Was kann man machen wenn man gehackt wurde?

#1 Hallo zusammen!

Ich schreibe hier das erste mal in diesem Board und weiss nicht so genau ob ich hier richtig bin.

Folgendes ist gestern passiert. Als ich gestern Nacht nach Hause gekommen bin hab ich festgestellt, dass mein PC die ganze Zeit an war, was kombiniert mit meiner Standleitung bedeutete, dass ich auch die ganze Zeit online war. Die Gelegenheit hat dann gleich mal ein kleiner vorwitziger Hacker/eher Cracker genutzt um eine komplette Partition von mir zu löschen, insgesamt 28GB. Darunter war auch eine Video-Mp3 -und Downloadsammlung die ich mir über 2 Jahre hinweg aufgebaut habe. Alles auf einen Schlag weg. Zum Glück hatte ich ein verhältnismässig aktuelles Backup auf dem Rechner meines Vater, der Schaden hielt sich also in Grenzen. Trotzdem geht es mir gehörig gegen den Strich, dass so ein Script-Kiddie meinen Rechner ohne Rücksicht verwüstet.
Es war zwar auch dumm von mir, dass ich meine Firewall nicht angeschaltet hatte, aber die musste ich zum Online-Gaming ausschalten um da nicht permanent mit einem roten Ping rumzulaufen. Hab die dann vergessen im Nachhinein wieder anzustellen! :-(
Heute habe ich dann bei meinem Provider angerufen und gefragt inwieweit der Server IP-Adressen mitloggt und ob die Möglichkeit bestünde, dass auch evtl. 'mein Hacker' dabei ist. Die Antwort war kurz und knapp. "Nein sowas wird nicht mitgeloggt, das wären ja Unmengen an Daten die die Logfile mitschreiben müsste und ausserdem fällt das ganze unter das Datenschutzgesetz" etc. etc.

Daher meine Frage an euch:

Wie kann ich mich nun gegen so einen Eindrung im Nachhinein wehren und -mal den Fall gesetzt, dass er ein Script-Kiddie war und nicht mehr drauf hat als irgendwelche vorgefertigten Exploits anzuwenden - seinen Provider ausfindig machen und damit auch evtl. ihn aufzuspüren?
Wie würdet ihr das angehen?

Mich kotzt die ganze Sache so sehr an, zumal ich in Sachen Internetsicherheit eigentlich auch ein solides Basiswissen habe. Und jetzt läuft hier irgendwo so ein kleiner 16-jähriger Pisser rum und fühlt sich geil, dass er auf einem schutzlosen Rechner gewütet hat. Das ist zuviel für mich ;-)

Übrigens: Er hat verschiedene Verzeichnisse angelegt und eines nannte er "PC hacked by GSG". Ist euch diese Signatur bekannt? Er scheint ein Deutscher zu sein, weil die Verzeichnisnamen deutsche Wörter enthielten.

Danke für jede Hilfe!!

CidJoe

#2 Eigentlich kannst du nur zur Polizei gehen und anzeige gegen unbekannt erstatten
ich würde bei einer Anzeige aber aufpassen ich nehme mal an deine Filme sind
nicht legal?

Hast du denn wenigstens die Ip adresse?

Achja du solltest nachforschen warum du gehäckt wurdest und die Sicherheitslücke
beseitigen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#3 Solche Momente sind die Möglichkeit, um auf einem System Backdoors einzurichten, um sich die Türen für einen neurlichen Besuch offenzuhalten.
Das System also dahingehend überprüfen, bzw das System am besten neu aufsetzen.
Ansonsten , klar - wie Spunki bereits erwähnt hat- die mögliche Lücke ausfindig machen (Netbios, Lauferkfreigaben, nicht gepachte Systemschwächen, etc.)
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#4 Die IP Adresse hab ich ja eben nicht, ansonsten hätte ich ja nicht bei meinem Provider angerufen um mich nach einer Logfile zu erkundigen. Wie kann man denn im Nachhinein die IP Adresse denn noch rausfinden (wenn überhaupt)? Schreibt WinXP alle Zugriffe mit? Gibt es in WinXP eine Logfile oder was ähnliches?

Ich glaube aber, dass es ziemlich sinnlos ist nach dem Sicherheitsloch zu suchen durch das er eingedrungen ist, zumal mein Rechner ohnehin total schutzlos war. Da müsste ich dann wohl hunderte Sicherheitslücken beseitgen wenn nicht mal eine Firewall läuft. Wie kann ich denn überhaupt feststellen wie er sich in meinen PC gehackt hat?

#5 @ joschi

Ich hab schon Kaspersky Anti-Virus meine Platte scannen lassen. Hat nichts gefunden. Aber es kann natürlich auch sein, dass der Hacker seinen eigenen Trojaner gecoded hat, dann dürfte es wohl auch für Kaspersky schwer werden was zu finden. Glaub ich aber eher weniger.

Jetzt wo du gerade die Laufwerksfreigaben erwähnst fällt mir ein, dass ich alle Laufwerke freigegeben hatte, weil ich zu Hause ein Netzwerk mit dem Rechner meines Vaters eingerichtet habe. Ich wüsste aber auch nicht wie ich das ändern kann, ich will ja schliesslich auch weiterhin Dateien übers Netzwerk kopieren. Aber eine gute Firewall dürfte doch wohl eine gute Abhilfe sein.
Was Sicherheitspatches angeht müsste ich alle aktuellen haben, zumindest die die beim regelmässigen Windowsupdate immer installiert werden.

#6 Du musst dann bei der Polizei anzeige erstatten, hättest du sowieso machen müssen auch wenn du die ip hättest.

Welche Firewall hast du überhaupt?
Welche Server laufen auf den Pc?


Naja wahrscheinlich ist er dann übers Netbios rein wenn schon offen ist
du solltest die Firewall so einschränken das Netbios nur von den Ips aus den netzwerk angesprochen werden kann
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#7 Im Moment hab ich nur die XP Firewall Laufen. Ansonsten auch noch ZoneAlarm Professional v3.0. Ich hab aber gerade erst meine Festplatte formatiert und deshalb noch einiges nicht installiert, unter anderem auch noch keine Firewall.

Was ist denn wenn ich Anzeige erstatte...hätte man dann die Möglichkeit die Logfile meines Providers einzusehen?

#8 Ja, Netbios ist fast definitiv die Sicherheits-Lücke gewesen. So viele mögliche Lücken, wie du vermutest, gibt es nämlich gar nicht, CidJoe20.

Allerdings solltest du die Lücke lieber "richtig" schließen, anstatt nur eine Firewall davorzuknallen - vor allem, wenn du die öfters mal zum Zocken ausschaltest...
Das geht folgendermaßen: Öffne unter "Netzwerkverbindungen" die Eigenschaften deiner Internet-Schnittstelle (bei DSL eine "LAN-Verbindung") und entferne in der Liste der installierten Komponenten das Häkchen vor der "Datei- und Druckerfreigabe..." (an alle: das reicht doch, oder?)

Am besten installierst du dir dann noch "Active Ports" ( http://www.protect-me.com/freeware.html ), um zu sehen, an welchen Ports welche Programme "lauschen" (diese Ports sind "offen.")
Die Netbios-Ports (Local-Ports: 137-139) sollten dann nur noch für deine interne Netzwerk-Adresse offen sein (Local IP: 192.168.x.x) und nicht für 0.0.0.0 . Ist das so?
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#9 Genau die Polizei kann dort einsehen.

Achja du solltest ihnen möglichst die Zeit nennen können damit sie keine riesigen
Datenmengen durchforschen müssen

Du kannst auchmal im Internet nachforschung zu GSG anstellen über Google oder
astalavista.com
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#10 @forge77 Also bei Shields Up! habe ich meinen Rechner auch mal testen lassen und dort zumindest scheint die XP Firewall ihren Job zu tun, auch was den NetBios Port angeht. Dort werden alle getesteten Ports als "Stealth" angezeigt. Danke für den Link. Schau ich mir gleich mal an.

@spunki Die Zeit kann ich nur grob angeben. Ich kann nur einen Zeitraum von ca. 7 Stunden angeben. Aber wie lange werden denn die Logfiles bei den Providern überhaupt archiviert? Bis so eine Anzeige ins rollen kommt vergeht doch eine gewisse Zeit, oder?
Nachforschungen habe ich bereits zu GSG angestellt, aber nichts gefunden, ausser was zur deutschen Eliteeinheit GSG 9 und einem CounterStrike Clan ;-) Naja, hätte mich auch gewundert wenn das zu was geführt hätte.

@all Meint ihr überhaupt, dass sich der Aufwand mit einer Anzeige lohnt?? Ist der Weg erfolgsversprechend, bzw. hat jemand schon ähnliche Erfahrungen gemacht?

#11 Die Daten werden 80 Tage gespeichert

Naja ich würde von der Anzeige in deinen Fall absehen

1. Der Computer war ungeschütz und das eindringen in ungeschütze Computersysteme ist nicht Strafbar, allerdings hat er Daten gelöscht und das wäre dann doch Strafbar

2. Es ist wahrscheinlich irgend ein 15/16 jähriger der nur eingeschränkt strafbar ist

3. Deine Downloadsammlung ist wahrscheinlich nicht legal und du könntest demnächst auch noch angezeigt werden.
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#12 Ich denke, dein Provider hat nicht gelogen, als er sagte, sowas würde nicht gespeichert: es müsste ja im Prinzip der komplette(!) Internet-Verkehr aufgezeichnet werden (wer hat sich wann mit wem über welchen Port etc. ...verbunden.)

Soweit ich weiß wird nur gespeichert, wer zu welchem Zeitpunkt welche IP hatte. T-Online speichert 80 Tage (mit zweifelhafter Rechtsgrundlage auch bei Flatrates...) Bei Q-DSL Flat z.B. wird dagegen nur ein Tag gespeichert.

Da du die IP des Eindringling nicht kennst, ist da wohl überhaupt nix zu machen.
Würde sich aber imho auch nicht lohnen (siehe spunkis posting.)
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#13 zu 1.) Man darf in ungeschützte Computersysteme ungestraft eindringen?? Seit wann denn das?? Man dringt doch in die Privatsphäre einer Person ein...

zu 2.) Wenn er noch jung ist dann ist er evtl. noch kurierbar von seinem Lösch-Wahn ;-) Wenn der eine nette Geldstrafe aufgebrummt bekommt und Mammi und Pappi ihm seinen gebliebten PC für einen Monat entziehen dann wird er vielleicht doch noch eines Tages ein ganz Lieber :-D

zu 3.) Keine Ahnung was genau als illegal bezeichnet wird. Ist halt eine Sammlung von Musikvideos. Was meine Downloadsammlung angeht, die sollte man lieber nicht entdecken, hehe. Sonst bleche ich für den Rest meines Lebens :-)

#14 Ich sehe da keine Chance irgendetwas zu unternehmen. Du hast keinerlei Beweise bzw. Daten die das Eindringen beweisen könnten, somit wird die Polzei keine Anzeige aufnehmen.

Dein Provider hat keine Daten, da er ja nur das logt, was seine Kunden im Internet machen.

Du solltest umgehend Dein komplettes System neu aufsetzen! Jeder Viren- oder Trojanerscanner hat Schwächen - die einzig sichere Möglichkeit ist es, das System neu aufzusetzen. Dieses sollte dann entsprechend abgesichert werden (unnötige Dienste deaktivieren und zusätzliche Maßnahmen ergreifen).

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#15 Ihr habt wohl recht, lohnt sich echt nicht da etwas zu unternehmen, aber ich hoffe ja schon fast, dass der Kerl mir was hinterlassen hat und nochmal wiederkommt. Denn beim nächsten Mal versuche ich dann seinen Zugriff mitzuloggen.

Welches Log-Programm kann man denn empfehlen?

Aber es ist eher unwahrscheinlich, dass Kaspersky was übersehen hat. Das Programm ist wirklich spitze und erkennt fast alles. Schonmal probiert einen Trojaner gegenüber Kaspersky undetected zu machen? Na dann viel Spass...

Ich überlege mir das trotzdem nochmal ob ich wirklich das ganze System neu aufsetzen sollte. Ich überwache jetzt mal lieber meine ein- und ausgehenden Verbindungen etwas genauer, aktive Ports etc. Das sollte reichen.