ComputerBase Menü
Aktuelles

Die russischen Hacker waren in meinem Pc

M

Maxus1

Cadet 4th Year
Registriert
Nov. 2015
Beiträge
104
Hallo Community,

ich habe heute Abend festgestellt, dass mein PC scheinbar gehackt worden ist. Festgestellt habe ich dies, als einige Programme nicht mehr liefen die noch gestartet waren als ich den pc gegen 21 Uhr gesperrt hatte (Logitech LGS, Steam, Razer Synapse). Da war dann doch schon eine gewisse Verwunderung da. Daraufhin hab ich mir in der Computer-Verwaltung mal den Event-Log angeschaut und einige Zugriffe einer externen IP-Adresse festgestellt: 194.247.17.216 Das ganze ging wohl gestern los von einer andere IP (217.64.42.215) mit einer Sitzungsanmeldung auf den Benutzer Mein-PC\Administrator, daraufhin wurde eine "Shellstartbenachrichtigung empfangen". Anschließend
-"Sitzungsvermittlung starten"
-"Sitzungsvermittlung beenden"
-"Die Sitzung 7 wurde von Sitzung 7 getrennt"
-"%s von %s(#0x%x/0x%x)"
-"Die Sitzung 7 wurde getrennt. Urache 11"
-"Sitzung 6 wurde gretennt. Ursachencode 5"
-"Remotedesktopdienste: Die Sitzung wurde getrennt" von der selben IP.

Danach gibt es verstreut nochmal einiger der geschriebenen Meldungen.
Heute (da es jetzt 4 ist eher gestern, dann ist das gestern von vorhin wohl ein vorgestern) tauchte dann die erste IP im Log auf und hat wohl auch einen neuen Benutzer Account (Air123) auf dem PC angelegt das komplett leer zu sein scheint bis auf ein Programm (ProxyWeb) das um 21:51 installiert wurde. Der Benutzer Account ist scheinbar um 21:42 entstanden. Interessant ist, dass ich den PC erst um 21:20 gesperrt habe, das zeitlich also relativ schnell kam. Die meisten Dateien dieses Programms sind auf russisch, wenn ich es selbst starte kommt erscheint eine leere Anmeldemaske.

Sämtliche Ordner im Administrator Benutzer Verzeichnis scheinen an 23.03 und 22:01 bearbeitet worden zu sein, bis auf AppData, ansel und MicrosoftEdgeBackups, diese liege abgesehen vom Inhalt beim 09.03.

Zur Netzwerksituation:
Ich habe seit ca. einer Woche den Windows Remote Desktop Port auf meinen Pc weitergeleitet. Dies habe ich jetzt geändert.
Für meinen Benutzer hatte ich ein 9 Stellen langes Passwort festgelegt (Klein-/ Großbuchstaben und Zahl).
Der PC ist nur über LAN mit dem Router verbunden, WLAN Dongle ist keiner eingesteckt. Das Kabel habe ich vorhin sofort gezogen.

Habe zwischenzeitlich alle Passwörter die mir auf die schnelle eingefallen sind / wichtig waren geändert wobei das Windows Passwort eh nur für den Microsoft Account verwendet wurde.
2 Faktor Anfragen von Anwendungen habe ich bisher noch keine erhalten (Google / Yahoo / Steam).


Meine Frage jetzt:
Kann ich irgendwie nachvollziehen was auf meinem Computer alles gelaufen ist und in wie weit können andere Geräte im Netzwerk betroffen sein?
Das System werde ich jetzt wohl neu aufsetzen müssen - wobei ich das erst am Anfang dieses Monats getan habe.
Was sollte ich noch unternehmen?

Freundliche Grüße
Max
 
Und den Administrator Account hast du irgendwann mal aktiviert, denn normal ist der gar nicht aktiv....? Windows Updates immer gemacht?
Kiste neu aufsetzen, bei dem was du gefunden hast war der Hack ja wirklich eindeutig.
 
Das hat mich auch gewundert, weil ich mich nur daran erinnern konnte den auf meinem Laptop aktiviert zu haben.

Ist Windows 10 von dem her sollten alle Updates gemacht sein / beim neu aufsetzen hab ich drauf geachtet dass ich die neuste Version verwende von da her sollte das auf keinen Fall älter als einen Monat sein.
Reicht es wenn ich die System Platte neu aufsetze und den Rest mit Malwarebytes scanne oder muss ich auch meine anderen 4 Platten komplett formatieren?
Ergänzung ()

Wollte den PC grade ausschalten da war der Benutzer Administrator noch angemeldet. Habe mal das Passwort geändert und mich auf der Ebene umgeschaut. Start Menü war offen aber sonst nichts und Dateien sind auch keine angelegt / im Papierkorb. Auf den Benutzer Air123 kann ich mich nicht einloggen...
Ergänzung ()

Habe mich jetzt mal per Remote Desktop auf Air123 eingeloggt und dieses Programm gestartet.
Hab im Anhang mal ein Bild davon, warum es beim Hochladen gedreht werden musste ist mir ein Rätsle...
20180325_050956.jpg
 
Ich verstehe nicht. Nie für eine anständige Firewall gehört ? Windows nicht richtig auf Sicherheit eingestellt ? :confused_alt:
Nur für Info, ich habe nicht mal echtzeit Antivirus Programm am laufen und in mehr als 30 Jahren habe ich nie Probleme gehabt. Das Wissen macht den Unterschied.
 
Zuletzt bearbeitet:
Wollte den Windows Defender mal ausprobieren - es hieß ja der solle zwischenzeitlich ganz gut sein. Windows Firewall war aktiv, welche Sicherheitseinstellungen meinst du?
 
b4e5ff3d9e schrieb:
Nur für Info, ich habe nicht mal echtzeit Antivirus Programm am laufen und in mehr als 30 Jahren habe ich nie Probleme gehabt. Das Wissen macht den Unterschied.
Zum Vergrößern anklicken....

diese großspurige einstellung finde ich, gelinde gesagt, zum reihern! es ist ein unterschied, ob man sich malware einfängt, oder aktiv von einem hacker gehackt wird. malware schön und gut, aber wenn man einen fähigen hacker am hacken hat, nützt einem brain.exe und alle anderen empfehlungen irgendwelcher dahergelaufenen "spezialisten" erheblich wenig. wenn so ein fähiger mensch ins system eindringen möchte, wird er es auch schaffen. schon mal von zero day exploit gehört? alles, was am netz hängt, ist potentiell unsicher und hackbar. sicherheit bringt nur, netzwerkkabel ziehen.

ich spreche da aus eigener erfahrung.
 
Da das so gezielt war, hast feinde oder jemanden mit solchen Kenntnisse geärgert?
Anzeige auf unbekannt wurde ich machen, falls doch unfug mit deinem acc X (falls er soweit kam) betrieben wurde.
 
Maxus1 schrieb:
Ich habe seit ca. einer Woche den Windows Remote Desktop Port auf meinen Pc weitergeleitet. Dies habe ich jetzt geändert.
Zum Vergrößern anklicken....

Genau da liegt dein Problem. Nie einen RDP Port offen ins Internet stellen.
Das Betriebssystem würde ich an deiner Stelle in jedem Fall platt machen. Datenbestand scannen.

Bei dem Screenshot würde ich auf RAT oder Keylogger tippen.

Kann ich irgendwie nachvollziehen was auf meinem Computer alles gelaufen ist
Zum Vergrößern anklicken....
Natürlich kannst du deinen Eventlog auswerten und Dateien nach Änderungdatum suchen lassen. Ob das die Mühe wert ist und dir etwas bringt musst du selber wissen.

Und in wie weit können andere Geräte im Netzwerk betroffen sein?
Zum Vergrößern anklicken....
Alle Geräte die in deinem LAN SMB Shares oder andere Dienste zur Verfügung stellen können natürlich auch betroffen sein bzw. es könnten Daten entwendet worden sein. Router würde ich auch komplett resetten. Wenn an anderen Geräten in deinem LAN auch noch Fernzugriff egal in welcher Form freigegeben ist dann solltest du die auch unter die Lupe nehmen.


und @b4e5ff3d9e:
Wenn du so weise bist dann kläre uns doch bitte auf.
 
Zuletzt bearbeitet:
The_Void schrieb:
es ist ein unterschied, ob man sich malware einfängt, oder aktiv von einem hacker gehackt wird.
Zum Vergrößern anklicken....
Nicht wirklich. Im Normalfall geht dem Hack die Installation einer Malware voraus. Ein popeliger User ist für Hacker uninteressant, es sei denn es wird dem Hacker besonders einfach gemacht. Wertvolle Zero Day Exploits werden da sicher nicht eingesetzt.

Wenn also der User nicht über seinen Rechner Dienste im Internet anbietet (entweder durch Malware oder eigene Dummheit oder beides), dann ist in der Regel schon das NAT des Routers ein Hindernis, welches kaum ein Hacker in Angriff nimmt, es sei denn er rechnet mit einem Ziel, welches den Aufwand lohnt. Der TE hat selbst einen Dienst angeboten, vermutlich auch noch im Standard-Portbereich. Eine Einladung für Hacker und deren Skripte ...

@Sasi Black
Woran meinst Du zu erkennen, dass das ganze gezielt gewesen sein soll? Ich lese da nichts, was nicht automatische Skripte generiert haben könnten.


@TE
Laut Whois gehört die IP-Adresse einem Ukrainischen Dienstleister. Also muss es kein russischer Hacker gewesen sein ...
 
Zuletzt bearbeitet:
The_Void schrieb:
diese großspurige einstellung finde ich, gelinde gesagt, zum reihern! es ist ein unterschied, ob man sich malware einfängt, oder aktiv von einem hacker gehackt wird. malware schön und gut, aber wenn man einen fähigen hacker am hacken hat, nützt einem brain.exe und alle anderen empfehlungen irgendwelcher dahergelaufenen "spezialisten" erheblich wenig. wenn so ein fähiger mensch ins system eindringen möchte, wird er es auch schaffen. schon mal von zero day exploit gehört? alles, was am netz hängt, ist potentiell unsicher und hackbar. sicherheit bringt nur, netzwerkkabel ziehen.

ich spreche da aus eigener erfahrung.
Zum Vergrößern anklicken....

Ich rede nicht über Server, sondern Desktop PC. Alle Ports geschlossen, absolut alle unnötige Dienste und Prozesse deaktiviert, keine Server Prozesse, Windows hoch optimiert, strenge Firewall die jeder Zugang ein und aus protokoliert und nachfragt,keine Microsoft Programme am laufen, sondern nur Alternativen. Alle neue Programme erst in Sandbox mit monitoring getestet. Kannst Du mir bitte erklären was kann mir ein Hacker (samt Zero Day) machen ? Ausser mich mal ...:)
Vielleicht solltest Du weniger Hollywood "Hacker" Filme schauen.
 
Zuletzt bearbeitet:
Falls jemanden interessiert, was auf dem Screenshot steht:
Mir erscheint es als eine Art "Dialer". Aus heutiger Sicht ist jedoch ein Miner wahrscheinlicher.
кабинет: bedeutet hier das Konto, also der Account. Gegebenenfalls nennt sich das Programm selbst auch nur Kabinett (unwahrscheinlich).

Daneben steht die Versionsnummer 12.28

подключение: Aufschaltung, Anschluss; rechts daneben der blaue Button bedeutet abmelden.

Darunter folgt баланс, der Kontostand mit 0 Rubel.

Gefolgt von einer Übersicht, was heute bereits passiert war:
1. Zeit Online: 0 Stunden
2. Zur Ausschüttung bereitstehende Zinsen (direkte Übersetzung): 0 Rubel


Unnütze Infos, aber jetzt wisst ihrs ;-)

Grüßle
 
  • Gefällt mir
Reaktionen: stolperstein
Hi schonmal die den Leistungsbericht im Taskmanager angeschaut.
Vielleicht nutzen die deinen PC zum Minen
 
Leistung des PCs habe ich eigentlich andauern überwacht, wenn ich teilweise Spiele spiele reicht ein weiterer Chrometab im Hintergrund, dass es anfängt zu laggen und da habe ich die letzen Tage nichts außergewöhnliches bemerkt, von dem her denke ich nicht dass da irgendwas schuftet...
Genauso ist es eigentlich mit dem Upload Speed, da werfe ich auch mehrmals am Tage ein Auge drauf wie viele Daten grade so raus gehen und ob das nachvollziehaber ist (zudem war die letzen Tage einer kleiner TS auf nem RaspberryPi am Laufen da der eines Kumpels ausgefallen war).
Andere zugänglich gemachte Geräte sind meine RasPis die an den Ports 10-16 SSH Portforwarding haben aber da habe ich grade in den Access Logs nichts außgergewöhnliches gefunden.
Gibt es ein Tool, das zuletzt veränderte Dateien auf einer NAS findet? Da würde sich dann ja schnell sehen lassen ob da etwas liegt.

Dass ich jemand mit solchen Fähigkeiten verärgert haben soll kann ich mir nicht vorstellen...
 
Das schon aber ip lokalisierung + Software + mail addresse schienen für mich genug zu sein um diese Annahme zu treffen

Weiß eigentlich jemand was dieses Web-Proxy genau macht?
Ich vermute mal es sollte seinen Traffic über mich leiten, dass ich ggf. Teil eines Netzwerks werde aber sicher bin ich da auch nicht
 
naja formatieren und neu aufsetzen ... außer du möchtest noch anzeige erstatten, dann könnte es sein das die Polizei noch eine Beweissicherung möchte ( was bei keinem oder minimalem Schaden selten der Fall ist), dann solltest mit dem Plätten natürlich noch warten aber den PC definitiv vom Internet trennen, sprich Netzwerkkabel ziehen!/WLAN kappen.

Da weiter rumzulamentieren wie wo was führt zu nix! Vielleicht mal darüber nachdenken was du leichtsinnig getan hast und besser achtgeben.
 
@TE
Die Sicherheitspatches von März vorher schon installiert gehabt?

Es gibt eine RPC-Lücke (CVE-2017-11885), die seit Dezember bekannt war und erst jetzt von Microsoft geschlossen wurde.


Um automatische Skripte zu starten braucht es keine besonderen Fähigkeiten. Auch ist es in meinen Augen grob fahrlässig, RDP frei im Internet zugänglich zu machen. Wenn man einen RDP Zugriff aus der Ferne benötigt, dann nur über ein VPN.

Schnitz schrieb:
Bloß weil etwas Code auf russisch ist muss es kein Russe sein.
Zum Vergrößern anklicken....
Ich denke mehr als 99% der User hier im Forum sind damit überfordert, zwischen Russisch und Ukrainisch zu unterscheiden ...

/edit: Die Lücke wurde doch schon im Dezember mit KB4054517 (BS-Build 16299.125) bzw. im Januar mit KB4056892 (BS-Build 16299.192) geschlossen. Wenn der Patch erfolgreich installiert war, kann es diese Lücke nicht gewesen sein.
 
Zuletzt bearbeitet: (Korrektur)
Dass ich die Verbindung getrennt habe sagte ich ja bereits

Updates wurden im März einige installiert (09.03 14.03 und 15.03). Waren funktions- kumulative und Adobe Sicherheitsupdates

Ja ich weiss dass es wohl eine blöde Idee war den Port freizugeben allerdings war dies nur für einen begrenzten Zeitraum angedacht. Hatte nicht damit gerechnet, dass es nur eine Woche bis zu den ersten Logins von anderen dauern würde...
 
Ich habe auch seit Jahrzehnten einen offen Port auf WAN Seite für RDP.

Ich kann nur empfehlen den Port 3389 nicht auf der WAN Seite zu verwenden.

Verwende eine zufällige 5 Stellige Portnummer im WAN.

zb. 36458 und leite diese am Router auf den entsprechenden Rechner mit Port 3389.

Damit kannst du verhindern das du von Leuten gefunden wirst,
die gezielt mit Portscannnern nach Rechnern mit offenem RDP suchen.

btw. Hast du eine statische oder dynamische IP?

Du würdest stanuen wie schnell es geht eine Million Rechner auf einen offen Port 3389 abzuscannen.

Ich denke das evtl. genau das passiert ist.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Hacker versuchen in mein Microsoft-Konto zu kommen?!
Antworten
11
Aufrufe
2.489
Lolstick
L
H
Unbekanntes Insta-Konto mit FB-Account verknüpft - wie ist das möglich?
Antworten
7
Aufrufe
545
BFF
BFF
Britta_traurig
  • Gesperrt
Nach Hacker-Angriff neues Betriebssystem flashen
2 3 4
Antworten
62
Aufrufe
3.397
Markchen
Markchen
PolarNacht
Bin ich paranoid? Facebook gehackt
2
Antworten
38
Aufrufe
4.833
MaliByte
M
Grappo
Zu viele Verbindungsabbrüche
Antworten
8
Aufrufe
999
Telekom hilft
Telekom hilft
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz