![[HaBo]](/styles/default/logoklein.png){kind=small}
Nun denn liebe Habo Leute,
ein Bekannter von mir hat seit einigen Tagen schwerste Probleme mit seinem PC.
Beim ersten Hack hat irgendjemand einen Keylogger auf seinen PC eingeschmuggelt und damit den MSN Account geklaut...
Die Sache liess sich dank des MSN Supports klären, die Passwort Frage (die die betreffende Person änderte) wurde geändert und ein neues Passwort wurde zugewiesen.
Das ganze lag nun schon eine Woche zurück und er glaubte sich sicher, dann jedoch (trotz Kerio Personal Firewall und einer großen Vorsicht beim Surfen, also keine Downloads, keine Links klicken, Emails die unbekannt sind löschen, etc) wurde er erneut gehackt und seine Verbindungsliste leuchtet mit TCP View so bunt wie ne Ampel mit Hirnschaden
Also, mir fielen ins Auge: Verbindungen auf extrem hohen Ports (40000+), Verbindungen zu Hosts von denen der Betroffene noch nie was gehört hat.
Nun würd ich von euch gerne wissen, war das ein tatsächlicher Angriff?
Oder spinnt die Firewall nur rum?
Einige auszüge aus den protokollen (einige mit netstat -n und einige aus den Logfiles von Kerio):
Diese Verbindungen fielen mir besonders auf...
TCP wohnzimmer:3539 213.202.254.116.unitedcolo.de:http SCHLIESSEN_WARTEN
TCP wohnzimmer:3563 152.26.12.64.in-addr.arpa:5190 HERGESTELLT
TCP wohnzimmer:3678 owned.by.my.b0xx0rs.de:31337 HERGESTELLT
TCP wohnzimmer:4138 baym-gw31.msgr.hotmail.com:http HERGESTELLT
TCP wohnzimmer:4203 tony01-7-213.inter.net.il:23474 HERGESTELLT
TCP wohnzimmer:4265 gateway.messenger.hotmail.com:http WARTEND
TCP wohnzimmer:4266 baym-gw20.msgr.hotmail.com:http HERGESTELLT
TCP wohnzimmer:4267 gateway.messenger.hotmail.com:http WARTEND
TCP wohnzimmer:4268 baym-gw34.msgr.hotmail.com:http HERGESTELLT
TCP wohnzimmer:4269 gateway.messenger.hotmail.com:http WARTEND
TCP wohnzimmer:4270 baym-gw14.msgr.hotmail.com:http HERGESTELLT
TCP wohnzimmer:4726 ads.web.aol.com:http WARTEND
TCP wohnzimmer:4727 ads.web.aol.com:http WARTEND
Dann eine Liste lokaler Verbindungen die ich absolut nicht verstehe:
TCP 192.168.0.44:1025 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1026 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1027 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1028 192.168.0.1:80 WARTEND
...
TCP 192.168.0.44:1170 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1171 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1174 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1175 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1179 152.163.208.249:80 WARTEND
TCP 192.168.0.44:1180 152.163.208.249:80 WARTEND
TCP 192.168.0.44:1199 152.163.208.249:80 WARTEND
TCP 192.168.0.44:1200 152.163.208.249:80 WARTEND
TCP wohnzimmer:1206 cc734628-a.groni1.gr.home.nl:55238 HERGESTELLT
TCP wohnzimmer:1388 owned.by.my.b0xx0rs.de:31337 HERGESTELLT
UDP wohnzimmer:microsoft-ds *:*
Dann noch das Kerio Loggfile das einige Beunruhigende Meldungen bereit hielt (ein paar sind eventuel mit Grundrauschen zu erklären, ich weiss es halt nicht...):
[23/Feb/2005 20:34:02] "Ids" action = 'permit', raddr = '82.211.4.48', msg = 'BAD-TRAFFIC tcp port 0 traffic', url = '', direc = 'in', class = 'misc-activity', priority = low
[24/Feb/2005 15:39:34] "Ids" action = 'permit', raddr = '65.54.179.213', msg = 'BAD-TRAFFIC tcp port 0 traffic', url = '', direc = 'in', class = 'misc-activity', priority = low
[25/Feb/2005 14:00:23] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active remoteshutdown', url = 'http://www.whitehats.com/info/IDS65', direc = 'in', class = 'successful-user', priority = high
[25/Feb/2005 14:00:27] Last message repeated 3 times
[25/Feb/2005 14:00:32] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active remoteshutdown', url = 'http://www.whitehats.com/info/IDS65', direc = 'in', class = 'successful-user', priority = high
[25/Feb/2005 14:00:33] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active remoteshutdown', url = 'http://www.whitehats.com/info/IDS65', direc = 'in', class = 'successful-user', priority = high
[25/Feb/2005 14:53:50] "Ids" action = 'detected', raddr = '64.4.55.109', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[25/Feb/2005 20:57:58] "Ids" action = 'detected', raddr = '83.133.49.10', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[25/Feb/2005 20:58:45] "Ids" action = 'detected', raddr = '83.133.49.10', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[27/Feb/2005 18:18:56] "Ids" action = 'detected', raddr = '64.4.55.109', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[27/Feb/2005 18:19:26] "Ids" action = 'detected', raddr = '64.4.55.109', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[27/Feb/2005 19:45:45] "Ids" action = 'detected', raddr = '62.75.193.68', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[28/Feb/2005 15:26:25] "Ids" action = 'detected', raddr = '67.19.250.7', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[28/Feb/2005 15:26:46] "Ids" action = 'detected', raddr = '67.19.250.7', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[02/Mar/2005 11:41:00] "Ids" action = 'detected', raddr = '64.233.161.104', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[02/Mar/2005 12:40:09] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
[02/Mar/2005 12:40:12] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
[02/Mar/2005 12:40:17] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
[02/Mar/2005 12:40:18] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
[02/Mar/2005 12:40:23] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
Wer das nicht lesen will, dem empfehle ich die URL http://www.whitehats.com/info/IDS65 die sagt ziehmlich genau aus was ich vermute.
TCP wohnzimmer:4254 webserver-193068.goracer.de:ftp WARTEND
Das hier spricht für mich eigentlich Bände...
Zu dem Zeitpunkt war kein FTP programm an und er hatte erst kürzlich restartet.
Könnte es sein dass da ein FTP Server läuft zu dem nur er kein Pass hat?
Nu denn, wenn ihr lustig seid schmöckert euch mal durch, bitte antwortet ein bissel, denn ich bin interessiert ob Kerio wirklich den Angriff mitgeloggt hat oder obs nur schwachfug war.
(Bevor er damit zur Polizei rennt frag ich lieber hier nach *g*)
Imrahil
*EDIT*
Vergass zu sagen: DSL über Router, einige Ports geforwardet (...) W2k
ein Bekannter von mir hat seit einigen Tagen schwerste Probleme mit seinem PC.
Beim ersten Hack hat irgendjemand einen Keylogger auf seinen PC eingeschmuggelt und damit den MSN Account geklaut...
Die Sache liess sich dank des MSN Supports klären, die Passwort Frage (die die betreffende Person änderte) wurde geändert und ein neues Passwort wurde zugewiesen.
Das ganze lag nun schon eine Woche zurück und er glaubte sich sicher, dann jedoch (trotz Kerio Personal Firewall und einer großen Vorsicht beim Surfen, also keine Downloads, keine Links klicken, Emails die unbekannt sind löschen, etc) wurde er erneut gehackt und seine Verbindungsliste leuchtet mit TCP View so bunt wie ne Ampel mit Hirnschaden
Also, mir fielen ins Auge: Verbindungen auf extrem hohen Ports (40000+), Verbindungen zu Hosts von denen der Betroffene noch nie was gehört hat.
Nun würd ich von euch gerne wissen, war das ein tatsächlicher Angriff?
Oder spinnt die Firewall nur rum?
Einige auszüge aus den protokollen (einige mit netstat -n und einige aus den Logfiles von Kerio):
Diese Verbindungen fielen mir besonders auf...
TCP wohnzimmer:3539 213.202.254.116.unitedcolo.de:http SCHLIESSEN_WARTEN
TCP wohnzimmer:3563 152.26.12.64.in-addr.arpa:5190 HERGESTELLT
TCP wohnzimmer:3678 owned.by.my.b0xx0rs.de:31337 HERGESTELLT
TCP wohnzimmer:4138 baym-gw31.msgr.hotmail.com:http HERGESTELLT
TCP wohnzimmer:4203 tony01-7-213.inter.net.il:23474 HERGESTELLT
TCP wohnzimmer:4265 gateway.messenger.hotmail.com:http WARTEND
TCP wohnzimmer:4266 baym-gw20.msgr.hotmail.com:http HERGESTELLT
TCP wohnzimmer:4267 gateway.messenger.hotmail.com:http WARTEND
TCP wohnzimmer:4268 baym-gw34.msgr.hotmail.com:http HERGESTELLT
TCP wohnzimmer:4269 gateway.messenger.hotmail.com:http WARTEND
TCP wohnzimmer:4270 baym-gw14.msgr.hotmail.com:http HERGESTELLT
TCP wohnzimmer:4726 ads.web.aol.com:http WARTEND
TCP wohnzimmer:4727 ads.web.aol.com:http WARTEND
Dann eine Liste lokaler Verbindungen die ich absolut nicht verstehe:
TCP 192.168.0.44:1025 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1026 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1027 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1028 192.168.0.1:80 WARTEND
...
TCP 192.168.0.44:1170 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1171 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1174 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1175 192.168.0.1:80 WARTEND
TCP 192.168.0.44:1179 152.163.208.249:80 WARTEND
TCP 192.168.0.44:1180 152.163.208.249:80 WARTEND
TCP 192.168.0.44:1199 152.163.208.249:80 WARTEND
TCP 192.168.0.44:1200 152.163.208.249:80 WARTEND
TCP wohnzimmer:1206 cc734628-a.groni1.gr.home.nl:55238 HERGESTELLT
TCP wohnzimmer:1388 owned.by.my.b0xx0rs.de:31337 HERGESTELLT
UDP wohnzimmer:microsoft-ds *:*
Dann noch das Kerio Loggfile das einige Beunruhigende Meldungen bereit hielt (ein paar sind eventuel mit Grundrauschen zu erklären, ich weiss es halt nicht...):
[23/Feb/2005 20:34:02] "Ids" action = 'permit', raddr = '82.211.4.48', msg = 'BAD-TRAFFIC tcp port 0 traffic', url = '', direc = 'in', class = 'misc-activity', priority = low
[24/Feb/2005 15:39:34] "Ids" action = 'permit', raddr = '65.54.179.213', msg = 'BAD-TRAFFIC tcp port 0 traffic', url = '', direc = 'in', class = 'misc-activity', priority = low
[25/Feb/2005 14:00:23] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active remoteshutdown', url = 'http://www.whitehats.com/info/IDS65', direc = 'in', class = 'successful-user', priority = high
[25/Feb/2005 14:00:27] Last message repeated 3 times
[25/Feb/2005 14:00:32] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active remoteshutdown', url = 'http://www.whitehats.com/info/IDS65', direc = 'in', class = 'successful-user', priority = high
[25/Feb/2005 14:00:33] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active remoteshutdown', url = 'http://www.whitehats.com/info/IDS65', direc = 'in', class = 'successful-user', priority = high
[25/Feb/2005 14:53:50] "Ids" action = 'detected', raddr = '64.4.55.109', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[25/Feb/2005 20:57:58] "Ids" action = 'detected', raddr = '83.133.49.10', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[25/Feb/2005 20:58:45] "Ids" action = 'detected', raddr = '83.133.49.10', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[27/Feb/2005 18:18:56] "Ids" action = 'detected', raddr = '64.4.55.109', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[27/Feb/2005 18:19:26] "Ids" action = 'detected', raddr = '64.4.55.109', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[27/Feb/2005 19:45:45] "Ids" action = 'detected', raddr = '62.75.193.68', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[28/Feb/2005 15:26:25] "Ids" action = 'detected', raddr = '67.19.250.7', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[28/Feb/2005 15:26:46] "Ids" action = 'detected', raddr = '67.19.250.7', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[02/Mar/2005 11:41:00] "Ids" action = 'detected', raddr = '64.233.161.104', msg = 'PortScan', url = '', direc = 'in', class = 'network-scan', priority = portscan
[02/Mar/2005 12:40:09] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
[02/Mar/2005 12:40:12] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
[02/Mar/2005 12:40:17] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
[02/Mar/2005 12:40:18] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
[02/Mar/2005 12:40:23] "Ids" action = 'deny', raddr = '62.75.193.68', msg = 'BACKDOOR trojan active devil103', url = 'http://www.whitehats.com/info/IDS104', direc = 'in', class = 'successful-user', priority = high
Wer das nicht lesen will, dem empfehle ich die URL http://www.whitehats.com/info/IDS65 die sagt ziehmlich genau aus was ich vermute.
TCP wohnzimmer:4254 webserver-193068.goracer.de:ftp WARTEND
Das hier spricht für mich eigentlich Bände...
Zu dem Zeitpunkt war kein FTP programm an und er hatte erst kürzlich restartet.
Könnte es sein dass da ein FTP Server läuft zu dem nur er kein Pass hat?
Nu denn, wenn ihr lustig seid schmöckert euch mal durch, bitte antwortet ein bissel, denn ich bin interessiert ob Kerio wirklich den Angriff mitgeloggt hat oder obs nur schwachfug war.
(Bevor er damit zur Polizei rennt frag ich lieber hier nach *g*)
Imrahil
*EDIT*
Vergass zu sagen: DSL über Router, einige Ports geforwardet (...) W2k