Ist mein Rechner in einem Botnetz? lulzsec?

[DrToxic]

Hey,

nachdem ich die Tweets von lulzsec verfolgt habe, bin ich jetzt ein wenig paranoid:

/b/, most of you are probably infected right now and don't realize. You know those times your Internet freaks out? Yeah, that's us firing.

Ich habe bei mir auf dem Desktop Rainmeter installiert und so konfiguriert, dass es mir den Network-Traffic (ein und aus) anzeigt, siehe Screen:

Jetzt habe ich heute, kurz bevor die DDoS-Attacke losging, in absolut regelmäßigen Abständen spikes im Upload gehabt. Als ich dann µTorrent ausgemacht habe (idle, kein dow-, kein upstream), war es aber vorbei, meine ich - kann aber auch Zufall sein.

Ich wundere mich eh schon seit längerer Zeit, wo diese "Up"-Peaks herkommen (unregelmäßig).

Wie genau kann ich nachprüfen, wann was wohin rausgegangen ist?

 

[Kiviuq]

Im Nachhinein kannst du nichts mehr feststellen, da du die Pakete ja nicht mehr vorliegen hast. Während der Traffic durchläuft kannst du jedoch z.B. mit Wireshark die Pakete analysieren.

 

[marcol1979]

Das sind ARP Requests, StayAlives und Co.
Wireshark oder Packetyser kann dir helfen

 

[drdave]

Taskmanager -> leistung -> Ressourcenmonitor

kannst du die Netzwerkaktivitäten prüfen, was wieviel packete wohin versendet und wer der Empfänger dieser Packete ist


Gruß

 

[andy_0]

Ab windows vista (denk ich) kannst du mit dem task manager den ressourcenmonitor starten. Dort siehst du unter "netzwerk" welche programme offen sind. Dort oder mit anderen tools wie z.B. den sysinternals tools (http://technet.microsoft.com/de-de/sysinternals) kannst du überwachen welche software welche ports mit welchen ips etc verbindet. Mit zusatz tools wie wireshark kannst du die einzelnen pakete inspizieren.

Schlussendlich hilft ein blick in die startprogramme (dazu auch das tool von sysinternals verwenden) und anschließend in die aktuell laufenden programme um zu klären was überhaupt alles mit dem pc startet und im hintergrund läuft. So starten sich für gewöhnlich ein großer teil der unerwünschten anwendungen. Wenn du wirklich nen zombie rechner bist, muss ja irgendwo ne anwendung laufen.

 

[DrToxic]

Ok, erstmal vielen Dank für die ganzen Antworten

Ja, ich habe ziemlich viele Anwendungen im Tray laufen, davon sehr viele, die auch im Internet sind. Dazu RSS-Feeds und Wetter in Rainmetere etc, da kommt schon was zusammen.

Ein wenig beruhigt mich ja schon die Aussage, dass irgendeine Anwendung mitlaufen müsste, falls mein Rechner ein Bot wäre.

Muss das wirklich eine Anwendung sein oder würde theoretisch ein Dienst reichen, der mit Windows startet (ich bin ja schon recht vorsichtig, was Installationen angeht, aber man weiß ja nie)?

Auf Autostart habe ich eigentlich immer ein Auge, von daher sollte das ok sein, denke ich (muss dafür jetzt leider den CCleaner nehmen, weil der RegCleaner bei mir seit Win7 nicht mehr wirklich funktioniert):

Ja, ich weiß, ist viel drin. Aber mit einer SSD merkt man davon nichts und spart sich manuelles Updaten.

Nachdem ich einmal einen Java-Wurm hatte und dann merkte, dass meine Version mehrere Monate alt ist, habe ich es lieber wieder in den Autostart genommen

Ein kurzer Blick über die Systemprozesse hat jetzt nicht Auffälliges ergeben, wobei ich sagen muss, dass ich bei den meisten System-Prozessen nicht wirklich weiß, was die machen.

Die Prozesse, die auf meinem Benutzer laufen, sind aber alle in Ordnung.

Neueste Patches sind drauf, Spybot, Ad-Aware, Avira und Windows Defender melden keine Funde.

Reicht das als Absicherung?

Die viele Netzwerkaktivität finde ich halt ein wenig seltsam. Mein Router blinkt teilweise sogar an der Trafficlampe, wenn der Rechner aus ist.