riegerrobsi
Goto Top

Trojaner im Netzwerk finden

hallo alle zusammen, ich hoffe ihr könnt mir helfen.

Ich habe ein kleines Netzwerk mit 20 Rechnern, auf irgendeinem dieser Rechner ist ein Trojaner o.ä. installiert,
es gehen willkürlich Emails nach aussen, und wir sind dadurch auch schon bei der ein oder anderen Blacklist geführt.
Nun zu meiner Frage, wie kann ich im Netzwerk so einen Trojaner der wild Emails verschickt aufspüren.
Ich hab mal Wireshark über eine ganze weile auf dem Mailserver (Exchange) mitlaufen lassen, da ich vermute,
das dieser als SMTP für den Trojaner dient, habe aber keinen verdächtigen SMTP Verkehr gefunden.
Hoffe ihr könnt mir weiter helfen.

Content-Key: 140950

Url: https://administrator.de/contentid/140950

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: matze2010
matze2010 19.04.2010 um 13:00:30 Uhr
Goto Top
Hallo riegerrobsi,

eine ähnliche Frage hatten wir heute schon, nur mit einer anderen Begründung. Wenn du der Netzadministrator bist, dann kannst du sicherlich auf dem Monitoring-Port des Switch mitlauschen. Je nachdem, welche Vereinbarung über das private Surfen in eurem Unternehmen getroffen wurde darfst du den Netzwerkverkehr eurer Mitarbeiter __nicht__ mitlauschen. Ansonsten einfach auf dem Internetgateway (statt Exchange) mitlauschen oder SMTP Traffic, der nicht vom Exchange Server kommt blocken und protokollieren. Wenn du dann die Logs liest, dann siehst du die geblockte IP für SMTP.

Lg
Matze
Mitglied: maretz
maretz 19.04.2010 um 13:06:23 Uhr
Goto Top
Moin,

in diesem Kontext ist es falsch - auch wenn private Nutzung erlaubt ist dann darf zur Störungsbeseitung z.T. der Verkehr mitgeschnitten werden. Insbesondere da man ja hier recht einfach sicherstellen kann das man keine privaten Dateien mitschneidet (Port 25 wird man im lokalen Netzwerk mit einem Exchange-Server u. Outlook-Clients so nie sehen -> da die über die MAPI gehen...). Damit gehe ich auch elegant an dem Problem mit privater Nutzung vorbei - und darf zur Störungsbeseitigung hier den Datenverkehr mitschneiden...

Ich würde allerdings vorher von Rechner zu Rechner gehen (bei 20 is das ja ein überschaubarer Aufwand) und mal die Prozessliste ansehen...
Mitglied: lefgruen
lefgruen 19.04.2010 um 13:36:33 Uhr
Goto Top
Hallo,

erzeuge einen Startdatenträger - CD, Stick - mit einem brauchbaren Virenscanner, boote von dem und lasse den Scanner laufen! Ist das aktuelle Update zum Entfernen schädlicher Software installiert?
Mitglied: matze2010
matze2010 19.04.2010 um 13:48:00 Uhr
Goto Top
Hallo,

Zitat von @maretz:
Moin,

in diesem Kontext ist es falsch - auch wenn private Nutzung erlaubt ist dann darf zur Störungsbeseitung z.T. der Verkehr
mitgeschnitten werden. Insbesondere da man ja hier recht einfach sicherstellen kann das man keine privaten Dateien mitschneidet
(Port 25 wird man im lokalen Netzwerk mit einem Exchange-Server u. Outlook-Clients so nie sehen -> da die über die MAPI
gehen...). Damit gehe ich auch elegant an dem Problem mit privater Nutzung vorbei - und darf zur Störungsbeseitigung hier den
Datenverkehr mitschneiden...

Ja und nein, insbesondere E-Mail-Verkehr (z.B. privater E-Mail-Verkehr ohne Exchange-Server) ist das __private__ Medium schlechthin. Den wirst du auch auf Port 25 hören. Pflicht ist aber dennoch den 20 Mitarbeitern vorher Bescheid zu sagen und diese über die "Wartungsarbeiten" zu informieren.

Ich würde allerdings vorher von Rechner zu Rechner gehen (bei 20 is das ja ein überschaubarer Aufwand) und mal die
Prozessliste ansehen...
Im Zweifel, ob das aber wirklich "schneller" ist hängt von der Trojaner-Gattung und Programmierkunst des Erstellers ab face-smile

Lg
Matze
Mitglied: jhinrichs
jhinrichs 19.04.2010 um 13:59:26 Uhr
Goto Top
Moin,
was den "privaten" Email-Verkehr angeht: Es ist eine Sache, private Mail über die bestehende Infrastruktur (in Eurem Falle Exchange) zuzulassen, dann wirst Du, wie von maretz gesagt, bedenkenlos Port 25 belauschen dürfen. Für den Zweck des "privaten" Mailverkehrs den Clients zu erlauben, am Exchange (oder sonstigen zentralen Mailserver) vorbei Mails per SMTP/POP/IMAP zu nutzen, halte ich für fahrlässig, da damit jegliche zentrale Malware- und ggf. Spam-Bekämpfung unterlaufen wird. Vielleicht ist ja der Trojaner so ins Netz gekommen?
Also würde ich auf der Firewall die Mailports (SMTP/POP/IMAP etc.) ausschließlich für das Mailgateway/den Mailserver freigeben und dann in den Logs studieren, wer da Verbindungsversuche startet. "Private" Mail an der Firmeninfrastuktur vorbei wäre dann, sofern man dasnicht auch blockt, immer noch über die Webmail-Interfaces der üblichen Verdächtigen möglich, aber doch mit weniger Risiko behaftet, da die eigentliche Mail nicht im Firmennetz landet.
Grüße
Mitglied: mrtux
mrtux 19.04.2010 um 13:59:48 Uhr
Goto Top
Hi !

Zitat von @matze2010:
Im Zweifel, ob das aber wirklich "schneller" ist hängt von der Trojaner-Gattung und Programmierkunst des Erstellers

Den Übeltäter musst Du meist eh neu aufsetzen oder ein Backup-Image zurückspielen um ganz sicher zu sein und das ist auch Aufwand....Ich würde den verdächtigen Kandidaten auf jeden Fall erstmal mit einem Offlinescan beglücken um zu sehen was Sache ist. Im laufenden OS kann so eine Suche schnell mal zum Katz und Maus Spiel werden und meiner Erfahrung nach spielt man da meist den ähm Dummen...

mrtux
Mitglied: riegerrobsi
riegerrobsi 19.04.2010 um 15:06:59 Uhr
Goto Top
Hi,

gute Neuigkeiten, habe im Firewall Log tatsächlich einen Rechner gefunden, der SMTP Verkehr en masse generiert hat, teilweise bis zu 20 Nachrichten pro Minute.
Hoffentlich war das der einzige Rechner, der infiziert war.
Wenn nicht würde ich nochmals um eure Hilfe bitten.

riegerrobsi
Mitglied: maretz
maretz 19.04.2010 um 15:38:23 Uhr
Goto Top
Moin,

jemand der es den Clients erlaubt mit nem eigenen Email-Programm den privaten Email-Verkehr zu machen der hat andere Sorgen als nen Trojaner ;). Ganz ehrlich: Nen Admin der das so den Mitarbeitern erlaubt würde ich ohne zu zögern versetzen. Und zwar an die Stelle mit den 5 Mio. Kollegen! Denn dann hat man wirklich allem Tür & Tor geöffnet -> in dem Fall kann man sich m.E. auch sämtliche Firewalls u.ä. sparen und den Nutzern direkt Admin-Rechte geben... (Es wäre ja nur die halbe Todesstrafe auf Lebenszeit wenn man ausgehend alles zu Port 25 rauslässt. Aber falls das für nen Client beabsichtigt ist kann man ja davon ausgehen das auch eingehende Abholung via POP3/IMAP erlaubt ist -> und somit hat man definitiv die Pappnase... ganz davon abgesehen das man als Admin den Rechner dann praktisch nicht mehr anfassen kann ohne das der Benutzer direkt daneben sitzt.... klasse....)
Mitglied: riegerrobsi
riegerrobsi 19.04.2010 um 15:49:53 Uhr
Goto Top
Hallo,

leider haben wir bei 20 Rechnern keinen eigenen Admin, was bei einem Unternehmen unserer größe wohl durchaus normal ist...
Ich bin zu diesem Problem ja auch eher wie die Jungfrau zum Kind gekommen, da ich eben der einzige bin der zumindest Computer interessiert ist.
Die Firewall wurde durch eine beauftragte Firma aufgesetzt, und das Regelwerk ebenso.
Mitglied: aqui
aqui 19.04.2010 um 15:53:15 Uhr
Goto Top
Das muss man doch auch nicht. Du brauchst dir doch nur mit einme simplen Mausklick im Email Client einmal den kompletten Mail Header ansehen. Da steht doch genau der (böse) Absender mit seiner IP Adresse drin !!
arp -a am Router, dann hast du zur IP die Mac Adresse bzw. so oder so hast du über die IP ja schon den bösen Buhmann ausgemacht. Dafür benötigt man 5-10 Minuten...wo ist denn da nun dein eigentliches Problem ??
Mitglied: riegerrobsi
riegerrobsi 19.04.2010 um 15:56:45 Uhr
Goto Top
Dazu würde ich doch aber so ein Spam mail benötigen oder? Wie kann ich sonst den Header auslesen?
Mitglied: aqui
aqui 19.04.2010 um 16:04:06 Uhr
Goto Top
Ja, klar aber dafür gibts ja den kostenlosen Wireshark Sniffer den mal am Router Port auf TCP 25 und die IP des Mailservers lauschen lässt face-wink
Bei 20 Mails pro Minute hast du den Buhmann bzw. die IP dann im Handumdrehen !!
Und...kannst gleich anhand der Ziel IP und WhoIs auch noch sofort sehen wer denn der ominöse Empfänger ist !!
Mitglied: maretz
maretz 19.04.2010 um 16:45:13 Uhr
Goto Top
Moin,

jap - das ist normal. Und da wird normal auch der externe Dienstleister die FW entsprechend konfigurieren so das du da nix raushauen kannst...

Und nur am Rande: GRAD wenn ihr keinen eigenen Admin habt dann ist natürlich umso mehr darauf zu achten das nix "einfach runtergeladen wird" u.ä. -> denn dann sind die Systeme selbst bei euch vermutlich auch nicht so extrem gesichert und ein Virus/Trojaner hat deutlich mehr chancen da richtig Schaden anzurichten...