Wurde gehackt! Was tun?

A

aLGo

0
Hallo,

bin neu in eurem Forum..entschuldigt daher bitte wenn der post hier falsch ist :)

Leider hat es mich gestern getroffen und ich wurde gehackt. Zur Vorgeschichte: Ich hatte mit dem Angreifer über 2 Tage verteilt geschrieben, weil wir etwas handeln wollten (Gegenstände eines Spiels ca 600€). Dummerweise hab ich auch eine Datei von ihm geöffnet ...was natürlich extrem blöd war. :/ So hat er also warscheinlich Zugriff auf meinen PC bekommen. Als ich den Raum für 10min verlassen hatte steuerte er meine PC und schickte sich alle Gegenstände als gift.

Meine Frage:

reicht es mein system neuaufzusetzen? wie sollte ich vorgehen?

danke schonmal :)
 
Ja, System nach einer vollständigen Formatierung neu aufsetzen, dürfte reichen. Stelle aber sicher, dass du keine infizierten Dateien aus Backups einspielst.
 
Hallo erstmal und willkommen im Forum,
bitmuncher hat da eigntlich schon das meiste dazu gesagt, mir ist da nurnoch eine Sache dazu eingefallen:
Checke sicherheitshalber mal die anderen Pcs/Server im Lan, ich halte es bei dem Motiv zwar für unwarscheinlich, aber es besteht trotzdem die Möglichkeit, dass andere Pcs von deinem Rechner aus infiziert wurden.
Hoffe ich könnte helfen.
 
Genauso wenig kann man aber per se davon ausgehen, dass wirklich alles kompromittiert ist. Letzten Endes ist es wie so oft in der InfoSec nur eine Abwägung zwischen Aufwand und Risiken. Man muss sich nur überlegen, ob der Angreifer neben dem Interesse daran die Fähigkeit dazu besitzt.
 
die Fähigkeit braucht er nicht zu besitzen, die muss nur das Tool, das er anwendet haben. Dazu ist viel weniger "verstehen" notwendig als das Schreiben des Tools.

Wie bitmuncher schon richtig sagte: ALLES runter!
Ich würde dann bei der frischen Installation immer mal wieder einen Blick auf einen Portscanner werfen. Wenn da Prozesse auftauchen, die man nicht will, sollte man sich erneut auf die Suche nach dem VIrus machen.
 
Hallo,
Hier habe ich noch ein ganz nettes Bild zu dieem Team gefunden:
X+8UXX5ARL3hdQECgP0PatWvXrl27JEnS6XR4kGm12j57rAoI9CdoVOCt1+ttbm7GL4d0qn36+xUQEBB4IP4Po0t5lBb+qQgAAAAASUVORK5CYII=
563-585ffa6a38.jpg

Klar ist es immer besser den Pc neu aufzusetzen, aber man muss ja nicht gleich mit seinen schwertsten Mitteln anrücken, wenn man z.B. "nur" eine doofe Toolbaar hat.
Dies nur am Rande, im konkreten Fall des Themenerstellers bin ich, wie alle anderen hier für ein komplettes neu-aufsetezen.
(Quelle des Bildes: http://htmlimg1.scribdassets.com/2el8ckmvsw1030y0/images/563-585ffa6a38.jpg )
 
Zuletzt bearbeitet:
Stop

Ich würde das System nicht neu aufsetzten.
Zumindest noch nicht, du zerstörst sonst Beweismittel.
Die Kiste ausschalten, zur Polizei bringen und Strafanzeige wegen schwerem Diebstahl stellen(ab 600€ ist das glaube ich gegeben).
Sie enthält Daten die ggf. wichtig sind für eine Ermittlung: verbindungsdaten der Syteme untereinander, ggf.das Infizierte System selbst. Es gibt auch noch das Konto zu welchem er sich die Sachen selbst geschickt hat, und nicht zu vergessen die Emailkorrespondenz mit den Infizierten Dateien.

Kann sein das es wegen des Kontos nicht notwendig ist den PC mitzubringen, aber sicher ist sicher.

Solltest du den PC mitbringen, etc. solltest du dich auch mal über den Umstand des Zufallsfundes informieren.
Ich bezweifele dabei jetzt zwar das sie wegen 2 oder 3 gerippten MP3s oder Filmen für dich die Keule rausholen, aber das ist eine Risikoabwägung die du treffen musst, da wir nicht wissen was auf deiner Platte ist.

Gruß

Fluffy

P.s.:
Du solltest auch deine Logins ändern, denn du weisst nicht wie invasiv der Systemzugriff war. (natürlich von einem "sauberen" System.
 
Zuletzt bearbeitet von einem Moderator:
Watchme hat gesagt.:
die Fähigkeit braucht er nicht zu besitzen, die muss nur das Tool, das er anwendet haben. Dazu ist viel weniger "verstehen" notwendig als das Schreiben des Tools.
Zum Vergrößern anklicken....

Er muss wissen, wie er sich seinen Zugang sichern kann. Dazu gehört 1. kriminelle Energie, 2. das Wissen über Backups, Tools und Methoden und 3. der Wille seinen Zugang möglicherweise über eine Neuinstallation hinaus noch zu behalten.
Wenn wir uns den Angreifer anschauen, dann sehe ich hier nur ein Skriptkiddie, das es nichtmal schafft, seine eigenen Spuren zu verwischen und dazu noch so plump vorgegangen ist, dass hierzu nichtmal ein guter Forensiker oder eine gute Forensikerin nötig wäre, um den Trojaner zu identifizieren und zu System zu entfernen (wenn das nicht sogar durch nen Virenschutz passiert - z.B. könnte man einfach mal die gesendete Datei auf Virustotal hochladen). Stattessen wurde ein konkretes Ziel (Diebstahl der Gegenstände) mit dem Angriff verfolgt, wobei ein vielfach erhältlicher Trojaner eingesetzt wurde, über den der Bildschirm gesteuert wurde. Nach FUD Ansatz müsste man jetzt natürlich vom schlimmsten ausgehen, dass über die Commandozeile im Hintergrund mittels kruder Befehle das BIOS geändert wurde, was auch eine Neuinstallation überdauert und obendrein noch über die Soundschnittstelle mit dem Smartphone kommuniziert, dass während dem Angriff ebenfalls infiziert wurde und man jetzt eigentlich einen neuen PC kaufen müsste, weil man einfach nicht mehr sicher sein kann - bla bla bla. Bei einem Risiko gehts aus objektiver Sicht aber immer um Wahrscheinlichkeiten und die sind hier (Infektion des Backups) meiner Ansicht nach nicht gegeben, weil dazu mehr gehört, als nur bloßes Ausführen öffentlich erhältlicher Tools.
 
Falls die Backups noch da sind - zumindest "restore-point-reset-Code" gab es überall[0] zum mitkopieren und das eine oder andere "Hackt00l" hat es auch eingebaut:
DarkComet-RAT Final RC6 hat gesagt.:
- [HOT]New keylogger added , work on all keyboards and recoard the whole keystrokes
even symboles etc.. no strokes can pass away from it , it record the window title
process name etc...
- Persistance added for 32bit operating system (A very very stable and new methode)
...
- Reset the restore point added as option in Server Shield ( Server Editor Expert Mode )
Zum Vergrößern anklicken....

https://www.opensc.ws/malware-samples-and-information/15004-xtreme-rat-v2-8-a-10.html#post131740 hat gesagt.:
Idea: add the option to delete restore points, so if the user tries to restore his PC to an earlier time the server wont be deleted (what i mean is a one time restore point delete so all restore points prior to the server install will be deleted).Idea: add the option to delete restore points, so if the user tries to restore his PC to an earlier time the server wont be deleted (what i mean is a one time restore point delete so all restore points prior to the server install will be deleted).
Zum Vergrößern anklicken....

Dass ein 0815 Troj Restorepoints infiziert UND nicht lautstark+blinkend damit beworben wird, ist imho sehr unwahrscheinlich ;) - das übliche Problem mit den Rücksetzpunkten ist i.d.R eher, dass der genaue Zeitpunkt der Infektion unbekannt ist und man sich nicht sicher sein kann, ob nicht schon ein infiziertes System gesichert wurde (bzw. nun wiederhergestellt)

[0] "Überall" ist zugegebenermaßen inzwischen auf einen Check von opensc/hackforums beschränkt: https://www.opensc.ws/delphi-snippets/5761-creating-deleting-system-restore-points-delphi.html
 
Vielen dank für die ganzen Antworten...ich warte noch auf Antwort vom Support und werde dann das System neuaufsetzen(klauen kann er eh nix mehr :/ und der PC dient nur zum Spielen)

Eine Frage kam mir aber noch in den Sinn:

Ist es möglich den Zugriff von Aussen nachzuweisen? Irgendwelche Protokolle die das Aufzeichnen :)? Den Router hatte ich nachdem Zugriff leider schon resetet.

Danke nochmal
 
ggf. der PC selbst.
So wie sich das anhört könnte er das RDP benutzt haben.
In dem Fall ist er überführt wenn er einen Drucker besitzt und das Konto führt die Strafverfolgungsbehörden zur IP und die zum Übeltäter.
Der wird dann nähmlich mit gemappt.
Also den PC auf jeden fall einschicken.


Und ich wäre vorsichtig.
Jeder zusätzliche tag an dem ein System kompromitiert ist ist ein Tag zuviel.
Du handelst übrigens grob fahrlässig.
Wenn er über deinen PC eine Straftat begeht bist du mit dran.
Abgesehen davon, sieht es vom Punkt des Supportes so aus das du ihm das freiwillig geschickt hast und nun die Items und das was er dir dafür gegeben hat behalten willst^^.

Darüber hinaus könnte er Spuren verwischen, vor allem wenn er hier mitliest, meinetwegen von deinem PC aus, dann ahnt er was ihm blüht und dann könnt er versuchen alle Spuren die er findet zu beseitigen.
Gruß

Fluffy
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben