ComputerBase Menü
Aktuelles

rxnmb.com, oder: Der Chinamann greift an

Hy,

Also bei mir hat der Kascho1-Weg bei Vista funktioniert und läuft seit einer Viertelstunde problemlos.
Die Eingabeaufforderung musste ich als Admin öffnen:
Start --> Alle Programme --> Zubehör --> Rechtsklick auf die Eingabeaufforderung und als Admin öffnen.
Dann hab ich die Buchstaben in der MAC-Adresse noch klein geschrieben und dann hat es geklappt.
 
Aktuell läuft es auch so ganz Prima ... ;)
Sind wohl grad alle Virenrechner offline ;) Oder das RZ hat durchgegriffen und die Anschlüsse gesperrt, man munkelte ja von sowas.

Meine "Lösung" oben löst aber das Spoofing Problem nicht sondern nur den Teil mit dem einschleusen von alternativen DNS Servern durch Virenrechner die einen auf DHCP Server machen in dem sie über DHCP eine andere Adresse zuweisen.

Das RZ kann nix machen außer die Anschlüsse zu sperren wenn sie merken das von den Rechnern aus Terror gemacht wird. Die Frage ist ob und wie schnell sie das machen. Im Einzelfall kann es aber immer wieder zu Problemen kommen wenn sich einer was rauf zieht und als Nachzügler das Problem hier wieder aufleben lässt.
Gegen die Viren an sich kann man nicht viel machen es sei denn die stellen hier alles unter Zentralverwaltung :D Es gibt halt immer zu viele Nutzer die der Werbung glauben "einfach einstöpseln und loslegen und bloß über nichts sich Gedanken machen". Normalerweise ist so etwas ja auch das individuelle Problem des Betroffenen. Dieses mal hat es hier nur voll durchgeschlagen weil die Art des Virus die spezielle Art des hiesigen Netzwerkes besonders belastet. Bei anderem Befall kann es einem im Prinzip egal sein ob der Nachbar mehr Viren im System hat als die Datenbank eines mittelgroßen AV Herstellers kennt.
 
Zuletzt bearbeitet:
Ich bezweifle ehrlich gesagt, dass das RZ derart durchgreifen wird. Es waere ohne Frage fuer das Netzwerk das beste, allerdings fuer die betroffenenen Nutzer keine zumutbare Loesung. Das wissen die dort auch. Was ich mir allerdings wuenschen wuerde, waere zumindest eine Hausmitteilung, in der man ueber den derzeitigen Stand informiert, die betroffenen Nutzer informiert und Ratschlaege gibt, das Problem abzustellen.

Mal sehen was wird.

Btw. Den besagten Fehler "5" beim Versuch, die Macadresse des Gateways statisch zu machen, habe ich ebenfalls (Vista). Nach googlen dazu habe ich zwar Loesungsansaetze gefunden, allerdings funktionieren die beschrieben Methoden bei mir ebenfalls nicht :D

Das war zum einen, den o.g. arp-befehl in eine batch-Datei zu packen und diese per Admin-Rechten auszufuehren. - Der Ansatz deutet daraufhin, dass es an dem doch teilweise undurchdachten Rechtesystem von Vista hapert.

Zum anderen wurde beschrieben, dass der Fehler nicht mehr auftritt, wenn man das TCP Protokoll ausschliesslich der LAN Verbindung zuweist, also praktisch bindet. Wie das funktioniert, habe ich bis dato noch nicht herausgefunden, somit kann ich da nix drueber sagen, ob es funktioniert.
 
Zuletzt bearbeitet:
startmenü -> programme -> zubehör dort dann mit der rechten Maustaste auf "Eingabeaufforderung" klicken und "Als Administrator ausführen" klicken, den folgenden Dialog bestätigen und fertig. Sann die oben beschrieben Befehle eingeben.

Dann geht das auch, das Problem sind nämlich die mangelnden Rechte wenn man es nur als normaler Benutzer ausführt.

Ob das RZ so durchgreift wird sich zeigen. Zur Zeit gehts ja ^^ die Frage ist nur ob da durchgegriffen wurde oder ob die viralen Rechner Urlaub machen. ;)
 
Zuletzt bearbeitet:
Eben das funktioniert nicht. Weder mit Rechtsklick "Als Admin ausfuehren" auf die Verknuepfung, noch mit selbigem auf die native cmd.exe im system32 ordner. Das ist z.Z. unser Problem bei der Sache, deshalb auch der Loesungsversuch mit der batch-Datei.

So sieht das denn in etwa aus:
>C:\Windows\system32>arp -s 141.35.184.1 00-06-52-4C-DA-0A
>Hinzufügen des ARP-Eintrags fehlgeschlagen: 5

und somit auch wie gehabt:

>Internetadresse Physikal. Adresse Typ
>141.35.184.1 00-06-52-4c-da-0a dynamisch

Ich fuer meinen Teil kann da ja noch gluecklich sein, dass ich die korrekte Mac-Adresse des Gateways habe, obwohl sie noch dynamisch bezogen wird und mein Internet somit ueberhaupt noch einigermassen laeuft.

Wie gesagt, ich wuerde gerne testen, ob Loesungsmoeglichkeit II mit der TCP-Zuweisung Erfolg hat, allerdings finde ich dazu keine Moeglichkeit TCP an den LAN-Adapter zu binden.
 
Kann mir nur vorstellen das es daran liegt das du evtl. mehrere Netzwerkadapter hast und den Namen des Adapters für den es geändert werden soll noch dahinter schreiben musst. Ich hab nur einen und bei mir funzt es genau so.
 
JackB schrieb:
Ich bezweifle ehrlich gesagt, dass das RZ derart durchgreifen wird. Es waere ohne Frage fuer das Netzwerk das beste, allerdings fuer die betroffenenen Nutzer keine zumutbare Loesung.
Zum Vergrößern anklicken....
Also bei mir damals im Wohnheim (war ein anderer Studienort) wurde das rigoros gemacht ohne Rücksicht auf Verluste. Das ging sogar halbautomatisch wenn z.B. eine bestimmte Menge an ausgehenden Portscans festgestellt wurde. Außerdem waren die Anschlüsse MAC-gebunden, so dass MAC-Spoofing nicht möglich ist/war (ARP-Spoofing hab ich aber nicht getestet) und es gab relativ geringe Trafficbegrenzungen von 500MB/Tag, die bei Überschreitung zu einer Sperrung für den restlichen Tag führten.

Wenn der Nutzer Viren hat ist er selbst schuld; und insbesondere wenn er das ganze Netzwerk damit schädigt ist das auch mehr als gerechtfertigt. Der betroffene Nutzer musste dann beim Rechenzentrum antanzen und bekamdann den Account wieder frei wenn er glaubhaft nachweisen konnte, dass sein System jetzt sicher wieder sauber ist.
 
Die Anschlüsse hier sind auch MAC gebunden aber ansonsten sind hier keine Grenzen gesetzt, auch ansonsten würde ich das Vorgehen des RZ eher als defensiv beschrieben. Das nicht knallhart durch gegriffen wird sieht man ja bereits daran das es schon eine Weile läuft...

Mit Download Mengen haben die sich hier auch nicht wirklich, da kannst' laden bis die Platten hops gehen.
 
Also ... ich habe immernoch das Problem mit arp und dem Fehler 5 beim Versuch die Mac statisch zu setzen, und den Fehler 87 (Löschen des ARP-Eintrags fehlgeschlagen: 87) beim Versuch den Gatewayeintrag zu loeschen (dachte, wenn ich ihn loeschen kann, macht er beim neusetzen evtl. keine Probleme). Es scheint also tatsaechlich an der Administratorbegrenzung zu liegen.

Bis eben hatte ich wieder kein Internet, weil bei arp -a auch als Gatewaymac "00-40-d0-8d-83-a6" angezeigt wurde, anstatt "00-06-52-4c-da-0a".
Irgendwann scheint er dann aber doch wieder die korrekte Mac zu finden. Warum auch immer.

Da ich bzgl. statisch setzen mit Adminrechten aber alles versucht habe, habe ich nunmal die registry durchsucht.
Dort finde ich einen Eintrag namens "KnownProxylessGateways" im Schluessel "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NlaSvc\Parameters\Internet" (und in 4-5 weiteren) in dem die kompromittierende Mac (00-40-d0-8d-83-a6) zu finden ist. Ich werde nun mal die Mac aus den Eintraegen loeschen, vielleicht bringts ja was.

Falls jemand weiss, wo in der Registry ich die arp-Eintraege veraendern kann (falls das ueberhaupt moeglich ist, ich befuerchte nein), so waere ich aeusserst dankbar fuer ne kurze Info.

Und falls jemand weiss, wie ich eine cmd-shell mit endgueltiger Sicherheit als Admin ausfuehren kann, wuerde mich das auch sehr interessieren. Es scheint wirklich, als wenn Vista mich partout nicht volle Systemgewalt ausueben laesst.

Edit: Unter "HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ Tcpip\\Parameters" kann man einen DWORD Eintrag namens "ArpCacheLife" erstellen und in seinem Wert die Zeit in Sekunden angeben, die ein Arp-Eintrag im Cache gehalten werden soll. Das ist vielleicht die letzte Moeglichkeit fuer diejenigen (u.a. eben auch mich), die per arp -s nicht auf statisch umstellen koennen, die korrekte Mac des Gateways zu behalten.
 
Zuletzt bearbeitet:
Da soll nochmal einer sagen, die würden nicht durchgreifen ... ich sitz jetzt hier rum, mit meinem Handy als Modem und freue mich über meinen unfairen Wettbewerbsvorteil - ich kann jetzt eMails lesen!

Gestern hat noch alles funktioniert heute früh war's aus ...
 
Hervorragend! Kaum beklagt, schon gehts wieder!!! Alles wieder beim alten, oder wo sind die befallenen Rechner? Mir hat die ganze Sache jedenfalls ne Neuinstallation eingebracht und jede Menge Verluste an Daten!
 
Wie gesagt, dieses Wechseln zwischen Geht - Geht nicht! kommt daher, dass wenn eine falsche Gatewaymac in deiner Arp-Tabelle ist, du keinen Zugriff mehr aufs Internet hast.
Nach einer, wie es scheint, random-time aktualisiert Windows die Arp Tabelle wieder. Wenn du Glueck hast, bekommst du dann eine richtige Mac und kannst wieder surfen.

Man kann das aktualisieren der ArpCache allerdings auch erzwingen, in dem man einfach den Cache loescht. Das geht mit "netsh interface ip delete arpcache" im cmd-shell.

Dann sollte Windows eigentlich eine neue Arpcache bilden und wenn du Glueck hast, dir auch die korrekte Mac des Gateways uebermitteln.

und btw. - ich bin immernoch der Ansicht, dass das RZ nicht bzw. noch nicht derart "durchgreifen" wird. 1000 Internetdosen kaltzustellen bedeutet auch 1000 Beschwerden und evtl. auch 1000 mal Geltendmachung von Nutzungsausfall. Zur Schonung des oeffentlichen Geldbeutels und der Ohren von Fr. Lierse und Co., die dafuer ja ueberhaupt nix koennen und schon jetzt dauerklingelnde Telefone haben, wird man wohl von sowas absehn.
 
Zuletzt bearbeitet:
Geltendmachung von Nutzungsausfall? Das wird ja sowieso fast nichts für die Studenten kosten und bei uns war die Gebühr auch anders deklariert, so dass es ohnehin problemlos abschaltbar ist. Die Leute mit befallenem Rechner sollten froh sein, dass sie ausm Netz sind zumal dann ja auch andere Leute sich beschweren könnten, dass das RZ nichts gegen das virenverseuchte, kaputte Netzwerk unternimmt. Es müssen ja auch nicht alle 1000 gesperrt werden aber wenn man nacheinander alle MACs sperrt, von denen DHCP oder ARP-Antworten ins Netz gesendet werden, dann hat man das recht schnell behoben.
 
Das Rechenzentrum steht mit dir genauso in einen Dienstleistungsverhaeltnis wie als wenn du bei der Telekom o.ae. Kunde bist. Du kannst also genauso Nutzungsausfall bzw. Ersatz von Aufwendungen, die dir durch andere Internetverbindungen entstanden sind (wie oben erwaehnt zB. ueber GPRS oder in einem Internetcafe) geltend machen.
Recht hast du ja, dass die User teilweise selbst daran Schuld sind, dass sie u.u. gesperrt werden. Das muesste im Einzelfall aber nachgewiesen werden.
 
Na in den Verträgen steht aber was von vorbehalten bei missbräuchlicher Nutzung und wenn jemand hier Konkurrenz zum DHCP macht und versucht die Zugriffe der anderen Rechner umzuleiten dann fällt das durchaus darunter. Das dieser jemand das nicht absichtlich macht sondern weil er sich Viren zugezogen hat fällt dabei auch nicht ins Gewicht. Jeder ist für seinen eigenen Rechner verantwortlich. Von daher sehe ich wenig bedenken so eine Abschaltung durchzuführen.
Das es hin und wieder mal nicht läuft kann durchaus daran liegen das jemand einen virenverbreiter Anschmeißt und es etwas dauert bis er raus fliegt. Hat ja nicht jeder seinen Rechner 24/7 an.

@ JackB hasst Du mal versucht hinter dem arp Befehl noch die Deine IP zu schreiben? Bei mehreren Netzwerkadaptern ist das bei Vista u.U. nötig, so:
arp -s 141.35.184.1 00-06-52-da-0a 141.35.xxx.xxx <- deine ip
Damit sagst Du ihm bei mehreren Adaptern für welchen die Festlegung ist. Vielleicht liegt es ja daran.
 
Also bei meiner Uni sehen die Regelungen da ganz klar aus (aus den Regelungen zur Nutzung der Wohnheimanschlüsse):
Leider gibt es auch Situationen, in denen Ihr Anschluß gesperrt wird. Dies ist beispielsweise der Fall, wenn eines Ihrer Geräte Störungen im Datennetz verursacht bzw. Angriffe auf andere Rechner ausführt, weil es mit einem Virus oder Trojaner etc. infiziert ist. In diesem Fall wird Ihr Anschluß in ein Quarantänenetz verlagert, in dem Sie nur Zugriff auf den Windowsupdateserver der Universität und den Sophos Virenscannerserver haben, von denen Sie aktuelle Updates des Betriebssystems und des Sophosvirenscanners laden können.
Zum Vergrößern anklicken....
Verursacht der Rechner Störungen im Datennetz, wird er vom Rechenzentrum ohne Rücksprache vom Datennetz abgetrennt. Eine erneuter Zugang zum Datennetz ist erst möglich, wenn die Ursache der Störungen beseitigt ist. Verursacht ein Rechner wiederholt Störungen, wird er ab dem 3. Mal für jeweils 30 Tage gesperrt.
Zum Vergrößern anklicken....
Ich könnte mir vorstellen, dass es bei euch ähnliche Satzungen gibt...
 
Ja, ich habe sowohl arp -s mit angehaengter IP getestet, als auch mit angehaengter Interfaceidentifikation (in meinem fall "10"), sowie mit LOCALIP oder 127.0.0.1 ... ebenfalls habe ich alle anderen Netzwerkinterfaces deinstalliert bzw. deaktiviert, sodass zZ. nur noch das LAN als Netzwerkinterface laeuft. Hat alles leider nix gebracht.
 
BerniG schrieb:
Also bei meiner Uni sehen die Regelungen da ganz klar aus (aus den Regelungen zur Nutzung der Wohnheimanschlüsse)
Zum Vergrößern anklicken....

Regeln sind schoen und gut, aber bei manchen Schulen sind die Netze selber unsicher. Wir hatten Sasser Anfang dieses Jahres in der Berufsschule gehabt und Sophos konnte den zwar erkennen, aber nicht entfernen. Gluecklicherweise kannte ich das Admin-PW und konnte das Ding von meinem Rechner haendisch entfernen. Dies musste ich sogar tun, da ein Arbeiten auf Grund der Popups von Crappy Sophos, andauernd genervt haben. Wenn ich mich recht entsinne hatte die Schule 2005/2006 sogar noch den Nimda gehabt.

Aber um ins Netz zu kommen, muss man seine MAC-Adresse angeben. Das find ich auch gut so. Mehr Vorfaelle sind mir aber auch nicht bekannt (Ausbildung ging ja auch nur 3 Jahre).
 
Die Diskussion hier, dass man selbst Schuld an der Virusinfektion ist, ist dermaßen abstrus und lächerlich, das geht ja gar nicht. Meiner Meinung nach ist es dann die Schuld des Anwenders, wenn es Ihm möglich war die Infektion zu verhindern und er sich trotzdem infiziert hat.

In meinem Fall habe ich automatische Updates von Windows aktiviert, Kaspersky 2009 auf dem neusten Stand und in der betreffenden Zeit im Großen und Ganzen neben 1-2 deutschen Foren noch Spiegel online besurft. Was kann ich denn dafür, wenn mein relativ gutes Virenprogramm den Angriff eines PCs aus dem Netzwerk nicht abwehren _kann_. Vielleicht hat der oder diejenige ja unsachgemäß gesurft, bei dem es zuerst aufgetreten ist. Das macht mich aber nicht verantwortlich für einen Fehler, den das Rechenzentrum unfähig ist zu beheben.
 
Naja das Rechenzentrum ist ja nun auch nicht da um die PC der Nutzer hier zu wickeln und zu pudern. Wobei es natürlich schon etwas bedenklich ist das sie derartig lange brauchen um die Leute hier abzuschießen. Außerdem ist die Informationspolitik auch unter aller Sau. Die Einen kriegen eine Kriese und denken sie hätten sich einen Virus eingefangen weil ihr Internet nicht geht (was zwar am Virus liegt aber nicht daran das sie selber einen haben). Während Andere offenbar auch nach einer Woche nichts davon gemerkt zu haben scheinen, und wer bisher nichts gemerkt hat wird auch von selbst nicht drauf kommen. Von daher wäre da schon eine Information der Nutzer angebracht.
Bisher habe ich zur Art des Virenbefalls auch nur Gerüchte gehört von daher hab ich keine Ahnung ob das eine oder andere AV Programm da versagt hat. Aber das was ich bisher an Viren gesehen habe wird durch die entsprechenden Programme eigentlich zuverlässig entsorgt von daher wäre es mal interessant zu wissen was hier alles sein Unwesen treibt und ob das RZ überhaupt mal was zu machen gedenkt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Captain Mumpitz
CSGO - FPS Cap per Wattman greift nicht
Antworten
5
Aufrufe
1.113
Captain Mumpitz
Captain Mumpitz
S
Powershell startet automatisch & greift auf div. Dateien zu
Antworten
14
Aufrufe
7.208
Serjo
S
Quidoff
[Fritzbox] IPv6 Freigabe für Cubieboard (Ubuntu 16.04) greift nicht
Antworten
1
Aufrufe
1.411
heubergen
H
Boogeyman
Leserartikel Windows Rechner sicher einrichten und wichtige Verhaltensregeln
2 3 4
Antworten
69
Aufrufe
159.793
Boogeyman
Boogeyman
marcOcram
Reallocated Sector Count bei 2047 - greift Garantie?
Antworten
1
Aufrufe
1.433
Simpson474
Simpson474
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz