[muenstereifel]

hallo zusammen,

als ich heute zufällig einen meiner ordner anschaute fiel mir ein ordner namens "Alex" sofort auf. in diesem ordner sind mp3's enthalten, die ich noch nie gesehen habe.
bin mir jetzt ziemlich sicher, dass da jemand auf meinen pc zugegriffen hat.
dieser ordner wurde vergangenen freitag, 03.12.2004, erstellt.
ich dachte, dass ein derartiger vorfall hinter einem router nicht möglich sei. nun wurde ich aber eines besseren belehrt und möchte euch bitten, mir bei der einrichtung eines "sicheren" netzwerkes zu helfen, denn scheinbar habe ich von sicherheit überhaupt keine ahnung . . .
ich sitze hinter einem linksys router, um genau zu sein dem wrt54gs.
bitte helft mir, denn ich habe eigentlich keine lust auf weitere scherze dieser art.


die ersten fragen meinerseits wären:
-wie verteile ich bei der "erweiterten dateifreigabe" (unter winxp prpf) zugriffsrechte?

-könnte der unberechtigte zugriff auch auf weitergeleitete ports zurückzuführen sein? wenn ja, was für alternativen gibt es da?

. . . soweit erstmal von mir . . . ich hoffe, dass ihr mir helfen könnt, denn wie gesagt, das problem muss schnellstmöglich behoben werden . . .

vielen dank schonmal

[hans_maulwurf]

Vorab erstmal
@Mods bitte ins Sicherheitsforum verschieben.

So nun zu deinem Problem.
Was sagt hijackthis?
Guck dir mal die diversen Logs von Windows an.
hast du die Stickys im Sicherheitsforum gelesen und präventive Maßnahmen ergriffen?
Auf Portforwarding wird das kaum zurückzuführen sein.
Wenn bei dir so ein komischer Ordner existiert dann wird bestimmt jemand einen ftp server installiert haben...ich würd an deiner Stelle GANZ SCHNELL formatieren!

[muenstereifel]

hijackthis sagt folgendes. also nichts böses.

in den windowslogdateien habe ich auch nichts auffallendes gesehen . . . naja, eigentlich habe ich schon präventive maßnahmen ergriffen . . .

[Maximum Prime]

Also ich kenn mich zwar nicht so gut mit W Lan aus aber du solltest zu deiner Sicherheit vielleicht mal über Mac-adressen beschränkung nachdenken. Das heißt das zb. das 2 Pc oder mehr nur zugriff aufs netzwerk erhalten indem die Mac adresse geprüft wird. Soweit ich weiß ist die Mac adresse fest in der Netzwerkkarte, deshalb wäre es gut das netzwerk nur auf diese Mac adressen zu beschränken die du auch auf deinen Netzwerkkarten benutzt.

hoffe das hilft etwas.

mfg Maximum

[muenstereifel]

für das wlan ist der mac-filter aktiviert. zusätzlich ist im wlan wpa-psk aktiviert. also ein angriff über das wlan schließe ich mal aus . . . ich bin eher der meinung, dass der angriff aus dem internet kam . . .

[stefanra]

Zitat

Vorab erstmal
@Mods bitte ins Sicherheitsforum verschieben.

Done.

[ph030]

Ein "MAC-Filter" ist(fast) sinnlos! Ambitionierte Angreifer hält das _höchstens_ fünf Minuten auf!

Zitat

Soweit ich weiß ist die Mac adresse fest in der Netzwerkkarte

Wo hast du das denn her? Sicher, die ursprüngliche Adresse ist unique(glaub ich), aber trotzdem kann man die jederzeit ändern! Unter Unix/*BSD sind das nur ein paar Befehle, unter Windows ein paar Klicks!

@topic

Da war aber niemand an deinem Rechner, der mal was gezogen hat, oder?

[DK2000]

@muenstereifel:

Zitat

für das wlan ist der mac-filter aktiviert. zusätzlich ist im wlan wpa-psk aktiviert

Sicher? Es ist bekannt, das bei dem WRT54GS diese Optionen nicht 100% funktionieren und je nach Firmware auch komplett versagen. Ist zwar eine Schande, ist aber leider so. In extremfall kommt noch nicht einmal eine Verbindung zu stande und mann muss WEP verwenden oder auf die Verschlüsselung komplett verzichten. Das ist aber auch von der verwendete WLAN Adapter im PC abhängig. Es gibt für die Linksys WLAN Router auch Hacked Firmware, die diese Probleme teilweise fixen. Weitere infos (auf Eglisch) unter http://www.linksysinfo.org

Ich würde bei dem Router auf jeden Fall die WLAN Sicherheit mit einem Laptop überprüfen um wirklich sicher zu gehen, das es Dicht ist.

Falls das WLAN wirklich Dicht ist, dann kommen andere Sachen in Frage: Im Router werde zu viele Ports geforwarded (kann man das auf deutsch so sagen?), Der PC hängt im DMZ am Router, Du hast kein während der Installation kein Administrator Passwort vergeben (die adminitsrativen Shares sind dadurch offen), Du hast einen Trojaner installiert, der den Router austrickst, Du benutzt einen Benutzer mit Adminrechten etc. Kann vieles sein.

[pSyCHo_SolDiEr]

Geb mal in deine Eingabeaufforderung "netstat -a" ein und poste mal das Ergebniss.

[hans_maulwurf]

Zitat

Du hast kein während der Installation kein Administrator Passwort vergeben (die adminitsrativen Shares sind dadurch offen

Wenn man kein Adminpasswort vergibt unterbindet windows die standard freibgeben.

[pSyCHo_SolDiEr]

@hans_maulwurf

AFAIK jedoch nur bei Prof und nicht bei Home

Und trotzdem ist ein XP mit offenem Admin Account wie eine Einladung und stellt nicht mehr viele Hindernisse in den Weg.

Dieser Beitrag wurde von pSyCHo_SolDiEr bearbeitet: 10. Dezember 2004 - 16:42

[Crashtaker]

Zitat (ph030: 10.12.2004, 16:25)

Da war aber niemand an deinem Rechner, der mal was gezogen hat, oder?
<{POST_SNAPBACK}>

Ich schätze auch das es jemand von deiner Familie / deinen Freunden etwas runtergeladen hat. Kennst du jemanden der "Alex" heisst.

Was für ein "Hacker" sollte das sein der einen Ordner Alex erstellt und da mp3 reinkopiert, bestimmt kein Intelligenter.

EDIT: Finger waren wieder einmal schneller als der Kopf...

Dieser Beitrag wurde von Crashtaker bearbeitet: 10. Dezember 2004 - 16:46

[muenstereifel]

Zitat (ph030: 10.12.2004, 16:25)

@topic

Da war aber niemand an deinem Rechner, der mal was gezogen hat, oder?
<{POST_SNAPBACK}>

nein, da war keiner an meinem rechner, der was gezogen hat.

Zitat (DK2000: 10.12.2004, 16:36)

@muenstereifel:
Sicher? Es ist bekannt, das bei dem WRT54GS diese Optionen nicht 100% funktionieren und je nach Firmware auch komplett versagen. Ist zwar eine Schande, ist aber leider so. In extremfall kommt noch nicht einmal eine Verbindung zu stande und mann muss WEP verwenden oder auf die Verschlüsselung komplett verzichten. Das ist aber auch von der verwendete WLAN Adapter im PC abhängig. Es gibt für die Linksys WLAN Router auch Hacked Firmware, die diese Probleme teilweise fixen. Weitere infos (auf Eglisch) unter http://www.linksysinfo.org

Ich würde bei dem Router auf jeden Fall die WLAN Sicherheit mit einem Laptop überprüfen um wirklich sicher zu gehen, das es Dicht ist.

Falls das WLAN wirklich Dicht ist, dann kommen andere Sachen in Frage: Im Router werde zu viele Ports geforwarded (kann man das auf deutsch so sagen?), Der PC hängt im DMZ am Router, Du hast kein während der Installation kein Administrator Passwort vergeben (die adminitsrativen Shares sind dadurch offen), Du hast einen Trojaner installiert, der den Router austrickst, Du benutzt einen Benutzer mit Adminrechten etc. Kann vieles sein.
<{POST_SNAPBACK}>

also für das wlan benutze ich wie gesagt wpa-psk und den mac-filter. und auf dem router läuft die aktuelle hyperwrt firmware. weist du hierzu evtl etwas näheres?
kein rechner im lan hängt in der DMZ.
ein administratorkennwort ist selbstverständlich eingetragen.
trojaner wird wohl auch nicht in frage kommen, da weder hijackthis, noch antivir, noch spybot, noch ad-aware irgendeine fehlermeldung ausgegeben haben.
ja, ich benutze einen benutzer mit adminrechten, da es recht ungünstig ist mit einem account mit eingeschränkten rechten zu arbeiten.
ports, die weitergeleitet sind, siehe anhang.

Zitat (pSyCHo_SolDiEr: 10.12.2004, 16:39)

Geb mal in deine Eingabeaufforderung "netstat -a" ein und poste mal das Ergebniss.
<{POST_SNAPBACK}>

wie kann ich das ergebnis von "netstat -a" hier posten ohne, dass ich alles abschreiben muss?

EDIT
@Crashtaker: ich kenne, und kannte, niemanden, der "alex" heißt . . . und die mp3's höre ich auch nicht . . . auch keiner aus meiner familie . . .

Dieser Beitrag wurde von muenstereifel bearbeitet: 10. Dezember 2004 - 17:02

[ph030]

Ausgabe umleiten in eine Datei:

netstat -ano > textdatei.txt

[pSyCHo_SolDiEr]

ODer nimm schnell die Batch Datei, hab ich schnell geschrieben. Danach postest du dann den Inhalt der Log Datei.

Angehängte Datei(en)

•  netstat.zip (159bytes)
  Anzahl der Downloads: 111