Hello,

für solche Attacken werden dann gerne Fernsteuerprogramme benutz wie z.B der Thorn-Deamon.

Wenn der erst einmal auf dem System ist, hat man kaum noch eine Chance, da er auch Systemprogramm "umprogrammiert". Das erkennt man am leichtesten daran, dass die Filegröße nicht mehr stimmt.

Man bekommt von den Programmen dann weder eine ehrliche Antwort auf seine Anfrage noch ist man davor sicher, dass JEDER Aufruf diese infizierten Programms den Deamon nicht neu installiert.

Die Universität Linz hat für die Verfplgung dieder Delikte eine sehr gute Fachabteilung eingerichtet und freut sich über jeden qualifizierten Input.

Übrigens stellen sich Access-Provider gerne blöd, wenn man sie um Hilfe bei der Einkreisung des Problems bittet. (Sie verdienen ja am Traffic) Allerdings gibt es inzwischen genügend Urteile, die ein "wir wissen von nix"-Verhalten mit Beihilfe zum Betrug in Verbindung bringt.

Die ganze Kommunikation dieser ferngesteuerten Programme findet i.d.R. nämlich über ICMP statt, da das Protokoll eine erhebliche Sicherheitlücke ermöglicht. ICMP wird aber allegemein fast nur noch für PING benötigt. Ein vermehrtes Auftreten dieser Protokollpackete ist also immer ein zeichen für den Befall mit DDoS-Programmen.

Tom