gehackt befallen und verkauft ...oder wie werde ich Filesharer los, die meinen Rechner zum speichern ihrer daten nutzen

Hi,

liegen die Dateien (also die Filme etc.) auf dem Server oder auf dem Client?
Habt ihr irgendwelche Dienste laufen, die von aussen zugänglich sind (FTP, IIS etc.)?
Läuft auf dem Server wirklich nur ein Virencheck für EMails oder werden auch die Festplatten
überwacht?

Gruß

cykes

Wie schon gesagt, ich glaube, du bist hier einem massiven hackerangriff ausgerliefert und ich denke auch, dass, auch wenn du es evtl noch nicht bemerkt hast, die Angreifer das GESAMTE Netzwerk benutzen. Unterbindest du den fileshare auf einem client, zeihen sie um auf einen anderen. oder vielleicht siogar direkt auf den server.

Hi,

da Du an einer Uni bist, sind vermutlich alle Rechner mit einer festen öffentlichen IP versehen
und somit theoretisch aus dem Internet erreichbar.

Aber auch wenn das ganze von polnischen IPs kommt, muss das nicht unbedingt aus Polen
kommen, könnte ja auch ein weiteres befallenes Netzwerk sein, dass sie missbrauchen.

Vermutlich hat sich irgendjemand einen neuen Trojaner in der letzten Zeit eingefangen, der
das Admin Passwort ausspioniert hat, das würde ich mal schnellstens ändern und die
offensichtlich befallenen Systeme vom Netz nehmen und einer gründlichen Untersuchung
unterziehen.

Gruß

cykes

[EDIT] Ich würde in jedem Fall auch den Server (der, der Webdienste anbietet ...) auch mal
genau untersuchen, vielleicht sind sie über den in Euer Netz gekommen, haben die Passwörter ausspioniert und greifen nun die Clients direkt an.

Interressant wäre schon welche Dienste öffentlich sind und welche nicht. Denke du hast dir da etwas eingefangen auf welchem Wege auch immer. Du solltest dir mal anschauen, welche Systeme eigentlich betroffen sind und welchen Schaden das alles anrichten könnte.

Du solltest dir mal ein System zusammen schrauben, das 100% sauber ist. Dass dann abschotten. Maybe ein Notebook und das von @home aus. Mit Realtime Scanner, Updates und Co.

Im Anschluß solltest du mal an der Kist die dir als erstes aufgefallen ist, die Platte mal per USB oder Firewire dann über dein sauberes System scannen. Dann hast du wenigstens einen Anhaltspunk was alles bei dem Rechner im argen liegt oder auch nicht. ( Denke da so an Rootkits ) Vielleicht hast du ja auch nur einen Trojaner drauf der zusätzlich etwas offen gemacht hat. Schaue mal mit Adaware von Lavasoft und auch mit Search & Destroy nach...

Auf jeden Fall solltest du die Admin PW's von einem sauberen System aus ändern, und die Usereinstellungen kontrollieren. ( ob neue da sind, welche Gruppen sie angehören und soweiter )

Vielleicht hast du das Glück Traffic Verbindungs Logs zu haben ( Denke da so an die LOGS eines ISA Servers ), in denen eine Top Ten's Verzeichnet sind, das du feststellen kannst, wer ungewöhnlich viel Traffic verursacht, und oder welche IP / Seiten ungewöhnlich oft aufgerufen werden und diese dann aktiv sperren.

Wenn das alles passiert ist, solltest du mal schauen ob die Server etwas abbekommen haben. Mit einer Virenscanner Bootcd die Server Scannen und nur alles Protokolieren lassen nicht in Quarantäne verschieben lassen oder löschen. Falls die Biester sauber sein sollten, solltest du Zug um Zug die Clients testen und dabei auch mal schauen.

Kopf hoch

Mfg Metzger

Edit ----------------------------

Na da hast du jetzt wohl den Super Gau ! Versuche erst mal dein System nach aussen hin so abzushotten durch z.b. einer Linux Firewall ( die den Netzverkehr in beide Richtungen regelt und die erst mal alles blockt was ihr nicht zum überleben braucht. ) ( Passwörter ändern... Server checken und schauen auf welche Dinge die Kollegen aus waren / sind. Nur Platz als Filesharer oder Spionage oder ...

Viel Erfolg.

Untersuch insbesondere die befallenen Clients auch mal auf Filesharing Tools, gerade an
Universitäten wird das gern mal auf den Clients installiert, da ja eine oirdentlich schnelle
Verbindung vorhanden ist.

Gibt halt im wesentlichen zwei Szenarien, wie das passiert sein kann, entweder hat ein
Benutzer sich einen Tronjaner oder ähnliches eingefangen (per Mail, Surfen oder runterladen
von zweifelhaften Quellen) oder ein Hacker ist über einen Dienst, der auf einem der Rechner
läuft ins Netz gekommen und hat dann nach und nach die Clients unter seine Gewalt gebracht.

Als Notmassnahme würde ich bis auf die esentiell wichtigen Dienste (Mail, HTTP etc.) mal alles
ausgehende verbieten und auf den XP Rechnern temporär die Firewall aktivieren.
Alternativ die von Metzger-MCP vorgeschlagene (Linux-) Firewall zwischenschalten

Dann sollten alle Benutzer Ihre Passwörter ändern.

Gruß

cykes

Das verschiebt sich ja dann nur das ist ja vielleicht vertrettbar und weniger Dramatisch. Hast da halt ne Papst in der Tasche gehabt.


Das ist natürlich äusserst ärgerlich. Das heist also eure Firma hat somit sagen wir mal 200 offentliche IP's ... Schaue dir die Rechner an die da Zeitlich frei sind. Vielleicht kannst du da Desktop Firewalls installieren, die sich nicht so tief im System einbudeln. Oder Protokolierungssoftware inder du siehst welche Dinge denn Online gehen wollen ( vielleicht Zonealarm oder vergleichbares. Die Biester können zwar auch relative schnell gehäckt werden aber dann weist du mehr. ) . Schaue dir mal den Prozessexplorer an, der brösselt dir deine Dienste und Software und so weiter sehr gut auf. Wer was wohin verbindet.


Wie schon erwähnt, scanne die HDD's der Rechner. Baue Sie dazu in ein USB Gehäuse ein und verbinde Sie dann in einen sauberen abgeschotteten PC über USB. Da hast du dann wenigstens die Gewissheit das dann kein Virus / Rootkit mehr unerkannt bleibt. Alternative mache dir doch eine Virenscannungs Boot CD fertig und lasse die da rüber flitzen.

MFG Metzger

oder es handelt sich um ein sehr ausgefeillten Schüler. Bei meiner (alten) Schule ist auch mal etwas ähnliches vorgekommen.

Wünsche noch viel Erolg zur Lösung des Problems!

Nachdem ich hier immer ungläubiger mitgelesen habe, muß ich auch mal meinen Senf dazu abgeben:

Mag' zwar ein wenig überheblich klingen, aber sowas ist mir noch nie passiert, und wird mir wahrscheinlich auch nie passieren.

Sicher, die Uni, die Du ansprichst, ist in der Tschechei (hast im Profil auch einen Rechtschreibfehler...), dennoch sollten speziell Uni-Netzwerke immer besonders gut abgesichert werden/sein.
Auch alle Kisten, die da mit dran hängen.

Hierzu gehört eine ordentliche HW-Firewall, auf jedem Client eine Desktop-Firewall und eine AV-Lösung.
Diese sollten nur vom Admin verwaltet werden, paßwort-geschützt sein, und auch einige Tests aushalten können.
Nice to have wäre eine Benachrichtigung des Admins per Email, Fax, SMS, whatever...
(daher verwende ich Trend Micro oder McAfee)

Du schreibst, Du hättest all das gemacht.

Hm, glaub' ich nicht.

Du kannst hier ja mal eine PN an die Mitglieder Midivirus oder mythiander senden, die können Dir ein Liedchen davon singen, wie "krank" ich teilweise sein kann, und was ich so rein oberflächlich drauf habe.
Das Szenario, das Du mir hier schilderst, hört sich nach schlechter Firewall und schlechter AV-Lösung an (ich wollte das Wort billig vermeiden)
Von Benutzerrechten will ich jetzt auch nix sagen...

Ich könnte wetten, wenn Du mir ein paar IP's nennst, sag' ich Dir, was Du alles falsch gemacht hast, verschaffe mir auch einen Admin-Account, etc...


Was ich Dir empfehle:
So hart es klingt, alle Clients vom Netz (Internet reicht).
Von allen Clients die Daten sichern; sollte bei entsprechender Konfiguration ein Klacks sein, weil es nur ein Ordner sein dürfte...
(so zumindest bei mir unter Windows... noch einfacher sind serverseitige Profile...)
Alle Clients platt machen, geht mit 'ner Acronis-CD schnell wie Sau, gleich wieder die nötigen Partitionen anlegen.
Dann mittels Netzwerk-Boot ein vorbereitetes Image auf alle Clients schieben.
Install geht somit simultan über die Bühne. Fast kein Zeitverlust, nur bei denen, die Zicken machen.
Dann die Benutzerprofile wieder einspielen sollte ja kein Problem sein.
Evtl. noch benötigte Software nachträglich installieren.

So ein Szenario dauert bei mir max. 4 Tage, dann flutscht alles so wie vorher auch, mit dem Unterschied, daß alles safe, alles clean und vor allem schnell erledigt ist.


Lonesome Walker

Deiner Aussage oben nach zu urteilen:

Ja

Nur weil Ihr Cisco einsetzt, heißt das noch lange nicht, daß Ihr die auch richtig konfiguriert habt...
Ergänzend sei erwähnt, daß auch ich 3 Blinden-Vereine betreue (inkl. Screen-Reader und Co.), und diese lassen sich sehr wohl einfach administrieren.
Nur weil also Du damit nicht zurande kommst... siehe vorletzter Satz.


Lonesome Walker

Du scheinst es wohl nicht zu begreifen wollen, wa?

Fakt ist, Dein Gewäsch von oben war gelogen.
Hast Du in einem anderen Posting gerade zugegeben.
("ist ja nicht leicht, blahblah..." Wer sagt denn, das es leicht ist???)

Fakt ist auch, Du bist mit dieser Aufgabe überfordert, denn sonst würdest Du bei einem Standard-Prozedere für kompromitierte Systeme nicht hier posten.

Du hast von mir die Hilfe erhalten, die m.e. hier mehr als nur angebracht ist.
Und wenn Du mehr als 4 Tage brauchst, was solls?
Hauptsache, Du machst das einzig Vernünftige:

Einen Neuanfang für Dein Netzwerk.


Lonesome Walker
PS: Flamen nennt man was anderes...

Hallo,

seis drum wer von euch beiden nu mehr weiß oder nicht weiß.

In einem kann ich Lonesome nur zustimmen, dass vermutlich Beste und Einfachste ist wohl ein Neuaufbau des LAN's (also der Rechner).
Denn wie bei einer Deinstallation von Software bin ich der Meinung bekommst die Systeme nie wieder 100%ig sauber, zumindest ich würde einem ehemals verseuchten System nicht mehr vertrauen.

Was mich nur wundert, oder hab ich das falsch verstanden, hängen die PC's alle direkt im Internet oder über einen (evt. auch mehrere) Router und öffentlich IP(s) im Internet?

MfG IceBeer

Ich zitiere Dich mal direkt aus Deiner Frage:

"Trotz Firewall (Windows and vorgeschalteter Hardware), einem Virenchecker auf Server für Emails, einem auf jedem client der täglich aktualisiert wird und prinzipell den neuesten Updates aus Redmond ach und zusartlich prinzipiell nur Benutzerrechte für benutzer..."

Und dann weiter unten schreibst Du:

"Da wir ein spezielles Center fuer Blinde und Sehbehinderte sind, muss auf die zu benutzende Software leider emens Ruecksicht genommen werden was leider auch benutzerrechte und vor allem anbindungen an Internet beeinflusst..."

Somit ist die Bezeichnung Lügner wohl gerechtfertigt.
Anstatt die Zeit hier zu vergeuden, solltest Du Dich mit einer neuen Infrastruktur beschäftigen, die diesmal nicht mehr so löchrig ist...

And by the way, schon mal geguckt, wer in diesem Bereich Mod ist?
Denkst Du, ich sag' sowas umsonst?
Solche Admins wie Dich kosten einige Firmen ein Vermögen. Ein Vermögen, das in einen besser ausgebildeten, oder geduldigeren Admin besser investiert wäre.

Lerne daraus, daß Dein Netz infiltriert wurde, mach' es in Zukunft besser.
Keiner sagt, daß unser Job leicht ist; aber nur jammern, sorry, falsche Baustelle.

Dein Fehler, Dein Kopf.


Lonesome Walker

edit:
Ich habe gerade von Chris erfahren, daß einige Probleme darauf beruhen, weil eben nicht standardkonform gehandelt wurde, dies aber nicht in seinem Ermessen lag.
Schade, hätte er in seinem Eingangsposting erwähnen sollen, dann hätte ich mir wahrscheinlich auch meine Äußerung gespart