Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Trojaner im Netzwerk finden

Mitglied: riegerrobsi

riegerrobsi (Level 1) - Jetzt verbinden

19.04.2010 um 12:53 Uhr, 12743 Aufrufe, 13 Kommentare

hallo alle zusammen, ich hoffe ihr könnt mir helfen.

Ich habe ein kleines Netzwerk mit 20 Rechnern, auf irgendeinem dieser Rechner ist ein Trojaner o.ä. installiert,
es gehen willkürlich Emails nach aussen, und wir sind dadurch auch schon bei der ein oder anderen Blacklist geführt.
Nun zu meiner Frage, wie kann ich im Netzwerk so einen Trojaner der wild Emails verschickt aufspüren.
Ich hab mal Wireshark über eine ganze weile auf dem Mailserver (Exchange) mitlaufen lassen, da ich vermute,
das dieser als SMTP für den Trojaner dient, habe aber keinen verdächtigen SMTP Verkehr gefunden.
Hoffe ihr könnt mir weiter helfen.
Mitglied: matze2010
19.04.2010 um 13:00 Uhr
Hallo riegerrobsi,

eine ähnliche Frage hatten wir heute schon, nur mit einer anderen Begründung. Wenn du der Netzadministrator bist, dann kannst du sicherlich auf dem Monitoring-Port des Switch mitlauschen. Je nachdem, welche Vereinbarung über das private Surfen in eurem Unternehmen getroffen wurde darfst du den Netzwerkverkehr eurer Mitarbeiter __nicht__ mitlauschen. Ansonsten einfach auf dem Internetgateway (statt Exchange) mitlauschen oder SMTP Traffic, der nicht vom Exchange Server kommt blocken und protokollieren. Wenn du dann die Logs liest, dann siehst du die geblockte IP für SMTP.

Lg
Matze
Bitte warten ..
Mitglied: maretz
19.04.2010 um 13:06 Uhr
Moin,

in diesem Kontext ist es falsch - auch wenn private Nutzung erlaubt ist dann darf zur Störungsbeseitung z.T. der Verkehr mitgeschnitten werden. Insbesondere da man ja hier recht einfach sicherstellen kann das man keine privaten Dateien mitschneidet (Port 25 wird man im lokalen Netzwerk mit einem Exchange-Server u. Outlook-Clients so nie sehen -> da die über die MAPI gehen...). Damit gehe ich auch elegant an dem Problem mit privater Nutzung vorbei - und darf zur Störungsbeseitigung hier den Datenverkehr mitschneiden...

Ich würde allerdings vorher von Rechner zu Rechner gehen (bei 20 is das ja ein überschaubarer Aufwand) und mal die Prozessliste ansehen...
Bitte warten ..
Mitglied: lefgruen
19.04.2010 um 13:36 Uhr
Hallo,

erzeuge einen Startdatenträger - CD, Stick - mit einem brauchbaren Virenscanner, boote von dem und lasse den Scanner laufen! Ist das aktuelle Update zum Entfernen schädlicher Software installiert?
Bitte warten ..
Mitglied: matze2010
19.04.2010 um 13:48 Uhr
Hallo,

Zitat von maretz:
Moin,

in diesem Kontext ist es falsch - auch wenn private Nutzung erlaubt ist dann darf zur Störungsbeseitung z.T. der Verkehr
mitgeschnitten werden. Insbesondere da man ja hier recht einfach sicherstellen kann das man keine privaten Dateien mitschneidet
(Port 25 wird man im lokalen Netzwerk mit einem Exchange-Server u. Outlook-Clients so nie sehen -> da die über die MAPI
gehen...). Damit gehe ich auch elegant an dem Problem mit privater Nutzung vorbei - und darf zur Störungsbeseitigung hier den
Datenverkehr mitschneiden...

Ja und nein, insbesondere E-Mail-Verkehr (z.B. privater E-Mail-Verkehr ohne Exchange-Server) ist das __private__ Medium schlechthin. Den wirst du auch auf Port 25 hören. Pflicht ist aber dennoch den 20 Mitarbeitern vorher Bescheid zu sagen und diese über die "Wartungsarbeiten" zu informieren.

Ich würde allerdings vorher von Rechner zu Rechner gehen (bei 20 is das ja ein überschaubarer Aufwand) und mal die
Prozessliste ansehen...
Im Zweifel, ob das aber wirklich "schneller" ist hängt von der Trojaner-Gattung und Programmierkunst des Erstellers ab

Lg
Matze
Bitte warten ..
Mitglied: jhinrichs
19.04.2010 um 13:59 Uhr
Moin,
was den "privaten" Email-Verkehr angeht: Es ist eine Sache, private Mail über die bestehende Infrastruktur (in Eurem Falle Exchange) zuzulassen, dann wirst Du, wie von maretz gesagt, bedenkenlos Port 25 belauschen dürfen. Für den Zweck des "privaten" Mailverkehrs den Clients zu erlauben, am Exchange (oder sonstigen zentralen Mailserver) vorbei Mails per SMTP/POP/IMAP zu nutzen, halte ich für fahrlässig, da damit jegliche zentrale Malware- und ggf. Spam-Bekämpfung unterlaufen wird. Vielleicht ist ja der Trojaner so ins Netz gekommen?
Also würde ich auf der Firewall die Mailports (SMTP/POP/IMAP etc.) ausschließlich für das Mailgateway/den Mailserver freigeben und dann in den Logs studieren, wer da Verbindungsversuche startet. "Private" Mail an der Firmeninfrastuktur vorbei wäre dann, sofern man dasnicht auch blockt, immer noch über die Webmail-Interfaces der üblichen Verdächtigen möglich, aber doch mit weniger Risiko behaftet, da die eigentliche Mail nicht im Firmennetz landet.
Grüße
Bitte warten ..
Mitglied: mrtux
19.04.2010 um 13:59 Uhr
Hi !

Zitat von matze2010:
Im Zweifel, ob das aber wirklich "schneller" ist hängt von der Trojaner-Gattung und Programmierkunst des Erstellers

Den Übeltäter musst Du meist eh neu aufsetzen oder ein Backup-Image zurückspielen um ganz sicher zu sein und das ist auch Aufwand....Ich würde den verdächtigen Kandidaten auf jeden Fall erstmal mit einem Offlinescan beglücken um zu sehen was Sache ist. Im laufenden OS kann so eine Suche schnell mal zum Katz und Maus Spiel werden und meiner Erfahrung nach spielt man da meist den ähm Dummen...

mrtux
Bitte warten ..
Mitglied: riegerrobsi
19.04.2010 um 15:06 Uhr
Hi,

gute Neuigkeiten, habe im Firewall Log tatsächlich einen Rechner gefunden, der SMTP Verkehr en masse generiert hat, teilweise bis zu 20 Nachrichten pro Minute.
Hoffentlich war das der einzige Rechner, der infiziert war.
Wenn nicht würde ich nochmals um eure Hilfe bitten.

riegerrobsi
Bitte warten ..
Mitglied: maretz
19.04.2010 um 15:38 Uhr
Moin,

jemand der es den Clients erlaubt mit nem eigenen Email-Programm den privaten Email-Verkehr zu machen der hat andere Sorgen als nen Trojaner ;). Ganz ehrlich: Nen Admin der das so den Mitarbeitern erlaubt würde ich ohne zu zögern versetzen. Und zwar an die Stelle mit den 5 Mio. Kollegen! Denn dann hat man wirklich allem Tür & Tor geöffnet -> in dem Fall kann man sich m.E. auch sämtliche Firewalls u.ä. sparen und den Nutzern direkt Admin-Rechte geben... (Es wäre ja nur die halbe Todesstrafe auf Lebenszeit wenn man ausgehend alles zu Port 25 rauslässt. Aber falls das für nen Client beabsichtigt ist kann man ja davon ausgehen das auch eingehende Abholung via POP3/IMAP erlaubt ist -> und somit hat man definitiv die Pappnase... ganz davon abgesehen das man als Admin den Rechner dann praktisch nicht mehr anfassen kann ohne das der Benutzer direkt daneben sitzt.... klasse....)
Bitte warten ..
Mitglied: riegerrobsi
19.04.2010 um 15:49 Uhr
Hallo,

leider haben wir bei 20 Rechnern keinen eigenen Admin, was bei einem Unternehmen unserer größe wohl durchaus normal ist...
Ich bin zu diesem Problem ja auch eher wie die Jungfrau zum Kind gekommen, da ich eben der einzige bin der zumindest Computer interessiert ist.
Die Firewall wurde durch eine beauftragte Firma aufgesetzt, und das Regelwerk ebenso.
Bitte warten ..
Mitglied: aqui
19.04.2010 um 15:53 Uhr
Das muss man doch auch nicht. Du brauchst dir doch nur mit einme simplen Mausklick im Email Client einmal den kompletten Mail Header ansehen. Da steht doch genau der (böse) Absender mit seiner IP Adresse drin !!
arp -a am Router, dann hast du zur IP die Mac Adresse bzw. so oder so hast du über die IP ja schon den bösen Buhmann ausgemacht. Dafür benötigt man 5-10 Minuten...wo ist denn da nun dein eigentliches Problem ??
Bitte warten ..
Mitglied: riegerrobsi
19.04.2010 um 15:56 Uhr
Dazu würde ich doch aber so ein Spam mail benötigen oder? Wie kann ich sonst den Header auslesen?
Bitte warten ..
Mitglied: aqui
19.04.2010 um 16:04 Uhr
Ja, klar aber dafür gibts ja den kostenlosen Wireshark Sniffer den mal am Router Port auf TCP 25 und die IP des Mailservers lauschen lässt
Bei 20 Mails pro Minute hast du den Buhmann bzw. die IP dann im Handumdrehen !!
Und...kannst gleich anhand der Ziel IP und WhoIs auch noch sofort sehen wer denn der ominöse Empfänger ist !!
Bitte warten ..
Mitglied: maretz
19.04.2010 um 16:45 Uhr
Moin,

jap - das ist normal. Und da wird normal auch der externe Dienstleister die FW entsprechend konfigurieren so das du da nix raushauen kannst...

Und nur am Rande: GRAD wenn ihr keinen eigenen Admin habt dann ist natürlich umso mehr darauf zu achten das nix "einfach runtergeladen wird" u.ä. -> denn dann sind die Systeme selbst bei euch vermutlich auch nicht so extrem gesichert und ein Virus/Trojaner hat deutlich mehr chancen da richtig Schaden anzurichten...
Bitte warten ..
Ähnliche Inhalte
SAN, NAS, DAS

Trojan Verschlüsselung iSCSI Laufwerke dauerhaft trennen

gelöst Frage von dennz2018SAN, NAS, DAS2 Kommentare

Ich weiss, so eine Frage gab es sicherlich schon einmal. Aber ich konnte nichts genau hier zu finden. Im ...

Backup

Find-Befehl - Es hakt gerade

Frage von it-fraggleBackup1 Kommentar

Vielleicht sollte ich endlich schlafen gehen, aber DAS muss ich noch zuende machen. Wo ist der Fehler? In /media/backups/ ...

Debian

Find: sys kernel debug Permission denied

Frage von vikozoDebian

guten Tag ich habe unter Proxmox ein LXC Container erstellt Linux prox1 4.4.15-1-pve (gcc version 4.9.2 (Debian 4.9.2-10) wenn ...

Batch & Shell

Nonsense Error - find ihn nicht. (Batch)

gelöst Frage von clragonBatch & Shell7 Kommentare

Hey Leute! Ich bin's wieder. Heute habe ich ein besonders unnötiges Problem,. Aus irgendeinem Grund hat dieses Script einen ...

Neue Wissensbeiträge
Windows 7
Updategängelung auf Windows 10, die zweite
Information von Penny.Cilin vor 2 TagenWindows 7

Hallo, da Windows 7 im kommenden Jahr nicht mehr supportet wird, werden Nutzer von Window 7 home premium wieder ...

Internet
EU-Urheberrechtsreform: Zusammenfassung
Information von Frank vor 4 TagenInternet1 Kommentar

Auf golem.de gibt es eine Analyse von Friedhelm Greis, der das Thema EU-Urheberrechtsreform gut und strukturiert zusammenfasst. Zwar haben ...

Microsoft Office

Office365 Schwachstellen bei Sicherheit und Datenschutz

Information von Penny.Cilin vor 5 TagenMicrosoft Office7 Kommentare

Auf Heise+ gibt es einen Artikel bzgl. Office365 Schwachstellen. Das ist noch ein Grund mehr seine Daten nicht in ...

Sicherheit
Schwachstellen in VPN Clients
Tipp von transocean vor 7 TagenSicherheit2 Kommentare

Moin, es gibt Sicherheitslücken bei VPN Clients namhafter Hersteller, wie man hier lesen kann. Gruß Uwe

Heiß diskutierte Inhalte
Windows Installation
Windows10 Home Neuinstallation - Raketentechnik
Frage von spacyfreakWindows Installation12 Kommentare

"Kannst du den Rechner von der Tante von WindowsXP auf Windows10 Home upgraden" haben sie gefragt? "Sicher, was kann ...

Utilities
Teamviewer 9.x "out of date" ??
gelöst Frage von keine-ahnungUtilities11 Kommentare

Moin at all, mein topaktueller teamviewer (alles 9.x - releases) verweigert seit heute die Arbeit und bemeckert: "the remote ...

Windows 10
Windows 10 verwendet FritzBox per IPv6 als DNS-Server an Stelle des per DHCP vergebenen DNS-Servers
Frage von Datax87Windows 1010 Kommentare

Hallo, ich habe ein kleines Problem mit der Namensauflösung (DNS) unter Windows 10. Mir ist heute aufgefallen, dass ich ...

Peripheriegeräte
Empfehlung für Home-USV (ca. 450VA 270W) Irgendwelche Osterpreisaktionen bekannt?
Frage von Server-NutzerPeripheriegeräte9 Kommentare

Hallo und schöne Ostern. Meine private Heim-USV Yunto Q450 (ca. 450VA 270W) hat sich nach vielen Jahren ohne Probleme ...