[HaBo]

androil

Anzeige

Hey leute,
ich kam vorhin nachhause und wollte ein bisschen surfen.
Als ich den Firefox aufmachte, kam eine meldung von meinem Provider das mein Netzwerk anscheinend Viren- und Spamaktivitäten aufweise.

Ich habe danach angerufen und hab meine internet verbindung wieder aufschalten lassen.

ich wollte fragen was ihr alle so für tools kennt um das Netzwerk ein bisschen zu überwachen, vieleicht noch sonstige tools als Wireshark ... obwohl dieses bei mir nicht ganz funktioniert.

Sollte doch auch gehen wenn man ihm einen WLAN Adapter als Interface angibt oder?

Was gibts sonst noch so für methoden zum auslesen der Netzwerkaktivitäten.
Wenn möglich nicht zu komplieziert tools, da ich doch noch relativ unerfahren bin (Informatiker-lehrling im 3.Lehrjahr).

Eventuell habt ihr ja noch andere Tipps zum überprüfen.
Oder sollte ich einmal ein Hjackthis log reinstellen?

gruss androil

ps: Hoffe es gibt nicht schon eine ähliche anfrage, hab das Forum eigentlich durchsucht. Thx for help

bitmuncher

Windows - TCPView
Linux - iptraf

Beide: netstat

__________________

IsNull

Das interssiert deinen Provider nur in seltenen Fällen, nämlich genau dann, wenn du andere damit gefärdest bez. das Netz unnötig massiv belastest. Sprich, du verbreitest (ungewollt) spam mails, oder sonstigen müll. Deswegen würde ich dir empfehlen, von allen PCs in deinem Netz, die Zugriff aufs Inet haben, das Hijackthislog zu posten. Wird wohl Malware sein.

Elderan

Hallo,
wie kam denn diese Meldung? Denn soetwas hört sich stark nach Nagware bzw. Spyware an.

Einfach mal die Frage stellen, ob es für den Provider überhaupt möglich ist, mit legalen Mitteln dir diese Info zukommen zu lassen.

Meistens werden die Rechner in einem Netzwerk infiziert, ob ein Netzwerk überhaupt Viren- und Spamaktivitäten aufweist, darüber kann man streiten, je nachdem wie man sowas definiert.

androil

Ich denke schon das dies legal ist,der Provider kann ja auch die Netzwerktraffics anschauen von einem, wenn man im verdacht steht etwas illegales zu machen. Ich denke die lassen meinen Netzwerkzugriff offen, speren mir aber das internet und lassen mir ihre meldung anzeigen.


Ok ich werde mal die hijackthis logs erstellen und diese dann hier posten.

thx für die hilfe

Elderan

Hallo,
es ging im die Anzeige der Meldung.
Wenn sich bei dir z.B. eine (Win)MessageBox geöffnet hat, dann wird dies der Provider wohl weniger mit legalen Mitteln hinbekommen haben, sofern du keine Spez. Software von denen installiert hast.

SUID:root

Klingt mir nicht seriös. Tippe mal, Elderan hat Recht.
Sofern du nicht wirklich 10.00 Spam-Mails verschickst (natürlich nicht du, sondern dein Rechner) ist es sehr unwahrscheinlich, dass dein Provider feststellt, dass es in deinem Netzwerk Virenprobleme gibt. Wie sollte er das anstellen?

1. kommt er nicht in dein LAN
2. könnte er schlecht feststellen, dass es Aktivitäten in deinem LAN gibt (soll er deine Recher online scannen, oder wie?)
3. würden Viren in einem Netzwerk nicht auffallen, weil Viren in der Regel keine Kommunikation betreiben (bestenfalls Würmer)
4. würde der Provider von sich aus bei Missbrauchsverdacht deinen Account sperren, ohne dich vorher schriflich zu informieren (Schadensbegrenzung)

Alles doch sehr unglaubwürdig.
*Ironie*
Klar. Das machen die bei jedem per Hand, weil die sonst nichts zu tun haben und dein Netzwerk nur eins von fünf ist in ganz Deutschland, das ein Virenproblem hat.
*Ironie*

root

Elderan

Hallo,
@SUID:root:
Und das aller wichtigste:
5. Der Provider sieht nicht nur dein Internet-Traffic, sondern den Traffic von zig Millionen anderen Usern.
Diesen Traffic nach Viren zu durchsuchen würde extrem viel Perfomance brauchen. Daraus folgt, dass Provider diesen Aufwand normalerweise gar nicht betreiben. (Vorallem weil Viren die per Mail reinkommen 'normal' sind).

androil

hehe na gut na gut,
jedenfalls habe ich mit dennen Telefoniert,
und die Verbindung zum INternet stand,

Als ich denn Browser geöffnet habe (Firefox) kam dann die meldung das meine Verbindung zum Internet temporär gesperrt wurde wegen Viren und Spamaktivitäten.

Anscheinen habe ich JunkSpam Mail verschickt oder so was sie wollten mir noch n mail schicken mit allem, ich werde denen sonst noch einmal anrufen, und die Ursache oder das Problem verlangen, und fragen weswegen sie mich gesperrt haben.

Übrigens komme ich aus der Schweiz.

http://www.cybernet.ch/default.cfm

dies ist der Provider und der ist ziemlich sicher ganz in Ordnung, da wir in unserer Firma allen kunden diesen Provider anbieten und verkaufen (Wenn ich das so richtig gesagt habe )

Aber die logs von denn einzelnen rechnern werde ich trotzdem noch einmal reinstellen.

hab leider keinen Screenshot von dem ganzen gemacht

Und sie haben bestimmt nicht alle anschlüsse überprüft, so wie sie es mir am Telefon gesagt hat, bekamen sie eine E-mail welche sie darauf hinwies

SUID:root

Hm. Klingt alles verwirrend. Wenns im Browser kam, könnten sie das vielleicht über den Proxy gelöst haben.
Bin mal gespannt was da raus kommt. Vielleicht wird das in der Schweiz wirklich anders gehandhabt. Ich kann mir das zwar echt nur schwer vorstellen, aber gut, wer weiß.

Viele Grüße

root

brain21

Also so wie ich es jetzt aufgenommen habe, hat der Provider von einer Person eine Benachrichtugung erhalten, dass von seiner Verbindung aus massig Spam verteilt wird. Es ist meines Erachtens nicht schwer für den Provider dies zu überprüfen (ja, ich weiß: Massig Traffic, viel Arbeit etc. aber 10000 Mails in einer Minute fallen da doch schon auf), also haben sie den DNS-Server jegdliche Nachfrage auf eine Internetseite mit der netten Meldung verweisen lassen; das erklärt dann zumindest das "Als ich den Firefox aufmachte, kam eine meldung von meinem Provider".
Dazu braucht man dann auch keinen Trojaner auf'm Rechner :^) Aber das ist Offtopic...

Den HiJackThis-Log-Thread findest du hier HiJack-This-Log Sammelthread

androil

so hatte heute nochmal kontakt mit meinem Provider und die haben mir dann diesen header geschickt. Dies ist anscheinend das Problem gewesen.

Hjackthislogs sind unterwegs.

Harry Boeck

Wenn das so ist, daß Du am "Sun, 13 Jan 2008 13:40:46 -0800" (das sollte 21:30 GMT bzw. 22:30 bei Dir gewesen sein) die Adresse "217.11.47.198" gehabt hast (das solltest Du prüfen können, wenn Du Server betreibst, wegen denen Du ständig am Netz hängst, oder auch wenn Du Dich eingewählt hattest, indem Du Dich an den Abend erinnerst), wird diese Einschätzung Deines Providers wohl korrekt sein. Mindestens einer der Rechner bei Dir zu Hause ist dann ein Bot.

Falls Du einen wirklich wirksamen Virenscan laufen lassen willst: Schalte den Rechner aus, boote von einer Linux-Live-CD und lasse von dort aus einen Scan laufen!

Falls Du den (oder wahrscheinlicher die) Rechner viren-, würmer- und botfrei kriegen willst: Setze sie neu auf und suche dazu hier im Forum oder über Google nach Anleitungen!

androil

hmmm da wir eine fixe Adresse haben, ist dies der Fall.

Aber eine möglichkeit denn rechner zu identifizieren welcher es ist, gibt es nicht?

Der Pc der infiziert ist , dient als bot hasst du gesagt also, für was wird so einer hauptsächlich gebraucht? zum sniffen im netzwerk oder doch eher für Massive Anriffe?

SUID:root

Bots können im Grunde für alles Mögliche verwendet werden. Im Grunde ist ein Bot ja nur ein Programm, das eine bestimmte Aufgabe durchführt und in Verbindung mit anderen Bots diese Aufgabe besonders effektiv werden lässt. Für welche Aufgabe so ein Bot programmiert wird ist nicht begrenzt.

Das kann das Verschicken von Spam-Mails sein, genausogut aber auch ein DDoS (Verteilter Angriff um bspw Server außer Gefecht zu setzen), natürlich auch jede weitere Art von Mißbrauch.

Infiziert worden sein kann der Rechner duch verschiedene Art und Weisen. Entweder durch einen Exploit (das Ausnutzen einer vorhandenen Sicherheitslücke) oder durch einen User (auf die klassische Art wie sich eben Viren übertragen). Bots sind letztlich genauso Schadprogramme wie Viren und Trojaner, nur eben mit anderen Aufgaben.

Am Sichersten wäre es wohl, wenn du alle Rechner neu installierst. Auf einen Virenscanner würde ich mich hier nich ausschließlich verlassen wollen. Dein System ist bereits kompromittiert, mögliche Hintertüren vielleicht eingerichtet. Wirklich sicher bist du nur, wenn du formatierst und neu installierst.

Viele Grüße

root