hilfe ! meine firewalls werden gehackt > ratschläge gesucht

L

lyvi

New member
Themenstarter
Registriert
9 Apr. 2007
Beiträge
5.845
aloha,
seit gestern hatte ich massieve probleme beim aufbau der seiten im internet.

als ich heut dann mal die logs auf den routern angeschaut habe staunte ich nicht schlecht.

wir betreiben drei wonungen zusammen ein netzwerk,
die router UDP und ping sind im privaten bereich offen,
veschiedene subnetze, wobei jeder DNS den anderen kennt und die Router/firewalls jeweils fixe ips haben bis auf den letzten der zum povider geht,
der ist auf der Wan seite dynamisch.

nun spooft jeman mein netz und es werden logins versucht,
ist ja nicht weiter schlimm die firewall blockt ja das ganze.

mysteriös ist aber das "der Hacker" durch die zwei davorgeschallteten firewalls durchkommt owhols das SPI firewalls sind.

soweit ich das ganze mit windows bordmitteln "nachverfolgen" konnte lande ich auf einer privaten HP,
von da weg ist alles anonymisiert (kein wunder) :cursing:

nachdem ich google ein bischen gequählt habe lande ich immer auf einem server der voll von einträgen z.b.
Pages Viewed By crawl-66-249-71-216.googlebot.com on xxxxxxxxxxxx
Pages Viewed By msnbot-65-55-104-10.search.msn.com on xxxxxxxxxxxx
Pages Viewed By crawl-7.cuill.com on xxxxxxxxxxxx

da ich mir nicht sicher bin was es damit auf sich hat,
respektive wie ich weiter vorgehen soll habe ich extra darauf verzichtet URLs und ähnliches zu posten

Edit : tipps ?

grad keinen plan wies weitergehen soll
PS: nachbarn sind leider nicht erreichbar zugriff auf die router und login habe ich, betreue ja das gnaze.

ein ziemlich ratloser lyvi
 
1. Welche Hardware ?
2. Wie sieht die Netztopologie aus ?
3. Welche Regeln sind auf den FWs ?
4. Wie ist der Idealzustand ? (Was sollen die FW/Router leisten ?)
5. Besteht die Möglichkeit, dass jemand auf den Clients Malware installiert hat ?
 
Anscheinend ist Iyvi das Netz jetzt ganz zusammengebrochen :pinch:

Topologie ist mal egal denk ich den die wird vermischt sein, wärs ne verkabelte sterntop. hätte er ja auch keine Probleme mit dem aktuellen Angriffen die ja übers W-Lan kommen denke ich mal?

Malware ist´n Ansatz, dass du dir oder einer deiner 2 anderen Wohnungskollegen eine Schadware am Rechner gezogen hast und die von innen arbeitet --> also kein Angriff von aussen.

Ich würd mal die Tür komplett schliessen und mal alle Rechner im Netz durchscannen!

lg ...cc
 
Ich denke auch das da eher einer ungebeten an eurer Wohngemeinschaft teilhaben möchte.

Ich hatte mal etwas ähnliches bei einem Freund von mir und da war es aber ein DNS der Telekom der warum auch immer da lustige dinge vollführte. Nicht zu unterschätzen ist auch das wenn Du ein Logging auf den Firewalls laufen hast den Dingern dann irgendwann der Hintern glüht und dann schalten die termisch ab.

Was das ganze Fragwürdig macht sind die bemerkten Loginvesuche.

Ich würde einfach eines machen.:
  • Dich darauf vorbereiten
  • eine Firewall so präparieren das Du klar mitschnüffeln kannst (Collision-Domain und Etherreal oder wie das nun heißt)
  • Wenn es ein Wardriver ist dann wird er wohl mit einer gefakten MAC Adresse kommen.
  • Totzdem heißt das ja nicht das er damit unsichtbar ist. Es gibt ja dann schon Auffälligkeiten außerhalb der normalen Reaktion er Geräte. Immherhin kannst Du ja die Pakete mitschneiden.
  • Die Internet-Party-Hacker die suchen eigentlich nur irgend einen offen Zugang um ihren Werbeschrott oer was auch immer von dir aus auf die Reise zu schicken. Die hören aber auch auf wenn der Aufwand zu groß wird.
  • Gehe doch am besten nach dem Ausschlussprinzip vor.
  • wenn wieder eine Angriffswelle kommt dann setzt Dich hinter Deine Collision-Domain und lass alle anderen Rechner aus.
  • Dann siehst Du ob es weitergeht oder ob es dann doch irgend so ein sch... Tool von irgend einer Meppelkiste aus versucht im Im Internet nach hause zu telefonieren.
  • Wenn Du nach dem Ausschlusskriterium vorgehst dann bist Du nach meiner Auffassung erfolgreicher.
  • Ich gehe mal davon aus das Du eine dynamische IP-Adresse hast ?
  • Das würde es warscheinlicher machen das einer sich in den Accesspoint einhacken will.
  • Wenn er Ahnung hätte dann hätte er schon Zugriff..... :!:
  • Du kannst ihn ja reinlassen und dann mal mitschneiden was er dann alles machen will.
  • bestimmt fängt der Depp dann mal an Mails zu verschicken oder was auch immer und dann hast Du ihn.
  • Ich gehe mal davon aus das Du keine Repeater mit schwacher Verschlüsselung zwischen Basis und Repeater benutzt :?:
Lass uns mal teilhaben, es ist doch immer mal ganz unterhaltsam wenn man da mal einen bösen Buben verfolgen kann...

Gruß
DunkelHut
 
[quote='morgen',index.php?page=Thread&postID=510737#post510737]Anscheinend ist Iyvi das Netz jetzt ganz zusammengebrochen :pinch: [/quote]
ne war grad beim optiker ne neue brille holen, bin am neu jahr buchstäblich "gerutscht" was den alten "scheiben" nicht sonderlich gut bekam. ;)
5. Besteht die Möglichkeit, dass jemand auf den Clients Malware installiert hat ?
Zum Vergrößern anklicken....
das mit der maleware ist auch mein gedanke.
also müsste "intern" oder beim offenen Wlan point ne kiste hängen die verseucht ist, auf der läuft dan der server oder dienst, der den scriptkiddys mitteilt das da was ist.

hardware:
der erste router (der zum provider geht) ist ein netopia 3397GP
an dem ist:
ein W-lan zugang verschlüsselt PWA-PSK 64 bit verschlüsselung
IP TV für zwei wohnungen
per DHCP werden die clients und ein NAS angebunden. das nas ist ein alter Power mac
fixe IP adresse hat das freecom NAS das die zwei netze trennen soll (eigener IP range)

auf dem router ist kein portforwarding kein DMZ und keine ports offen für games voic over ip oder ähnliches.

das Freecom Nas ist zugleich router und firewall FSG 3 storage gateaway
an dem hängt ein weiterer Dlink router DI-524 der ein offenes W-Lan zur verfügung stellt (unverschlüsselt) für alle die es nutzen wollen :)
und auf dem ein DHCP läuft für die IP vergabe W-Lan
als gataway ist der Netopia eingetragen ( der vom provider)
den freecom sieht man gar nicht wenn man via W_lan das netz abscannt (soll so sein)

weder auf dem Freecom noch auf dem Dlink ist ein DMZ oder port forwarding geöffnet.
auf dem freecom läuft ein Nas, auch da ist eigentlich alles abgestellt was relevannt sein könnte, sprich FTP von aussen hat kein anonymus log in
keine HP wird gehostet kein SQL rein nicht ....

das einzige was an diensten läuft ist mediamonkey server und torrent download.

die einzige schwachstelle währ das UPNP protokoll das auf allen routern aktiviert ist und netbios das ich intern brauche.

die topologie ist sternänlich sicher nicht ideal aber die hardware lies es nicht anderst zu ;(
grund ist der netopia router der nicht ersetzt werden kann, wegen dem IP TV da ist man noch auf den provider angewiesen der spezialsoftware dafür einsetzt (verschlüsselung)
Ich hatte mal etwas ähnliches bei einem Freund von mir und da war es aber ein DNS der Telekom der warum auch immer da lustige dinge vollführte
Zum Vergrößern anklicken....
das währe auch eine möglichkeit, jedoch reagieren bei falschen DNS die provider sehr schnell im normalfall ca 20 -bis 30 minuten dan wird die leitung von der providerseite aus gekappt.
soweit meine erfahrung damit weil ich da auch mal was verbockt hatte an einer domäne :rolleyes:

open W-LAN ist erst mal dicht
so jetzt werde ich die nachbarn besuchen, mit nem guten tropfen natürlich und einigen Bootbaren medien von ct , knoppix/ ubuntu versionen :thumbsup:
 
[quote='lyvi',index.php?page=Thread&postID=510813#post510813]das Freecom Nas ist zugleich router und firewall FSG 3 storage gateaway
an dem hängt ein weiterer Dlink router DI-524 der ein offenes W-Lan zur verfügung stellt (unverschlüsselt) für alle die es nutzen wollen[/quote]...ähm, kann ja sein das ich da was falsch verstehe, aber irgendwie ist doch die stärkste Wand nur so sicher wie das Scheunentor was Du da so gar freundlich den Erdenbürgern geöffnet hast :?:

Dann müsste der WarDriver ja absolut Banane sein wenn er mit schwerem Gerät die Wand aufstemmen will wenn daneben das Scheunentor offen steht... 8|

Na wie auch immer, ich wünsche Dir gutes Gelingen....
 
[quote='DunkelHut',index.php?page=Thread&postID=510873#post510873]Dann müsste der WarDriver ja absolut Banane sein wenn er mit schwerem Gerät die Wand aufstemmen will wenn daneben das Scheunentor offen steht... [/quote]
sorry habe ich vergessen zu erwähnen abends bei bettruhe ist das teil ausgestell kein w-lan so ab 24:00 irgendwann
und heute war ich da der einzige drauf auch nichts in den logs das da jemand draufgewesen währe.
ansonsten habe ich bis jetz ca. 2 jahre keine probleme gehabt mit dem offenen zugang speziell niemand der ihn dauernd benützen würde.
 
Aus den logs müsste doch hervorgehen, welche Maschine den Traffic gemacht hat. Die solltest Du Dir mal genauer ansehen.
 
[quote='lyvi',index.php?page=Thread&postID=510888#post510888]

[quote='DunkelHut',index.php?page=Thread&postID=510873#post510873]Dann müsste der WarDriver ja absolut Banane sein wenn er mit schwerem Gerät die Wand aufstemmen will wenn daneben das Scheunentor offen steht... [/quote]
sorry habe ich vergessen zu erwähnen abends bei bettruhe ist das teil ausgestell kein w-lan so ab 24:00 irgendwann
und heute war ich da der einzige drauf auch nichts in den logs das da jemand draufgewesen währe.
ansonsten habe ich bis jetz ca. 2 jahre keine probleme gehabt mit dem offenen zugang speziell niemand der ihn dauernd benützen würde.[/quote]

Du weißt aber schon das das mal einfach eine Runde Glück ist und das der Gesetzgeber den Jenigen bei Missbrach des Anschlusses verknackt dem er gehört ?

Das gilt schon wenn Du nur WEP verschlüsselst.....
Ohne Dich damit beleidigen zu wollen sagt da der Gesetzgeber das Dummheit nicht vor Strafe schützt...

Also ich würde Dir empfehlen das zu verändern.
Du kannst ja die Schlüssel rausgeben und eine Liste führen wer Zugang hat und mit welcher MAC Adresse.

Heute haben sie zwar auch schon WPA geknackt, aber dazu gibt es noch keine Gesetzesregelung.

Gruß
DunkelHut
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben