Fremdzugriff Online eMails und WLan zuhause ?

Internet Internet Sicherheit
#1

Liebe Leute, irgend etwas passiert gerade bei uns und ich weiss nicht was.

Am Samstag ging unser Internet fast garnicht mehr.
Langsam war kein Ausdruck mehr.
Keiner konnte es benutzen.
Dabei haben wir DSL.

Dann fanden wir heraus das an diesem Tag 6GB Daten „gesaugt“ wurden.
Aber keiner war’s, weil keiner mit dem zu langsamen Internet arbeiten konnte.

Wir prueften alles, auch die WLan Einstellungen, und konnten kein unbefugtes Eindringen finden (jedenfalls wir als Amateure konnten nichts sehen was unnormal war).
Auch war alles mit WPA2 Key gesichert.

Dann bekamem wir Rueckmeldungen von Freunden meiner Partnerin was das fuer eine seltsame eMail waere.
Was fuer eine eMail?
Und wirklich, JEDER aus ihrem eMail Adressbuch bekam eine eMail mit einem kurzen sinnlosen Spruch und einem Link zum anklicken.

Aber Karin hat das nicht gemacht.
Jemand anderes muss das gesendet haben.

Aber wir haben KEINE eMail Software auf dem Computer.
Wir benutzen GMX und das NUR Online.
Und Karins Computer ist ein Apple, 1 Jahr alt, mit Avira Anti Virus, neueste Updates.

Was ist hier passiert?
War da einer nur in ihrem eMail Account oder auch auf ihrem Computer?

Wer noch ist im Internet bei uns (regulaer).

Tochter mit iphone und Laptop , beides per WLan.
Sohn mit Android Smartphone, Laptop und PS3 Box.
Ich, mit einem 7 Jahre alten XP Laptop, aber alle Updates und Avira Antivirus (wie alle unsere Computer, und nicht die frei downloadbaren, sondern die gekauften mit Internet Abdeckung).
Karin mit ihrem neuen Apple.
Im Internet sind wir alle per WLan.
Das ist abgesichert mit WPA2 Key (ein echtes Problem fuer XP da man ein extra MS-Patch braucht das man nur im Internet downloaden kann, BEVOR man ins Internet kann … ).
Firewall ist off, da sonst unser Junior nicht mit der PS3 spielen kann … sagt er …

Wer kann mir einen Tip geben was passiert sein koennte?

Viele liebe Gruesse

#2

Ihr habt Besuch!
Moin!

Karins Mail-Account ist übernommen worden.
So etwas habe ich hier zu Hauf, allerdings etwas extremer.

Normalerweise werden nicht nur die Kontakte von Karin missbraucht, sondern weit aus mehr!
…daraus resultieren dann etliche Mailer-Daemon, da die restlichen Adressen generiert werden…

Zügig in den Mail-Account von Karin und dort das Passwort ändern!

Dann „spaßeshalber“ ALLE Passwörter der Rechner im Netzwerk ändern und ein neues für den Router vergeben und vor allem, ein super sicheres für WLAN!
Passwörter dürfen ruhig etwas länger sein und Großbuchstaben und Sonderzeichen enthalten!

Dann alle Maschinen mit Virus/Malware etc. Scanner überprüfen lassen.
…am Besten von einer Live-CD aus und auch die Bootsektoren mit einschließen.

Zu der MAC Kiste müsste wer anders etwas schreiben, ich kenne mich mit MAC nicht aus, müsste aber ähnlich vorzugehen sein.

Nun zu der Firewall

Was meinst Du damit? Die FW auf dem PC vom Junior ist aus?
…oder Euer Router ist „offen wie ein Scheunentor“?

Beim Router „kann“ man Ports weiterleiten/öffnen, um bestimmte Inhalte im Internet zu erreichen…

…bei vielen Funktioniert dies nicht von Anfang an und so frickeln sie so lange rum, bis es klappt.

Und dann ist so ein Router nur noch ein Router!
:wink:

Beschreibe das mit der Firewall bitte mal genauer!

Wenn nur an seinem PC, OK, der Router ist ja auch noch da, wenn wirklich nicht „verhudelt“!
*s*

LG, Nicky

#3

Hallo,

Nun zu der Firewall

Was meinst Du damit? Die FW auf dem PC vom Junior ist aus?
…oder Euer Router ist „offen wie ein Scheunentor“?

Zitat: „Firewall ist off, da sonst unser Junior nicht mit der PS3 spielen kann … sagt er …“

Das heißt wohl, dass die Router-Firewall ausgeschaltet ist. Keine gute Idee.

Cheers, Felix

#4

Keine Panik nicht
Deine Schilderung gibt keinen einzigen konkreten Anhaltspunkt dafür her, dass jemand in euer privates Netzwerk eingedrungen wäre.

Da ihr zuhaus keine E-Mail-Software einsetzt, liegt wohl auch das Adressbuch nicht bei euch zuhaus, sondern auf dem Server eures Mailproviders. Um da ran zu kommen, braucht also niemand bei euch einzubrechen.

Am ehesten ist zu vermuten, dass eines eurer Endgeräte sich auf ganz klassischem Wege einen Trojaner eingefangen hat. Ich würde daher sämtliche Computer gründlich mit einer Antivir-Live-CD checken und darüber hinaus schauen, ob euer Router fähig ist, ein Aktivitätsprotokoll mitzuführen und dieses an einen entspr. eingerichteten PC zu schicken. Über dieses Protokoll solltet ihr in der Lage sein, ein evtl. infiziertes Smartphone zu ermitteln.

HTH

#5

Oha - ich hatte halt noch Hoffnung :wink:
Naja, aus Fehlern soll man ja am besten lernen!?
*smile*

LG, Nicky

#6

Hallo Hermann,

deine Aussagen kann ich nicht ganz nachvollziehen.

Du schreibst:

„Deine Schilderung gibt keinen einzigen konkreten Anhaltspunkt dafür her, dass jemand in euer privates Netzwerk eingedrungen wäre“

und

„Am ehesten ist zu vermuten, dass eines eurer Endgeräte sich auf ganz klassischem Wege einen Trojaner eingefangen hat.“

Dies ist ein Widerspruch, zudem der UP schreibt:

„Dann fanden wir heraus das an diesem Tag 6GB Daten „gesaugt“ wurden.
Aber keiner war’s, weil keiner mit dem zu langsamen Internet arbeiten konnte.“

Es bleibt - wie ja auch bereits benannt:

Jedes Endgerät mit geeigneten Mitteln überprüfen (unter Windows geeignete Antiviren-Live-Cds: http://scareware.de/download/rescue-boot-cds/).

Router-Einstellungen überprüfen.

Die Protokollfunktionen vieler Standardrouter sind eher bescheiden. Ich würde eher einen der Rechner mit einer Linux-Live-CD starten und Werkzeuge wie z.B.

http://www.heise.de/download/etherape-1179886.html

oder noch leistungsfähigere Netwerk-Scanner einsetzen. Aber ist ja auch Geschmackssache.

Grüße

godam

#7

Dies ist ein Widerspruch, zudem der UP schreibt:

Es ist schon ein deutlicher Unterschied, ob jemand von aussen, z. B. indem er die WLAN-Verschlüsselung knackt in ein Netz eindringt, oder ob ein Trojaner von innen eine Verbindung aufbaut.

Für ersteres bietet der Fallbericht keinerlei Anhaltspunkte.

Gruß

#8

Hallo Herrman,

vielleicht haben wir und ja nur mißverstanden. Der Trojaner muß ja hereingekommen sein. Auf welchem Wegfauch immer. Können wir aus der Ferne nicht beurteilen. Spätestens ab diesem Zeizpunkt gibt es kein „internes Netz“ mehr, da dieses von Außen (mehr oder minder beliebig) genutzt werden kann.

Zu:

„Es ist schon ein deutlicher Unterschied, ob jemand von aussen, z. B. indem er die WLAN-Verschlüsselung knackt in ein Netz eindringt, oder ob ein Trojaner von innen eine Verbindung aufbaut“

Stimmt, aber in diesem Kontext erst einmal irrelvant.

„Für ersteres bietet der Fallbericht keinerlei Anhaltspunkte“.

Es gibt aus Sicht der Computerforensik keinen Fallbericht, nur eine Darstellung einiger gefühlter Symptome.

Grüße

godam

#9

Was ist hier passiert?

Gute Frage. Wäre gut zu wissen, welcher eurer Computer den Traffic erzeugt hat. Wahrscheinlich der, der die Adressen eures Freundeskreises gespeichert hat. Wenn das nochmal vorkommt, würde ich einen Rechner nach dem nächsten ausschalten und prüfen, wann die Leitung wieder frei ist. Danach kann man sich dann auf die eine Maschine konzentrieren.

Stefan