Ich habe eine Frage. Ich habe - zufällig - mit Cain&Abel festgstellt, dass sich eine Telnet Verbindung zu einer amerikanischen IP aufbaut. Ich selbst habe kein Terminal gestartet, die IP ist mir auch unbekannt. Außerdem, warum Telnet? Ich befürchte, ich habe einen Malwarebefall, oder?
-
Hallo liebe Userinnen und User,
nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.
Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.
Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.
Telnet Verbindung zu US-Server
- Ersteller Thomas
- Erstellt am
Kugelfisch
Nerd
Das ist in der Tat zu befürchten. Allerdings wäre durchaus interessant, den Netzwerkverkehr einmal über eine gewisse Zeit zu überwachen, im Idealfall auf einem von deinem System unabhängigen Gateway - schliesslich ist das Telnet-Protokoll (sofern über den Port nicht ein anderes Protokoll abgewickelt wird) unverschlüsselt und du kannst auf diesem Weg eventuell feststellen, was konkret übertragen wird. Bis zu einem endgültigen Befund musst du jedoch davon ausgehen, dass dein System kompromittiert ist.
- Thread Starter Thread Starter
- #3
@Kugelfisch:
JA, das wollte ich auch machen. Aber wie meinst du das? Von einem anderen Rechner aus? Und dann z.B. mit Wiresark mitsniffen?
Ist mir eigetnlich nicht bekannt.
Würde mich auch sehr interessieren.
JA, das wollte ich auch machen. Aber wie meinst du das? Von einem anderen Rechner aus? Und dann z.B. mit Wiresark mitsniffen?
Ist mir eigetnlich nicht bekannt.
Würde mich auch sehr interessieren.
nik
Guest
N
Genau, wenn du die Möglichkeit hast, von einem anderen Rechner aus, oder mit dem Router, falls der das unterstützt.
- Thread Starter Thread Starter
- #5
Ja, ich habe genug andere Rechner. Ob diese per LAN oder W-LAN im Netz sind, ist ja egal, oder? Ich möchte ja den Router abhören. Aber geht es nicht auf von meinem eigenen Rechner aus? Ich habe vorher kurz mitgesnifft, und die Telnet Verbindungen tauchen auf, welche Daten habe ich allerdings nicht gesehen. Das steht ja eig dann im mittlerne Fenster drin, oder? Wie das Alphabet bei Ping.
Obs mit dem Router geht, weiß nicht. Es ist ein DIR-615 - bin bei Kabel BW^^
Obs mit dem Router geht, weiß nicht. Es ist ein DIR-615 - bin bei Kabel BW^^
Kugelfisch
Nerd
Nein, um sicherzustellen, dass du tatsächlich alle übertragenen Daten mitschneiden kannst, ohne einen aktiven MitM-Angriff durchführen zu müssen, solltest du einen Rechner mit 2 NICs (2 Ethernet-Schnittstellen oder eine WLAN- und Ethernet-Schnittstelle) nutzen und die beiden Schnittstellen bridgen. Dein mutmasslich kompromittiertes System hängst zu dann hinter diesen Rechner und zeichnest den Datenverkehr z.B. mit Wireshark oder tcpdump auf.
Grundsätzlich schon, allerdings könnte aktive Malware die Ergebnisse (gezielt) verfälschen.
Mir wird aus deiner Beschreibung nicht klar, welches Wireshark-Panel du damit meinst. Sofern die Verbindung nicht verschlüsselt oder komprimiert ist und ein textbasiertes Protokoll verwendet wird (was im Falle von Telnet gegeben sein dürfte), reicht es auch aus, dir die übertragenen Rohdaten anzeigen zu lassen. Das ist in Wireshark per Rechtsklick auf eines der Pakete möglich - wähle im Kontextmenü `Follow TCP stream`.
- Thread Starter Thread Starter
- #7
Wäre zwar auch eine Möglichkeit, aber es ist aufwändiger. Wäre ja mit Cain&Abel oder Backtrack möglich.
Also eine LAN Schnittstelle, die ich auch aktiv nutze, und eine W-LAN, z.B. per Stick? Habe ich so jetzt noch nie gemacht. Und wie diese dann bridgen? Hierzu eine Frage: warum muss (in diesem Fall oder immer?) LAN und W-LAN genutzt werden, um ganz sicher alle Daten zu sniffen? Würde das auch mit Volatility gehen?
Ja, dieses Probelm würde tatsächlich bestehen.
Also, ich habe mirgesnifft. Ich habe im oberen der drei Fenster, also dort, wo die Netzwerkpakete, die Protokolle usw. stehen, gesehen, dass dort die Telnetverbindung auftaucht.
Bei den Paketdetails, also dem zweiten Fenster (dort, wo auch OSI Layer usw. zu fnden ist, habe ich eben gesehen, dass es von meiner IP, also der lokalen IP (je nach Ansicht, also OSI Layer II usw. die Ziel IP (öffentliche IP des Servers) aus geht.
Im dritten Fenster, also Hex Dump, habe ich keine Daten in Klarsicht gesehen - ich habe aber uach nur kurz geschaut, da ich dann soweiso runtergefahren habe. Dort müssten ja eig. Daten stehen, oder nicht?
Werde ich ebenalls testen! VIELEN DANK schon mal! Ist auch gut um zu "üben" - Meine DAten, also Passwörter habe ich bereits von einem anderen System geändetr. Es ist also nicht so schlimm, wenn ich kurzzeitig nochmals mitsniffe.
Edit: Ich lasse nun einmal auf meinem Rechner Wireshark laufen. Es sind wieder Telnet Verbindungen vorhanden. Übertragen wird es ja als Textdatei (steht ja schon im Cain & Abel). Ich habe auch "Follow TCP Stream", jedoch werden zwar lateinische Buchstaben angeziegt und viele Zeichen, aber es ist ein Wirrwar. Ich kann dort die Einstellung auf "Entiere Connections" oder so ähnlich lassen, obder Rohdaten anzeigen lassen, indem ich "Meine IP - IP Des Servers" anzeigen lassen. Dort stehem auch die Ports dabei.
Edit: Ich stelle gerade fest, dass es sich anscheinend um einen Tor Exit Node handelt. Ich nutze den Tor Brwoser. DA der Hostname nicht auf Tor hindeutet, habe ich nicht an Tor gedacht, da ich natürlich bereits eine WHOIS abfrage durchgeführt bzw. die IP aufgelöst habe. Aber kann das trotzdem normal sein?
Edit2: Testweise habe ich das Tor Browser Bundle beendet - paralle dazu wurde Telnet geschlossen. Es wurden laut Cain & Abel insg. 815890 Bytes übertargen, das heißt, ~ 796 KB, was etwa 0,7 MByte entspricht. Allerdings wäre das für den allgemeinen Tor Traffic wieder zu wenig. Für die Angaben in Wireshark würde es aber passen. Bei dem gesetzen Filter "tcp.stream eq 25" zeigt sich, dass die übertragegen Daten ~ 640 Byte (Capture Length) sind, also sehr, sehr wenig. Manchmal nur 54 Bytes.
Die IP ist laut "ipvoid.com" auch nicht geblacklistet.
Zuletzt bearbeitet:
Kenobi van Gin
Brillenschlange
Falls keine fest verbaute WLAN-Karte vorhanden ist, dann würde auch eine per Stick gehen. Bridgen tust du unter Windows, indem du im Netzwerk- und Freigabecenter beide Adapter markierst und dann Rechtsklick\Verbindung überbrücken klickst.
Ob du in diesem Fall zwei LAN-Verbindungen oder eine LAN- und eine WLAN-Verbindung nutzt ist egal. Du musst einfach nur dafür sorgen, dass der Netzwerk-Traffic durch den PC geleitet wird, der die Daten sniffen soll. Der Aufbau wäre also der, dass du den zu sniffenden Rechner nur mit dem überwachenden Rechner verbindest und diesen dann mit dem Internet. Dadurch, dass im überwachenden Rechner die Verbindungen gebridget sind, verbindet sich der verdächtige Rechner über den überwachenden Rechner mit dem Netz, die Daten laufen also alle durch den überwachenden Rechner, was die Überwachung natürlich enorm vereinfacht.
Du hast dir damit sozusagen einen eigenen Proxy aufgezogen.
- Thread Starter Thread Starter
- #9
Vielen Dank! Ja, es wäre kein Problem, Laptop hat einen W-LAN Chip integriert, habe aber auch noch Sticks.
Ja, danke! Sorry, war ne blöde Frage^^ Ist ja kein Problem. Habs nur noch nie gemacht.
Ja, aber wie soll ich von dem Rechner, der snifft, eine Verbindung zum mutmaßlich kompromittierten aufbauen?
Bitte erläutere das nocheinmal präziser.
Allerdings kann es sein, dass es ein Fehlalarm war. Ich weiß zwar nicht, weshlab Tor eine Telnet Verbidnung aufbauen sollte, aber ich habe zur Sicherheit das neue Paket des Bundels geladen - es wird laut Cain & Abel KEINE Telnetverbidnung mehr aufgebaut. Ich lasse nun auch noch Wireshark laufen.
Edit: Möglicherweise war das Tor Bundle - obwohl bei torproject.org geladen - kompromittiert.
Auch Wireshark snifft nun keine Telnet Verbindungen mehr.
Ja, danke! Sorry, war ne blöde Frage^^ Ist ja kein Problem. Habs nur noch nie gemacht.
Ja, aber wie soll ich von dem Rechner, der snifft, eine Verbindung zum mutmaßlich kompromittierten aufbauen?
Bitte erläutere das nocheinmal präziser.
Allerdings kann es sein, dass es ein Fehlalarm war. Ich weiß zwar nicht, weshlab Tor eine Telnet Verbidnung aufbauen sollte, aber ich habe zur Sicherheit das neue Paket des Bundels geladen - es wird laut Cain & Abel KEINE Telnetverbidnung mehr aufgebaut. Ich lasse nun auch noch Wireshark laufen.
Edit: Möglicherweise war das Tor Bundle - obwohl bei torproject.org geladen - kompromittiert.
Auch Wireshark snifft nun keine Telnet Verbindungen mehr.
Kenobi van Gin
Brillenschlange
Gar nicht. Es funktioniert genau andersrum. Der schnüffelnde Rechner stellt dem kompromittierten Rechner sozusagen seine Internetverbindung zur Verfügung. Und da Telnet kein verschlüsselndes Protokoll ist, die Verbindung vom kompromittierten Rechner zum Zielserver also nicht Ende-zu-Ende verschlüsselt ist, laufen ja alle Daten im Klartext über den Schnüffelrechner.
Da kannste dann einfach im Wireshark als zu sniffenden Netzwerkadapter die LAN-Schnittstelle wählen (an die dann jetzt mal der kompromittierte Rechner angeschlossen sei) und dürftest alle Pakete sehen, die der kompromittierte Rechner ans Netz schickt und vom Netz bekommt.
Ich habe das selbst noch nie probiert. Aber das ist es, wie ich den Kugelfisch verstanden habe. Falls nicht, möge man mich korrigieren
Kampfmelone
süß und saftig
- Registriert
- 22 Juli 2013
- Beiträge
- 590
Mal visualisiert:
Code:
Kompromittierter Rechner <-----> Sniffender Rechner mit Wireshark und Netzwerk-Bridge <------> Internet/Zielserver in den USA
|
-> Datenverkehr mitlesen, ohne dass einer der beiden Rechner dies erkennen kannKenobi van Gin
Brillenschlange
Genau so meintichs 
Kugelfisch
Nerd
Dies und die Tatsache, dass über die Verbindung offenbar keine Klartext-Daten übertragen wurden, deuten darauf hin, dass du eine Tor-OR- oder Tor-Directory-Verbindung (wohl aufgrund des Zielports 23) irrtümlich für eine Telnet-Verbindung gehalten hast. Schliesslich existieren durchaus einige Nodes, welche ihre Dienste an Port 23 anbieten, vgl. http://torstatus.blutmagie.de/index.php?SR=ORPort&SO=Asc und http://torstatus.blutmagie.de/index.php?SR=DirPort&SO=Asc. Nach deiner Beschreibung (US-amerikanische IP) kämen dazu etwa die folgenden Nodes in Frage:
- iron.v-yu.com [199.217.118.169], ORPort: 22, DirPort: 23
- host.colocrossing.com [198.46.138.204], ORPort: 23, DirPort: None
- 192.161.52.20.static.quadranet.com [192.161.52.20], ORPort: 23, DirPort: 9030
- Thread Starter Thread Starter
- #14
So, ja, ich denke es war so. Jedoch erschließt sich mir nicht, weshalb nun nach dem neune Tor Browser Bundle den ganzen Tag über keine entsprechende Verbindung mehr aufgebaut wurde. Ich habe den ganzen Tag Wireshark mit schon gesetztem Filter und Cain & Abel laufen lassen - nichts!
Ich war ebenfalls auf dieser Seite und habe gesehen, dass sie definitiv zu Tor gehört. Jedoch ist mir das durch eine einfach Whois Abfrage oder Auflösung nicht aufgefallen, da im Hostnamen nichts auf Tor hindeutet. Aber was bringt es, den Deinst über Port 23 laufen zu lassen?
Ja, in der Tat. Die genannte IP ist dabei.
Zur Übung werde ich trotzdem einmal die Netzwerkverbindungen bridgen - so etwas kann man immer brauchen. Ich danke dir recht herzlich!!!! Und auch den anderen.
Ich war ebenfalls auf dieser Seite und habe gesehen, dass sie definitiv zu Tor gehört. Jedoch ist mir das durch eine einfach Whois Abfrage oder Auflösung nicht aufgefallen, da im Hostnamen nichts auf Tor hindeutet. Aber was bringt es, den Deinst über Port 23 laufen zu lassen?
Ja, in der Tat. Die genannte IP ist dabei.
Zur Übung werde ich trotzdem einmal die Netzwerkverbindungen bridgen - so etwas kann man immer brauchen. Ich danke dir recht herzlich!!!! Und auch den anderen.
Kugelfisch
Nerd
Das ist nicht unbedingt verwunderlich, wenn da du mit dem neuen Bundle wohl auch deine alten Einstellungen überschrieben/gelöscht hast. Durch das Konzept der Entry-Guards (vgl. https://www.torproject.org/docs/faq.html.en#EntryGuards) baut Tor immer nur Verbindungen zu einigen einmalig (beim ersten Tor-Start) ausgewählten, stabilen Entry-Nodes aus - in deinem vorherigen Tor-Setup gehörte wohl der fragliche US-amerikanische Server dazu, in deinem jetzigen Setup nicht mehr. Mindestens zwei der oben erwähnten Nodes sind im Directory als potentielle Entry-Guard-Nodes gelistet.
Möglicherweise hofft der Serverbetreiber, dadurch einige Port-basierte Paketfilter umgehen zu können, möglicherweise handelt es sich auch um eine Anspielung auf die Illuminatus-Nummerologie. Zumindest kann ich darin nichts verdächtiges erkennen.
- Thread Starter Thread Starter
- #16
Ich habe leider erst jetzt gesehen, dass du nochmals geantwortet hast.
Ja, das schon.
Ja, aber das war nicht der erste Start.
O.K, vielen Dank!
Ich habe noch eine Frage: ich habe festgestellt, dass ich - durch reinen Zufall - VoIP Telefonate mitgesnifft habe. Ich frage mich, wie das sein kann. Zum Einen nutze ich keine VoIP, zum Anderen hat KEINER zu diesem Zeitpunkt telefoniert. Es sind mehrere Einträge vorhanden, der größe ist allerdings mit einer Datei, die knapp 7 000 Bytes umfasst - auch kann nichts abgespielt werden. Ich kann auch die IP sehen, an die das Gespräch gegangen sein soll. Was kannst du dazu sagen? Hast du eine Idee?
Eine andere Frage: ich habe einen Laptop, der mehrere Trojaner hat. Also nicht GVU oder so, andere, die in MSE angezeigt werden. Ich bin jemand, der dann konsequent neu aufsetzt, da das am sichersten ist, da man nicht weiß, was alles nachgeladen wurde und ob die Scanner manipuliert wurden. Die scheint hier sogar der Fall zu sein. Der Besitzer hatte neben MSE auch Avira installiert. Offiziell ist der Dienst am Laufen, aber der Schirm ist zu - was eben nicht auf Aktivität hindeutet.
Prinzipiell ist es immer besser, neu aufzusetzen, und zwar bei jedem Schadecode, oder?
Abgeshen davon, den gesamten Traffic mit Wireshark mitzusniffen oder Prozesse/Verbindungen mit Volatility zu analyiseren, dauert länger.
Ja, das schon.
Ja, aber das war nicht der erste Start.
O.K, vielen Dank!
Ich habe noch eine Frage: ich habe festgestellt, dass ich - durch reinen Zufall - VoIP Telefonate mitgesnifft habe. Ich frage mich, wie das sein kann. Zum Einen nutze ich keine VoIP, zum Anderen hat KEINER zu diesem Zeitpunkt telefoniert. Es sind mehrere Einträge vorhanden, der größe ist allerdings mit einer Datei, die knapp 7 000 Bytes umfasst - auch kann nichts abgespielt werden. Ich kann auch die IP sehen, an die das Gespräch gegangen sein soll. Was kannst du dazu sagen? Hast du eine Idee?
Eine andere Frage: ich habe einen Laptop, der mehrere Trojaner hat. Also nicht GVU oder so, andere, die in MSE angezeigt werden. Ich bin jemand, der dann konsequent neu aufsetzt, da das am sichersten ist, da man nicht weiß, was alles nachgeladen wurde und ob die Scanner manipuliert wurden. Die scheint hier sogar der Fall zu sein. Der Besitzer hatte neben MSE auch Avira installiert. Offiziell ist der Dienst am Laufen, aber der Schirm ist zu - was eben nicht auf Aktivität hindeutet.
Prinzipiell ist es immer besser, neu aufzusetzen, und zwar bei jedem Schadecode, oder?
Abgeshen davon, den gesamten Traffic mit Wireshark mitzusniffen oder Prozesse/Verbindungen mit Volatility zu analyiseren, dauert länger.
Kenobi van Gin
Brillenschlange
Kurz gesagt: Ja.
Siehe auch hier.
Zumindest, wenn du von Schadcode sprichst, sollte das in jedem Fall zutreffen. Was Adware etc. angeht, so müsste man das halt im Einzelfall entscheiden, ob da ne Neuinstallation notwendig ist.
Kugelfisch
Nerd
Da hast du mich wohl missverstanden. Ich wollte damit ausdrücken, dass Tor sich beim ersten Start einmalig für einen Satz Entry-Guard-Nodes entscheidet und diesen speichert. Bis du die entsprechenden Dateien löschst oder das Tor-Bundle neu herunterlädst, wird Tor genau diese Entry-Guards immer wieder verwenden (aus in https://www.torproject.org/docs/faq.html.en#EntryGuards erwähnten Gründen). Deshalb wurden bis zum Ersetzen des Bundles immer wieder Verbindungen zu besagter Node mit OR-Port 23 aufgebaut.
Wie genau hast du festgestellt, dass es sich um VoIP-Telefonie handelt? Möglicherweise handelt es sich auch dabei um eine Tor-Verbindung zu einem anderen Entry-Guard, welcher als OR- oder Directory-Port einen Port nutzt, welcher üblicherweise für VoIP vorgesehen ist (z.B. 5060/5061 für SIP). Bitte kontrolliere, ob die Ziel-IP-Adresse eine Tor-Node ist, welche den Zielport als OR- oder Directory-Port nutzt.
Korrekt.
- Thread Starter Thread Starter
- #19
Ja, scheinbar
Dies ist aber bezogen auf die Anonymität auch kritisch zu betrachten, oder? Welche Daten müssten manuell gelöscht werden? Den "Start-Up Cache"? Das wusste ich bisher nicht, sodass ich das nicht recherchiert habe. Zudem ist es ja nicht wirklich eine Gefahr, da es nur der Entry Node ist - die Route an sich ändert sich ja nach versch. Kriterien (z.B. Bandbreite etc.).Dies ist in Cain&Abel dokumentiert, da dort mitgesnifft wurde. Es sind andere Ports, als die für VoIP üblichen, es sind Port 1098 und 61458. Es handelt sich DEFITNIV nicht um einen Tor Node, dies habe ich sichergestellt. Es ist eine Verbindung von Kabel Deustchland. Ich selbst bin dort, jedoch habe ich eine ganz andere IP Adresse. Zu dem Zeitpunkt, als gesnifft wurde, habe ich leider kein RAM Dump (um genau zu kontrollieren), jedoch habe ich vom Vortag noch eine umfangreiche Wireshark Capture Datei. Ich habe diese mit dem Filter "ip.addr == xx.xxx.xxx.x" durchsucht, jedoch wurde diese IP nicht gefunden.
Da man, und das ist eben ein "Nachteil" bei Kabel, fast eine statische IP des ISP hat, ist es sehr wahrscheinlich, dass ich am Tag danach immernoch die selbe IP hatte, wie am Tag zuvor.
In Cain&Abel werden drei von den Einträgen als .wav Datei (zwei Mal) und als MP3 (einmal) gekennzeichnet.
Nur mal so btw:
http://www.amazon.de/NetGear-GS105G...ie=UTF8&qid=1386676349&sr=8-2&keywords=gs105e
Jeder, wirklich jeder der auch nur ein wenig in richtung IT Sicherheit denkt sollte IMMER seinen WAN Port mitsniffen,
das geht mit dem oben genannten switch fuer billiges geld sofort.
Modem -> GS105GE -> Netzwerk und direkt vom GS105GE entweder in ein altes Notebook mit Wireshark oder fuer die buntere fraktion -> http://www.athtek.com/netwalk.html .
Ich habe das ganze mit einem sehr teuren Lancom Router geloest, aber vom prinzip her geht das auch mit der 20€ Lösung.
http://www.amazon.de/NetGear-GS105G...ie=UTF8&qid=1386676349&sr=8-2&keywords=gs105e
Jeder, wirklich jeder der auch nur ein wenig in richtung IT Sicherheit denkt sollte IMMER seinen WAN Port mitsniffen,
das geht mit dem oben genannten switch fuer billiges geld sofort.
Modem -> GS105GE -> Netzwerk und direkt vom GS105GE entweder in ein altes Notebook mit Wireshark oder fuer die buntere fraktion -> http://www.athtek.com/netwalk.html .
Ich habe das ganze mit einem sehr teuren Lancom Router geloest, aber vom prinzip her geht das auch mit der 20€ Lösung.