Frage: Bin ich gehackt worden ?

[Valkyrianer]

Wo?
Allfällige Malware wurde noch nicht gefunden und wie genau die Datei auf den Server gekommen ist würde mich auch noch wundernehmen.
@topicstarter
Bist du (relativ) sicher, dass alle deine Clients mit denen du dich jemals via FTP eingeloggt hast sauber sind? Hast du dich in der fraglichen Zeit mal von auswärts eingeloggt, vielleicht aus einem Internetcafe? Oder hast du Mails mit verdächtigen Dateianhängen bekommen? Einen ständig aktualisierten Virenscanner verwendest du auch?

Guten Morgen,
also mein erstes Betriebssystem war CPM, danach ging es weiter mit MS_DOS 1.0.., ich bin also kein Anfänger. Aus einem InterNetcafe würde ich das nie machen. Dateianhänge, behandle ich mit äußerster Vorsicht aus besagten Gründen. Das letzte mal, dass ich mich auswärts eingeloggt habe, ist mindesten ein 1/4 Jahr her. Ich bin jemand der absolute Systempflege betreibt. Das heißt ,immer die aktuelle Firmware einpflegt, seinen Virenscanner aktuell hält und auch Update zu Sicherheitslücken einspielt. Der Virus wurde am 4.12 installiert, am 5.12 habe ich ihn eindeckt.

Ich danke euch für eurer Interesse und habe auch noch etwas da zu gelernt. Ich werde die Passwort Datei, die im .htaccess steht künftig auf meinem anderen Server installieren und keinen FTP Zugang wählen, wo der Benutzername auf der Homepage steht.

Ich denke im Moment wird es keine Lösung geben. Was mir persönlich wichtig ist, wie kann ich mich schützen und da ich im Moment absolut im Dunklen tappe, löst das ein Unbehagen bei mir aus. Ich habe alle Rechner gescannt mit Bitdefender und Gdata und sie haben nichts gefunden. Ich werde weiter suchen.

Gruß Uwe

 

[Valkyrianer]

Guten Morgen jahlives,

zur weiteren Klärung würde ich dir anbieten meine Log Files aus der DS auszuwerten.
Leider habe ich von Linux keine Ahnung. Ich hatte mich als Root und auch als Admin per Putty eingeloggt, es scheiterte dann an meinem Wissen wie ich die Logfiles auf meine Windowsplatte kopiere.

Gruß Uwe

 

[jahlives]

Leider habe ich von Linux keine Ahnung. Ich hatte mich als Root und auch als Admin per Putty eingeloggt, es scheiterte dann an meinem Wissen wie ich die Logfiles auf meine Windowsplatte kopiere.

Du könntest das Logfile auf eine Samba Freigabe kopieren und dann im PC angucken

cp /var/log/messages /volume1/public/
chmod 0644 /volume1/public/messages

 

[Valkyrianer]

Du könntest das Logfile auf eine Samba Freigabe kopieren und dann im PC angucken

cp /var/log/messages /volume1/public/
chmod 0644 /volume1/public/messages

Super, ich danke dir für die Info. Es hat sofort geklappt.
In dem Logfile fehlt meines Erachtens die Zeitangabe für den Vorfall.
Ich würde dir gerne den Logfile per PN oder Email zusenden, vielleicht siehst du mehr. Finde jetzt auf Anhieb aber die Option nicht im Board.

Gruß Uwe

 

[jahlives]

Via PN kannst du afaik keine Anhänge verschicken. Pack das File in ein Archiv und schick es mir per Mail an jahlives(Ät)gmx.net

 

[Trolli]

...oder Du lädst es bei einem Hoster wie Rapidshare hoch und schickst halt den Link per PM.

 

[jahlives]

...oder Du lädst es bei einem Hoster wie Rapidshare hoch und schickst halt den Link per PM.

Ich verweigere mich Rapidshare gegenüber

 

[Trolli]

Für solche Dinge ist es ganz praktisch. Und es gibt ja genug Alternativen, falls Dir genau dieser Anbieter nicht liegt.

 

[jahlives]

Für solche Dinge ist es ganz praktisch. Und es gibt ja genug Alternativen, falls Dir genau dieser Anbieter nicht liegt.

Geht mir mehr darum, dass man bei der Nutzung solcher Anbieter oft in die Ecke "Raubkopierer" gestellt wird

 

[Trolli]

Na ja - Du bist ja auch kein Raubkopierer, nur weil Du einen CD-Brenner besitzt. Und es gibt durchaus sehr sinnvolle und völlig legale Einsatzzwecke für diese Dienste.

 

[itari]

Na ja - Du bist ja auch kein Raubkopierer, nur weil Du einen CD-Brenner besitzt.

Naja - mit einem CD (!!!) - Brenner wäre er ja auch einer der 'alten' Schule

Ich denke, wer einen PC hat, ist verdächtig. Im Internet sind ja eh nur noch Kriminelle und wer Dateien übers Netz kopiert, ist grundsätzlich schon jeseits von Gut und Böse und gehört nach Schweden ausgeliefert.

Itari

 

[jahlives]

@Valkyrianer
Konnte am 4.12. bei dir keine verdächtigen Meldungen finden v.a. nichts im Zusammenhang mit FTP
Auch autoblock wird nur am 5.12. einmal erwähnt, dort allerdings im Zusammenhang mit ftp.
Eventuell könnte es sein, dass autoblock ein eigenes Logfile verwendet und nur Fehler nach messages schreibt.
Hast du denn in autblock im DSM nicht etliche IPs, die gesperrt sind? Oder hast du allenfalls die Option eine gesperrte IP nach einer gewissen Zeit zu entfernen gewählt?
imho solltest du davon ausgehen, dass bei dir irgendwo Malware rumkriechen muss. Hast du auch mal einen Rootkit Hunter wie z.B. gmer auf deine Clients losgelassen? Alles sauber?
Auch mal einen Scan von einer LiveCD aus gemacht? Das garantiert dir einen sauberen Scanner und ein sauberes System. Bei einem bereits befallenen laufenden System gäbe es sonst für Malware Mittel und Wege den Virenscanner an der Nase herumzuführen. Allerdings solltest du bevor du einen Scan mit einer LiveCD machst immer erst im laufenden System einen spezialisierten Rootkit-Hunter einsetzen. Rootkits sind in einem laufenden System sehr viel "einfacher" zu finden, als bei einem Scan mit LiveCD.
Alle anderen Virenarten findet man dann jedoch meist zuverlässiger mittels einer LiveCD.
Au jeden Fall solltest du mal die Internetverbindung für deinen Client trennen während du die Scans machst. Wenn alle Scans nichts ergeben, würde ich mich daran machen alle Passworte zu ändern und ggf die DS via hard-reset und Aufspielen der Firmware wieder in einen definierten Zutstand zu bringen. Das würde sicherstellen, dass wichtige Systemfiles der DS wieder auf den Standart gesetzt würden, nur für den Fall, dass Hacker/Cracker/Scriptkiddy doch irgendetwas auf der DS ändern konnte

 

[Hyper1on]

Mh, muss mich hier mal einklinken.

Habe seid einigen Tagen ständig eine IP, die auf meine DS verbunden ist:

IP-Adresse [?]: 202.169.175.22 [Whois] [Reverse IP]
Ländercode der IP: TW
Land der IP: ip address flag Taiwan
Bundesland der IP: T'ai-pei
Stadt der IP: Taipei
Breitengrad der IP: 25.0392
Längengrad der IP: 121.5250
Provider der IP [?]: Academia Sinica Computing Centre
Organisation: Academia Sinica Computing Centre
Lokale Zeit in Taiwan: 2010-12-14 00:44

Logfiles sehen soweit sauber aus. DIe verwendeten Ports sind:

Local: 41092 Remote: 3653

Und ich wunder mich schon die ganze Zeit warum meine Platte nicht mehr in den Hibernatemodus geht, kann ja dann wohl nur an der offnen Verbindung liegen.

Gibts ne Möglichkeit die Verbindung manuell zu trennen?

EDIT:

Ok, bin auch selten dämlich.

Wenn ich mir den Remoeport anschaue ists nen Tunnel Port, wird also warscheinlich die IPv6 Verbindung sein.