Steven OSeal 10 Geschrieben 9. September 2011 Melden Teilen Geschrieben 9. September 2011 Hallo, da ich nicht wusste in welches Forum ich das Posten soll, hab ich einfach mal Win7 gewählt da mein Client zu Hause ein Win7 ist. Ich wurde vor wenigen Tagen von einem Homepage Betreiber angemahnt, ich solle es doch unterlassen seine Homepage mit Scripten anzugreifen. Auf diese doch recht heftige Anschuldigung habe ich erstmal einige Notmaßnahmen ergriffen um eine mögliche Infektion mit Viren auszuschließen. Meine beiden PCs zuhause sind mit jeweils drei AV Produkten gescannt worden (per Rescue CDs) und alle ohne Ergebnisse. Da einer meiner PCs sowieso auf der abschußliste stand... hab ich den gleich mal neu Installiert. Auf meine Frage wann der Angriff denn erfolgte und wie man auf mich gekommen sei, wurde mir per Mail ein Zeitraum und eine IP genannt die Laut meiner Fritzbox im gesagten Zeitraum tatsächlich von mir benutzt wurde. Ich wollte jedoch genau wissen was vorgefallen ist und hab mir das Access Log des Webservers senden lassen. Da bin ich jetzt jedoch stutzig geworden. Die betreffenden "Angriffe" wurden mit einer IP geloggt die mit einer 0 am Ende aufgeführt werden. So wie ich den Apache verstehe, werden im Log immer komplette IPs aufgeführt. Es sei denn es ist ein MOD im Einsatz der die IP verschleidert. Daher Frage ich mich, wie sind die auf mich gekommen? Desweiteren finde ich einen 302 verweiß ist dem Log vor und das sehr häufig. Dies soll angeblich auch der Angriff sein. Aber das sagt doch nur aus das er ein Ziel nicht finden konnte und dies umgeleitet wurde oder ? Was aber noch Richtig klasse ist, ist der User Agent. Hier wird ein ubuntu mit Firefox 3.0.10 genant. Sowas besitze ich garnicht. Nicht mal Virtuell hab ich ein Linux bei mir stehen. Ich bin also langsam echt am Rätseln wie dieser Angriff angeblich von mir gekommen sein soll. 1. Alle PCs sind Virenfrei 2. Kein Ubunut auf meinen beiden PCs vorhanden, nichtmal Virtuell 3. WLAN war abgesichert mit Mac Filter und WPA2 Verschlüsselung und es wurden keine unbekannten Geräte im Verbindungsprotokoll aufgeführt. Hat jemand von euch noch eine Idee a) Wie man auf meine IP gekommen ist und b) wo ich noch suchen kann? Kann mir jemand ne Hardware Firewall Appliance empfehlen die ein Proxy mit drin hat, damit ich zukünftigt aufrufe aus meinem Privaten Netz loggen kann ? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 9. September 2011 Melden Teilen Geschrieben 9. September 2011 Moin, für mch klingt das, als hätte da jemand IP-Spoofing betrieben, um seine eigene Spur zu verwischen. Derjenige bekäme dann zwar keinen Traffic vom Webserver zurück, aber wenn es wirklich ein Angriff war, will er das ja auch nicht. Denkbar wäre zwar noch Folgendes, aber nach deinen Schilderungen halte ich das für unwahrscheinlich. Rent-a-Bot Networks Tied to TDSS Botnet — Krebs on Security Gruß, Nils Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 9. September 2011 Melden Teilen Geschrieben 9. September 2011 Hi, so ne Hardware Firewall Appliance ist ja auch ein finanzieller Aufwand. Wenn es nur darum geht eine Zeit lang überprüfen zu können was das Netzwerk übers Internet kommuniziert, das habe ich in der Vergangenheit gelöst mit einem alten PC mit zwei Netzwerkkarten, Linux als OS und dem einfachsten Proxy der in der Linux-Distri mitgeliefert wird, oder am Modemrouter einen Hub anhängen (oder Managed Switch mit konfiguriertem Mirror-Port) und mit einem (in meinem Fall) WinXP mit Wireshark mitprotokollieren lassen. lg D. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.