[ddd]

moin,

was bei mir seit Jahren funktioniert, ist ein Linux-Rechner als Router/Firewall.
Den braucht man nicht einmal besonders zu vernageln, ein paar wenige grundsätzliche Einstellungen und natürlich Aufmerksamkeit bei der Benutzung des I-Net und man hat weitgehend Ruhe.

Und es liegt nicht daran, dass es keiner versuchen würde, bis zu 20.000 Angriffe/Stunde habe ich (in Wellen) regelmäßig
Und ich habe "exposed hosts", interne exposed Webserver mit einem uralten Release-Stand usw., also eigentlich alles, was einem Angreifer die Arbeit erleichtert.

Auf gar keinen Fall sollte ein Win-PC direkt am I-Net hängen, das bekommt man einfach nicht "dicht". Auch viele DSL/WLAN-Router sind nicht der Brüller, und Hardware-firewalls sind als "black box" auch nicht zwingend sicher (ich verwende die nur für hart gesicherte VPNs).


Die Webserver sind da ein ganz anderes Problem.
Wer selbst einen sog. "root-server" betreibt, sollte ganz genau wissen, was er tut. Das ist auch juristisch nicht unproblematisch.

Wer einen "normalen" Webserver betreibt, ist wesentlich auf den Hoster angewiesen für die Grundsicherheit. Man kann aber mit Web2.0-Krempel die ganze schöne Grundsicherheit sehr wirkungsvoll aushebeln. Einfach "back-to-the-roots" (das ist ja sonst durchaus Dein Motto, Gerd), also sauberes plain-HTML, und es ist, Grundsicherheit seitens des Hosters vorausgesetzt, nicht sooo schwierig. Und natürlich LAMP, man fährt Webserver gar nie niemals nicht unter WinDoof.

Andere Frage: sind die Seiten wirklich kompromittiert oder werden sie "nur" als solche angezeigt? Ich habe es schon mehrfach gesehen, dass irgendwelche Filter anschlagen, obwohl alles "im Grünen Bereich" ist. Letzteres muss man natürlich erst mal durch sorgfältige Analyse sicherstellen.

Bis eine Seite von der "attackierend"-Warnliste runter ist, vergehen Tage, teilweise Wochen. Gerd, wenn Du Dir sicher bist, musst Du Dich aktiv um die Entfernung von der Warnliste bemühen. Von selbst passiert da so schnell nix!

-thomas

[raul]

Zitat:

Zitat von poorboytommy

was bist Du den für ein paul ähhh.... raul

Wenn jemand Hilfe erwartet sollte er sich seinen Ton mal überlegen, oder ist das hier im Forum normal Leute als "Oberschlauer" anzupöbeln? Schon mal was von Netiquette gehört? Deinem Kommentar nach zu urteilen wohl eher nicht!

[Philipp_H]

Hallo gpo,

hast Du schon mit Online Virenscanner versucht? Ich weiß nicht wie gut die Dinger sind aber ein Versuch kann ja nicht schaden.

http://housecall.trendmicro.com/de/

http://www.bitdefender.de/scanner/online/free.html

http://www.pandasecurity.com/germany...ns/activescan/


Gruß

Philipp
.

[ddd]

moin,

Zitat:

Zitat von pucki72

hast Du schon mit Online Virenscanner versucht? Ich weiß nicht wie gut die Dinger sind aber ein Versuch kann ja nicht schaden.

Tolle Idee!
Dazu muss der möglicherweise befallene Rechner online sein. Und genau das ist zu unterlassen, denn wenn der wirklich ein Problem hat, dann wird er fremdgesteuert, sobald er online ist. Ein root-kit kann kein Virenscanner finden, denn ein root-kit heißt ja gerade deshalb so, weil es nicht zu erkennen ist. Die meisten root-kits hebeln den Virenscanner aus, der wird Dir immer "alles ok" melden.

Wenn wirklich ein root-kit läuft, hilft nur tabula-rasa:
- Festplatte ausbauen, mechanisch zerstören und wegschmeißen.
- Das Backup in einer sicheren Umgebung, z.B. Linux-Boot-CD auf einem Rechner ohne Festplatte, mit mehreren Scanner überprüfen.
- Jungfräuliche neue Platte nehmen, System drauf und die Daten vom dann hoffentlich sauberen Backup zurückspielen.

Alles andere ist nur mit immensem Aufwand zu machen und eine Restunsicherheit verbleibt immer.

[poorboytommy]

Zitat:

Zitat von raul

Wenn jemand Hilfe erwartet sollte er sich seinen Ton mal überlegen, oder ist das hier im Forum normal Leute als "Oberschlauer" anzupöbeln? Schon mal was von Netiquette gehört? Deinem Kommentar nach zu urteilen wohl eher nicht!

Ich denke das trifft eher auf Dich zu, hier solche Sachen raus zu hauen ohne Dich erst mal richtig bei ihm zu informieren

Zitat:

Zitat von raul

Als Kunde würde man solch ein Web-Designer Verhalten an die Rechtsabteilung übergeben, da der Verdacht auf grobe Fahrlässigkeit besteht.

LG Tommy

[raul]

Zitat:

Zitat von ddd

moin,
- Festplatte ausbauen, mechanisch zerstören und wegschmeißen.

Würde Deinen Tipps zustimmen. Was die HDD betrifft würde ich ein low-level format durchziehen und in einer Sandbox testen, bevor man gleich die Platte wegschmeisst. Die meisten Rootkits wären damit platt.

---------- Post added 09.08.2011 at 12:11 ----------

Zitat:

Zitat von poorboytommy

Ich denke das trifft eher auf Dich zu, hier solche Sachen raus zu hauen ohne Dich erst mal richtig bei ihm zu informieren



LG Tommy

Das mag Dich jetzt an der deutschen Rechtsprechung stören, aber so kann es leider kommen, das hat nichts mit "raushauen" zu tun. Wer Websites gestaltet und schadhaften Code (auch unbewusst!) einbettet, kann dafür haftbar gemacht werden.

[RainerV]

Könnten gewisse Herrschaften bitte ihre Streitereien beenden?

Danke denen, die Gerd bei der Lösung seines Problems helfen wollen.

Rainer

[TONI_B]

Zitat:

Zitat von RainerV

...Aber ich denke im ersten Moment ist hier jetzt eher gefragt, wie man die aktuelle Situation in den Griff bekommen kann...

Nachdem überhaupt keine konkreten Angaben gemacht wurden (BS, vorhandene Virus-Software etc.), kann man nur allgemeine Dinge sagen! Und es wurde in den letzten Tagen kein besonderes Aufkommen neuer oder spezieller Schädlinge beobachtet - es dürfte also schon eher an der Konfig des TO liegen.

[Jens N.]

...und die "aktuelle Situation" bekommt man wohl am besten durch ein Neu-Aufsetzen der betroffenen Rechner in den Griff, auch wenn das ätzend ist. Danach dann aktuelle Software, bzw. ein funktionierendes Sicherheitskonzept nutzen - der Chipleser der Bank war ein Anfang.

[Xatalan]

Also die Festplatte würde ich nun doch nicht gleich zerstören :-)

Aber Root Kits sind wirklich schwerer zu entdecken. Man muss auf jeden Fall einen Virenscanner verwenden der von einem eigenen Medium bootet (CD, USB Stick, usw).

Ich würde zunächst versuchen möglichst alle Schädlinge zu entfernen. Wichtig ist dabei alle Komponenten (Rechner,Laptop, Route, USB Sticks) getrennt (nicht vernetzt) zu überprüfen und zu bereinigen damit sie sich nicht wieder gegenseitig infizieren. Letztendlich bleibt manchmal doch nur eine Neuinstallation und dann würde ich Windows XP gegen Windows 7 austauschen welches um einiges sicherer ist.

Da Du ja Trojener an Bord hattest, solltest Du alle Kennwörter die Du verwendet hast (wirklich alle, auch EMail, FTP, Webserver, Routerzugänge) wechseln. Der Trojaner könnte eine Keylogger Funktion enthalten haben, die alle Eingaben in Kennwortfelder protokolliert und versendet.

Ich würde z.B. auch mal im Router schauen. Vielleicht hat sich da jemand ein Hintertürchen eingebaut. weiterhin überprüfen ob sich jemand Zugang zum EMail Account verschafft hat.

Um dich für die Zukunft zu schützen empfehle ich Dir ein Kompettpaket aus Firewall Virenscanner und Sandbox. Avast ist z.B. ein solches Paket. Vor kurzem gab es das sogar für ein Jahr kostenlos. Andere Anbieter wie Kaspersky, Norton, Avira usw. bieten vergleichbare Pakete.

Eine Sandbox Funktion der Schutzsoftware ist aber in jedem Fall empfehlenswert. Das Haupteinfallstor für Schädlinge sind seit geraumer Zeit Browser, Flash und Konsorten. Werden diese in einer Sandbox ausgeführt, laufen sie isoliert vom Rest des Systems und können den Rechner auch durch vorhandene Sicherheitslücken nicht infizieren.

Viel Erfolg