|
|
|
|
|
|
Mitglied
Registrierungsdatum: Jan 2007
Beiträge: 5
|
Bitte Hilfe bei Netcat-Frage
hi, ich hoffe ich bin hier richtig.(falls nich bitte bescheid geben!)
ich brauch dringend Hilfe bei folgendem Probelm, bevor es im Lauf des TExtes klar wird, ich hab zeimlich wenig Ahnung was EDV angeht und muss deshalb um Antowrten von Profis bittem.
Wir sind Kunde bei GMX vor Kurzem bekam ich eine Email , in der stand das mein Rechner Teil eines Botnets wäre und über meinen Acc. Spammails verschickt.
Ich bin daraufhin völlig durchgedreht und hab sämtliche Scanner heißlaufen lassen.
Dabei raus kam ein Befund: nc.exe... also das Prog. "Netcat" ... ich hab Netcat im Zusammenhang mit der hier auf dem Board befindlichen reconnect.bat geladen. Ich hab mich also informiert und wenn ichs richtig verstanden habe, KANN netcat für soclhe Attacken genutzt werden... ich weiß aber einfach nich, ob es das nun wirklich is und mein Rechner schnellstens vom Netz muss oder das Alles bloß n Trick is von GMX um ihre Antivir Software zu vermarkten (darauf komm ich, weil weder ne persönliche Anrede, noch ne Kundenummer in der Email auftauchten ).
Ich nehm an ihr versteht die Dringlichkeit dieses Problems?
Also nochmal: Ich bitte schnellstmöglich um Hilfe!
Hauptfrage: Kann das von netcat ausgehen? Wie krieg ich das raus? Wie mach ich das wieder ganz?!
Danke schonmal im Vorraus!
|
12. 12. 2007, 21:40
|
#1
|
|
Mitglied
Registrierungsdatum: Oct 2005
Beiträge: 145
|
Re: Bitte Hilfe bei Netcat-Frage
Hast du Cryptload installiert?
könntest du die Email posten?
|
|
12. 12. 2007, 23:53
|
#2
|
|
Moderator
Registrierungsdatum: May 2000
Beiträge: 15.921
|
Re: Bitte Hilfe bei Netcat-Frage
Man kann netcat als Remoteshell nutzen, das ist korrekt. Spam versendet man aber nicht direkt damit, sondern man hat erstmal "nur" Kontrolle über den Rechner. Es ist aber natürlich möglich, darüber entsprechende Software auf dein System zu bringen und die dann dort laufen zu lassen.
Sofern netcat auf deinem System nicht als Remoteshell läuft, geht davon keine Gefahr aus. GMX wird dich aber nicht aus Spaß oder mit Verkaufsabsichten informiert haben. Spammende Rechner sind leider alltäglich und GMX ist es zum Glück nicht egal, dass über deren Infrastruktur gespammt wird. Auf jeden Fall solltest du das System umgehend offline nehmen, um weitere Schäden zu vermeiden.
Hast du schon mit leistungsfähigen Scannern wie MWAV, AntiVir, ... das System untersucht? Sinnvollerweise macht man das von einem anderen Betriebssystem aus, um ein möglicherweise vorhandenes Rootkit zu umgehen. Tipp dazu: Die Knoppicillin-CD aus der aktuellen c't. Hast du mal http://board.gulli.com/thread/242574...s-zu-browsern/ gelesen und geprüft, was davon bei deinem System eventuell schief läuft?
|
|
12. 12. 2007, 23:56
|
#3
|
|
Mitglied
(Threadstarter)
Registrierungsdatum: Jan 2007
Beiträge: 5
|
Re: Bitte Hilfe bei Netcat-Frage
schonma danke für die antworten. die email post ich heut nachmittag mal, wnns eventuell hilft.
nein ich hab zwar kein cryptload, aber nutze die aktuelle version von RSD
also AV hab ich klar durchlaufen lassen aber leider noch keinen andern.
hab den rechner erstmal vom netz genommen und schreib jetz von arbeit aus.
das mit dem scan vom andern betriebssystem werd ich auf jeden fall heut nachmittag durchführen.
was mich vor allem richtig nervt, is das außer netcat keine medlung durch av oder norton über viren erfolgt. deswegn weiß ich jetzt einfach nich was ich noch machn kann. weitere antivirenprogs probieren? alle 4 rechner im haus gnadenlos plätten?
@ antichrist: jo ich glaub auch nicht das sie das nur zu werbe zwecken machn würden, wenn man verzweifelt is kommen einem aber komische gedanken . aber da ich viel zu wenig ahnung habe weiß ich einfach nich, wie ich rausfinde ob und wie mein rechner gehackt wurde.
Edit.
hier die email:
Betreff: [Ticket XYZ] Ihr GMX GmbH Internetzugang versendet Spam Sehr geehrte(r) , wir erhalten weiterhin Beschwerden erhalten, dass über Ihren Internetzugang Spamverbreitet wird, (Vetragsnummer: ).
Auf unsere letzte E-Mail diesbezüglich haben wir bisher keine Antwort erhalten.
Anhand der Beschwerden konnten wir feststellen, dass Ihr PC mit schädlicherSoftware verseucht ist.
Dadurch ist er Teil eines Botnetzes und kann von Hackernweltweit missbraucht werden. Neben der Verbreitung von Spam dient er, ohne dassSie es merken, dazu Angriffe im Internet zu koordinieren, weitere Zombies zuerschaffen oder Angriffe zu tarnen, http://de.wikipedia.org/wiki/Botnetz.
Um die Sicherheit Ihres GMX GmbH Internetzuganges wieder herzustellen, gehenSie bitte wie folgt vor:
1. Führen Sie unverzüglich einen Virenscan auf allen Rechnern durch, die diesenInternetzugang nutzen. Aktuelle Anti-Viren-Software finden Sie hier:http://dsl.1und1.de/xml/order/SicherheitsPaket
2. Wenn Sie W-LAN nutzen, überprüfen Sie, ob Ihr Zugang geschützt ist und auchtatsächlich nur von berechtigten Personen Personen genutzt wird.
Sollten Sie noch Fragen haben, erreichen Sie unsere Hotline unter der Rufnummer0900 100 04 15 (0-24 ct/Min. aus dem deutschen Festnetz) an. Im kostenlosenSprachmenü, wählen Sie bitte "Technik". Unser 1&1 Support-Team steht Ihnen rund um die Uhr an sieben Tagen der Wochehilfreich zur Seite. Oder wenden Sie sich per E-Mail an die folgende Adresse: support@1und1.de Mit freundlichen Grüßen, GMX GmbH
|
|
13. 12. 2007, 09:06
|
#4
|
|
Moderator
Registrierungsdatum: May 2000
Beiträge: 15.921
|
Re: Bitte Hilfe bei Netcat-Frage
Zitat:
|
wir erhalten weiterhin Beschwerden erhalten
|
Steht das wirklich so in deren Textbausteinen? Amüsant ...
Wenn es vier Rechner sind, ist es natürlich schwieriger, den Schuldigen zu finden. Die WLAN-Sache hast du hoffentlich schon überprüft? Eine WEP-Verschlüsselung ist übrigens höchstens eine rechtliche Hürde, technisch kann man da sehr leicht den Schlüssel herausfinden. Sicher sind nach dem derzeitigen Stand der Technik nur WPA oder WPA2 mit einem langen(!) Schlüssel.
Bei mehreren Rechnern nutzt du ja sicherlich einen Router. Leider wird der wohl nicht die nötigen Diagnosemöglichkeiten bieten, um den (oder die) betroffenen Rechner zu finden, dazu bräuchte man Einblick in das Verbindungs-Tacking. Eventuell bietet der aber immerhin eine Möglichkeit Verbindungen auf Zielport 25 TCP zu verhindern. Darüber könntest du zumindest die Spamflut stoppen, das ist daher generell eine sinnvolle Einstellung. Eigene Mails versendest du dann wie vorgesehen über Port 587 (unverschlüsselt bzw. TLS) oder 465 (SSL). Falls es keine Möglichkeit dazu geben sollte, solltest du die Systeme bis zur Klärung keinesfalls mehr ans Netz lassen. Sonst riskierst du, dass GMX dir den Anschluss sperrt und ggf. eine Vertragsstrafe wegen Missbrauch einfordert.
Falls die Scanns nichts ergeben wäre eine Untersuchung der Systeme mit Wireshark oder netstat hilfreich. Dazu kannst du sie ausnahmsweise kurzzeitig(!) einzeln ans Netz anschließen. Falls auch das ohne Auffälligkeiten (Verbindungen zu Port 25 TCP) bleibt, kommst du wohl nicht um das Neuaufsetzen herum. Malware ist mittlerweile ziemlich gut entwickelt, die Anbieter der Malwarescanner können da leider nur sehr begrenzt mithalten.
Geändert von aNtiCHrist (13. 12. 2007 um 17:09 Uhr).
|
|
13. 12. 2007, 09:41
|
#5
|
|
Mitglied
(Threadstarter)
Registrierungsdatum: Jan 2007
Beiträge: 5
|
Re: Bitte Hilfe bei Netcat-Frage
hm scheint als müsst ich plätten 
bloß ich glaub es liegt nicht an netcat. wenn das so wäre, würden ja fast alle RSD user hier im board durchdrehen.
aber wer weiß welcher neuartige virus sich eingenistet hat. vieln dank für die hilfe auf jeden fall!
|
|
13. 12. 2007, 16:43
|
#6
|
|
Moderator
Registrierungsdatum: May 2000
Beiträge: 15.921
|
Re: Bitte Hilfe bei Netcat-Frage
Wie kommst du so schnell zu der Annahme? Ich bin zwar normalerweise der Erste, der (aus gutem Grund) zum Neuaufsetzen rät, aber gleich vier Systeme auf Verdacht zu plätten, halte ich dann doch für sehr vorschnell.
Wird bei einem Scan mit den genannten Scannern unter einem sauberen System in keinem der Dateisysteme etwas gefunden? Zumindest bei der Nutzung von mehreren Scannern, aktuellen Definitionsdateien und zuvor ein paar Tagen Internet-Abstinenz für die Rechner sollte sich die meiste Malware zumindest teilweise finden lassen.
Ich gehe auch davon aus, dass netcat an dem Spam nicht beteiligt ist. Zu meinen Vorschlägen und Fragen hast du dich ja aber leider nicht weiter geäußert, daher kann man dir nicht zielgerichtet weitere Tipps geben.
|
|
13. 12. 2007, 17:18
|
#7
|
|
Mitglied
(Threadstarter)
Registrierungsdatum: Jan 2007
Beiträge: 5
|
Re: Bitte Hilfe bei Netcat-Frage
naja was deine ratschläge angeht muss ich erstma auf mein nachbar warten der versteht was du gesagt hast. wie schon ganz oben erwähnt bin ich ein absoluter noob was das angeht (leider un zu meinem eigenen bedauern).
also wie gesagt ich hab mittlerweile kaspersky, AV, Norton und einige andere online-scans durchführen lassen und ausser netcat wurde nichts, rein garnichts auf allen 4 rechnern gefunden. ich warte aber mit dem säubern auch noch, bis eine antwort von GMX auf meine email kommt. weil sich einfach von allen 4 trennen und alles neu aufspielen... omg.
sobald ich die von dir erwähnten vorschläge realisiert hab, post ich die ergebnisse! sollte dann heute nachmittag soweit sein. eventuell ergibt sich ja dann nochmal was neues.
die rechner sind wieder offline. hoffe finde noch ne lösung.
bis dahin nochma danke 
|
|
14. 12. 2007, 09:01
|
#8
|
|
|
Alle Zeitangaben in UTC +1. Es ist jetzt 02:40 Uhr.
|
|
