Hacker rückverfolgen / melden oder sowas?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von fcs-freak, 30. August 2005 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 30. August 2005
    Ich wurde eben von ner (sehr guten) Freundin angerufen und sie erzählte mir halt dass ihr seit kurzem jemand über ICQ immer geschrieben hatte und er so gut wie alles über sie wusste, sie ihn aber nicht kannte und so weiter. Nachdem ich ne Zeitlang mit ihr redete stellte ich fest dass sie sich ganz sicher nen Trojaner eingefangen hatte und der typ daher die ganzen Informationen hatte (sowohl über sie, als auch über den PC). Der Typ sagte ihr sogar er habe sie gehackt etc.
    Sie war total aufgeregt und so. Ich hab ihr gesagt sie soll halt das übliche tun. Internetkabel ziehen, Antivirenprogramm neuinstallieren, später Passwörter etc. ändern, Bank anrufen (bei Internetbanking)...
    Sie fährt jetz jedoch bis morgen abend weg und ich bin bis Samstag weg.

    Der Trojan-Server wird wahrscheinlich noch auf dem PC sein und der Typ wird sich sicher auch wieder einloggen.
    Was kann man nun tun? Seine IP könnte man ja einfach über netstat bekommen und dann? Beim Provider melden zB? Hat man denn da überhaupt beweise?
    Den Server irgendwie knacken? Um evtl. ne DNS-Adresse oder Email-adresse zu bekommen.
    Ihn irgendwie mit seinen eigenen Methoden schlagen? (JA ICH WEISS, solche Anfragen sind seit neustem verboten. Ideen dürfen per PN gesendet werden?)

    Weil ich find das schon ziemlich assi von dem Typ. Der hat die richtig fertig gemacht / tyranisiert...

    Sie sagt der wär aus Bayern oder so. Wenn er hier aus der Gegend wär, ich würd glaub ich den Urlaub sausen lassen und dem nen persönlichen Besuch abstatten... ihr wisst ja garnit wie wütend... *argh*
     
  2. 30. August 2005
    mhm wie wärs mal mit einer firewall?

    mit netstat kannst du die ip auslesen mit den meisten firewalls auch ..
     
  3. 30. August 2005
    Spreche mit deinem Anwalt darüber!
    Melde dich bei dem Hacker und versuche mit Netstat -a seine IP herauszufinden.
     
  4. 30. August 2005
    Oder poste zur allgemeinen Erheiterung hier seine ICQ UIN.
     
  5. 30. August 2005
    jo was der kann keonnen bestimmt auch etliche RR User ^^ wird sein leben nicht mehr froh sein der junge
     
  6. 30. August 2005
    Na ja gut, wenn er nicht alzu vielen Sachen gestolen hat, dann würde ich es dabei belassen, aber dann halt das Inet-Kabel rausziehen, wichtige Daten sichern und Formatieren. Danach halt alles nochmal installieren, dann aber neue ICQ-Nummer, am Besten nicht viel vom Namen drin haben, Firewall, Antiviren, etc, Dann dürfte nichts mehr passieren und deine Freundin ist sicher.

    Falls wieder was passieren sollte, dann mach halt mal ein paar Screenies z.b. vom netstat, etc. und sicher halt so viele beweise wie nur möglich. dann kannst du ja dagegen klagen - ob es sich lohnt ist ne andere frage.

    aber deine freundin sollte wirklich neue icq und absolut anonym sein, also am besten nicht mehr mitm alten einloggen.
     
  7. 30. August 2005
    hm... joa. Also wie gesagt ich fahr heut nacht nach Holland und komme erst Samstag nach haus oder so. Dann werd ich mal bei ihr vorbeischaun. Evtl. findet sich ja en Trojan-Server den man knacken kann für ne DNS-Adresse oder so
    Ansonsten werd ich dann mal die ICQ-Nr. posten und der ein oder andere wird dann auch sicher die passende IP dazu finden und wer langeweile hat kann sich nach lust und laune austoben. 10er wär drin (wobei das ja natürlich wieder gegen die Board-Regeln verstößt. Also das war nur ein Scherz! Ich fordere niemanden auf irgendwelchen "Personen"/PCs zu schaden!!! Jeoch kann ichs auch nit verhindern falls es jemand macht...)
     
  8. 30. August 2005
    So wie du sagst, loggt sich der immer wieder bei deiner Freundin ein.
    Ich gehe davon aus, dass sie eine dynamische IP hat (schätz ich mal ziemlich sicher).
    Demnach muss sich der Server also beim Clienten melden.

    Zur Rückspionage:
    1. Installier eine ordentliche Firewall welche es ermöglichen sollte,
    seine IP rauszufinden.
    2. Kannst seine ICQ ruhig mal posten "zur allgemeinen Belustigung", Flooding, Bruten, etc.
    3. Sag deiner Freundin sie soll ihn auf die Ignore-List setzen.
    4. Öffne mal den Trojaner-Server mit einem Disassembler was es dir
    ermöglichen sollte, herauszufinden, wie der Server Kontakt mit dem Clienten aufnimmt (Mail, PHP- oder CGI Notify).
    Seinen Speicherort solltest durch "Start - Ausführen - msconfig - Systemstart"
    rausfinden - einfach einwenig nach ungewöhnlichen Einträgen suchen.
    Mit msconfig sollte es auch möglich sein, ihn beim Systemstart abzustellen.

    Damit eine neuerliche Trojaner-Infektion allerdings nicht gegeben ist, ist es
    unabdingbar, ein gutes AV-System und eine Firewall zu installieren.
    Desweiteren würde ich zur Sicherheit schnellstens die PWs ändern (von einem anderen PC aus!!)
     
  9. 31. August 2005
    na ja wäre aber ein dummer proger wenn er einen Trojaner schreibt der in der msc sichtbar ist.

    Die variante mit per Firewall die ip aus zu lesen klappt nur wenn er versucht ne connection auf zu bauen.

    Ich würde den trojaner bewust laufen lassen. Häng die kiste annen hub oder mach mac flooding bei nem switch wenn du kein hub hast und sniff dann den traffic mit. Dann weist du erstmal was das fürn trojaner ist, ob da überhaubt einer ist, denn meistents sind das script kiddies die nur labern, joa und du weist auf welche weise er informiert wird, ob über irc, email, HTTP, cgi oder was auch immer. wenn du beim sniffen beweise findest, coppy und ab per email an seinen isp (Range Tabellen giebt es im Netz oder direkt vom ISP).

    Ich hatte einen ähnlichen fall mal, hatte dauernt pw flooder die versucht haben sich auf meinem server per ssh an zu melden, ich hab das na woche lang beobachtet und es war immer die selbe ip mit ner 22ger range (Static gateway) joa dann hab ich den gescannt und sihe da das war ne auto tuning firma in Taiwan. Ich hab dann an denen ihren isp ne mail mit den logfiles geschrieben. Die schreiben ihre Kunden dann an bzw prüfen das vor her und wenn sich nix tut, wird der server vom netz genommen.




    Gruß Stiffler
     
  10. 4. September 2005
    So. War heut mittag mal bei meiner Freundin. Leider blieb irgendwie nit viel Zeit um am PC zu arbeiten (ihr wisst schon.. )...
    naja jedenfalls hab ich keinen verdächtigen Prozess, oder sonst irgendwelche verbindungen per netstat und sonstiges gefunden. Scheint wohl beim letzten durchlauf von nem AV-Prog vernichtet geworden zu sein...
    Hab aber schonmal die ICQ-Nr.: 333527745
    (iss ja nit verboten zu posten oder?)
    Also wie bereits gesagt... falls jemand mal langeweile oder so hat! Ich wär dankbar.
     
  11. 4. September 2005
    denke, das thema is gegessen. closed.
     
  12. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.