Netzwerk schützen, IP verstecken

H

heissleim

0
Hallo Community

Bei uns an der Schule haben wir ein "kleines" Netzwerkproblem.

Zum Aufbau:
Es befinden isch mehere Computerräume im Gebäude, zudem gibt es in jedem Klassenzimmer 1-2 PC's. Die PC's aus den Informatikräumen sind mit dem Server verbunden, die in den Klassenzimmern nicht direkt, sondern nur mittels eines Netzlaufwerks.

Seit einigen Wochen ist es den "schlimmen Brüdern" und einigen anderen gelungen, eine Software oder ähnliches auf den Computern zu starten. Die Installation von Programmen ist jedoch gesperrt, das Programm muss also direkt gestartet werden können.
Mit dem genannen Programm können sie dass verschiedne PC mit Meldungen zu Spamen oder den Computer direkt auschalten, ohne das irgend eine Meldung angezeigt wird, oder etwas gespreichert werden kann.

So viel ich herausbekommen habe, funktioniert das Programm mittel der IP, des "anzugreifenden" PC's.
Es funktioniert auf allen Computern im Gebäude.

Nun, wir fürchten das es so auch möglich ist, die Computer auch von ausserhalb aus zu schalten.

Ich wollte nur mal bei euch nachfragen ob es ein Tool, gibt mit dem die IP des Computers "entfernt" wird, oder einfach etwas in dem Stil steht. ***.***.****.**
Und dass sollte dann überall stehen wo die IP angezeigt wird, eben falls in Chats oder der gleichen, den die Jungs waren so schlau, und hatten schnell raus wie sie die IP kriegen auch wenn ich Ihnen die CMD.exe entzogen hatte.


Vielen Dank im Voraus
Mit freundlichen Grüssen
 
Ich denke mal der Ansatz die IP-Adressen zu verstecken ist aus technischer Sicht zum Scheitern verurteilt.
Ich denke man sollte erstmal rausfinden welches Tool die "schlimmen Brüder" benutzen bzw. ob sie überhaupt ein Schadprogramm benutzen. Theoretisch kann Windows das auch mit Bordmitteln (net send und shutdown). Ich denke mal ein HiJack-This-Logfile könnte hier sehr hilfreich sein. Das solltest du sofern möglich als erstes posten. Ein Schadprogramm müsste ja per Autostart auf dem Opfer-PC gestartet werden.
Läuft auf den PCs eigentlich ein Virenscanner?
http://www.hackerboard.de/hijack-log-thread/33392-hijack-log-sammelthread.html?highlight=hijackthis
 
Ja das mit dem Logfile kann ich momentan nicht durchführen :wink:

Also wir gehen davon aus, das kein "bekanntes" Schadprogramm verwendet wird. Auf dem Opfer-PC wird keine Software gestartet, denn ich habe es einmal mit meinem Privat-Laptop getestet, und ihm eine IP eines Computers zugwiesen. Und auch dieser konnte abgeschaltet werden.

Was wir wissen: Das "Programm" oder die "Aktion" kann über einen USB-Stick gestartet werden, oder aus dem Internet downgeloadet werden.

Durch das können Meldungen erzeugt, und PCs neugestartet, beendet, abgemeldet werden alles was auch im Startmenu verfügbar ist. Es scheint so als können sie aber nicht auf die GUI des PC zugreifen, und z.B die Maus bewegen, oder Dateien öffenen.

Wir haben ein Programm endeckt, mit dem wir die Aktion weitgehen unterbinden können, dieses schluckt aber gewaltig RAM, und es entsteht ein schwarzes CMD Fenster, bei der mit hoher Geschwindikeit etwas abläuft. Ebenfalls motzt dauern der Virenscanner (F-Secure Internet Security und Avira, auch Norton motzt.)
Das Programm ist jedoch eine .exe .... so kann ich den Code leider nicht einsehen. Auf jedenfall ist es dann nicht möglich den Computer zu beenden, auch nicht über Start.........



Weshalb ist es nicht technisch möglich, die IP verschwinden zu lassen, mir war mal so als hätte ich von einem Tool gehört mit dem eine "FakeIP" erstellt werden kann. Aber ja... man hört noch viel :P
 
Also zumindest "shutdown" fällt damit schonmal als Möglichkeit aus, da auf dem lokalen und dem Remotecomputer der gleiche Benutzername mit dem selben Passwort existieren muss, es gibt aber bestimmt ähnliche Programme, die diese Einschränkung nicht haben.

Das mit dem Spam könnte wie gesagt net send sein. Überprüfe also bitte mal, ob der Dienst "Nachrichtendienst" aktiviert ist. Falls ja, deaktiviere ihn. Kommt nochmal Spam, mache doch mal bitte einen Screenshot, vielleicht erkennt man daran ja schon etwas.

Welches Betriebssystem ist eigentlich auf den einzelnen Geräten? Was ist mit dem Administrator-Konto? Ich hoffe, da sind Passwörter vergeben worden. Wurden mal bei allen Accounts mit Adminrechten die Passwörter geändert?
 
das "Verstecken"/"Verschleiern"/"Faken" von IP-Adressen funktioniert nur über's Internet - nämlich, indem man z.B. über Proxies surft.

Im lokalen Netzwerk ist es nunmal unumgänglich, dass Rechner im gleichen Netzwerksegment sich gegenseitig sehen können...

Außerdem ist das, was dir vorschwebt, "Security through obscurity" und das kann niemals die Lösung sein....
Es ist nur die Bekämpfung der Symptome, nicht des Problems...

Auch der Name dieses ominösen Programmes, mit dem sich diese Aktionen deiner Aussage nach weitestgehend unterbinden lassen, würde mich interessieren - wenn alle Viren-Programme Alarm schlagen, dann ist damit sicherlich was faul - also weg damit!

Vielmehr sollte man die Windows-PCs sicherer machen, indem man z.B. eine Firewall installiert, welche diese "net send"-Pakete und Remote-Anfragen (z.B. shutdown) raus filtert oder gegen den "net send"-Spam kann man auf den Clients auch den "Nachrichtendienst" deaktivieren - schon kommen solche Meldungen nicht mehr durch.

Auch eine saubere Beschränkung der Nutzerrechte über Policies (Gruppenrichtlinien) wäre ein vernünftiger Schritt...

Ein weiterer Punkt, der sich bei Computer-Kabinetten ganz gut macht ist das Deaktivieren der Autostart-Funktion für Wechseldatenträger (CDs, USB-Sticks, etc.)

Und um so ein Computer-Kabinett "sauber" zu halten empfehlen sich so genannte "Wächterkarten" oder wenn man es lieber softwareseitig lösen will, dann HDGuard von Ramcke DatenTechnik.



Zur "Schadsoftware":

ich vermute ebenfalls, dass das "Schad-Programm" nur ein Batch-Script ist, welches z.B. in 'ner Endlosschleife "net send"-Befehle ausführt oder ein Programm, welches out-of-the-box läuft und somit keiner Installation bedarf und wahrscheinlich die Windows-API für das Senden der Nachrichten oder der Remote-Shutdown-Befehle nutzt...

und angenommen, dieses Script oder Programm kopiert sich jemand auf 'nen USB-Stick und setzt dort 'ne autorun.ini, dann braucht man den USB-Stick (solange der Autostart nicht deaktiviert ist) nur einstecken und der "Terror" geht los...

Dem wird man nicht Herr, wenn man seine IP verschleiert... da muss grundlegend das Netzwerk sicher gemacht werden und unnötige Funktionen der Clients deaktiviert werden...
 
Muss man für ein remote shutdown unter Windows nicht zumindest Logindaten mit entsprechenden Rechten besitzen? Wenn das bei euch wirklich mit shutdown läuft, dann habt ihr was die User Permissions geht echt Misst gebaut ^^

Bin mal gespannt auf weitere Infos.

cu
serow
 
heissleim hat gesagt.:
Wir haben ein Programm endeckt, mit dem wir die Aktion weitgehen unterbinden können, dieses schluckt aber gewaltig RAM, und es entsteht ein schwarzes CMD Fenster, bei der mit hoher Geschwindikeit etwas abläuft. Ebenfalls motzt dauern der Virenscanner (F-Secure Internet Security und Avira, auch Norton motzt.)
Das Programm ist jedoch eine .exe .... so kann ich den Code leider nicht einsehen. Auf jedenfall ist es dann nicht möglich den Computer zu beenden, auch nicht über Start.........
Zum Vergrößern anklicken....

Evtl. einfach ein shutdown -a in einer Endlosscheife.

Einfach so schaltet sich ein PC nicht ab. Hast du evtl. mal in der Ereignisanzeige eines Opfer-PCs geschaut ob da irgendwelche Spuren zu finden sind?
 
Ansonsten empfehle ich, einfach im Schulalltag auf einem Rechner den Netzwerktraffic zu protokollieren. Das kannst Du z.B. via Wireshark bewerkstelligen. Wenn die "Jungs" ohnehin immer zuschlagen, dürfte es ja nicht lang dauern.

Fährt der PC eigentlich direkt runter oder werden die laufenden Programme sauber beendet?

Auf alle Fälle würde ich wie hier schon vorgeschagen alle für Euch unsinnigen Dienste deaktivieren. Ich weiß nicht, inwieweit ihr Eure PC fernverwalten müsst/Software dafür im Einsatz habt, aber ein ganz heißer Kandidat ist immer das RDP (Remote Desktop Protocoll).
 
http://technet.microsoft.com/en-us/sysinternals/bb896649.aspx

Man braucht nur die entsprechenden Rechte im Netzwerk und kann die Programme über USB (oder ohne) ausführen. Man braucht nur ne cmd. Mit nem passendem GUI-Tool (ist schnell geschrieben) geht es auch ohne cmd ;)

Das Problem liegt also auch nicht im Auffinden der Software, sondern im Absichern deines Netzwerkes bzw. der PCs gegen den Einsatz dieser Programme (z.B. alle Ports schließen, die sowieso nicht benötigt werden).

lG

Brabax
 
Hey,

es kann jetzt gut sein das mein Beitrag nicht weiterhilf aber ich geb in trotzdem ab.
Es gibt Programme mit denen man USB-Ports schließen kann, dies hielft nur nicht wenn sie es wie schon vermutet ausm Internet herunterladen und zweitens könnt ich mir vorstellen das die Schüler die USB-Ports brauchen wenn sie etwas speichern wollen oder?

Ansonsten viel glück
 
beavisbee hat gesagt.:
Außerdem ist das, was dir vorschwebt, "Security through obscurity" und das kann niemals die Lösung sein....
Es ist nur die Bekämpfung der Symptome, nicht des Problems...


Ein weiterer Punkt, der sich bei Computer-Kabinetten ganz gut macht ist das Deaktivieren der Autostart-Funktion für Wechseldatenträger (CDs, USB-Sticks, etc.)

Und um so ein Computer-Kabinett "sauber" zu halten empfehlen sich so genannte "Wächterkarten" oder wenn man es lieber softwareseitig lösen will, dann HDGuard von Ramcke DatenTechnik.
Zum Vergrößern anklicken....
Auch wenn dies eventuell keine Lösung ist mit dem Faken, eventuell könnte dies auch funktionieren.
Die Autostartfunktion ist deaktivert, so weit bekannt wird das "Programm so oder so gezielt genutzt" also nicht einfach aktiviert und seine gelassen, vorallem bei Präsentationen ist die "Aktion" verdammt lästig.

Auf einigen Rechnern erhalten wir eine Fehlermeldung wie diese :
shutdown1.gif

Nur dass bei uns etwas anderes bei "Das Herunterfahren wurde....." steht und bei den Meldungen teilweise unverständliche Zeilen wie diese auftauchen:
"3L33T3 H@X0RS" "L33T" "DM#2"

Vieleicht liegt die Lösung zum Problem in diesen "Zeichen" ???

Meintest du mit "Wächterkarten" so etwas wie "HDD-Sheriff"?
Das würde das Problem jedoch nicht in den griff bekommen


Kann mir jemand sagen wie ich bei einem CMD-Fenster eine Art "Notaus" aktivieren kann um zu sehen was gerade angezeigt wird oder ausgeführt wird, so könnte ich den Inhalt der "Rettungssoftware" einmal Posten

Unsere Netzwerk-Infrastruktur ist momentan noch ein wenig bedürftig...
Auf den meisten Rechnern läuft Windows XP SP3, 32-bit Professional, auf ältern (2-3) noch Windows ME, auf den neuen Rechnern die nicht mit dem Server verbunden sind läuft Windows Vista Enterprise 32bit, und auf zwei PC läuft bereits Windows 7 32bit Home Premium bzw. Windows 7 64bit Ultimate.
Die XP's wurden von einer (bankkrotten) Informatik AG so konfiguriert dass beim Start jeder Schüler mit seinem Account sich anmelden kann, zusätzlich mit einem (nur speziellen Personen bekannt) kann sich auf den Lokalen Computer angemeldet werden, um etwas zu installieren.
Die anderen neuen Computer, sind (normal) eingerichtet, wie jeder einen PC zuhause hatt, es kann dan vom Desktop auf Netzwerk Ordner wie "Datenaustausch Schüler" "Schüler (Nur lesbar, schreibgschützt)" und Lehrer (Lese und Schreibgschützt....auser für Lehrer :D)
zugegriffen werden. Die Win7 haben nur auf ein Netzlaufwerk Z zugriff.. ein "tausch" Ordner. (beide Win7ner sind halbwegs privat)

Für 2010 liegt ein grössere Betrag im Budget für "informatik" drinn, also würde ich mich natürlich darüber freuen, wenn ihr mir einige Hilfreiche Tipps geben würded, was oder was eben nicht wir kaufen sollten.
Eins ist klar... es werden alle (auser die Win7ner) PC durch neue (alles gleiche Modelle) ersetzt werden.
 
Ähm, mal ne kurze Zwischenfrage: Wie ist denn der Patchstand bei den Opfer-PCs? Werden die Windows-Updates regelmäßig eingespielt?
 
Eine Zeichenkette wie "3L33T3 H@X0RS" (= Elite[ELEETE] Hackers[HAXORS]) zeigt doch schon, dass Deine "Jungs" ganz Script-Kiddy-like irgendwo ein Prog oder Script gesaugt haben und das ausführen.
Eigentlich ist das Beenden des RPC-Dienstes die große "Stärke" vom Blaster-Worm gewesen.

Wer kann denn die Rechner starten? Das Windows ist ja anscheinend lokal installiert (schon der erste Fehler!) und via geeignetem Bootmedium kann man dann innerhalb von Sekunden die Kennwörter der lokal vorhandenen Profile anzeigen lassen. Die Bootreihenfolge lässt sich bei den meisten Boards übrigens ganz spielerisch übergehen...am Anfang nämlich F11 o.ä. drücken.

Nachtrag:
Nach einer kurzen Suche habe ich mehrere Tools gefunden, die einen Shutdown via RPC verursachen. Ich denke, dass das bei Dir eingesetzte Tool auch dabei ist. (Hier die von mir sehr frei übersetzte Beschreibung des in Frage kommenden, da ich mit der originalen glatt 10.000 Treffer bei google landete: xxx ermöglicht den Neustart, Stand-By, das Ausschalten, Ausloggen etc. sowie das Senden von Nachrichten über das Netzwerk. Freeware) Wie diese Tools heißen werde ich natürlich nicht sagen.
 
Zuletzt bearbeitet:
Also ich glaube ja, dass es ein normaler remote shutdown ist (shutdown -r)
Dafür brauch man nur CMD Zugriff und den bekommt man ja schnell.
Bei uns ist es auch schlecht eingerichtet, jeder Schüler meldet sich mit seinem Account übers Netzwerk oder Lokal an, ist eingeschränkter Benutzer und dort sind dann (XP SP3) die ganzen Benutzerrechte so eingerichtet, dann man nur Admin sein muss und damit alle Rechner im gesamten Raum herunterfahren kann.
Man muss also keine Userpasswörter kennen,der Admin ist auf jedem PC der selbe.
 
Sph1nX hat gesagt.:
Man muss also keine Userpasswörter kennen,der Admin ist auf jedem PC der selbe.
Zum Vergrößern anklicken....
Und genau das ist das Problem bei einem lokal installierten OS bzw. lokal abgelegten Profilen, gerade in Schulen. Die Passwörter von denen zu "stiebitzen" lässt sich ohne großen Aufwand realisieren.

Ich habe übrigens mal eine ganze Latte Tools zwecks Netzwerk-Shutdown ausprobiert. Mein Ergebnis: Nicht eins konnte an der beim Lütten eingerichteten "Firewall" vorbei bzw. ohne die Kenntnis der Admin-Zugangsdaten irgend etwas ausrichten. Wenn Eure Systeme also auf dem aktuellstem Update-Stand und die Admin-Profile auch unterschiedlich sind (was ich bei den angesprochenen vornehmlich privat genutzten Rechnern doch hoffe!) kommt nur ein ungeschützter LAN-Zugang in Frage - sofern keine Scripte von Intranet-Seiten etc. ausgeführt werden können oder Schadsoftware installiert wurde.
 
odigo hat gesagt.:
Ähm, mal ne kurze Zwischenfrage: Wie ist denn der Patchstand bei den Opfer-PCs? Werden die Windows-Updates regelmäßig eingespielt?
Zum Vergrößern anklicken....

Ja, ich habe praktisch alle Sicheheits updates via WinUpdate installiert, einige andere jedoch bewusst deaktiviert... z.B Mediaplayer updates und der gleichen...wird so oder so nicht benötigt



sTEk hat gesagt.:
Eine Zeichenkette wie "3L33T3 H@X0RS" (= Elite[ELEETE] Hackers[HAXORS]) zeigt doch schon, dass Deine "Jungs" ganz Script-Kiddy-like irgendwo ein Prog oder Script gesaugt haben und das ausführen.
Eigentlich ist das Beenden des RPC-Dienstes die große "Stärke" vom Blaster-Worm gewesen.

Wer kann denn die Rechner starten? Das Windows ist ja anscheinend lokal installiert (schon der erste Fehler!) und via geeignetem Bootmedium kann man dann innerhalb von Sekunden die Kennwörter der lokal vorhandenen Profile anzeigen lassen. Die Bootreihenfolge lässt sich bei den meisten Boards übrigens ganz spielerisch übergehen...am Anfang nämlich F11 o.ä. drücken.

Nachtrag:
Nach einer kurzen Suche habe ich mehrere Tools gefunden, die einen Shutdown via RPC verursachen. Ich denke, dass das bei Dir eingesetzte Tool auch dabei ist. (Hier die von mir sehr frei übersetzte Beschreibung des in Frage kommenden, da ich mit der originalen glatt 10.000 Treffer bei google landete: xxx ermöglicht den Neustart, Stand-By, das Ausschalten, Ausloggen etc. sowie das Senden von Nachrichten über das Netzwerk. Freeware) Wie diese Tools heißen werde ich natürlich nicht sagen.
Zum Vergrößern anklicken....

Oke, jeder kann den Rechner starten, er landet dann aber bei einem Anmeldefenster...

Ich denke nicht das irgend etwas über das Bootmenu geändert wird, oder wenn schon, ist dies nicht sichtbar, denn es wüde auffallen während des Informatikunterrichts. Denn alle PC haben einen nicht änderbaren Hintergrund (den Gleichen). Es würde mir auffallen wenn z.B jemand im Abgesichterten Modus wäre..


Bei einer besprechung haben wir mal darüber disskutiert, die neuen Rechner mit Win7 zu kaufen, denn dort ist es ja möglich den Account so einzurichten das man nur "gestattete" Programme öffnen darf.. Sonst erscheint ja das Feld mit "Administator und Kennwort eingeben".
Zudem soll die Software NetOP, scheibar möglichmachen, alle Bildschirme auf einem Monitor anzuzeigen.... wie bei einer Überwachungsanlage...
Damit sollte das Problem weitgehend gelöst sein.....
Jedoch nur in den Informatikräumen, in den Klassen sind die PC ja sowiso immer auf dem Administratorkonto angemeldet.
 
heissleim hat gesagt.:
Jedoch nur in den Informatikräumen, in den Klassen sind die PC ja sowiso immer auf dem Administratorkonto angemeldet.
Zum Vergrößern anklicken....

Bitte was??? Das ist nicht wirklich dein Ernst, oder?
Eigentlich kann man euch nur raten, jemanden hinzuzuziehen, der sich mit Netzwerken auskennt, denn so werdet ihr keine Chance haben. Schlimmer noch, irgendwann wird wahrscheinlich noch die Infrastruktur der Schule missbraucht und dann kann es auch noch rechtliche Konsequenzen für die Verantwortlichen haben.

Wie sTEk schon geschrieben hat, habt ihr mit lokalen Benutzeraccounts eigentlich keine Chance, etwas zu sichern. Ihr werdet einen Server brauchen und da dann eine Domäne. Alle (und das meine ich auch so!) Benutzeraccounts laufen darüber. Dann könnt ihr vernünftige Benutzerrechte vergeben und bekommt es dann auch in den Griff, vorher ziemlich sicher nicht.
 
Hallo heissleim,


heissleim hat gesagt.:
Wir haben ein Programm endeckt, mit dem wir die Aktion weitgehen unterbinden können, dieses schluckt aber gewaltig RAM, und es entsteht ein schwarzes CMD Fenster, bei der mit hoher Geschwindikeit etwas abläuft.
Zum Vergrößern anklicken....

Habe ich Dich falsch verstanden ? Ihr habt ein Programm aufgetan was euch schützt ? oder habt Ihr das Programm aufgetan, welches euch bedroht ?

Für den ersten Teil: Wenn es euch schützt, wie habt Ihr es gefunden wenn Ihr nicht wisst, was euch bedroht ?
Für den zweiten Teil: Dann könntest Du mehr darüber erfahren....was nun ?

heissleim hat gesagt.:
Auf dem Opfer-PC wird keine Software gestartet, denn ich habe es einmal mit meinem Privat-Laptop getestet, und ihm eine IP eines Computers zugwiesen. Und auch dieser konnte abgeschaltet werden.
Zum Vergrößern anklicken....

Das stimmt mich etwas beunruhigt. Ich hoffe Du benutzt nicht die gleichen Anmeldedaten wie auf den Schul-PCs. Ansonsten sieht es mir nach einem ungefixten remote exploirt aus.
Wenn alle Computer aktuelle Patch Level haben, auch Dein Privater, dann mache bitte dochmal Folgendes:

Gehe mit Deinem Laptop dahin und wiederhole den Versuch anders. Installiere Dir einen virtuellen Computer (z.B. mit VM Ware) dem Du die ip gibst. Das Trägersystem zeichnet mit Wireshark den Datenverkehr auf bis die vm herunterfährt. Speichere dann den Datenverkehr als Datei ab, dann könntest Du die capture Datei mal hochladen, falls keine Informationen in dem capture enthalten sind, die jemand missbrauchen könnte.
 
Zuletzt bearbeitet:
Jedoch nur in den Informatikräumen, in den Klassen sind die PC ja sowiso immer auf dem Administratorkonto angemeldet.
Zum Vergrößern anklicken....

Verteil' doch gleich CDs mit Schadsoftware, das spart den Kiddies Zeit ...

----

Dir ist das Prinzip und der Zweck von eingeschränkten Benutzerkonten schon geläufig oder?
Wenn du die PCs mit AdminAccounts laufen lässt, könntest du auch einfach eine Liste aller Passwörter und Zugänge ans Blackboard hängen.

Am Besten ihr richtet wirklich eine Domäne ein und macht euch vorher(!) mal Gedanken (also mit klarem Konzept), wie euer Netzwerk strukturiert sein sollte und welche Sicherheitslücken es zu schließen gilt, wobei das beste Prinzip eigentlich ist, alle Dienste und Anwendungen die nicht gebraucht werden von vornherein auszuschließen. Empfehlenswert wäre dann wahrscheinlich auch ein fester externer Dienstleister, der das Netzwerk mit euch plant und absichert (absichern im Sinne der Wirtschaftsprüfung) und bei eventuellen Übergriffen Abhilfe schafft. Die Administration obliegt dann auch weiterhin euch.

Es handelt sich hier - wenn ich das richtig verstanden habe - auch um sensible Daten (speziell personenbezogene Daten die dem Datenschutzgesetz unterliegen) und diese sollten immer von Fachleuten eingerichtet werden.
Ich möchte damit nicht deine Kompetenz angreifen, aber was ich so bisher lese, spricht eindeutig dafür, dass ein externer Dienstleister hier der mit Abstand beste Weg ist.

lG

Brabax
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben