer kann mir die Möglichkeiten von rootkits tiefgründig erläutern? Wie finde ich laufende Prozesse die nicht im Taskmanager angezeigt werden.

http://www.google.com/search?q=rootkits
für erklärungen

http://www.sysinternals.com/utilities/rootkitrevealer.html
als ein Beispiel für ein Programm zum anzeigen.


HTH


P.S. auch Tracking Cookies sind nicht Gefährlich im Sinne das sie deinem System etwas böses tun wie ein Virus, wurm Trojaner oder dergleichen! Die Cookies sind nur in der Lage eine harmlose kleine Textdatei, von einem Server zum anderen weitergehend, auslesen und verändern zu lassen in deinem Browser. Damit wird nur von den Servern im Internet festgestellt wo du vorher warst, wo du hingehst ob du wiederkommst usw. usf.
Also höchstens ein "Datenschutznervproblem" wenn deine Bank beispielsweise mitmachen würde und dein Sexshopversand auch und die Bank würde so mitkriegen das du vorher dort warst und die online überweisung also für die Lederpeitsche ist! ;-)

Ohne Tracking Cookies könntest du bspw. bei Amazon keine 1klickbestellung nutzen oder dir anzeigen lassen was du "kürzlich angeschaut" hast.

bei Antwort benachrichtigen
Auch Dir Dank für Deine Bemühungen wie allen Anderen übrigens auch , hier ... DevNull667
Wie kann das sein wenn die Router-Firewall eigentlich nur angeforderte ... Mario32