Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung

Wurde ich gehackt?

39 Beiträge, Schlüsselwörter: Hilfe, Hack, Firewall, SPY, Exploit, Shellcode

Wurde ich gehackt?

09.09.2014 um 20:14
@angswap

Du könntest auch einfach mal in der Systemsteuerung nachschauen ob vor kurzem irgendwelche Programme installiert wurden von denen du keine Ahnung hast worum es sich handelt.


melden
Anzeige
mayday
ehemaliges Mitglied

Lesezeichen setzen

Wurde ich gehackt?

09.09.2014 um 20:25
@angswap
@all

Startmenu und im Suchfenster cmd eingeben. Rechtsklick auf das gefundene cmd.exe und 'als Administrator ausführen' wählen.

Im Dosfenster eintippen (oder kopieren einfügen)
netstat -b -p TCP

Es wird eine Liste ausgegeben über die aktiven Verbindungen. Wenn euch hier was verdächtig vor kommt, der Sache weiter nachgehen.

Das gute daran ist, es ist 100% zuverlässig, man sieht was tatsächlich abgeht, da seht ihr dann auch welche Programme eine Verbindung wohin aufbauen, aber auch wenn wer von aussen auf dem Rechner wäre, braucht kein zus. Tool dazu.


melden
mayday
ehemaliges Mitglied

Lesezeichen setzen

Wurde ich gehackt?

09.09.2014 um 20:35
oder hier von Sysinternals, ist ggf praktischer, das nutzt Windows Netstat als Quelle. Simpel und doch so mächtig ;) http://www.chip.de/downloads/TCPView_13015059.html


melden

Wurde ich gehackt?

09.09.2014 um 20:40
http://gyazo.com/3cc0612b3b3c9b45221ec6ba2e306e93

mein netstat b p tcp

Was sagt das aus?
Und er meinte halt, er hackt nicht mehr, würde ich ihn dann trotzdem dort sehen?


melden
mayday
ehemaliges Mitglied

Lesezeichen setzen

Wurde ich gehackt?

09.09.2014 um 20:48
@angswap

Dein Rechner heisst hallo und hat intern Verbindungen aufgebaut, mit dem Port hinten dran, nicht so relevant für dich.

Dann siehst du links welcher Task welche Verbindungen hat. Ein Beispiel 'nvstreamsvr' hat eine aktive Verbindung zur IP 157.55.236.142 jetzt könntest du versuchen rauszukriegen wem diese IP gehört.

Gib die IP mal hier ein: http://www.dnstools.ch/visual-traceroute.html

Kommt leider nicht bis ans Ende durch, manche gehen aber bis ans Ende, manche Hubs blocken Trace/Ping Anfragen. Du könntest aber nun nvstreamsvr beenden, dann geht auch die Verbindung weg und im Netz googlen was das für ein Task ist.


melden
mayday
ehemaliges Mitglied

Lesezeichen setzen

Wurde ich gehackt?

09.09.2014 um 21:02
angswap schrieb:Und er meinte halt, er hackt nicht mehr, würde ich ihn dann trotzdem dort sehen?
Man sieht nur pausierte oder aktive Verbindungen, also wenn er einen Ausspäher auf dem Rechner installiert hat, wir der möglicherweise als Prozess noch laufen ggf. auch wenn er nicht online auf gerade der Kiste ist, würde dieser Prozess vielleicht im Status 'wartend' aufgeführt. Kommt aber darauf an um was es sich handelt.


melden

Wurde ich gehackt?

09.09.2014 um 21:35
nvstream = nvidia soweit ich weiß


melden

Wurde ich gehackt?

09.09.2014 um 21:36
Kaspersky hat schon bisschen was gefunden, melde mich wieder wenn der fertig ist.


melden

Wurde ich gehackt?

09.09.2014 um 23:15
http://gyazo.com/dfc480f4b6b02b7a2709d5e495d35168


melden

Wurde ich gehackt?

09.09.2014 um 23:15
Ich habe beide einfach mal gelöscht.


melden

Wurde ich gehackt?

09.09.2014 um 23:20
@angswap

Schaden kann es auf alle Fälle nicht.


melden
iwok
ehemaliges Mitglied

Lesezeichen setzen

Wurde ich gehackt?

11.09.2014 um 05:55
mayday schrieb:Ein Beispiel 'nvstreamsvr' hat eine aktive Verbindung zur IP 157.55.236.142 jetzt könntest du versuchen rauszukriegen wem diese IP gehört.
also die 157.55.236.142 gehört zu microsoft.... -->
Using server whois.arin.net.
Query string: "n + 157.55.236.142"


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#


#
# The following results may also be obtained via:
# http://whois.arin.net/rest/nets;q=157.55.236.142?showDetails=true&showARIN=false&ext=netref2
#

NetRange: 157.54.0.0 - 157.60.255.255
CIDR: 157.56.0.0/14, 157.54.0.0/15, 157.60.0.0/16
OriginAS: AS8075
NetName: MSFT-GFS
NetHandle: NET-157-54-0-0-1
Parent: NET-157-0-0-0-0
NetType: Direct Assignment
RegDate: 1994-04-28
Updated: 2013-08-20
Ref: http://whois.arin.net/rest/net/NET-157-54-0-0-1


OrgName: Microsoft Corporation
OrgId: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US
RegDate: 1998-07-10
Updated: 2013-08-21
Comment: To report suspected security issues specific to traffic emanating from Microsoft online services, including the distribution of malicious content or other illicit or illegal material through a Microsoft online service, please submit reports to:
Comment: * https://cert.microsoft.com.
Comment:
Comment: For SPAM and other abuse issues, such as Microsoft Accounts, please contact:
Comment: * abuse@microsoft.com.
Comment:
Comment: To report security vulnerabilities in Microsoft products and services, please contact:
Comment: * secure@microsoft.com.
Comment:
Comment: For legal and law enforcement-related requests, please contact:
Comment: * msndcc@microsoft.com
Comment:
Comment: For routing, peering or DNS issues, please
Comment: contact:
Comment: * IOC@microsoft.com
Ref: http://whois.arin.net/rest/org/MSFT

OrgAbuseHandle: MAC74-ARIN
OrgAbuseName: Microsoft Abuse Contact
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: abuse@microsoft.com
OrgAbuseRef: http://whois.arin.net/rest/poc/MAC74-ARIN

OrgTechHandle: MRPD-ARIN
OrgTechName: Microsoft Routing, Peering, and DNS
OrgTechPhone: +1-425-882-8080
OrgTechEmail: IOC@microsoft.com
OrgTechRef: http://whois.arin.net/rest/poc/MRPD-ARIN


#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# http://www.arin.net/public/whoisinaccuracy/index.xhtml
#

quelle: http://www.heise.de/netze/tools/whois/

sagt auch, ein firefox addon:
Hostname Unbekannt Internetdienstanbieter Microsoft Corporation (AS8075)
Kontinent Nordamerika Nationalflagge US
Land Vereinigte Staaten von Amerika Ländercode US (USA)
Region Washington Lokale Zeit 10 Sep 2014 20:40 PDT
Metropole* Seattle-Tacoma Postleitzahl 98052
Stadt Redmond Breitengrad 47.68
IP-Adresse 157.55.236.142 Längengrad -122.121
http://geoip.flagfox.net/


@angswap
was spuckt "netstat -ab" aus?
kann ja sein das da auch was läuft was z.b. UDP verwendet ...


melden

Wurde ich gehackt?

11.09.2014 um 21:24
Eine kleine offtopic frage: Wie überwacht ihr alle aktiven Verbindungen und offene Ports etc.? Ich würde gerne die Übersicht haben, aber auf Windows fühle ich mich sowieso nicht sicher. :p


melden

Wurde ich gehackt?

11.09.2014 um 21:42
@xotix1
Auf dem PC mit netstat.
Öffne dazu ein Terminal (z.B. mit Win-r und dann "cmd" eingeben) und gebe im Terminal "netstat ?" ein. Du bekommst dann eine Übersicht, mit welchen Parametern du das Programm aufrufen kannst. (Ich kenne mich leider nicht mit der Variante von Windows aus, nehme aber an, dass die Parameter anders als die der Linux-Variante benannt sind)
Ob Ports offen sind kannst du damit nicht kontrollieren, sondern nur, ob Programme auf diesen Ports horchen oder senden. Für offene Ports musst du in den Firewalleinstellungen deines Betriebssystems oder in der NAT deines Routers gucken, wenn dort irgendwelche Einträge sind, kann man vom Internet aus auf dem dort angegebenen Rechner zugreifen. Bei deinem Router kann man sich vielleicht auch anzeigen lassen, welche Ports per UPnP geöffnet wurden, falls du UPnP im Router nicht ausgestellt hat.


melden

Wurde ich gehackt?

11.09.2014 um 21:50
@NuclearGuru
Ja, ich kenn Netstat, aber ich suche eher was, das mich auf dem laufenden hält sobald was neues passiert.


melden
iwok
ehemaliges Mitglied

Lesezeichen setzen

Wurde ich gehackt?

12.09.2014 um 02:14
@xotix1
https://www.wireshark.org/

allerdings nach der installation: windowstaste+r --> "services.msc" (ohne " " ) --> "Remote Packet Capture Protocol v.0 (experimental)" deaktivieren ...
idR braucht man das nicht ...
außer man will halt wirklich:
Allows to capture traffic on this machine from a remote machine.
von extern traffic mitschneiden...
dieses winpcap braucht man allerdings, damit man ethernet (u. sonstige) -adapter in den promiscous-mode schalten kann, oder so ...

und da es nicht immer sinnvoll/möglich ist den gesamten traffic zu verfolgen hat wireshark so eine funktion die nennt sich "expert infos" ... die erreicht man, wenn man gerade am capturen ist, in dem man ganz links unten auf den uU farbigen kreis doppelt klickt ...
besser auf dem laufenden kann man eigentlich nicht sein...


melden
ThunderBird1
ehemaliges Mitglied

Lesezeichen setzen

Wurde ich gehackt?

12.09.2014 um 05:24
@angswap

Er soll Dir einfach zeigen wie Ers gemacht hat. Ansonsten kann Er doch viel erzählen?


melden
exploit
ehemaliges Mitglied

Lesezeichen setzen

Wurde ich gehackt?

14.09.2014 um 03:39
Wenn es ein Usermode (Ring 3) Schadprogramm ist helfen die gewöhnlichen AV Programme in der Regel recht zuverlässig. (Schad-) Programme die Ring 0, in denen der Windows Kernel die Treiber und die Hardware Abstraktionsschicht operieren, oder Programme die im "Ring -1" (System Management Mode) laufen, haben hingegen vollständigen Hardware Zugriff und können Systemkomponenten entsprechend verändern. Einen solchen System ist nicht zu trauen, da die AV Programme auf Funktionen der Windows API und in manchen Fällen auch des Driver Frameworks zurückgreifen. Diese Funktionen können verändert werden, entweder permanent (was unklug ist, da dies zu Systemfehlern führen kann) oder selektiv, nur beim Zugriff eines AV Programmes auf diese Funktionen.
Setze das System neu auf, unter völliger Formatierung der Festplatte (interne Chips der Peripherie werden in der Regel nicht von Schadprogrammen zur Speicherung ihrer Binärdateien genutzt) sollte das Schadprogram damit erledigt werden.

Nach neuaufsetzen:

cmd_admin; wmic; os set DataExecutionPrevention_SupportPolicy = 3, enter, bestätigen (y)
Das ist die Dateiausführungsverhinderung (DEP), CPU's führen dann Shellcode im Stack generell nicht mehr aus.

zusätzlich ASLR (Address Space Layout Randomization) aktivieren, Google hilft da weiter, den Registry Key kenne ich nicht auswendig.


melden
Anzeige

Wurde ich gehackt?

14.09.2014 um 23:12
@iwok
Danke, mal schauen. :)


melden

Bleib auf dem Laufenden und erhalte neue Beiträge in dieser Diskussion per E-Mail.


Oder lad dir die Allmystery App um in Echtzeit zu neuen Beiträgen benachrichtigt zu werden:

Ähnliche Diskussionen

252 Mitglieder anwesend
Konto erstellen
Allmystery Newsletter
Alle zwei Wochen
die beliebtesten
Diskussionen per E-Mail.

Themenverwandt
Frage Elektrotechnik70 Beiträge