freetz newbie: wegen Telekom Viruswarnung Traffic loggen

donny

Neuer User
Mitglied seit
31 Mai 2006
Beiträge
72
Punkte für Reaktionen
1
Punkte
8
Hallo,

seit Anfang Februar bekomme ich im Abstand einiger Tage Mails der Telekom mit dem Hinweis, dass mein System von Viren/Trojanern befallen sei.
Ich habe alle Windows-Rechner gescannt, ebenso die Android-Handies der Familie und die Server (Nas, ip-tv) vom Netz getrennt. Aber nichts hat geholfen.

Da die Telekom exakt die Zeitpunkte der Ereignisse mitteilt, wollte ich mir jetzt freetz auf meine Fritzbox 7390 flashen. Ich möchte loggen, welcher Recher wann welche IPs aufruft.

Nach mehrmaligem Recover der Box ist es mir auch schließlich gelungen, ein per VMWare erstelltes freetz-devel image erfolgreich zu flashen.
Irgendwie hatte ich wohl gehofft, hier einfach irgendwo ein logging einschalten zu können...

Jetzt habe ich nochmal ein paar Stunden geforscht und glaube nun, dass ich httpry, packit oder iplog nachinstallieren muss. Das kriege ich aber nicht hin.

Hat jemand einen Tipp, was ich nehmen sollte und vielleicht auch ein Howto zum Installieren und Konfigurieren? Das wäre toll.

Danke
Donny
 

chked

IPPF-Promi
Mitglied seit
20 Nov 2006
Beiträge
4,326
Punkte für Reaktionen
30
Punkte
48
Sind die Warnungen echt? Woher soll die Telekom wissen, wann sich auf deinem Rechner ein Virus eingenistet hat.
Was hat denn der Scan ergeben? War tatsächlich ein Virus auf dem Rechner?
 

donny

Neuer User
Mitglied seit
31 Mai 2006
Beiträge
72
Punkte für Reaktionen
1
Punkte
8
Die Warnungen sind echt. Ich habe die Telekom dazu kontaktiert. Die bekommen die Hinweise vom Fraunhofer Institut. Keine Ahnung, was da genau abgeht.
Wir haben hier in der Familie drei Windows Rechner. Ich habe alle drei nach Anleitung aus diesem Forum mit vier verschiedenen Scannern gescannt und NICHTS gefunden.
Aktuell glaube ich, dass es vielleicht doch die Android-Handies sind.

Um das aber genauer festzustellen, wollte ich das Traffic Protokoll.
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
8,014
Punkte für Reaktionen
28
Punkte
48
... erstelltes freetz-devel image erfolgreich zu flashen.
..., dass ich httpry,... nachinstallieren muss.

httpry ist im trunk:
Code:
http://svn.freetz.org/trunk/make/httpry/
Mit tcpdump und dem richtigen Filter kannst Du evtl. auch loggen, ... evtl. auch mit iptraf:
Code:
http://svn.freetz.org/trunk/make/tcpdump/
http://svn.freetz.org/trunk/make/iptraf/Config.in
Du musst eine neues Freetz-Image kompilieren und flashen.
 

otto58

Mitglied
Mitglied seit
9 Jan 2007
Beiträge
281
Punkte für Reaktionen
9
Punkte
18
Also so richtig kann ich nicht glauben, dass die Telekom da ohne Rechtsgrundlage irgendwie im Traffic rumschnüffeln lässt. Die müssten ja in jedes Paket gucken.
Beim Postfach muss man ja den Viren- und Spanschutz erst selbst aktivieren.
Hast Du vielleicht irgendeine Telekom Security installiert, die dann nach Hause telefoniert? Macht aber auch keinen richtigen Sinn, denn Kunden im Anschluss über die eigene Unfähigkeit auch noch zu informieren.
Was hast Du überhaupt an Security installiert?
 

Theo Tintensich

Aktives Mitglied
Mitglied seit
10 Mrz 2008
Beiträge
2,087
Punkte für Reaktionen
76
Punkte
48
Die Telekom hat mehrere Honeypots in ihrem Netz.
Eventuell haben die Honey-Mailadressen, die von solchen programmen angemailt werden.

Desweiteren können die natürlich den Netzverkehr analysieren und massiven Datenverkehr, besonders wenn er auf das Mailsystem von TOI gehen, um Mails zu versenden, analysieren.

Es gibt so einiges, was man ohne DPI erreichen kann.

Oder einfach den Verkehr zu bekannten C&C-Systemen beobachten.
Von wo der kommt.

Als Rechtsgrundlage könnte genommen werden, dass die Telekom, als Netzbetreiber, Störungen vom Netz fernhalten darf.
Wenn der Kunde. dessen Anschluss auffällig geworden ist, angemailt wird, ist das wohl alles im "grünen Bereich".
 

thtomate12

IPPF-Promi
Mitglied seit
28 Okt 2010
Beiträge
5,165
Punkte für Reaktionen
6
Punkte
38
Zuletzt bearbeitet:

µRaCoLi

Mitglied
Mitglied seit
22 Sep 2005
Beiträge
239
Punkte für Reaktionen
0
Punkte
0
Die Warnungen sind echt. Ich habe die Telekom dazu kontaktiert. Die bekommen die Hinweise vom Fraunhofer Institut. Keine Ahnung, was da genau abgeht.
Ich hatte schon mal im Kundenauftrag mit sowas zu tun. Was die Telekom da loggt hat erstmal nichts mit Spam zu, aber mit der Kommunikation zu gekaperten C&C-Servern, sog. Sinkholes. D. h. irgendwo bei dir laufen Bots (die dann spammen können).
Das Problem ist der First-Level-Support, der diese Ziel-IPs ungerne rausrückt. Frag am besten nach einem Snort-Pattern für deine Firewall (kannst auch gerne n Dienstleister/ Firewallhersteller vorschieben, weil die "nicht jedem" deren Sinkhole verraten wollen). Mit dem Begriff ist 1st Level dann überfordert und es wird eskaliert.
Wenn du die Regel hat, kannst du daraus die Ziel-IP entnehmen und und per iptables LOG gucken, welches Gerät dafür verantwortlich ist.
 

donny

Neuer User
Mitglied seit
31 Mai 2006
Beiträge
72
Punkte für Reaktionen
1
Punkte
8
Ich zitiere mal aus einer wie ich finde sehr aussagefähigen Mail der Telekom:
So wurde die Schadsoftware entdeckt
-----------------------------------

Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein
Server, der als Falle für durch Schadsoftware befallene Rechner dient,
indem er einen Command&Control-Server eines Botnets simuliert. Ein
Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen
dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter
http://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei
Interesse eine gute Erklärung der Struktur eines Botnets sowie eine
schematische Darstellung.

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um
den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der
Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese
Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern
gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An
DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam
versenden, usw.


Informationen zum detektierten Schädling
----------------------------------------

Leider liegen uns keine spezifischen Informationen dazu vor, welche
Schadsoftware für den Zugriff verantwortlich ist.

Aus den bisherigen Rückmeldungen anderer Kunden können wir (abgesehen
von den üblichen 'verseuchten' Windows-Rechnern) darauf schließen, dass
auch folgende Geräteklassen in Frage kommen:

- Geräte mit einer Android-Version < 4.4 (Elf Sicherheitslücken in
Systemkomponente WebView, die nicht gefixt werden, siehe
http://ct.de/-2528130)

- Spezielle Geräte mit meist unixoiden OS, die einen Webserver
beinhalten. Die darauf installierte Software wird oft nicht gepflegt,
sodass veraltete Installationen (CMS, PHP, SQL, Apache, Bash, ntpd)
vorliegen, die Sicherheitslücken beinhalten. Sind diese Geräte von
außen erreichbar, kann man davon ausgehen, dass diese auch früher
oder später gefunden und missbraucht werden. In erster Linie betrifft
dies NAS (Netzwerkspeichersystem), aber auch IP-Kameras oder anderes
wären denkbar.

- Von außen erreichbare Server oder Gateways mit unixoiden OS
(betrifft insbesondere Linux und Mac OS)

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem
Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt,
die relevanten Zeitangaben aus den Beschwerden haben wir in die
jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:

also wie es µRaCoLi vermutet hat.
 

donny

Neuer User
Mitglied seit
31 Mai 2006
Beiträge
72
Punkte für Reaktionen
1
Punkte
8
Wenn du die Regel hat, kannst du daraus die Ziel-IP entnehmen und und per iptables LOG gucken, welches Gerät dafür verantwortlich ist.

iptables LOG kann ich dann auf freetz auswerten? Muss ich dazu noch was installieren, oder läuft das standardmäßig jetzt schon mit? Dann müsste ich ja jetzt nur auf den nächsten Hinweis der Telekom warten?
 

otto58

Mitglied
Mitglied seit
9 Jan 2007
Beiträge
281
Punkte für Reaktionen
9
Punkte
18
Den Satz verstehe ich nicht: "Die Steuerung der Bots erfolgt über die Ports 80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese Ports gesperrt sind."
Bei meinem Anschluss kann ich diese Ports sperren. Deshalb könnte man mich als Bot dann nicht mehr steuern.
 

µRaCoLi

Mitglied
Mitglied seit
22 Sep 2005
Beiträge
239
Punkte für Reaktionen
0
Punkte
0
Standardmäßig ist FREETZ_MODULE_ipt_LOG nicht gesetzt. "warten" ist bestimmt wenig hilfreich. Ich musste der Telekom diese notwendigen Informationen aus der Nase ziehen. Wenn man untätig ist, kann auch schon mal Port 25/465 gesperrt werden (was dann zu meiner damaligen Beauftragung geführt hat).
Eine Regel würde dann wie folgt aussehen und im syslog landen:
Code:
iptables -A FORWARD -d 1.1.1.1 -j LOG
 
Zuletzt bearbeitet:

otto58

Mitglied
Mitglied seit
9 Jan 2007
Beiträge
281
Punkte für Reaktionen
9
Punkte
18
ippf was ist das? Ich meine alles, was auf die Ports 80/443 kommt, blocken.
 

µRaCoLi

Mitglied
Mitglied seit
22 Sep 2005
Beiträge
239
Punkte für Reaktionen
0
Punkte
0
ippf=ip-phone-forum.de
bots kommunizieren ausgehend mit den c&c-servern, ähnlich wie ein webseitenaufruf.
 

otto58

Mitglied
Mitglied seit
9 Jan 2007
Beiträge
281
Punkte für Reaktionen
9
Punkte
18
Das ist klar aber wie bekommen die Bots ihre Aufträge? Laut Telekom sind ja die veralteten, ungepflegten und von außen erreichbaren Webserver ein Problem. Die sollte man alle dicht machen oder erst mal auf einen anderen Port legen, denkt sich der Laie.
Die Frage ist ja, was donny macht, wenn er ein Gerät identifiziert hat und darauf wie bisher beim Scan nichts finden kann - wegwerfen?
 
Zuletzt bearbeitet:

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
28,682
Punkte für Reaktionen
1,024
Punkte
113
Ich meine alles, was auf die Ports 80/443 kommt, blocken.
Nach deiner Logik sollte man nicht nur HTTP und HTTPS ein- und ausgehend blocken, sondern am besten alle Ports sperren. Dann findet überhaupt kein Verkehr mehr statt. ;)
 

µRaCoLi

Mitglied
Mitglied seit
22 Sep 2005
Beiträge
239
Punkte für Reaktionen
0
Punkte
0
Dass ueber verwundbare webservices (zb nas) eingebrochen wird ist ja nur eine moeglichkeit. es jetzt zu sperren waere ja auch zu spaet.
 

donny

Neuer User
Mitglied seit
31 Mai 2006
Beiträge
72
Punkte für Reaktionen
1
Punkte
8
Standardmäßig ist FREETZ_MODULE_ipt_LOG nicht gesetzt.
Eine Regel würde dann wie folgt aussehen und im syslog landen:
Code:
iptables -A FORWARD -d 1.1.1.1 -j LOG

Puh, ich bin etwas überfordert!

Ich verstehe das jetzt so, dass ich irgendwie im freetz dieses FREETZ_MODULE_ipt_LOG einschalten muss. Wenn ich dann von der Telekom die IP des Sinkhole bekomme, könnte ich mit dem iptables Kommando gezielt die Aufrufe an diese Adresse filtern und hätte den Verursacher in meinem Netzwerk. Den würde ich dann notfalls plattmachen und neu aufsetzen.

Soweit richtig?

Wie mache ich das mit dem FREETZ_MODULE_ipt_LOG?
iptables-Kommando setzte ich dann auf der Box per Telnet ab?
Kann ich nicht einfach alles per iptables loggen und beim nächsten Ereignis einfach im Logfile nach Datum und Uhrzeit suchen?

Nachtrag:
Ich habe ipt_LOG jetzt bei den freetz-modulen gefunden und mir ein gerade neues Image gebacken.
Das werde ich heute noch auf die Box flashen und mal mit irgendeiner IP testen.
Als nächstes werde ich dann die Telekom anmailen, damit sie mir die IP des Sinkholes geben und sie als Filter in iptables einstellen.
Ich melde mich dann hier nochmal, wenn's Probleme gibt, oder wenn ich Erfolg habe.

Danke soweit für all die Unterstützung - tolles Forum mit tollen Teilnehmern.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.