v-rtc 88 Geschrieben 18. April 2017 Melden Teilen Geschrieben 18. April 2017 Hallo zusammen, wir haben durch Zufall herausgefunden, dass ein PC relativ viele Daten mit einer öffentliche IP austauscht. Mittlerweile haben wir sogar herausgefunden, dass es wohl ein Cookie sein könnte, welches beim Browser (Chrome, IE, usw.) aufgerufen wird. Nun die Frage an Euch, wie kann man nun genau das Cookie heraus finden? Steht im Cookie selbst evtl. die Public IP? Bisher haben wir TCPView und den ProccessMonitor genutzt. Vielen Dank.GrüßeRolf Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. April 2017 Melden Teilen Geschrieben 18. April 2017 (bearbeitet) Hallo Rolf, ein Cookie tauscht keine Daten aus. Ein Cookie wird beim einem HTTP(S)-Request im Header mitgeschickt. Und der Request muss von "jemand" ausgelöst werden. bearbeitet 18. April 2017 von zahni Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 18. April 2017 Autor Melden Teilen Geschrieben 18. April 2017 Hmm, Kollege meinte, er hätte Cookies gelöscht, danach hat das "funken" aufgehört... Wo könnte sowas sonst "hinterlegt" sein?Danke. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 18. April 2017 Melden Teilen Geschrieben 18. April 2017 Es kann natürlich Tracking-Geschichten geben, die sich, je nach gesetzten Cookie, unterschiedlich verhalten. Das ist dann aber im Code der jeweiligen Website bzw. deren Werbemüll verankert. Natürlich musst Du den PC noch auch nette "Zusatzanwendungen oder Browser-Plugins" untersuchen. Ich finde auch den HTTP-Debugger http://www.telerik.com/fiddler immer wieder nützlich. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 23. April 2017 Melden Teilen Geschrieben 23. April 2017 also ich verwende dafür immer: Microsoft network monitor: da sieht man die verbindungen direkt zu den Prozessen http://centralops.net/co/ check hier die IP, da sollte sich schon rausfinden lassen was das ist Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 25. April 2017 Autor Melden Teilen Geschrieben 25. April 2017 Ich schau noch mal, evtl. habe ich etwas übersehen. Die Range gehört zur Telefonica... inetnum: 92.224.0.0 - 92.227.255.255netname: HANSENET-ADSLdescr: Telefonica Germany GmbH & Co. OHGdescr: ADSL Pool Customerscountry: DEadmin-c: HNT-RIPEtech-c: HANO-RIPEstatus: ASSIGNED PAmnt-by: HANSENET-MNTmnt-lower: HANSENET-NOCmnt-routes: HANSENET-MNTcreated: 2007-11-08T15:55:34Zlast-modified: 2013-02-18T13:29:01Zsource: RIPE role: HanseNet Network Operatorsaddress: Telefónica Germany GmbH & Co. OHGaddress: Ueberseering 33aaddress: D-22297 Hamburgabuse-mailbox: abuse.de@telefonica.come-mail: hanoc@hansenet.comadmin-c: CS8096-RIPEtech-c: TG819-RIPE # Thomas Graumanntech-c: ASZ-RIPE # Andreas Schwarznic-hdl: HANO-RIPEmnt-by: HANSENET-NOCcreated: 2007-11-08T13:51:02Zlast-modified: 2016-03-08T11:04:52Zsource: RIPE Zitieren Link zu diesem Kommentar
Piranha 18 Geschrieben 25. April 2017 Melden Teilen Geschrieben 25. April 2017 Weshalb blockt ihr das Ding nicht einfach? Wundert mich sowieso das es nicht automatisch geblockt wurde, sofern es nicht benoetigt wird. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 25. April 2017 Melden Teilen Geschrieben 25. April 2017 Wenn man davon ausgehen kann/muss das der Rechner verseucht ist, dann kann man auchvden aussagen eines tools was auf diesem Rechner läuft nicht mehr trauen. Eine Eigenschaft von Rootkits ist es eben die eigenen Prozesse zu verstecken. Das Teil verhält sich seltsam: neu aufsetzen Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. April 2017 Melden Teilen Geschrieben 26. April 2017 browser+traffic zu irgendeinem ISP....tippe mal auf so plugins/Möglichkeiten zur Fernwartung ? So detailiert sieht man so etwas nämlich nicht im netmon, zeigt nur den Prozess+socket an, ein plugin bzw eien built in Funktion eiens Browsers scheint da nicht einzeln auf Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.