Unbekannter Rechner im Netzwerk

[War-10-ck]

Eine ausgezeichnete Art einen gemütlichen Samstag rum zu bekommen. Mir ist eben aufgefallen, dass sich bei mir im Heimnetzwerk ein Rechner befindet, den ich nicht zuordnen kann.

Name ist WLOCH-KOMPUTER. Zuerst aufgefallen ist mir das in der Windows Netzwerkübersicht. Die Maschine scheint sich über WLAN einzuhängen. Mein Netzwerk ist WPA2 geschützt mit einem recht langen Schlüssel. Nachdem ich leider nicht das Passwort habe um auf den Rechner zuzugreifen habe ich versucht die Kiste auszusperren.
WLAN Passwort geändert, MAC Adresse auf die Blacklist im Router gesetzt und Intensität vom WLAN Signal verringert.

Scheinbar hat aber nur das verringern des Signals etwas gebracht. Statt dauerhaft eingewählt zu sein erscheint das Gerät jetzt nur noch sporadisch. Wie zur Hölle geht das bitte, wenn ich den WLAN Key geändert und das Gerät im MAC-Filter eingetragen habe?

Was kann ich jetzt machen? Am liebsten wäre mir natürlich auf die Kiste zuzugreifen um raus zu finden was das für ein Gerät ist. Aussperren wäre aber auch schon mal ein Anfang.

Router ist ein D-Link DIR-615 Firmwareversion: 8.01

 

[darksider3]

MAC-Filter sind ein schreckliches Feature: Denn MACs lassen sich einfach fälschen/ändern. Nennt man "Mac Spoofing".

Hast Du irgendeine Art Programm auf dem Rechner, das ein VPN herstellt? Angeblich soll ein Programm namens "hamachi" solche Sachen öfter verursachen.
Ansonsten könnte es dir aufschluss bringen, wenn Du den Rechner mit "tracert"(so hieß das Programm in Windows doch?) mal anpingst, CMD öffnen und:

Spoiler

tracert PCNAME

Mehr fällt mir grad spontan nicht ein.. Neben erneutem Passwort ändern, natürlich.

EDIT: Zu dem Modell gibt es zwar Exploits, allerdings müssen die schon im Netzwerk sein, damit die Funktionieren=>und das ist nach einem Passwortwechsel eher unwahrscheinlich

 

[War-10-ck]

Dass man MACs faken kann weiß ich, allerdings wird er ja immer wieder mit der selben MAC angezeigt.
Tracert hab ich schon gemacht sagt mir aber auch nix, außer, dass er scheinbar direkt im Netz liegt.

Spoiler

Routenverfolgung zu wloch-Komputer [192.168.0.109]
über maximal 30 Hops:

1 1 ms 3 ms 1 ms WLOCH-KOMPUTER [192.168.0.109]

Ablaufverfolgung beendet.

Kotzt mich gerade echt an. Normalerweise mach ich bei sowas einfach immer meinen PC platt und hab dann Ruhe. Bringt mir nur bei dem Netzwerkmist wohl eher nichts.
Hamachi hab ich schon deinstalliert, lief aber eh nie. VPN und sowas hab ich auch nicht installiert.

 

[Bruder Mad]

"WLOCH(Y)" ist polnisch und bedeutet "Italien".
HAst du Polen oder Italiener in der direkten Nachbarschaft? Frag dann mal bei denen nach...

 

[eraser]

Recht schwer zu sagen, wie das geht. WPA2 ist ja ansich schon sicher.
Ich hab' da gerade wirklich keine Idee dazu, ausser irgendein WPS-Kram evtl. oder sowas. Versuche es doch erstmal einfach mit SSID ändern und verbergen/nicht öffentlich anzeigen. Danach nochmal das Passwort ändern und mal sehen, ob nicht Dinge wie ein Gastnetzwerk verfügbar sind. Ggf. unter einem anderen Ghz-Bereich. Router würde ich vorher zurücksetzen auf Werkseinstellungen und nachsehen ob man ein Firmware-Update erledigen kann.

 

[War-10-ck]

Letztlich hat offenbar geholfen die SSID zu ändern. Zumindest erscheint der Rechner in den Router-Logs nicht mehr in den letzten Stunden. Ich hab auch schon überlegt wer von meinen Nachbarn das sein könnte. So wirklich fällt mir aber auch keiner ein.

Würde mich echt interessieren wie sowas passieren kann. Normal sollte da ohne WPA Key keiner eine IP bekommen. Alles sehr seltsam.

 

[gelöschter Benutzer]

Vielleicht ist der Typ ja ein ganz krasser Hacker und hat dir nen Trojaner untergeschoben?

 

[Alero]

WPS nutzt du aber nicht? Früher konnte man mal mit Brute-Force das WPS-Protokoll angreifen.

 

[War-10-ck]

WPA2 mit TKIP und AES
Jetzt ist der WLOCH raus dafür gibts jetzt ein zweites Android Device... Langsam nervts. -.-

 

[Alero]

Weiss nicht was du für nen Router benutzt. Bei meiner 7390 kann ich den WLAN-Zugang auf die bekannten WLAN-Geräte beschränken. Da kommste nicht mal mit dem richtigen Passwort auf die Box.

 

[gelöschter Benutzer]

Weiss nicht was du für nen Router benutzt. Bei meiner 7390 kann ich den WLAN-Zugang auf die bekannten WLAN-Geräte beschränken. Da kommste nicht mal mit dem richtigen Passwort auf die Box.

Ja, das ist die MAC-Filterung. Hatten wir schon besprochen.


@War-10-ck: Logfiles anschauen? Hat eigentlich jeder AP.

 

[War-10-ck]

Aus den Logs kann ich nichts besonderes schließen, bin aber auch kein Netzwerkprofi... Wenn da jemand Ahnung von hat kann ich ihm gerne das File mal zukommen lassen.

Hab das WLAN jetzt unsichtbar. Ich weiß, dass das allein auch keine Sicherheit bietet. Bis jetzt ist aber Ruhe. Scheint aber auch immer ein wenig zu dauern bis sich die Geräte einwählen nachdem ich etwas wie SSID o.Ä. ändere.

Edit: kaum das man rein schaut wirds in den Logs interessant:

Spoiler

Jan 1 11:50:07 [ATTACK]: SYN Flood from 46.228.xxx.xx
Jan 1 11:11:15 [ATTACK]: SYN Flood from 54.247.xxx.xxx
Jan 1 11:11:15 [ATTACK]: SYN Flood from 54.247.xxx.xxx

 

[gelöschter Benutzer]

@War-10-ck: SYN Floods sind Grundrauschen. Das sind Internet-IPs

Schick mal per PN. Falls du Jabber hast, auch gerne dort besprechen.

 

[keksautomat]

Evtl. hilfts die SSID nicht rumzuposaunen? Klar, dann darfst du jedes neue Gerät einbinden, aber so kommen (schwerer) fremde Geräte ins Netz..?

Gruß

 

[gelöschter Benutzer]

@keksautomat: hat er doch schon:

Hab das WLAN jetzt unsichtbar

Und ist ne schlechte Idee: http://www.howtogeek.com/howto/2865...hiding-your-wireless-ssid-really-more-secure/

Stichwort "security by obscurity"

 

[accC]

Versuche es doch erstmal einfach mit SSID ändern und verbergen/nicht öffentlich anzeigen.

Was ja auch keine wirkliche Sicherheit bringt. Edit: phreak hat den Link schon gepostet, wo ausführlich erklärt wird, warum das nichts bringt.


Wenn da jemand so versessen auf dein WLAN ist, würden mir spontan witzige Dinge einfallen. Logge doch mal den Netzwerkverkehr zwischen dem Client und deinem Router. Du siehst ja, was da durch dein Netzwerk rauscht, wenn er VPNs verwendet, blockst du die IPs, dann kann er keine VPN Verbindung mehr aufbauen und muss sich entscheiden, ob er dir vertraut oder nicht. Danach kannst du mal anfangen zu schauen, ob du ihn nicht ein wenig ärgern kannst. HTTP Verbindungen könntest du beispielsweise konsequent auf ein 2girls1cup Video umleiten - da freut er sich bestimmt. HTTPS (443) blockierst du. usw.
Unverschlüsselte Verbindungen sind der Hit, da kannst du mitlesen, was er so überträgt. Wäre natürlich nicht ganz - nun ich sage mal legal, aber immerhin hat er sich in dein Netzwerk eingeloggt. Und sonst kannst du dir ja auch noch andere Späße ausdenken. Ich bin mir sicher, du könntest ihm, je nach Anwendung und Protokoll auch andere lustige Dinge unterschieben.

 

[eraser]

Ich sage es auch gerne nochmal: Update deine Firmware.

@accC: Natürlich bringt es was. Es hält zumindest ein paar Scriptkiddys von Spielereien ab. Da muss man nun nicht mit Kanonen auf Spatzen schiessen, wenn der TO absolut keine Ahnung von Netzwerktechnik etc. mitbringt.

Nachtrag: Im übrigen würde ich keine Sekunde ein unsicheres offenes Wlan betreiben. Stichwort: Betrug, KiPo etc. und das alles auf deinen Anschluss.

 

[accC]

@accC: Natürlich bringt es was. Es hält zumindest ein paar Scriptkiddys von Spielereien ab.

Richtig, genauso wie die Stop-Schilder im Internet wirklich etwas bringen. Es hält ja immerhin die DAUs davon ab, zensierte Websites zu besuchen.
Allerdings, wer sich in ein WLAN hackt, fällt vielleicht nicht unbedingt unter die Kategorie DAU. Daher bringt es dem TS nun mal wirklich gar nichts, außer ein falsches Sicherheitsgefühl, wenn man ihm empfiehlt, das WLAN zu "verstecken".

Da muss man nun nicht mit Kanonen auf Spatzen schiessen, wenn der TO absolut keine Ahnung von Netzwerktechnik etc. mitbringt.

Ich sage ja nicht, dass er sich Equipment zum orten des Clients besorgen und diesem dann mit der Pumpgun einen Besuch abstatten soll. - Was ich allerdings auch keinem "Netzwerkprofi" oder sonst wem empfehlen würde.

 

[eraser]

Unabhängig davon, dass das nur ein kleiner Punkt von vielen weiteren war, welche im empfahl um eventuell einen Brand kurz zu löschen (wenn du dir den Finger ansägst, machst du doch auch erstmal ein Pflaster drauf, bevor du ihn ärztlich versorgen lässt?!), handelt es sich doch um 99% um Scriptkiddys, die eben vorgefertigte Tools nutzen für eben solche Aktionen.
Ausserdem ist das Internet voll mit Bugs zu den veralteten Firmwares und der DIR 615 sehr verbreitet.

Sicher kann hier ein ganz l3et3R Haxx0r dahinterstecken. Ich zweifle jedoch stark daran.

 

[accC]

Ich glaube nicht, dass man wirklich viel Ahnung haben muss, um an nahezu DAU taugliche Tutorials zu kommen, die einem erklären, wie man "versteckte" SSIDs findet.
Also jedes Kiddie, das mehr als 2, genauer gesagt mindestens 3, Zeilen Tutorial liest, sollte dazu in der Lage sein. Auch wenn der Aufwand die SSID zu "verstecken" nahezu vernachlässigbar ist, wird das Kosten/Nutzen technisch kaum von Interesse sein.

Wir reden hier nicht von einem kleinen Schnitt am Finger, sondern davon, dass der Finger ab ist. Bei Sicherheit gibt es nur "ganz oder gar nicht", kein "ein bisschen Sicherheit".