Trojaner im Netzwerk finden

[thixo]

Mahlzeit zusammen,

kurzer Hintergrund:
Wir haben bei uns 2 Netzwerke: Eins ist nur für die Firma (intern) und ein weiteres ist für unsere Gäste (extern). Beide Netze sind durch VLANs komplett voneinander getrennt, gehen aber über den selben Internetanschluss nach draussen. In der Regel bleibt jeder Gast ca. 3 Wochen bei uns und nutzt das Netzwerk hauptsächlich privat (surfen, Mails, Skype, etc.)

Nun haben wir folgendes Problem:
Wir haben von der Telekom einen netten Brief vom "Abuse-Team" bekommen, dass wir wohl einen Online-Banking-Trojaner bei uns im Netzwerk haben.
Nachdem bei uns alle PCs und Server mit Avira Prof. gesichert sind, liegt der Verdacht nahe dass der Trojaner im Gästenetzwerk ist... (wir können natürlich nicht ausschließen dass einer unser Clients/Server infiziert ist... da die aber alle über einen Proxy gehen, hätte uns das auffallen müssen)

Jetzt ist die Frage: Wie können wir herausfinden, ob das wirklich der Fall ist?
Habt ihr eine IDee, die uns weiterhelfen könnte?

Ich habs noch nicht probiert, aber könnte uns Wireshark weiterhelfen?

Vorab vielen Dank für Eure Mühe.

Liebe Grüße
thixo

 

[|SoulReaver|]

Versuche es mal hier: http://www.trojaner-board.de/

 

[wertzuiop123]

Server im Haus (fürs Netzwerk)? Nehme an Windows. Den mal mit Tools wie Antimalwarebytes durchsucht?

 

[thixo]

Hi,

danke für die Tipps, im Trojaner Board werde ichs auch mal versuchen.

Ja, Server im Haus... sind halt die typischen "Unternehmensserver"... Exchange, SQL, DCs, TS, etc.
Alle Server sind bereits überprüft worden, nichts drauf.
Außerdem soll das ganze per Mail verschickt worden sein und da das auch am WE passiert ist (keine MA im Haus), kann es eigentlich nur in diesem Gästenetz sein...

 

[Tigerass 2.0]

Was für ein Trojaner genau? Das schreiben die immer dazu soweit ich weiß noch vor der Geldstrafenandrohung und sonst kann das schon gut sein dass der befallene pc schon längst wieder weg ist. Ob wireshark sniffen nicht die Privatsphäre verletzt? Ich kann mir jedenfalls kaum vorstellen dass der in euren Systemen sitzt. Das war ein einzelner pc ziemlich sicher.

Lg Tigerass

 

[thixo]

Die E-Mail mit dem Online-Banking Trojaner finde ich gerade leider nicht, mittlerweile sind aber 2 weitere E-Mails aufgeschlagen.

Sehr geehrte Kundin,
sehr geehrter Kunde,

wir müssen leider davon ausgehen, dass von Ihrem Internet-Anschluss Spam-E-Mails versendet werden. Möglicherweise wird Ihr Internet-Zugang dazu ohne Ihr Wissen von Dritten genutzt. Eventuell sind diesen Personen auch schon Passwörter, Kreditkarten-, Bank- und sonstige Daten bekannt.

Den Hinweis auf Ihren Anschluss und die IP-Adresse haben wir von externen Sicherheitsexperten erhalten, mit denen wir zusammenarbeiten, um unsere Kunden zu schützen.

Die folgende IP-Adresse war zu dem genannten Zeitpunkt Ihrer Zugangsnummer zugeordnet:

IP-Adresse: IP
Zeitangabe: Zeitangabe

Wichtig: Bitte prüfen Sie Ihre Computer und beheben Sie umgehend die Ursache der missbräuchlichen Nutzung. Außerdem raten wir Ihnen dringend, sämtliche Passwörter zu ändern.
Eine Passwortänderung darf nur von einem Computer aus erfolgen, der garantiert frei von Viren und Trojanern ist. Sonst können die neuen Passwörter direkt wieder von Dritten ausgelesen werden. Ändern Sie auch die Passwörter für Ihren Router, für alle E-Mail-Adressen sowie Online-Banking, Ebay, Amazon usw. Passwörter von Telekom Diensten und Services können Sie zentral und einfach im Kundencenter unter https://kundencenter.telekom.de ändern.

Unter dem Link www.t-online.de/abuse/faq -> Reiter "Downloads & Handbücher" im Merkblatt Sicherheit, geben wir Ihnen Antworten auf die wichtigsten Fragen zum Thema Internetsicherheit, z.B. wie finde ich ein sicheres Passwort.

Sollten Sie die missbräuchliche Nutzung Ihres Anschlusses nicht unterbinden, müssen wir leider Ihren E-Mail-Versand einschränken, um andere Nutzer zu schützen.

Die missbräuchliche Nutzung eines Zugangs erfolgt häufig durch:
- Schadsoftware wie Viren oder Trojaner
- Zugriffe von Dritten über eine offene WLAN-Verbindung oder ungewollte
Kenntnis Ihrer Zugangsdaten
- Nutzung Ihres Netzwerkes mit infizierten Computern

Überprüfen Sie deshalb folgende Einstellungen Ihres Computers:
- Sind Betriebssystem und installierte Software aktuell?
- Ist eine aktuelle Version eines Virenscanners aktiviert?

Sofern Sie Ihr Sicherheitsproblem nicht selbst lösen können, empfehlen wir Ihnen, einen EDV Fachmann hinzuzuziehen.

Benötigen Sie weitere Informationen zu dieser Sicherheitswarnung, senden Sie uns einfach eine E-Mail an abuse@telekom.de. Geben Sie dabei unbedingt Ihre oben genannte Zugangsnummer an, damit wir Ihre Nachricht richtig zuordnen können. Unsere Mitarbeiter werden sich umgehend mit Ihnen in Verbindung setzen.

Sehr geehrte Kundin,
sehr geehrter Kunde,

vor einiger Zeit haben wir Ihnen bereits mitgeteilt, dass von Ihrem Internet-Anschluss unerwünschte Zugriffe auf fremde Rechner ("Hacking") erfolgt sind. Eventuell wurden auch Passwörter, Kreditkarten-, Bank- und sonstige Daten bereits ausgelesen.

Den Hinweis auf Ihren Anschluss und die IP-Adresse haben wir von externen Sicherheitsexperten erhalten, mit denen wir zusammenarbeiten, um unsere Kunden zu schützen.

Die folgende IP-Adresse war zu dem genannten Zeitpunkt Ihrer Zugangsnummer zugeordnet:

IP-Adresse: IP
Zeitangabe: Zeitangabe

Um zu verhindern, dass über Ihren Internet-Zugang andere Nutzer geschädigt werden, mussten wir Ihren Versand von E-Mails (Port 25) einschränken. Nicht betroffen sind das Versenden über Ihre *@t-online.de E-Mail-Adresse und die Verwendung des E-Mail Center (https://email.t-online.de). Mit anderen E-Mail-Programmen, wie zum Beispiel Microsoft Outlook, können Sie weiterhin Nachrichten empfangen, jedoch ist der Versand eingeschränkt.

Wichtig: Bitte prüfen Sie Ihren Computer und unterbinden Sie so die missbräuchliche Nutzung Ihres Zugangs.

1. Ändern Sie Ihre Passwörter.
Eine Passwortänderung darf nur von einem Computer aus erfolgen, der
garantiert frei von Viren und Trojanern ist, sonst können die neuen
Passwörter direkt wieder von Dritten ausgelesen werden. Ändern Sie
auch die Passwörter für Ihren Router, für alle E-Mail-Adressen sowie
Online-Banking, Ebay, Amazon usw.
Passwörter von Telekom Diensten und Services können Sie zentral und
einfach im Kundencenter unter https://kundencenter.telekom.de ändern.

Unter dem Link www.t-online.de/abuse/faq -> Reiter "Downloads &
Handbücher" im Merkblatt Sicherheit, geben wir Ihnen Antworten auf
die wichtigsten Fragen zum Thema Internetsicherheit, z.B. wie finde
ich ein sicheres Passwort.

2. Überprüfen Sie Ihre Computer-Einstellungen
- Sind Betriebssystem und installierte Software aktuell?
- Ist eine aktuelle Version eines Virenscanners aktiviert?

Die missbräuchliche Nutzung eines Zugangs erfolgt häufig durch:

- Schadsoftware wie Viren oder Trojaner
- Zugriffe von Dritten über eine offene WLAN-Verbindung oder
ungewollte Kenntnis Ihrer Zugangsdaten
- Nutzung Ihres Netzwerkes mit infizierten Computern

Sofern Sie Ihr Sicherheitsproblem nicht selbst lösen können, empfehlen wir Ihnen, einen EDV Fachmann hinzuzuziehen.

3. Heben Sie die E-Mail Einschränkungen auf.
Um alle E-Mail-Funktionen wieder vollständig nutzen zu können,
wenden Sie sich bitte schriftlich an unser Abuse Team.

E-Mail: abuse@telekom.de
Fax: 06151-680-9399
Internet: www.t-online.de/abuse/freischalten

Folgende Daten benötigen Sie für die Aufhebung der Einschränkungen:
Ihre Zugangsnummer und Ihre Kontakt E-Mail-Adresse, falls diese von
der *@t-online.de E-Mail-Adresse abweicht.
Hinweis: Ohne Kontakt E-Mail-Adresse können wir das Schreiben leider
nicht zeitnah bearbeiten.

Wir bedauern, dass wir mit dieser Einschränkung reagieren mussten und gehen davon aus, dass Sie schon bald wieder uneingeschränkt E-Mails versenden können.

WAS heißt eingeschränkt?
Irgendwie werden wir aus den E-Mails nicht so recht schlau...

 

[purzelbär]

WAS heißt eingeschränkt?
Irgendwie werden wir aus den E-Mails nicht so recht schlau...

So schwer ist das nicht zu verstehen: euer E-Mail Account wurde offensichtlich gehackt und fremde kamen an euer Passwort und missbrauchen jetzt eure E-Mail Adresse als Spam Schleuder. Das Abuse Team das mit der Telekom zusammenarbeitet hat das bemerkt und euch dementsprechende E-Mails geschickt und in denen geschrieben was Sache ist(nämlich das eure E-Mail Adresse missbraucht wird)und was ihr dagegen unternehmen müsst. Und um der Spamflut vorzubeugen hat die Telekom bis auf weiteres euren E-Mail Versand von dem Konto aus stark reduziert. Was ihr bzw du dringend machen solltet wäre das ihr einen EDV Fachmann zu euch ins Haus kommen lasst, dem die E-Mails der Telekom zeigt und das er sich ans Werk machen kann euer System zu bereinigen und vertrauenswürdig zu machen. Desweiteren solltet ihr alle Passwörter die ihr bisher verwendet habt umgehend ändern weil man nicht weiß ob die mit abgegriffen und auch missbraucht werden.

 

[thixo]

es steht da ja nicht, dass UNSER E-Mail Account gehackt wurde sondern dass von unserem Internet-Anschluss Spam verschickt wird. Wir gehen also davon aus, dass es ein PC unserer Gäste ist und versuchen das nun zu beweisen und den Übeltäter zu finden.

 

[purzelbär]

Und an dem Punkt angelangt würde ich an eurer Stelle einen EDV Fachmann kommen lassen weil der das Wissen hat wo er ansetzen muss und zum anderen würde ich eurer Stelle den Gästen den Internetzugang bei euch verweigern wenn sich herausstellt das die damit etwas zu tun hatten. Ich gehe davon aus das der EDV Fachmann herausfinden wird von welchen Gerät aus euer Internetanschuß missbraucht wurde. Ob ihr das selbst herausfinden könnt und eine Bereinigung durchführen könnt, möchte ich anzweifeln.
Und deswegen:

wir müssen leider davon ausgehen, dass von Ihrem Internet-Anschluss Spam-E-Mails versendet werden. Möglicherweise wird Ihr Internet-Zugang dazu ohne Ihr Wissen von Dritten genutzt. Eventuell sind diesen Personen auch schon Passwörter, Kreditkarten-, Bank- und sonstige Daten bekannt.

rate ich euch alle bisher verwendeten Passwörter sofort/umgehend zu ändern wenn nicht schon getan.
Was ich auch als wichtig einstufe: da ihr ja Kunden bei Telekom seit und vermutlich einen Speedport Router habt, empfehle ich uch: ändert bitte auch schnellstmöglichst das Router Zugangspasswort durch ein eigenes selbst erstelltes. Es ist bekannt das sich Hacker im Internet die Zugangspasswörter der Speedport Router der Telekom "besorgen" können um sich dann Zugriff auf euren Router und somit in euer Heimnetzwerk verschaffen können.
Bezüglich W-LAN: das habt ihr hoffentlich mit WPA2 abgesichert hoffe ich.

 

[Tyr0]

Naja aber wenn von dem Anschluss hauptsächlcih Spam versendet wird, ist die Entdeckung meiner Meinung nach wesentlich einfacher als bei einem online Banking Trojaner (der nur sporadisch arbeitet).

Erstelle auf dem Gateway (oder kurz davor) einen Mirror-Port und jag den ganzen Traffic durch Wireshark. Du kannst ja nach SMTP filtern oder alles was HTTP auf Zielport 80 (usw.) rausfiltern. Besonders wenn du das Wireshark-System das Wochenende durchlaufen lässt, sollten die Ergebnisse ja eindeutig werden. Alternativ kann man ja mal schauen ob ein IDS (z.B. Snort) in Frage käme.

P.S. Vergiss die rechtlichen Regelungen zum Datenschutz nicht. Besonders wenn du in einem Netz welches explizit zur privaten Nutzung freigegeben wurde, rumsniffst ist das aus meiner Sicht problematisch.

 

[omaliesschen]

Keine access-logs? Zeit ist bekannt, externe IP ist bekannt. Wer hat zu dem Zeitpunkt Zugang gehabt? War es euer Mailserver? Wer hat zu dem Zeitpunkt gepopped, geimaped, gesmpted, sshed, rdped?

Server mit PHP? Sendmail?


Gängige Ports:
SMTP:
25/TCP
465/TCP SSL

POP3:
110/TCP
995/TCP SSL

IMAP:
143/TCP
993/TCP SSL

etc.

 

[Tigerass 2.0]

Telekom überwacht den Netzwerkverkehr. Die haben uns an der Schule auch mal wegen Conficker angeschrieben, allerdings nicht so höflich
Mit eurer Mail hat das ganze nichts zu tun, es wird lediglich über euren Anschluss Spam verschickt. bei T-Online Mails wird dieser Spam rausgefiltert, deshalb könnt ihr die noch verwenden. Denke ich mir mal so

Im Notfall würde ich den Gastnetzwerkverkehr mitsniffen, bzw. schauen welche PCs auffällig oft emails versuchen zu verschicken (muss ja niemand wissen, tkom machts sowieso).

Eingeschränkt heißt, dass ihr über port 25 keine mails mehr schicken könnt, also smtp. Ausnahme bilden @t-online.de Endungen. Ich würde das aber trotzdem schnell klären.

 

[Rob83]

Wer sich auskennt findet das mit Wireshark recht flott raus.
Pakete sniffen wo was hingeht und man sollte erkennen was nicht rein gehört.

 

[=DarkEagle=]

Wenn ihr Logs habt, so vorgehen, wie schon weiter oben beschrieben wurde:

Ansonsten:
Ihr könnte eure Systeme ja mal komplett mit c't Desinfect durchscannen.

Für eure Gäste könntet ihr ja auch einen Proxy kurz einrichten, der dann nur HTTP-Verkehr auf Port 80 durchlässt.