Spam und Virenaktivitäten in meinem Netzwerk

[androil]

Hey leute,
ich kam vorhin nachhause und wollte ein bisschen surfen.
Als ich den Firefox aufmachte, kam eine meldung von meinem Provider das mein Netzwerk anscheinend Viren- und Spamaktivitäten aufweise.

Ich habe danach angerufen und hab meine internet verbindung wieder aufschalten lassen.

ich wollte fragen was ihr alle so für tools kennt um das Netzwerk ein bisschen zu überwachen, vieleicht noch sonstige tools als Wireshark ... obwohl dieses bei mir nicht ganz funktioniert.

Sollte doch auch gehen wenn man ihm einen WLAN Adapter als Interface angibt oder?

Was gibts sonst noch so für methoden zum auslesen der Netzwerkaktivitäten.
Wenn möglich nicht zu komplieziert tools, da ich doch noch relativ unerfahren bin (Informatiker-lehrling im 3.Lehrjahr).

Eventuell habt ihr ja noch andere Tipps zum überprüfen.
Oder sollte ich einmal ein Hjackthis log reinstellen?

gruss androil

ps: Hoffe es gibt nicht schon eine ähliche anfrage, hab das Forum eigentlich durchsucht. Thx for help

 

[bitmuncher]

Windows - TCPView
Linux - iptraf

Beide: netstat

 

[IsNull]

Als ich den Firefox aufmachte, kam eine meldung von meinem Provider das mein Netzwerk anscheinend Viren- und Spamaktivitäten aufweise.

Das interssiert deinen Provider nur in seltenen Fällen, nämlich genau dann, wenn du andere damit gefärdest bez. das Netz unnötig massiv belastest. Sprich, du verbreitest (ungewollt) spam mails, oder sonstigen müll. Deswegen würde ich dir empfehlen, von allen PCs in deinem Netz, die Zugriff aufs Inet haben, das Hijackthislog zu posten. Wird wohl Malware sein.

 

[Elderan]

Hallo,

Original von androil
Als ich den Firefox aufmachte, kam eine meldung von meinem Provider das mein Netzwerk anscheinend Viren- und Spamaktivitäten aufweise.

wie kam denn diese Meldung? Denn soetwas hört sich stark nach Nagware bzw. Spyware an.

Einfach mal die Frage stellen, ob es für den Provider überhaupt möglich ist, mit legalen Mitteln dir diese Info zukommen zu lassen.

das mein Netzwerk anscheinend Viren- und Spamaktivitäten aufweise.

Meistens werden die Rechner in einem Netzwerk infiziert, ob ein Netzwerk überhaupt Viren- und Spamaktivitäten aufweist, darüber kann man streiten, je nachdem wie man sowas definiert.

 

[androil]

Original von Elderan
Einfach mal die Frage stellen, ob es für den Provider überhaupt möglich ist, mit legalen Mitteln dir diese Info zukommen zu lassen.

Ich denke schon das dies legal ist,der Provider kann ja auch die Netzwerktraffics anschauen von einem, wenn man im verdacht steht etwas illegales zu machen. Ich denke die lassen meinen Netzwerkzugriff offen, speren mir aber das internet und lassen mir ihre meldung anzeigen.


Ok ich werde mal die hijackthis logs erstellen und diese dann hier posten.

thx für die hilfe

 

[Elderan]

Hallo,
es ging im die Anzeige der Meldung.
Wenn sich bei dir z.B. eine (Win)MessageBox geöffnet hat, dann wird dies der Provider wohl weniger mit legalen Mitteln hinbekommen haben, sofern du keine Spez. Software von denen installiert hast.

 

[SUID:root]

Klingt mir nicht seriös. Tippe mal, Elderan hat Recht.
Sofern du nicht wirklich 10.00 Spam-Mails verschickst (natürlich nicht du, sondern dein Rechner) ist es sehr unwahrscheinlich, dass dein Provider feststellt, dass es in deinem Netzwerk Virenprobleme gibt. Wie sollte er das anstellen?

1. kommt er nicht in dein LAN
2. könnte er schlecht feststellen, dass es Aktivitäten in deinem LAN gibt (soll er deine Recher online scannen, oder wie?)
3. würden Viren in einem Netzwerk nicht auffallen, weil Viren in der Regel keine Kommunikation betreiben (bestenfalls Würmer)
4. würde der Provider von sich aus bei Missbrauchsverdacht deinen Account sperren, ohne dich vorher schriflich zu informieren (Schadensbegrenzung)

Alles doch sehr unglaubwürdig.

Ich denke die lassen meinen Netzwerkzugriff offen, speren mir aber das internet und lassen mir ihre meldung anzeigen.

*Ironie*
Klar. Das machen die bei jedem per Hand, weil die sonst nichts zu tun haben und dein Netzwerk nur eins von fünf ist in ganz Deutschland, das ein Virenproblem hat.
*Ironie*

root

 

[Elderan]

Hallo,
@SUID:root:
Und das aller wichtigste:
5. Der Provider sieht nicht nur dein Internet-Traffic, sondern den Traffic von zig Millionen anderen Usern.
Diesen Traffic nach Viren zu durchsuchen würde extrem viel Perfomance brauchen. Daraus folgt, dass Provider diesen Aufwand normalerweise gar nicht betreiben. (Vorallem weil Viren die per Mail reinkommen 'normal' sind).

 

[androil]

hehe na gut na gut,
jedenfalls habe ich mit dennen Telefoniert,
und die Verbindung zum INternet stand,

Als ich denn Browser geöffnet habe (Firefox) kam dann die meldung das meine Verbindung zum Internet temporär gesperrt wurde wegen Viren und Spamaktivitäten.

Anscheinen habe ich JunkSpam Mail verschickt oder so was sie wollten mir noch n mail schicken mit allem, ich werde denen sonst noch einmal anrufen, und die Ursache oder das Problem verlangen, und fragen weswegen sie mich gesperrt haben.

Übrigens komme ich aus der Schweiz.

http://www.cybernet.ch/default.cfm

dies ist der Provider und der ist ziemlich sicher ganz in Ordnung, da wir in unserer Firma allen kunden diesen Provider anbieten und verkaufen (Wenn ich das so richtig gesagt habe =) )

Aber die logs von denn einzelnen rechnern werde ich trotzdem noch einmal reinstellen.

hab leider keinen Screenshot von dem ganzen gemacht

Und sie haben bestimmt nicht alle anschlüsse überprüft, so wie sie es mir am Telefon gesagt hat, bekamen sie eine E-mail welche sie darauf hinwies

 

[SUID:root]

Original von androil
hehe na gut na gut,
jedenfalls habe ich mit dennen Telefoniert,
und die Verbindung zum INternet stand,

Als ich denn Browser geöffnet habe (Firefox) kam dann die meldung das meine Verbindung zum Internet temporär gesperrt wurde wegen Viren und Spamaktivitäten.

Anscheinen habe ich JunkSpam Mail verschickt oder so was sie wollten mir noch n mail schicken mit allem, ich werde denen sonst noch einmal anrufen, und die Ursache oder das Problem verlangen, und fragen weswegen sie mich gesperrt haben.

Übrigens komme ich aus der Schweiz.

http://www.cybernet.ch/default.cfm

dies ist der Provider und der ist ziemlich sicher ganz in Ordnung, da wir in unserer Firma allen kunden diesen Provider anbieten und verkaufen (Wenn ich das so richtig gesagt habe =) )

Aber die logs von denn einzelnen rechnern werde ich trotzdem noch einmal reinstellen.

hab leider keinen Screenshot von dem ganzen gemacht

Und sie haben bestimmt nicht alle anschlüsse überprüft, so wie sie es mir am Telefon gesagt hat, bekamen sie eine E-mail welche sie darauf hinwies

Hm. Klingt alles verwirrend. Wenns im Browser kam, könnten sie das vielleicht über den Proxy gelöst haben.
Bin mal gespannt was da raus kommt. Vielleicht wird das in der Schweiz wirklich anders gehandhabt. Ich kann mir das zwar echt nur schwer vorstellen, aber gut, wer weiß.

Viele Grüße

root

 

[brain21]

Also so wie ich es jetzt aufgenommen habe, hat der Provider von einer Person eine Benachrichtugung erhalten, dass von seiner Verbindung aus massig Spam verteilt wird. Es ist meines Erachtens nicht schwer für den Provider dies zu überprüfen (ja, ich weiß: Massig Traffic, viel Arbeit etc. aber 10000 Mails in einer Minute fallen da doch schon auf), also haben sie den DNS-Server jegdliche Nachfrage auf eine Internetseite mit der netten Meldung verweisen lassen; das erklärt dann zumindest das "Als ich den Firefox aufmachte, kam eine meldung von meinem Provider".
Dazu braucht man dann auch keinen Trojaner auf'm Rechner :^) Aber das ist Offtopic...

Den HiJackThis-Log-Thread findest du hier HiJack-This-Log Sammelthread

 

[androil]

so hatte heute nochmal kontakt mit meinem Provider und die haben mir dann diesen header geschickt. Dies ist anscheinend das Problem gewesen.

Hjackthislogs sind unterwegs.

======== Original Headers ========

Delivery-date: Sun, 13 Jan 2008 13:40:46 -0800
Received: from cust.static.217-11-47-198.cybernet.ch ([217.11.47.198] helo=pclufe)
by pascal.ctyme.com with smtp (Exim 4.68)
id 1JEAZS-0000Hk-90 on interface=69.50.231.186
for wey@alliedtool.com; Sun, 13 Jan 2008 13:40:46 -0800
Message-ID: ff99c01c8562c$f132d7d0$7001a8c0@pclufe
From: "Dr. Tracey Keller" <TraceyKeller@centerforhumanreprod.com>
To: <wey@alliedtool.com>
Subject: Forget about the trouble with your male organ.
Date: Sun, 13 Jan 2008 22:39:50 -0100
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="iso-8859-1";
reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.3790.2663
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.2757
X-Sender-Domain: cybernet.ch
X-Spamfilter-host: pascal.ctyme.com - http://www.junkemailfilter.com
X-Mail-from: TraceyKeller@centerforhumanreprod.com
X-Spam-Class: SPAM-HIGH-VERY - Bad Allied Tool Address from a virus infected or hacked computer - FAKE-MX I=[69.50.231.186] X=pascal H=cust.static.217-11-47-198.cybernet.ch [217.11.47.198] HELO=[pclufe] F=[TraceyKeller@centerforhumanreprod.com] T=[wey@alliedtool.com] S=[Forget about the trouble with your male organ.]
X-Honeypot: Yes - Bad Allied Tool Address from a virus infected or hacked computer - FAKE-MX I=[69.50.231.186] X=pascal H=cust.static.217-11-47-198.cybernet.ch [217.11.47.198] HELO=[pclufe] F=[TraceyKeller@centerforhumanreprod.com] T=[wey@alliedtool.com] S=[Forget about the trouble with your male organ.]
X-Sender-Host-Address: 217.11.47.198
X-Sender-Host-Name: cust.static.217-11-47-198.cybernet.ch
X-Original-helo: pclufe


Herunterladen (unbenannt) [message/feedback-report 307b]
Feedback-Type: abuse
User-Agent: JunkEmailFilter - Abuse Reporter/1.0 - Testing - Feedback Appreciated
Version: 0.1
Original-Mail-From: "Dr. Tracey Keller" <TraceyKeller@centerforhumanreprod.com>
Original-Rcpt-To: <wey@alliedtool.com>
Received-Date: Sun, 13 Jan 2008 13:40:46 -0800
Source-IP: 217.11.47.198


Subject: Forget about the trouble with your male organ.
Date: Sun, 13 Jan 2008 22:39:50 -0100
To: <wey@alliedtool.com>
From: "Dr. Tracey Keller" <TraceyKeller@centerforhumanreprod.com>

You Dont like your machine size.

Chicks joke at you.

Don't waste time you can solve this problem right now.

Use our instrument enla'rgement and Chicks will love you sure enough.

I used. My wife is really happy.

http://toopurcent.com

 

[Harry Boeck]

Wenn das so ist, daß Du am "Sun, 13 Jan 2008 13:40:46 -0800" (das sollte 21:30 GMT bzw. 22:30 bei Dir gewesen sein) die Adresse "217.11.47.198" gehabt hast (das solltest Du prüfen können, wenn Du Server betreibst, wegen denen Du ständig am Netz hängst, oder auch wenn Du Dich eingewählt hattest, indem Du Dich an den Abend erinnerst), wird diese Einschätzung Deines Providers wohl korrekt sein. Mindestens einer der Rechner bei Dir zu Hause ist dann ein Bot.

Falls Du einen wirklich wirksamen Virenscan laufen lassen willst: Schalte den Rechner aus, boote von einer Linux-Live-CD und lasse von dort aus einen Scan laufen!

Falls Du den (oder wahrscheinlicher die) Rechner viren-, würmer- und botfrei kriegen willst: Setze sie neu auf und suche dazu hier im Forum oder über Google nach Anleitungen!

 

[androil]

hmmm da wir eine fixe Adresse haben, ist dies der Fall.

Aber eine möglichkeit denn rechner zu identifizieren welcher es ist, gibt es nicht?

Der Pc der infiziert ist , dient als bot hasst du gesagt also, für was wird so einer hauptsächlich gebraucht? zum sniffen im netzwerk oder doch eher für Massive Anriffe?

 

[SUID:root]

Bots können im Grunde für alles Mögliche verwendet werden. Im Grunde ist ein Bot ja nur ein Programm, das eine bestimmte Aufgabe durchführt und in Verbindung mit anderen Bots diese Aufgabe besonders effektiv werden lässt. Für welche Aufgabe so ein Bot programmiert wird ist nicht begrenzt.

Das kann das Verschicken von Spam-Mails sein, genausogut aber auch ein DDoS (Verteilter Angriff um bspw Server außer Gefecht zu setzen), natürlich auch jede weitere Art von Mißbrauch.

Infiziert worden sein kann der Rechner duch verschiedene Art und Weisen. Entweder durch einen Exploit (das Ausnutzen einer vorhandenen Sicherheitslücke) oder durch einen User (auf die klassische Art wie sich eben Viren übertragen). Bots sind letztlich genauso Schadprogramme wie Viren und Trojaner, nur eben mit anderen Aufgaben.

Am Sichersten wäre es wohl, wenn du alle Rechner neu installierst. Auf einen Virenscanner würde ich mich hier nich ausschließlich verlassen wollen. Dein System ist bereits kompromittiert, mögliche Hintertüren vielleicht eingerichtet. Wirklich sicher bist du nur, wenn du formatierst und neu installierst.

Viele Grüße

root

 

[androil]

hmmmm, 5 maschinene neu installieren plus die dazu gehörigen programme und das konfigurieren, das dauert ewigkeiten, wenn man auch noch alles selber machen muss.

Aber mal schauen wenn ich das nächste mal frei oder ferien habe, werde ich dies vieleicht in erwägung ziehen.

Hoffe es schadet momentan ned zuviel.

und aus einem hijackthis log findet man es ja wahrscheinlich auch nicht raus welcher computer es ist.

 

[SUID:root]

Hijack-This-Log bringt schon etwas, aber wie gesagt, wenn bereits Hintertüren offen sind, dann ist auch das witzlos. Außerdem gibt es ja genug Möglichkeiten Malware zu verstecken (Rootkits).

Ich würde das nicht auf die leichte Schulter nehmen, zumindest würde ich die Rechner vom Netz nehmen. Aber so wie ich dich verstanden habe ist dein Inet-Zugang seitens des Providers sowieso gesperrt. Sollte ein Angriff über deine Rechner durchgeführt werden und du warst bereits informiert, dann könnte das schlecht für dich aussehen. Deshalb Rechner vom Netz!

Ja, aus Schaden wird man klug. Das ist wirklich bitter. 5 Rechner ist ne Menge.
Deshalb vielleicht nach der ersten Grundinstallatiion mit aller Software Images anlegen (Acronis, DriveImage, Ghost), dann sparst du dir in Zukunft die Neuinstallation.

Und: Versuchen rauszufinden, wie es so weit kommen konnte! Gedanken machen, wo der Fehler lag, um Wiederholungen des Vorfalls zu vermeiden.

Viele Grüße

root