Spurensuche

Hallo Alle,
ich habe den Verdacht, dass ein Nachbar einen Weg gefunden haben könnte, meinen Datenverkehr zu belauschen. Aus verschiedenen Gründen würde ich nun gern Versuchen, zumindest einige Indizien zu sammeln, um sie evtl. juristisch zu verwenden (keine Bange, ich bin mir über die Chancen durchaus im Klaren). Ich bin zwar nicht ganz ahnungslos, aber auch nicht der Netzwerk-/Security-Chef. Deswegen möchte ich versuchen, Wissende & Profis (zunächst mal absichtlich allgemein) zu fragen, an welchen Stellen nach Spuren gesucht werden müsste.
Vorhanden sind:
Linux (Debian), mit Ethereal, arpwatch und Snort (womit ich mich allerdings noch fast überhaupt nicht auskenne), sowie Win 98SE. Wäre vor allem dankbar für den einen oder anderen Hinweis oder Link, wie typische Anzeichen in den entsprechenden Logs aussehen könnten und was evtl. darüber hinaus noch zu bedenken/checken wäre.

Jägergrüße
Art

ich habe den Verdacht, dass ein Nachbar einen Weg gefunden
haben könnte, meinen Datenverkehr zu belauschen. Aus

Belauschen oder Einbruch? Den Spanner, der mittels Fernglas durch dein Schlafzimmerfenster blickt, wirst du kaum mit in deiner Wohnung zu findenden Indizien überführen können. Den Einbrecher hingegen schon.

Da du uns aber kaum durch deine Wohnung führen wirst, müsstest du, sollen wir dir bei der Überführung des Einbrechers helfen, uns wenigstens ein bisschen mehr über diese erzählen.

Teilt ihr euch ein gemeinsames Netzwerk? Hast du die zweitbeliebteste Sicherheitskatastrophe nach Windows [*1], ein WLan installiert? Oder kam dein Nachbar, wenn er kam, per Draht übers Internet? Hast du RAS-Zugänge, ssh, vpn o. ä. installiert? Bietest du Dienste an, womöglich gar Netzwerkfreigaben?

Gruss
Schorsch

[1] Mein Verdikt bezieht sich natürlich nur auf WLans in den Händen nicht hinreichend wissensbelasteter Anwender - also nur auf ca 95%

Moin

ich habe den Verdacht, dass ein Nachbar einen Weg gefunden
haben könnte, meinen Datenverkehr zu belauschen.

Läuft das über Ethernet oder WLAN oder ISDN oder… ?

Deswegen möchte ich
versuchen, Wissende & Profis (zunächst mal absichtlich
allgemein) zu fragen, an welchen Stellen nach Spuren gesucht
werden müsste.

Wenn der passiv lauscht hast du keine Chance.

mit Ethereal, arpwatch und Snort

Das ist doch ein guter Ansatz. Fällt da schon irgendwas sinnvolles raus ?

cu

Moinmoin

Läuft das über Ethernet oder WLAN oder ISDN oder… ?

Oops- vergessen: Stand-Alone-PC via ISDN

Wenn der passiv lauscht hast du keine Chance.

Ehäm- was bedeutet das konkreter?

mit Ethereal, arpwatch und Snort

Das ist doch ein guter Ansatz. Fällt da schon irgendwas
sinnvolles raus ?

Kann ich mangels tieferem Wissen noch nicht sicher sagen…

Grüße
Art

Moin

Läuft das über Ethernet oder WLAN oder ISDN oder… ?

Oops- vergessen: Stand-Alone-PC via ISDN

Na dann gibst ja nur noch 3 Wege:

1. Fernglas: (da werden dir Programme nicht helfen)

2. Angezapfte ISDN-Leitung: (Da wird sich die Kripo brennend für interessieren)

3. Trojaner & Co: Das gibts eine ganze Platte an Möglichkeiten. Man fängt an besten mit einem neuen Anti-viren-Programm auf aktuellen Stand an. Dann alle windows-updates installiern. Danach schaltet man alle nicht lebenswichtigen Windows-Dienst und Hintergrund-programme ab.

Wenn dabei was rauskommt hat man schon 2/3 des Beweis: Man lässt den Schädling weiterlaufen, informiert sich bei den einschlägigen Seiten über desen Verbindungs/Kommunikations-muster und sucht gezielt mit etherreal (oder einer loggenden Firewall) danach.

Evtl gibts für den Schädling auch Honey-Pot-versionen (z.B. für BO2k). In dem Fall auf diese wechseln (da die i.d.R. alle Informationen zum Hacker frei Haus liefern)

Eine andere Möglichkeit ist das aktive Suchen nach Backdoors: Es gibt Port-Scanner im Internet die dir sagen welche Ports auf deinem PC offen sind und was die gehören könnten. Das kann auch Hinweise liefern. (ist aber bei gut gemachten Trojanern sinnfrei)

Wenn bei der ganzen Aktion nix rausspringt: Firewall installieren. Am besten auf einem 2. getrennt laufenden PC. Die alles mitloggen alles. Alles was sich nicht mit deinen Internetaktivitäten in Verbindung bringen lässt von Hand rausfiltern. Mit den Daten in Schädlings-Datenbanken suchen.

Wichtig:
Wenn das ganze verwertbar sein soll: VORHER eine 1:1-Kopie der Platten machen und an einem sicheren Ort hinterlegen.

Wenn der passiv lauscht hast du keine Chance.

Ehäm- was bedeutet das konkreter?

Bei WLAN und Ethernet kann man passiv lauschen. D.h. sein PC gibt nix von sich, schreibt aber den gesamten Inet-Transfer mit. Das ist nicht/extrem schwierig aufdeckbar.

cu

Hallo,

Deswegen möchte ich
versuchen, Wissende & Profis (zunächst mal absichtlich
allgemein) zu fragen, an welchen Stellen nach Spuren gesucht
werden müsste.

Wenn der passiv lauscht hast du keine Chance.

Keine Ahnung, was genau Du mit „passiv lauschen“ meinst, aber um einen Sniffet zu entdecken, gibt es ein paar clevere Tricks.

Gruß,

Sebastian

Hallo,

Wenn der passiv lauscht hast du keine Chance.

Ehäm- was bedeutet das konkreter?

Bei WLAN und Ethernet kann man passiv lauschen. D.h. sein PC
gibt nix von sich,

Da sollte man dann lieber am Etheret-Kabel herumschnippeln, wenn man sicher lauschen will ohne entdeckt zu werden.

schreibt aber den gesamten Inet-Transfer
mit. Das ist nicht/extrem schwierig aufdeckbar.

Nein, wenn man danach sucht, ist das garnicht mal so schwer.

Gruß,

Sebastian

Moin

schreibt aber den gesamten Inet-Transfer
mit. Das ist nicht/extrem schwierig aufdeckbar.

Nein, wenn man danach sucht, ist das garnicht mal so schwer.

Dann erklär mal ? (Theoretischer Fall: DSL-Router mit 4-Port-Hub und 1x WLAN)

cu

Hallo

schreibt aber den gesamten Inet-Transfer
mit. Das ist nicht/extrem schwierig aufdeckbar.

Nein, wenn man danach sucht, ist das garnicht mal so schwer.

Dann erklär mal ? (Theoretischer Fall: DSL-Router mit
4-Port-Hub und 1x WLAN)

Hups? Die FAQ ist down? Naja, ich habe sie mal hier hingetan: http://www.mindcrime.net/~niehaus/robertgraham.com/s…

Lesenswert.

Gruß,

Sebastian

Moin

alle diese Methoden haben ein Problem: wenn der sniffer weiss was er tut laufen sie alle ins Leere. (Der Witz dabei: mindestens 2 der Packete unter „3.1 Where can I get a sniffing program for my computer?“ können das vollautomatisch)

Im einzelnen:

ping method 1:

Setzt vorraus dass man MAC und IP des Angreifer kennt…: NEIN

ping method 2.2:

Könnte gehen wenn der Angreifer dämlich ist, für den Rest: NEIN

ARP method:

Interessanter Ansatz, müsst ich nachsehen. Gehts aber auch von einem aktiv sendenden Sniffer aus, also hier: NEIN

DNS method:

Wenn der Hacker das in Verbindung mit Etherreal einsetzt ist seine Platte nach 2 Minuten voll: NEIN

source-route method:

Setzt vorraus dass die IP des Angreifer bekannt ist: NEIN

The decoy method:

Dafür bräuchte man Zugriff auf einen mail-Server oder etwas in der Art und die Methode verlässt sich auf eine Action des Sniffers: NEIN.

host method:

Das ist ein windows-Rechner: NEIN

latency method:

IP müsste bekannt sein: NEIN

TDR (Time-Domain Reflectometers):

Wer sowas zuhause rumliegen hat fragt nicht hier nach ob er gesnifft wird oder nicht. Ausserdem gehts nicht mit WLAN, also : NEIN

hub lights

bitte…

SNMP monitoring

Das kann kein normaler 0815 DSL-Router.

cu

Hallo wieder,

2. Angezapfte ISDN-Leitung: (Da wird sich die Kripo brennend
   für interessieren)

Yep- ist mir auch klar, deswegen wäre mein Versuch, unwilligen Beamten vorab soviel wie möglich an Arbeit abzunehmen.

3. Trojaner & Co: Das gibts eine ganze Platte an
   Möglichkeiten. Man fängt an besten mit einem neuen
   Anti-viren-Programm auf aktuellen Stand an.

Passiert (F-Prot & BitDefender unter Linux)- Resultat: Negativ.

Dann alle
windows-updates installiern. Danach schaltet man alle nicht
lebenswichtigen Windows-Dienst und Hintergrund-programme ab.

Umpf- bei Win98?
Mach ich lieber von Linux aus, da gibt es mehr Möglichkeiten (?)

Wenn dabei was rauskommt

Meint nur „Virus gefunden“?
Dienstetechnisch hätte ich eine Verständnisfrage: Wenn nun ein Finsterling einen wackeligen Dienst nutzt und ich kicke den, dann sperre ich den Übeltäter doch aus?
(Will ich ja erstmal nicht- System ist relativ frisch installiert, fast keine sensiblen Daten…)

Evtl gibts für den Schädling auch Honey-Pot-versionen (z.B.
für BO2k). In dem Fall auf diese wechseln (da die i.d.R. alle
Informationen zum Hacker frei Haus liefern)

Falls ich noch einen finde…

Eine andere Möglichkeit ist das aktive Suchen nach Backdoors:
Es gibt Port-Scanner im Internet die dir sagen welche Ports
auf deinem PC offen sind und was die gehören könnten.

Hast du da zufällig einen Link parat?

Wichtig:
Wenn das ganze verwertbar sein soll: VORHER eine 1:1-Kopie der
Platten machen und an einem sicheren Ort hinterlegen.

Hmm- ist schon klar (allerdings evtl. auch schon zu spät…)

Bei WLAN und Ethernet kann man passiv lauschen.

Mein befürchtetes Szenario sieht so aus: Es ist evtl. durch Zufall gelungen über eine veraltete/schlecht verlegte Leitung im Haus den Traffic und v.a. meine Zugangspassworte einzusehen (nennt sich sowas nicht „Überkoppeln“?). Danach hat man sich damit Zugang zum Server des Providers verschafft und dort was gedreht (da gibt es seltsame Indizien, zu denen ich hier erstmal nichts sage).

Detektorengrüße & Dank
Art

Hey,

Keine Ahnung, was genau Du mit „passiv lauschen“ meinst, aber
um einen Sniffet zu entdecken, gibt es ein paar clevere
Tricks.

Ist der Name deines Hauses „Orakel von Delphi“?
Das eine oder andere Stichwort für Ansatzpunkte (auch zum Weiterrecherchieren) fänd ich ne soziale Geste…
(Oder waren das die aus deiner verlinkten Seite? Konnte ich bislang leider nur grob überfliegen- viel Stoff und einiges zu lernen, THX schonmal)

Grüße
Art

Moin

2. Angezapfte ISDN-Leitung: (Da wird sich die Kripo brennend
   für interessieren)

Yep- ist mir auch klar, deswegen wäre mein Versuch, unwilligen
Beamten vorab soviel wie möglich an Arbeit abzunehmen.

Die Jungs bringen ein paar lustige Gerätschaften mit und lokalisieren solche Abgriffe innerhalb von 10 min.

Mach ich lieber von Linux aus, da gibt es mehr Möglichkeiten
(?)

stimmt.

Wenn dabei was rauskommt

Meint nur „Virus gefunden“?

Oder trojaner/spyware…

Dienstetechnisch hätte ich eine Verständnisfrage: Wenn nun ein
Finsterling einen wackeligen Dienst nutzt und ich kicke den,
dann sperre ich den Übeltäter doch aus?

Wenn das Übertäter nicht vorgesorgt hat: ja. Normalerweise wird als erstes nach dem Eindringen eine 2. Backdoor installiert.

Eine andere Möglichkeit ist das aktive Suchen nach Backdoors:
Es gibt Port-Scanner im Internet die dir sagen welche Ports
auf deinem PC offen sind und was die gehören könnten.

Hast du da zufällig einen Link parat?

http://scan.sygate.com/

Mein befürchtetes Szenario sieht so aus: Es ist evtl. durch
Zufall gelungen über eine veraltete/schlecht verlegte Leitung
im Haus den Traffic und v.a. meine Zugangspassworte einzusehen
(nennt sich sowas nicht „Überkoppeln“?).

Bei ISDN muss das schon ein ganz grosser Zufall und viel Fachwissen gewesen sein. Wenn der Angreiffer nicht zufälligerweise ausgeblideter Elektroinstallateur ist kann man das ausschliessen.

Danach hat man sich
damit Zugang zum Server des Providers verschafft und dort was
gedreht

Da war der Angriff (falls überhaupt einer standgefunden hat) wahrscheinlich gegen den Server des Provider gerichtet und nicht gegen dich. Es ist lohnender eien Provider zu knacken als sich mit „kleinen Fischen“ rumzuschlagen.

cu

Hey,

Keine Ahnung, was genau Du mit „passiv lauschen“ meinst, aber
um einen Sniffet zu entdecken, gibt es ein paar clevere
Tricks.

Ist der Name deines Hauses „Orakel von Delphi“?

Ich denke eher nicht *lol*

Das eine oder andere Stichwort für Ansatzpunkte (auch zum
Weiterrecherchieren) fänd ich ne soziale Geste…

steht doch alles da:

• sniffer
• passiv lauschen
• clevere Tricks.

Ach ja: die Quellen unter http://www.google.de natürlich noch durchlesen und verstehen…

(Oder waren das die aus deiner verlinkten Seite? Konnte ich
bislang leider nur grob überfliegen- viel Stoff und einiges zu
lernen, THX schonmal)

Eben. genau darum gehts. Es ist viel und man muss sich erstmal durcharbeiten.

Gruß & viel Spaß
h.

Moin pumpkin

Mein befürchtetes Szenario sieht so aus: Es ist evtl. durch
Zufall gelungen über eine veraltete/schlecht verlegte Leitung
im Haus den Traffic und v.a. meine Zugangspassworte einzusehen
(nennt sich sowas nicht „Überkoppeln“?).

Übersprechen nennt sich das. Bei ISDN kannst du das eher vergessen, da etwas verwertbares an Signale rauszuholen. Zudem musst du dasübersprechen von 2 unterschiedlichen Signale haben um das ISDN Protokoll richtig auswerten zu können.

Bei ISDN muss das schon ein ganz grosser Zufall und viel
Fachwissen gewesen sein. Wenn der Angreiffer nicht
zufälligerweise ausgeblideter Elektroinstallateur ist kann man
das ausschliessen.

Also ein Elektroinstallateur wird das nicht schaffen, da muss schon ein Elektroniker ran.

MfG Peter(TOO)

Eins noch
Hallo Pumpkin,

Die Jungs bringen ein paar lustige Gerätschaften mit und
lokalisieren solche Abgriffe innerhalb von 10 min.

Hmm- und du meinst das machen die auch, wenn ich mit ein paar Indizien hingehe und (z.B.) Anzeige gegen unbekannt erstatte?

Ansonsten: THX für Geduld und Ausführungen.

Bestes
ARt

Moin

Die Jungs bringen ein paar lustige Gerätschaften mit und
lokalisieren solche Abgriffe innerhalb von 10 min.

Hmm- und du meinst das machen die auch, wenn ich mit ein paar
Indizien hingehe und (z.B.) Anzeige gegen unbekannt erstatte?

Wenn du Indizien eindeutig sind und der Provider keine anderen Anhaltspunkte liefern kann: ja.

Wenn aber der Provider z.B. zugibt in letzter Zeit Besuch von Hackern gehabt zu haben, oder deine Indizien denen zu fadenscheinig sind: nein.

Also im Klartext: ein „dummes Gefühl“ reicht nicht. Ein ausgeräumtes Konto schon eher.

cu

Erste Ergebnisse
Moin Pumpkin,
ich habe den Online-Scan durchgeführt und das brachte einige interessante Ergebnisse. Nicht erschrecken, wenn es jetzt umfangreich aussieht- ich denke, ein Profi überfliegt das nur mal kurz (ist halt umständlich zu berichten).
Der Stealth Scan brachte eine Liste von „Closed“ Ports (20-23, 25, 53, 59, 79, 80, 110, 113, 139, 443, 445, 1080, 8080, 32800).
Interessant ist da 59, an dem ein Service namens „DCC“ hängt- der findet sich nicht unter etc/services. Der 32800 wird als „Source Port“ ausgewiesen- ein Sachverhalt, der mich schon länger wundert: Das scheint bei mir grundsätzlich irgendwas oberhalb 31x zu sein (wird der flexibel vergeben?).
Möglicherweise gehört hier eine Sache mit ArpWatch hin, die ich auch nicht so ganz einordnen kann: Sobald ich das starte wird im syslog
„Link Layer type 113 not ethernet or fddi“ gemeldet- sagt mir das, dass da jemand eine „authentification“ über Port 113 startet?

Beim UDP-Scan scheint es dann langsam spannend zu werden: Dort finden sich alle Ports des STealth-Scans und noch diese (ebenfalls „Closed“):
135 (Location Service)- dessen Meldungen sehe ich öfters beim capturing mit ethereal (ich nehme mal an, dass „loc-serv“ das besagt).
Sowie 137/38- zwei NetBios-Kandidaten -„NS“ und „DGM“.
Plus am ebenfalls in etc/services nicht gelisteten 1900 eine Geschichte namens „UPnP“- ist mir ebenfalls mit ethereal schonmal aufgefallen.
Offener UDP ist 111: Sun-RPC (jaja- ich weiß…
Und dann (auch „Closed“ aber…) einige bekannte Trojaner-Ports: 6776, 12345, 20034, 31337, 54320, 54321.
TCP-Scan bringt diese offenen:
111 (Sun-RPC)
631 unknown
Das scheint mit netstat zu korrespondieren, denn das liefert Sun-RPC und ipp (laut etc/services an 631)- wobei ich mich frage, warum dabei keine Portnummer angezeigt wird.
Schließlich wundert mich schon länger das bei netstat ständig der 6050 bestirnt angezeigt wird…

Und noch: Der RPC war mir natürlich schon länger ein Dorn im Auge, aber der ipp entpuppt sich hier als noch seltsamerer Kollege. Als ich die Ergebnisse des netten Online-Scans ausdrucken wollte, durfte ich feststellen, dass eine ganze Menge Print-Jobs anlagen, die ich ohne root-Rechte nicht löschen konnte. Und ein erster Blick in den Access-Log von Cups zeigt, dass da einiges gelaufen ist, was ich nicht gemerkt habe (da versucht seit einiger Zeit irgendwas, die „win.ini“ anzuzapfen…)
Yo, das sind meine ersten Funde- viel zu tun, wie ich sehe. Falls du oder irgendwer sonst die eine oder andere Idee hat, was als erstes zu Recherchieren wäre…?
Hoffentlich habe ich keinen erschlagen (:-}

Beste Grüße
ARt

Moin

Der Stealth Scan brachte eine Liste von „Closed“ Ports (20-23,
25, 53, 59, 79, 80, 110, 113, 139, 443, 445, 1080, 8080,
32800).

closed heist: der Port ist zu. Das sind die um die man sich gar keine Sorgen machen muss. Das sind die GUTEN. „Open“ oder „listening“ wär schlecht.

Der 32800 wird als
„Source Port“ ausgewiesen- ein Sachverhalt, der mich schon
länger wundert: Das scheint bei mir grundsätzlich irgendwas
oberhalb 31x zu sein (wird der flexibel vergeben?).

Die üBer 31XXX sind ungefährlich. Die werden für’s Internet-browsen und ftp gebraucht.

„Link Layer type 113 not ethernet or fddi“ gemeldet- sagt mir
das, dass da jemand eine „authentification“ über Port 113
startet?

Nein: Arpwatch kann das ISDN-Moden nicht so genau einordnen (arpwatch kennt nur Ethernet, fddi und ein paar andere „normale“ Netzwerke), gibt deshalb eine Fehlermeldung aus. Typ 113 hat nix mit Port 113 zu tun.

TCP-Scan bringt diese offenen:

Jetzt wirds interessant.

111 (Sun-RPC)

SUN-RPC auf einem Windows-PC ? Dafür gibts jede Menge Viren. Du solltest mal Windows updaten.

631 unknown

Du hast einen CUPS-Printer im Netz freigegeben. Man kann evtl. per Internet auf deinen Drucker zugreifen.

Schließlich wundert mich schon länger das bei netstat ständig
der 6050 bestirnt angezeigt wird…

versuchs mal mit:
netstat -tanp

rauszufinden was da auf 6050 hört. Das kann „SOAPSpy“ oder „arcserve“ sein. Beides ungefährlich (aber nervtötend)

Und ein erster Blick in den Access-Log von
Cups zeigt, dass da einiges gelaufen ist, was ich nicht
gemerkt habe (da versucht seit einiger Zeit irgendwas, die
„win.ini“ anzuzapfen…)

Ja, man braucht win.ini um die freigegebenen Drucker zu benutzen. Ist ja einigen gelungen.

cu

Und wenn du’s ernst meinst:

besorg dir einen 2. Rechner, häng beide per Ethernet zusammen und benutz das:
http://www.nessus.org/

um deinen Rechner durchzutesten.

cu