ich habe den folgenden Beitrag von drahnoel aus der „Firewall FAQ für Fortgeschrittene“ mal hierher gestellt, da er dort nicht zur aktuell diskutierten Thematik passt. Vermutlich finden sich auch hier mehr helfende Hände für drahnoel, als unter den TUTs ...
Zitat:
Zitat von drahnoel
hallo,
ich bin neu hier in diesem forum und habe folgendes problem.
wir haben seit januar 2004 dsl bekommen, an dem wlan-router waren 3 rechner dran, u.a. ein notebook.
wir haben den router (sinus154) nicht passwort geschützt, da wir in einer kleinen ortschaft wohnen.
das dsl hat uns ein bekannter eingerichtet, der längere zeit bei uns wohnte.
im dezember, passierte es dann, alle unsere rechner wurden beschlagnahmt durch eine hausdurchsuchung.
angeblich wurde einer unserer rechner, oder auch alle 3 rechner zum datenmissbrauch bei ebay verwendet.
die rechner befinden sich immer noch in untersuchung.
es war an keinem rechner ein firewall eingeschaltet, die 3 rechner werden von uns, ( meine frau und ich, und auch öfters freunde unterschiedlich genutz, praktisch weiss jeder von jedem sein passwort.
am router war glaube ich die firewall auch nicht an.
nun meine frage, kann ein aussenstehender an unsere rechner drankommen, die waren ja praktisch immer eingeschaltet, ist es möglich daten auf unsere rechner zu spielen, etwa logfiles oder cookies, das es dann so aus sieht als wäre es von einem unserer rechner passiert? ist das möglich ?
ich habe gelesen wenn es ein sog. DOS ist dann müsste man unter win/system an jenem " Tattag " bufferoferflow oder ähnliches sehen.
danke
drahnoel
ich würde mich freuen um ein nachricht.
: nun meine frage, kann ein aussenstehender an unsere rechner drankommen
Ja. Und das ist sogar sehr wahrscheinlich. Es sei denn die Rechner wurden alle sehr gut auf Sicherheit optimiert und es wurden dort nicht leichtfertig irgendwelche Programme gestartet. Laut Deiner Beschreibung halte ich das für sehr unwahrscheinlich. Und da niemand Deine Rechner ohne Grund beschlagnahmt, mußt Du leider davon ausgehen, dass die Rechner vermutlich von einem Eindringling für die illegale Zwecke missbraucht worden sind. Möglicherweise aber auch von einem eurer eigenen Leute. Das letzteres nicht der Fall war, wird sehr schwer zu belegen sein.
: ist es möglich daten auf unsere rechner zu spielen …
So "gut" wie eure Rechner vermutlich geschützt waren: Ja.
:… etwa logfiles oder cookies, das es dann so aus sieht als wäre es von einem unserer rechner passiert?
Wie meinst Du das? Wenn die illegalen Daten für den Austausch auf einen eurer Rechner lagen, dann sind die Transaktionen auch von euren Rechnern aus passiert (die Daten wurden dort abgelegt und andere Rechner haben sie von dort aus gesaugt - das vermute ich mal). Da braucht niemand so tun als ob. Oder habe ich da etwas falsch verstanden?
Die logfiles lassen sich so manipulieren, dass der Eindringling nicht zu finden ist. Ein geübter Hacker wird genau das tun. Vielleicht war Deine Frage ja so gemeint?
: ich habe gelesen wenn es ein sog. DOS ist dann müsste man unter win/system an jenem " Tattag " bufferoferflow oder ähnliches sehen.
Du meinst einen DoS (weil: DOS ist ein Betriebssystem – tun aber nichts zur Sache ). Das mit den Buffer Overflow – Attacken hast Du falsch verstanden. Sie dienen in der Regel dazu, fremden Code auf Deinem Rechner einzuschleusen oder ihn, wie Du schon geschrieben hast, zum Absturz zu bringen. Dabei werden aber keine Logs oder ähnliches angelegt (es sei denn der Exploid zielt auf Deine Firewall oder auf ein IDS-geschütztes System, was hier wahrscheinlich nicht der Fall war).
Das was man aber durchaus auf den Rechnern finden kann, sind durch Trojaner installierte RATs (Remote Access Tools), welche den Fernzugriff ermöglichen.
Ich würde Dir auf jeden Fall raten einen Rechtsanwalt zu kontaktieren.
Bye, Ronald
EDIT: Wer lesen kann ich klar im Vorteil: "... rechner zum datenmissbrauch >>bei ebay<< verwendet ..." Das mit dem ebay habe ich heute Morgen leider überlesen. So ergibt Deine Frage über die Logfiles und Cookies einen Sinn. Big sorry.
Also, der Missrauch ist offensichtlich aus dem Internet heraus über einen eurer Rechner erfolgt, richtig? Dazu wird in der Regel ein RAT (Remote Access Tools) als Forwarderproxy verwendet. Mit anderen Worten verbindet sich dann der Angreifer zum infizierten Rechner und suft dann mit Deiner Internetadresse im Netz weiter. Je nach Art des RATs kann er entweder die Anfrage von seinem PC aus starten und lediglich mit Hilfe Deines Rechners die Anfrage mit >>Deiner<< IP-Adresse des Internetproviders weiterleiten (die Transaktion wird dann nur auf seinem Rechner protokolliert – Dein System verhält sich lediglich als Proxy, welcher die Anfragen durchreicht). Oder aber er nimmt die Transaktionen über eine (für Dich) unsichtbare Session von Deinem Rechner aus vor (nachdem er die Verbindung zum RAT hergestellt hat). Das hängt, wie gesagt, vom RAT ab. Welches Betriebssystem wurde auf den besagten Rechnern installiert? Was hat Dein Anwalt herausgefunden?
meine frage ist aber immer noch nicht beantwortet.
für den fall das auf unseren rechnern etwas gefunden wird,z.B logins oder cookies die mit der tat zutun haben, ist es möglich das diese jemand aufgespielt hat, bzw das es beim untersuchen unsrer rechner den anschein macht das wir es gewesen sind .
Zitat:
Zitat von Stöhnie
wie kann man sein wlan auch nur so offen lassen. aber das die rechner oder deren ip so missbraucht worden sind find ich schon krass.
@drahnoel du solltest einen crashkurs belegen, das du wenigstens dein wlan gegen fremden missbrauch absichern kannst - dorf hin oder her.
Wie ist die Polizei ueberhaupt an Eure Adresse gekommen? Ganz einfach: Die werden bei Eurem Internetprovider vorbigeschaut haben, und nach Euren Daten gefragt haben. Der Internetprovider ist AFAIK verpflichtet, mitzuloggen, wer wann ueber welche IP verbunden ist.
Was also sicher zu sein scheint, der Vorfall ist ueber die IP gelaufen, die Ihr zu dem Zeitpunkt hattet. Das kann von einem Eurer Rechner passiert sein (per Internet Fernsteuerung Trojaner Weissdergeier was) - dann wuerde man dabei wahrscheinlich Spuren finden. Oder es ist von einem externen Rechner aus gemacht worden (z.B. ein Notebook mit WLan Karte in der Naehe), der einfach Euren Zugang, der offen wie ein Scheunentor stand, genutzt hat - dann wuerde man auf Euren Rechnern keine Spuren finden.
In beiden Faellen duerfte Euch also zumindest Farlaessigkeit vorzuwerfen sein.
meine frage ist aber immer noch nicht beantwortet.
für den fall das auf unseren rechnern etwas gefunden wird,z.B logins oder cookies die mit der tat zutun haben, ist es möglich das diese jemand aufgespielt hat, bzw das es beim untersuchen unsrer rechner den anschein macht das wir es gewesen sind .
aus reiner neugier gefragt mit welchem rechner schreibst du jetzt eigentlich die texte hier im forum?
noch ein kleiner kommentar von mir: wenn auf dem rechner nix zu finden ist bist du doch klar aus der sache raus, da du aber so viel angst hast gehe ich mal davon aus das auf deinem rechner etwas war oder ist was nicht ganz rechtens ist! außerdem wäre noch interessant welches bs du nutzt ist es xp mit sp2? dann ist im normalfall eigentlich die windows firewall an und kaum jemand kommt auf den rechner! es sei denn er will unbedingt in deinen rechner schauen!
außerdem wäre noch interessant welches bs du nutzt ist es xp mit sp2? dann ist im normalfall eigentlich die windows firewall an und kaum jemand kommt auf den rechner! es sei denn er will unbedingt in deinen rechner schauen!
Ist doch an sich auch nicht nötig - wenn jemand z.B. via BruteForce ebay-Passwörter knacken will, merkt ebay das ja und kann ggf. auch die IP-Adresse erkennen. Dann noch beim zuständigen Provider informieren und schon ist die Real-Adresse bekannt - da sind OS und Firewall gar nicht involviert.
hallo, zu der frage.
der jetzige rechner ist ein geliehenes notbook, weil wir davon ausgehen, die rechner bald zurück zu bekommen.
das würde nun heissen, wenn man auf unseren rechnern etwas findet, evtl logfiles, die identisch mit der tatzeit sind, dann wsind wir dran?
nun ists aber so bei uns, die rechner wurden unterschiedlich von mind. 3 personen benutzt. nun sind da fast 9 monate vergangen. wie kann man denn den täter ermitteln, bzw wer wird vereurteilt?
ist denn eigentlich nach 9 monaten auf den rechnern noch etwas zu finden, evtl cookies, bzw logfiles. werden die nicht automatisch gelöscht?
freue mich auf antwort
drahnoel
Zitat:
Zitat von floppydisk
aus reiner neugier gefragt mit welchem rechner schreibst du jetzt eigentlich die texte hier im forum?
noch ein kleiner kommentar von mir: wenn auf dem rechner nix zu finden ist bist du doch klar aus der sache raus, da du aber so viel angst hast gehe ich mal davon aus das auf deinem rechner etwas war oder ist was nicht ganz rechtens ist! außerdem wäre noch interessant welches bs du nutzt ist es xp mit sp2? dann ist im normalfall eigentlich die windows firewall an und kaum jemand kommt auf den rechner! es sei denn er will unbedingt in deinen rechner schauen!
Naja der einzige Fall in meinem Bekanntenkreis in dem ein Rechner beschlagnahmt wurde hat sich endlos hingezogen.
Der Besitzer des Rechners war zu dem Zeitpunkt (ist Jahre her) noch Schüler und wurde von einem Mitschüler angezeigt weil er angeblich illegale Inhalte auf seinem Rechner haben sollte.
6 Monate nach dem Vorfall habe ich den betroffenen noch einmal gesehen und darauf angesprochen. Er meinte er hätte nix auf dem Rechner gehabt was ihn in irgendeiner Weise belasten würde und seit diesen 6 Monaten hatte er nichts von seinem Rechner gesehen oder gehört.
Ist mitlerweile Jahre her und ich habe auch ewig nichts mehr davon gehört. War damals ein ca. 2 Wochen alter Rechner der Wertverlust ist also relativ hoch.
Ich denke mal nicht daß die da irgendwelche Remote Tools oder sowas finden werden (wenn du Glück hast finden sie welche). Es gibt kleine feine Tools um nach offenen W-LAN Zugängen zu suchen. Man glaubt garnich wieviele man findet wenn man so´n Teil auf´n Läppi tut und mal durch die Stadt marschiert. Da brauchste großartig garnix hacken. Tool suchen lassen, finden, einloggen und los surfen. Also beim nächsten mal das W-LAN verschlüsseln, und dann auch ´n Pass rein. Und dann NIEMAND mehr außer euch an die Rechner. Sicher is sicher.
Ob und wann ihr eure Rechner wiederbekommt hängt von mehreren Faktoren ab. Ersma werden die Platten in den Dingern komplett unter die Lupe genommen und das kann unter umständen dauern. Dann kommts drauf an ob und was die finden was mit der Straftat, und das ist es nun mal, in Verbindung gebracht werden kann. Sollten die wirklich irgendwelche Remote Tools finden, biste so ziemlich aus´m Schneider. Da kann sicher davon ausgegangen werden daß dein Zugang von einer dritten Person genutzt wurde.
Zitat:
ist denn eigentlich nach 9 monaten auf den rechnern noch etwas zu finden, evtl cookies, bzw logfiles. werden die nicht automatisch gelöscht?
freue mich auf antwort
Auch nach 9 Monaten findet man das auf den Rechnern was da vor 9 Monaten auch drauf war. Cookies und sowas löscht sich nicht automatisch.
Für 90% der ungesicherten Netze braucht man nichtmals ein Tool. Erst wenn Mac-filtering aktiv ist braucht man nen WLAN Sniffer um eine der gültigen MAC-Adressen herauszufinden die man dann faken kann.
Aber in der Praxis sieht's leider meist so aus das sogar ein DHCP-Server läuft der einem die IP-Adresse und den Gateway zuweist.
also dass sich das auf Eure Rechner bezog, sei mal dahingestellt. Vermutl. hat ehr jemand das WLAN gehackt (obwahl das eigentlich jemand aus der Nachbarschaft gewesen sein muss - oder ein Auto, was längere Zeit bei Euch vor der Türe gestanden hat).
Wie gut kennt Ihr den Bekannten, der das DSL eingerichtet hat?!!?
Wenn das der Fall war, bezieht sich der Verdacht auf die Mitbenutzung Eures WLAN-Routers (davon gibt's keine Logging auf dem Rechner).
Auf den Billig-Router ist sowas wie Logging meistens entweder nicht vorhanden oder per default deaktiviert.
Was also bleibt ist die Nutzung des (ungeschützten) WLAN-Routers (sofern auf den Rechnern nix illegales war).
In dem Fall muss sich der Besitzer/Betreiber grobe Fahrlässigkeit und somit auch eine Mithaftung gefallen lassen.
Sorry: Aber das ist auch grob fahrlässig, was Ihr gemacht habt.
Gruesslies
Weazle
P.S.: Der Tipp mit dem Anwalt war schon ganz gut!
jetzt muss ich nochmal fragen, worin liegt der unterschied wenn sich jemand von aussen an unsre rechner zu schaffen macht,d.h. missbraucht und evtl logfiles draufspielt ect.
wenn er über das offene wlan kommt oder über das internet?
der unterschied liegt darin, dass er über das Internet deinen RECHNER kompromitieren muss, um irgendetwas schädliches zu machen.
Kommt er hingegen über da WLAN rein, so reicht es aus mit eigenem Gerät (Laptop im Auto) irgendwelchen Spass zu veranstalten - er muss also NICHT deinen Rechner missbrauchen.
scheinbar wurde meine frage missverstanden.
ich wollte wissen worin der unterschied liegt wenn sich jemand von aussen an meinen rechner dranmacht. bzw logfiles ändert oder draufspielt, o. ähnliches.
wenn er übers internet kommt, oder wenn er übers offene wlan kommt.
ich welchem fall kann man spuren beseitigen?
mfg
drahnoel
Zitat:
Zitat von tele
der unterschied liegt darin, dass er über das Internet deinen RECHNER kompromitieren muss, um irgendetwas schädliches zu machen.
Kommt er hingegen über da WLAN rein, so reicht es aus mit eigenem Gerät (Laptop im Auto) irgendwelchen Spass zu veranstalten - er muss also NICHT deinen Rechner missbrauchen.
wenn er übers WLAN kommt wird er garkeine logfiles oder sowas hinterlassen, er geht beidir rein und macht sein zeug und ist so schnell wie möglich über alle berge
d.h. du hast nix am pc, aber es ging über deinen anscluss,
wenns über das inet ging, dann werden überresteauf deinem pc bleiben, von dme tool mit dem er reingekommen ist, und wie er seine aktionen ausgeführt hat usw.
hallo nochmal,bewertung kommt, ganz sicher.
aber bitte nun nochmal,oder vielleicht kann mit jemand anderes diese frage auch beantworten.
worin liegt der unterschied,bzw ist es überhaupt möglich, das jemand übers internet,oder über das offene wlan sich an meine rechner dranmacht und mir logfiles faked,cookies draufspielt o.ähnliches.
ist das überhaupt möglich,wie kann man das nachträglich feststellen bei, übers internet, und bei einstieg über wlan.
wie gesagt firewall an den rechnern war nicht an.
freue mich über antworten.
drahnoel
Zitat:
Zitat von NPM | Destructor
wenn er übers WLAN kommt wird er garkeine logfiles oder sowas hinterlassen, er geht beidir rein und macht sein zeug und ist so schnell wie möglich über alle berge
d.h. du hast nix am pc, aber es ging über deinen anscluss,
wenns über das inet ging, dann werden überresteauf deinem pc bleiben, von dme tool mit dem er reingekommen ist, und wie er seine aktionen ausgeführt hat usw.
also falls der übers Internet gekommen ist, die Logfiles nicht manipuliert hat und seine IP net gespooft war, dann liesse sich über die IP herausfinden, zu welcher Provider-Range die gehört, die Polizei könnte dann über den Provider herausfinden, wer das war.
Wenn er sich über das offene WLan reingehackt hat, kannst das vergessen.
Deine Chance ist, dass es kein Profi war und der evtl. doch Spuren hinterlassen hat.
Aber auf der anderen Seite:
Du hast keine Firewall und das WLan war offen, nimm Dir einen guten Anwalt und plädiere auf Unwissenheit - schliesslich war das ein privates und kein komerzielles WLan und die Beratung bei den sogenannten "Fachmärkten" ist ja schliesslich zum heulen.
Darin sehe ich eine grössere Chance.
hallo catweazle und mitleser,
wie funktioniert denn das, wenn jemand über wlan sich an meine rechner dranmacht, bzw Logfiles ändert,diverse cookies aufspielt?
bei mir laufen/liefen alle rechner mit dem xp prof.
freue mich über antworten
mfg
drahnoel
Zitat:
Zitat von Catweazle
Hi,
also falls der übers Internet gekommen ist, die Logfiles nicht manipuliert hat und seine IP net gespooft war, dann liesse sich über die IP herausfinden, zu welcher Provider-Range die gehört, die Polizei könnte dann über den Provider herausfinden, wer das war.
Wenn er sich über das offene WLan reingehackt hat, kannst das vergessen.
Deine Chance ist, dass es kein Profi war und der evtl. doch Spuren hinterlassen hat.
Aber auf der anderen Seite:
Du hast keine Firewall und das WLan war offen, nimm Dir einen guten Anwalt und plädiere auf Unwissenheit - schliesslich war das ein privates und kein komerzielles WLan und die Beratung bei den sogenannten "Fachmärkten" ist ja schliesslich zum heulen.
Darin sehe ich eine grössere Chance.
Du hast keine Firewall und das WLan war offen, nimm Dir einen guten Anwalt und plädiere auf Unwissenheit
Dummheit (oder Unwissenheit) schützt vor Strafe nicht.
Wie das von statten geht? Er sucht mit nem Rechner (von außen wohl nen Laptop) nach Netzwerken die offen sind. Wählt sich da ein und fertig... dann kann er wenn du einen Inetzugang hast diesen mitbenutzen ohne das du was merkst, höchstens in der Bandbreite oder wnen du zufällig in as Netzwerk schaust und merkst das mehr Rechner drin sind als sein sollten.
Und übers INet ist es fast das selbe, da sucht jemand mit nem Tool nach offenen Rechnern die mit nem Trojaner usw. verseucht sind, findet er einen und bekommt zugang dazu kann er Mist machen, aber ich tippe eher auf ein mißbrauchtes WLan, wenn du schon eines hast, das ist mit sicherheit wahrscheinlicher.
also falls der übers Internet gekommen ist, die Logfiles nicht manipuliert hat und seine IP net gespooft war, dann liesse sich über die IP herausfinden, zu welcher Provider-Range die gehört, die Polizei könnte dann über den Provider herausfinden, wer das war.
Wie das? Der RAT wird schlecht die connection loggen und eine Firewall war nicht installiert. Wer sollte die Source-IP loggen?
du hast dreimal erneut gefragt, ob dir jemand die Antwort geben kann, die du auf deine Frage erwartest.
Die Antwort leuatet aber, dass die Frage flasch gestellt ist, und du daher auch dreimal eine für dich unbefridigende antwort bekommen hast.
Fakt ist: bei einem offenen WLAN braucht man NICHT deinen Rechner zu kompromitieren.
sch...ade, stimmt ja, war ja windooze und net Linux , war wohl heute morgen net so bei der Sache .
Ok., kommt jetzt auf das Service Pack an, vielleicht lief ja die Windows-FW ohne dass er es gemerkt hat.
@ xtrm2k:
Aber eventuell das Strafmass drücken (je nach Richter - und Anwalt kann es von fahrlässig bis grob fahrlässig gehen und das macht schon einen Unterschied).
@ Drahnoel:
Um Teles Ausführung noch etwas zu konkretisieren:
Wenn Dein WLan Router offen steht, dann kann jeder mit einer WLan-Karte ausgerüsteter Rechner direkt über den WLan-Router mit dem Internet kommunizieren, ohne das ein Rechner in Deinem Netz gehackt werden muss von der Seite des Internet betrachtet sieht es dann so aus, als ob Du das gewesen bist.
Frage:
ich habe an einem rechner im august 2004 die festplatte formatiert.
anschliessend win xp prof neu installiert auch das office packet ect.
bis mitte dezember, also praktisch 4 monate mit diesem rechner gesurft und gearbeitet.
wie weit kann man da noch " damalige " logfiles,cookies,bufferoverflows,oä. noch finden?
freue mich auf infos
mfg
drahnoel
Zitat:
Zitat von Catweazle
@ Ronald:
sch...ade, stimmt ja, war ja windooze und net Linux , war wohl heute morgen net so bei der Sache .
Ok., kommt jetzt auf das Service Pack an, vielleicht lief ja die Windows-FW ohne dass er es gemerkt hat.
@ xtrm2k:
Aber eventuell das Strafmass drücken (je nach Richter - und Anwalt kann es von fahrlässig bis grob fahrlässig gehen und das macht schon einen Unterschied).
@ Drahnoel:
Um Teles Ausführung noch etwas zu konkretisieren:
Wenn Dein WLan Router offen steht, dann kann jeder mit einer WLan-Karte ausgerüsteter Rechner direkt über den WLan-Router mit dem Internet kommunizieren, ohne das ein Rechner in Deinem Netz gehackt werden muss von der Seite des Internet betrachtet sieht es dann so aus, als ob Du das gewesen bist.
was hast du immer mit deinen cookies und logfiles,
die machen da so gut wie nix aus, wenn du ein offenes WLAN hattest, dann sind die zu 90% darüber gekommen, es ist einfach zu einfach sich über offene WLANs zugang zum inet zu verschaffen,
wenn wirklich jemand übers inet gekommen ist, dann hat er warscheinlich kaum spuren hinterlassen, die du durchs formattieren beseitigt hast, besonders da sicher wieder daten über die sektoren der Festplatte geschrieben wurden, das mit dne cookies und logfiles kannste getrost abhaken
Rechner von drahnoel beschlagnahmt - was tun? 
). Das mit den Buffer Overflow – Attacken hast Du falsch verstanden. Sie dienen in der Regel dazu, fremden Code auf Deinem Rechner einzuschleusen oder ihn, wie Du schon geschrieben hast, zum Absturz zu bringen. Dabei werden aber keine Logs oder ähnliches angelegt (es sei denn der Exploid zielt auf Deine Firewall oder auf ein IDS-geschütztes System, was hier wahrscheinlich nicht der Fall war).
).
, war wohl heute morgen net so bei der Sache
.
Linear-Darstellung
