Was kann man machen wenn man gehackt wurde?

#16 Das kannst du natürlich auch machen, ihn mit den alten System ködern
Such dir irgendeine Firewall erlaube alles log aber auch alles mit und werte
anschließend die Logs aus

Ein Ids system könntest du auch benutzten wäre aber nur sinnvoll wenn du server
laufen hast

Achja du solltest natürlich alle persönlichen Daten löschen

http://www.analogx.com/ hier gibt es einen sniffer. Pass aber auf wenn du den
länger laufen lässt erhälst du riesige Datenmengen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#17 Hat die WinXP Firewall überhaupt eine solche Log-Funktion? Wenn ja, wo kann ich die Logfile auslesen? Oder muss ich zum mitloggen ZoneAlarm installieren?

Welches IDS kann man denn empfehlen? Ich hab zwar den Hacker's Guide zu Hause zumliegen, aber der ist ja auch schon ein paar Tage alt und ich befürchte, dass die Softwarevorschläge daraus nicht mehr so ganz aktuell sind!

#18 www.snort.org ist aber uninterresant da du keinen server hast

Du musst gucken in den Menü indem du die Firewall aktivierst steht was von Log
hab allerdings noch nie die Xp Firewall benutzt
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#19 Hab die Logfile gefunden, und zwar unter: C:\WINDOWS\pfirewall.log. Ich musste allerdings mit einem Editor die Datei erst selbst erstellen. Es ist aber der Standardpfad.

Da sind aber noch zwei Optionen die standardmässig deaktiviert sind. Soll ich die aktivieren?

1. Verworfene Pakete protokollieren

2. Erfolgreiche Verbindungen protokollieren

#20 das 2 wäre jetzt wohl interresanter vorrausgesetzt er ist über Netbios eingebrochen, aber alles Logen kann auch nicht schaden deine Festplatte ist ja
schonmal 28 gb groß
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#21

Zitat

Aber es ist eher unwahrscheinlich, dass Kaspersky was übersehen hat. Das Programm ist wirklich spitze und erkennt fast alles. Schonmal probiert einen Trojaner gegenüber Kaspersky undetected zu machen? Na dann viel Spass...

Ja, das ist nicht einfach - unmöglich ist es aber auch nicht...
Siehe zu diesem Thema auch: http://return.to/scheinsicherheit
(die Seite ist noch nicht fertig, also nicht zu viel meckern... Verbesserungsvorschläge sind willkommen )
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#22 Stimmt, ist nicht unmöglich, im mosucker.de Forum hats auch einer geschafft, aber eher durch Zufall als durch Wissen. Aber in der Regel verlasse ich mich schon auf Kaspersky, auf andere AV Programm aber nicht. Wenn dem Kaspersky dann tatsächlich was durch die Lappen gehen sollte dann hab ich halt Pech gehabt. 100% Schutz gibt es nicht.

Übrigens: Sehr informative Website! Ich hab mir zwar noch nicht alles durchgelesen, aber es ist sehr anschaulich erklärt. Morgen lese ich mir mal alles durch.
Ich weiss nicht ob du es auch dazu geschrieben hast, aber du solltest auch erwähnen, dass duch scramblen/crypten der Server normalerweise nicht mehr richtig funktioniert. Bei mosucker.tk stand mal was, dass von 9aus10 gecrypteten Servern danach Macken haben und sind reif für die Mülltonne sind. Und ganz abgesehen davon gibt es vielleicht gerade einmal eine handvoll Crypter die wirklich was taugen und den Server unversehrt lassen. Und genau diese Crpter zu kennen erfordert schon Insiderwissen, was nicht jedes Script-Kiddie hat.
Aber das nur nebenbei ;-)

#23 Danke für die Blumen!
Ich muss aber hinzufügen, dass der Initiator (und für den Großteil der Website Verantwortliche) ein anderes Mitglied dieses Boards ist, nämlich Nautilus.

Dass viele Packer/Crypter die Trojaner-Server "unbrauchbar" machen, mussten wir übrigens selbst erfahren, als wir das Testset für unsere Scanner-Tests (zu finden unter "Scanner") zusammengestellt haben. Wir wollten ja kein Testset aus lauter "toter" Malware...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#24 Der Name Nautilus sagt mir auch was. Er hat mal einen interessanten Artikel übers Patchen in seinem "Wohlfühlboard" gepostet.

Das Posting meinte ich:
http://www.supernature-forum.de/vbb/showthread.php?s=&threadid=15206

Viel Glück mit eurer Website! Ich werde da auch öfters mal vorbeischauen.

#25 ich habe mir die Datei pFirewall.log auch mal angeschaut.

und musste feststellen, das er schon über ein Jahr nicht mehr Protokolliert wurde.

ist das normal?

ich führe sehr oft den Test von Symantec durch und da wird ja auch meistens eine Verbindung zum Rechner aufgebaut!

wir das dann nicht auch Protokolliert?

#26 Na ja, am Besten ist es wohl, ihr holt euch eine vernünftige Firewall. Denn gerade wenn ihr Daten aus dem Netz ladet, sind mehrere Ports offen und ihr braucht eine Firewall, die auch was taugt. Habe bestimmt nicht nur einen Artikel gelesen, wo die XP Firewall nicht gelobt wurde, gerade wenn man sich viel im Netz bewegt.

#27 ich habe die Firewall von XP ausgeschaltet, weil die nichts taugt, dafür habe ich ja Norton Firewall 2002 die mir sehr gut reicht!

und diese ist auf dem aktuellen Stand!

deswegen kann mir ja nicht viel passieren?

#28

Zitat

[SB]Benjamin postete
deswegen kann mir ja nicht viel passieren?

Eine gut eingerichtete "XP-Firewall" kann dir mehr bringen als ne schlechte Norten.

mfg p2k
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#29 ich führe ja regelmäßig die Tests durch, bis jetzt bin ich meistens immer durchgekommen, ohne das mich jemand gehackt hätte!

darauf verlasse ich mich!

oder wie prüfst du das nach, das deine Firewall richtig konfiguriert ist?

#30 Ich denke mal, ob man "gehackt" wird oder nicht hängt nicht nur von der Firewall ab.
Irgendwie musst du ja auch ein interessantes Ziel darstellen, damit als Opfer ausgewählt wirst

Und ob die Firewall dich hält, merkt man meistens erst wenn wirklich was passiert.
Davor bleibt einem außer Sicherheitsscans auch nicht viel..
__________
So wird mein Post von allen gelesen..