ich habe hier ein kleines Netz von insgesamt 4 Rechnern, verbunden über einen Hub. Einer der Rechner hat T-DSL Zugang zum Internet, und stellt mit Jana-Server den anderen Rechnern ebenfalls Internetzugang zur verfügung. Auf allen Rechnern ist Zonealarm installiert, wobei ich nicht sicher bin, ob das nicht auf dem Internetserver genügt.
Jetzt zu meinem Problem:
Seit einigen Tagen kommt es mir vor, als wären meine Datenübertragungsraten relativ langsam geworden. Ich bin der Sache nachgegangen, und mußte feststellen, daß die gesendeten Daten die empfangenen bei weitem übersteigen. Auch nach herunterfahren aller Rechner, außer dem Server, findet Datenverkehr statt. Und zwar in einem Tempo, das doppelter ISDN-Geschwindigkeit entspricht, also ca. 128kB/s. Außerdem versucht anscheinend irgendein Programm etwa alle 30 Sekunden, eine DFÜ-Verbindung zu starten, wenn ich offline bin, was ihm aber nicht gelingt. Zonealarm zeigt auch im Systray an, daß versucht wird, Daten zu senden.
Was kann ich tun, wo kann ich suchen ?
Ich habe keine Idee, an welchen Daten der Servers jemand Interesse haben könnte, da ist nichts interessantes drauf. Nur Win98, Jana, IE und Outlook, und Zonealarm eben. Auf den verbundenen Rechnern gäbe es vielleicht die eine oder andere Software, aber nachdem der Dtenstrom ja nach trennen derselben nicht abbricht, scheint ja zu den anderen keine Verbindung zu sein.
Was läuft hier ab ? Was kann ich machen ?
Ich brauche dringend Hilfe !
versucht anscheinend irgendein Programm etwa alle 30 Sekunden,
eine DFÜ-Verbindung zu starten, wenn ich offline bin, was ihm
aber nicht gelingt. Zonealarm zeigt auch im Systray an, daß
versucht wird, Daten zu senden.
Was kann ich tun, wo kann ich suchen ?
ZoneAlarm müßte Dir doch einen Programmnamen anzeigen, oder?
Besorge Dir mal einen vernünftigen Taskmanager, welcher Dir die aktiven Prozesse auslisten kann, z.B. PView. Schließe alle nicht benötigten Anwendungen, stelle sicher, daß der Rechner Daten sendet und poste mal die Liste der aktiven Tasks. Unterstützt der Viewer die Sortierung nach CPU-Last, kannst Du abschätzen, welches Programm die Daten sendet.
Ich habe keine Idee, an welchen Daten der Servers jemand
Interesse haben könnte, da ist nichts interessantes drauf. Nur
Win98, Jana, IE und Outlook, und Zonealarm eben. Auf den
verbundenen Rechnern gäbe es vielleicht die eine oder andere
Software, aber nachdem der Dtenstrom ja nach trennen derselben
nicht abbricht, scheint ja zu den anderen keine Verbindung zu
sein.
Schon mal an die eMails und Adresse von Outlook gedacht?
Wenn sich jemand oder etwas auf dem Server eingenistet hat, könnte er auf diesem auch Daten der Clients zur Übertragung bereithalten.
Wenn Du das Sicherheitsloch nicht kurzfristig identifizieren kannst, solltest Du Deine Internetverbindung trennen (DSL-Kabel entfernen)!
Kontrolliere alle Autostart-Funktionen von Win98 (-> msconfig).
Besorge Dir einen wirklich guten Virenscanner (z.B. F-Secure), der auch laufzeit-komprimierte Programme scannen kann.
Versuche mal das Programm Trojan-Check, mit dem du systematisch, alle Dateien, über den ein Trojaner gestartet werden kann checken kannst: http://www.trojancheck.de Prozessviewer ist schon eingebaut.
Empfehlen kann ich auch ANTS ( A new Trojan Scanner) mit dessen härtesten Einstellungen (Heuristik, Sensibilität maximal, alle Dateien) du deine kompletten Dateien checken solltest. dann kriegst du alle dateien auf deinem Rechner, die z.B. als Server fungieren können.
Portscan kannst du damit auch machen.
Zur Not musst du einfach mal deine Firewall abstellen, und dem ominösen Programm den Zugriff erlauben, dan mit Netstat-Programmen (Xploiter-Star Lite) die angepeilte IP-Adresse checken, und mit Traceroute (Neotrace) u.ä. den Zielrechner checken.
PS:Alle erwähnten Programme sind Freeware