[HaBo]

heissleim

Hallo Community

Bei uns an der Schule haben wir ein "kleines" Netzwerkproblem.

Zum Aufbau:
Es befinden isch mehere Computerräume im Gebäude, zudem gibt es in jedem Klassenzimmer 1-2 PC's. Die PC's aus den Informatikräumen sind mit dem Server verbunden, die in den Klassenzimmern nicht direkt, sondern nur mittels eines Netzlaufwerks.

Seit einigen Wochen ist es den "schlimmen Brüdern" und einigen anderen gelungen, eine Software oder ähnliches auf den Computern zu starten. Die Installation von Programmen ist jedoch gesperrt, das Programm muss also direkt gestartet werden können.
Mit dem genannen Programm können sie dass verschiedne PC mit Meldungen zu Spamen oder den Computer direkt auschalten, ohne das irgend eine Meldung angezeigt wird, oder etwas gespreichert werden kann.

So viel ich herausbekommen habe, funktioniert das Programm mittel der IP, des "anzugreifenden" PC's.
Es funktioniert auf allen Computern im Gebäude.

Nun, wir fürchten das es so auch möglich ist, die Computer auch von ausserhalb aus zu schalten.

Ich wollte nur mal bei euch nachfragen ob es ein Tool, gibt mit dem die IP des Computers "entfernt" wird, oder einfach etwas in dem Stil steht. ***.***.****.**
Und dass sollte dann überall stehen wo die IP angezeigt wird, eben falls in Chats oder der gleichen, den die Jungs waren so schlau, und hatten schnell raus wie sie die IP kriegen auch wenn ich Ihnen die CMD.exe entzogen hatte.


Vielen Dank im Voraus
Mit freundlichen Grüssen

odigo

Ich denke mal der Ansatz die IP-Adressen zu verstecken ist aus technischer Sicht zum Scheitern verurteilt.
Ich denke man sollte erstmal rausfinden welches Tool die "schlimmen Brüder" benutzen bzw. ob sie überhaupt ein Schadprogramm benutzen. Theoretisch kann Windows das auch mit Bordmitteln (net send und shutdown). Ich denke mal ein HiJack-This-Logfile könnte hier sehr hilfreich sein. Das solltest du sofern möglich als erstes posten. Ein Schadprogramm müsste ja per Autostart auf dem Opfer-PC gestartet werden.
Läuft auf den PCs eigentlich ein Virenscanner?

heissleim

Ja das mit dem Logfile kann ich momentan nicht durchführen

Also wir gehen davon aus, das kein "bekanntes" Schadprogramm verwendet wird. Auf dem Opfer-PC wird keine Software gestartet, denn ich habe es einmal mit meinem Privat-Laptop getestet, und ihm eine IP eines Computers zugwiesen. Und auch dieser konnte abgeschaltet werden.

Was wir wissen: Das "Programm" oder die "Aktion" kann über einen USB-Stick gestartet werden, oder aus dem Internet downgeloadet werden.

Durch das können Meldungen erzeugt, und PCs neugestartet, beendet, abgemeldet werden alles was auch im Startmenu verfügbar ist. Es scheint so als können sie aber nicht auf die GUI des PC zugreifen, und z.B die Maus bewegen, oder Dateien öffenen.

Wir haben ein Programm endeckt, mit dem wir die Aktion weitgehen unterbinden können, dieses schluckt aber gewaltig RAM, und es entsteht ein schwarzes CMD Fenster, bei der mit hoher Geschwindikeit etwas abläuft. Ebenfalls motzt dauern der Virenscanner (F-Secure Internet Security und Avira, auch Norton motzt.)
Das Programm ist jedoch eine .exe .... so kann ich den Code leider nicht einsehen. Auf jedenfall ist es dann nicht möglich den Computer zu beenden, auch nicht über Start.........



Weshalb ist es nicht technisch möglich, die IP verschwinden zu lassen, mir war mal so als hätte ich von einem Tool gehört mit dem eine "FakeIP" erstellt werden kann. Aber ja... man hört noch viel

lightsaver

Also zumindest "shutdown" fällt damit schonmal als Möglichkeit aus, da auf dem lokalen und dem Remotecomputer der gleiche Benutzername mit dem selben Passwort existieren muss, es gibt aber bestimmt ähnliche Programme, die diese Einschränkung nicht haben.

Das mit dem Spam könnte wie gesagt net send sein. Überprüfe also bitte mal, ob der Dienst "Nachrichtendienst" aktiviert ist. Falls ja, deaktiviere ihn. Kommt nochmal Spam, mache doch mal bitte einen Screenshot, vielleicht erkennt man daran ja schon etwas.

Welches Betriebssystem ist eigentlich auf den einzelnen Geräten? Was ist mit dem Administrator-Konto? Ich hoffe, da sind Passwörter vergeben worden. Wurden mal bei allen Accounts mit Adminrechten die Passwörter geändert?

beavisbee

das "Verstecken"/"Verschleiern"/"Faken" von IP-Adressen funktioniert nur über's Internet - nämlich, indem man z.B. über Proxies surft.

Im lokalen Netzwerk ist es nunmal unumgänglich, dass Rechner im gleichen Netzwerksegment sich gegenseitig sehen können...

Außerdem ist das, was dir vorschwebt, "Security through obscurity" und das kann niemals die Lösung sein....
Es ist nur die Bekämpfung der Symptome, nicht des Problems...

Auch der Name dieses ominösen Programmes, mit dem sich diese Aktionen deiner Aussage nach weitestgehend unterbinden lassen, würde mich interessieren - wenn alle Viren-Programme Alarm schlagen, dann ist damit sicherlich was faul - also weg damit!

Vielmehr sollte man die Windows-PCs sicherer machen, indem man z.B. eine Firewall installiert, welche diese "net send"-Pakete und Remote-Anfragen (z.B. shutdown) raus filtert oder gegen den "net send"-Spam kann man auf den Clients auch den "Nachrichtendienst" deaktivieren - schon kommen solche Meldungen nicht mehr durch.

Auch eine saubere Beschränkung der Nutzerrechte über Policies (Gruppenrichtlinien) wäre ein vernünftiger Schritt...

Ein weiterer Punkt, der sich bei Computer-Kabinetten ganz gut macht ist das Deaktivieren der Autostart-Funktion für Wechseldatenträger (CDs, USB-Sticks, etc.)

Und um so ein Computer-Kabinett "sauber" zu halten empfehlen sich so genannte "Wächterkarten" oder wenn man es lieber softwareseitig lösen will, dann HDGuard von Ramcke DatenTechnik.



Zur "Schadsoftware":

ich vermute ebenfalls, dass das "Schad-Programm" nur ein Batch-Script ist, welches z.B. in 'ner Endlosschleife "net send"-Befehle ausführt oder ein Programm, welches out-of-the-box läuft und somit keiner Installation bedarf und wahrscheinlich die Windows-API für das Senden der Nachrichten oder der Remote-Shutdown-Befehle nutzt...

und angenommen, dieses Script oder Programm kopiert sich jemand auf 'nen USB-Stick und setzt dort 'ne autorun.ini, dann braucht man den USB-Stick (solange der Autostart nicht deaktiviert ist) nur einstecken und der "Terror" geht los...

Dem wird man nicht Herr, wenn man seine IP verschleiert... da muss grundlegend das Netzwerk sicher gemacht werden und unnötige Funktionen der Clients deaktiviert werden...

Serow

Muss man für ein remote shutdown unter Windows nicht zumindest Logindaten mit entsprechenden Rechten besitzen? Wenn das bei euch wirklich mit shutdown läuft, dann habt ihr was die User Permissions geht echt Misst gebaut ^^

Bin mal gespannt auf weitere Infos.

cu
serow

odigo

Evtl. einfach ein shutdown -a in einer Endlosscheife.

Einfach so schaltet sich ein PC nicht ab. Hast du evtl. mal in der Ereignisanzeige eines Opfer-PCs geschaut ob da irgendwelche Spuren zu finden sind?

sTEk

Ansonsten empfehle ich, einfach im Schulalltag auf einem Rechner den Netzwerktraffic zu protokollieren. Das kannst Du z.B. via Wireshark bewerkstelligen. Wenn die "Jungs" ohnehin immer zuschlagen, dürfte es ja nicht lang dauern.

Fährt der PC eigentlich direkt runter oder werden die laufenden Programme sauber beendet?

Auf alle Fälle würde ich wie hier schon vorgeschagen alle für Euch unsinnigen Dienste deaktivieren. Ich weiß nicht, inwieweit ihr Eure PC fernverwalten müsst/Software dafür im Einsatz habt, aber ein ganz heißer Kandidat ist immer das RDP (Remote Desktop Protocoll).

__________________

Brabax

http://technet.microsoft.com/en-us/s.../bb896649.aspx

Man braucht nur die entsprechenden Rechte im Netzwerk und kann die Programme über USB (oder ohne) ausführen. Man braucht nur ne cmd. Mit nem passendem GUI-Tool (ist schnell geschrieben) geht es auch ohne cmd

Das Problem liegt also auch nicht im Auffinden der Software, sondern im Absichern deines Netzwerkes bzw. der PCs gegen den Einsatz dieser Programme (z.B. alle Ports schließen, die sowieso nicht benötigt werden).

lG

Brabax

__________________

<< Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >>

<< Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >>

<< Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

Black Doom

Hey,

es kann jetzt gut sein das mein Beitrag nicht weiterhilf aber ich geb in trotzdem ab.
Es gibt Programme mit denen man USB-Ports schließen kann, dies hielft nur nicht wenn sie es wie schon vermutet ausm Internet herunterladen und zweitens könnt ich mir vorstellen das die Schüler die USB-Ports brauchen wenn sie etwas speichern wollen oder?

Ansonsten viel glück

__________________
MFG Black Doom

heissleim

Auch wenn dies eventuell keine Lösung ist mit dem Faken, eventuell könnte dies auch funktionieren.
Die Autostartfunktion ist deaktivert, so weit bekannt wird das "Programm so oder so gezielt genutzt" also nicht einfach aktiviert und seine gelassen, vorallem bei Präsentationen ist die "Aktion" verdammt lästig.

Auf einigen Rechnern erhalten wir eine Fehlermeldung wie diese :

Nur dass bei uns etwas anderes bei "Das Herunterfahren wurde....." steht und bei den Meldungen teilweise unverständliche Zeilen wie diese auftauchen:
"3L33T3 H@X0RS" "L33T" "DM#2"

Vieleicht liegt die Lösung zum Problem in diesen "Zeichen" ???

Meintest du mit "Wächterkarten" so etwas wie "HDD-Sheriff"?
Das würde das Problem jedoch nicht in den griff bekommen


Kann mir jemand sagen wie ich bei einem CMD-Fenster eine Art "Notaus" aktivieren kann um zu sehen was gerade angezeigt wird oder ausgeführt wird, so könnte ich den Inhalt der "Rettungssoftware" einmal Posten

Unsere Netzwerk-Infrastruktur ist momentan noch ein wenig bedürftig...
Auf den meisten Rechnern läuft Windows XP SP3, 32-bit Professional, auf ältern (2-3) noch Windows ME, auf den neuen Rechnern die nicht mit dem Server verbunden sind läuft Windows Vista Enterprise 32bit, und auf zwei PC läuft bereits Windows 7 32bit Home Premium bzw. Windows 7 64bit Ultimate.
Die XP's wurden von einer (bankkrotten) Informatik AG so konfiguriert dass beim Start jeder Schüler mit seinem Account sich anmelden kann, zusätzlich mit einem (nur speziellen Personen bekannt) kann sich auf den Lokalen Computer angemeldet werden, um etwas zu installieren.
Die anderen neuen Computer, sind (normal) eingerichtet, wie jeder einen PC zuhause hatt, es kann dan vom Desktop auf Netzwerk Ordner wie "Datenaustausch Schüler" "Schüler (Nur lesbar, schreibgschützt)" und Lehrer (Lese und Schreibgschützt....auser für Lehrer )
zugegriffen werden. Die Win7 haben nur auf ein Netzlaufwerk Z zugriff.. ein "tausch" Ordner. (beide Win7ner sind halbwegs privat)

Für 2010 liegt ein grössere Betrag im Budget für "informatik" drinn, also würde ich mich natürlich darüber freuen, wenn ihr mir einige Hilfreiche Tipps geben würded, was oder was eben nicht wir kaufen sollten.
Eins ist klar... es werden alle (auser die Win7ner) PC durch neue (alles gleiche Modelle) ersetzt werden.

odigo

Ähm, mal ne kurze Zwischenfrage: Wie ist denn der Patchstand bei den Opfer-PCs? Werden die Windows-Updates regelmäßig eingespielt?

sTEk

Eine Zeichenkette wie "3L33T3 H@X0RS" (= Elite[ELEETE] Hackers[HAXORS]) zeigt doch schon, dass Deine "Jungs" ganz Script-Kiddy-like irgendwo ein Prog oder Script gesaugt haben und das ausführen.
Eigentlich ist das Beenden des RPC-Dienstes die große "Stärke" vom Blaster-Worm gewesen.

Wer kann denn die Rechner starten? Das Windows ist ja anscheinend lokal installiert (schon der erste Fehler!) und via geeignetem Bootmedium kann man dann innerhalb von Sekunden die Kennwörter der lokal vorhandenen Profile anzeigen lassen. Die Bootreihenfolge lässt sich bei den meisten Boards übrigens ganz spielerisch übergehen...am Anfang nämlich F11 o.ä. drücken.

Nachtrag:
Nach einer kurzen Suche habe ich mehrere Tools gefunden, die einen Shutdown via RPC verursachen. Ich denke, dass das bei Dir eingesetzte Tool auch dabei ist. (Hier die von mir sehr frei übersetzte Beschreibung des in Frage kommenden, da ich mit der originalen glatt 10.000 Treffer bei google landete: xxx ermöglicht den Neustart, Stand-By, das Ausschalten, Ausloggen etc. sowie das Senden von Nachrichten über das Netzwerk. Freeware) Wie diese Tools heißen werde ich natürlich nicht sagen.

__________________

Sph1nX

Also ich glaube ja, dass es ein normaler remote shutdown ist (shutdown -r)
Dafür brauch man nur CMD Zugriff und den bekommt man ja schnell.
Bei uns ist es auch schlecht eingerichtet, jeder Schüler meldet sich mit seinem Account übers Netzwerk oder Lokal an, ist eingeschränkter Benutzer und dort sind dann (XP SP3) die ganzen Benutzerrechte so eingerichtet, dann man nur Admin sein muss und damit alle Rechner im gesamten Raum herunterfahren kann.
Man muss also keine Userpasswörter kennen,der Admin ist auf jedem PC der selbe.

sTEk

Und genau das ist das Problem bei einem lokal installierten OS bzw. lokal abgelegten Profilen, gerade in Schulen. Die Passwörter von denen zu "stiebitzen" lässt sich ohne großen Aufwand realisieren.

Ich habe übrigens mal eine ganze Latte Tools zwecks Netzwerk-Shutdown ausprobiert. Mein Ergebnis: Nicht eins konnte an der beim Lütten eingerichteten "Firewall" vorbei bzw. ohne die Kenntnis der Admin-Zugangsdaten irgend etwas ausrichten. Wenn Eure Systeme also auf dem aktuellstem Update-Stand und die Admin-Profile auch unterschiedlich sind (was ich bei den angesprochenen vornehmlich privat genutzten Rechnern doch hoffe!) kommt nur ein ungeschützter LAN-Zugang in Frage - sofern keine Scripte von Intranet-Seiten etc. ausgeführt werden können oder Schadsoftware installiert wurde.

__________________