Möglicher Malware Befall

Anrudoma

Hallo Zusammen

Ich habe zur Zeit folgendes Problem:

Eines unserer Familienmitgliedern hat von Google ein E-Mail erhalten, in dem steht, dass ein Anmeldeversuch auf sein Google Konto von einem E-Mail Client durch Google unterbunden worden sei, da das Password gestohlen wurde. Der Anmeldeversuch stammt von der öffentlichen IP Adresse, die unser Centro Grande zur Zeit hat und wurde ausgeführt als niemand zu Hause war. Auf Anfrage bei der Swisscom Hotline wurde uns mittgeteilt, dass in unserem Netzwerk höchstwahrscheinlich ein Trojaner sein Unwesen treibt oder jemand in unser WLAN eingedrungen ist. Unser WLAN ist jedoch mit WPA2 verschlüsselt und hat einen langen Schlüssel, weshalb ich nicht glaube, dass das jemand geknackt hat.

Da ich ein Linux Fan bin und die Anfälligkeit der Rechner auf Malware reduzieren wollte, habe ich vor ca. einem Jahr alle PCs in unserem Netzwerk mit debianbasierten Linuxsystemen ausgestatet. Gestern Abend erfuhr ich von dem möglichen Trojaner und begann unverzüglich den Netzwerkverkehr im LAN mit WireShark zu überwachen, dabei habe ich festgestellt, dass der Centro Grande immer wieder ARP Anfragen versendet um die MAC Adresse von zwei Geräten herauszufinden, die ich nicht kenne. (Beim Umrüsten der PCs auf Linux habe ich auch einen eigenen DHCP und DNS Server aufgestellt. Alle Geräte, die ich kenne, erhalten folglich immer die gleiche Adresse, neue Geräte bekommen eine dynamisch zugewiesen.) Die ARP Anfragen blieben gestern unbeantwortet.

Nun die grosse Frage: Warum verschickt der Centro Grande solche Anfragen und wie kann ich den Trojaner beseitigen, falls es ihn gibt?

Leider bin kein Linux Profi, arbeite aber täglich damit. Deshalb wäre ich sehr froh, wenn vielicht auch@Anonym einen Tipp für mich hat.

Mein Netzwerk:

1x Centro Grande, Hersteller Pirelli, DHCP deaktiviert

3x Elementary OS 0.3 x64

1x Linux Mint x64 im Dualboot mit Windos 10 x64 (Windows wird äusserst sleten verwendet)

1x Dabian 8.1 x86

1x Rasbpian, ISC-DHCP-Server und BIND9

1x Rasbpian, NFS Server

1x Multimediaserver, Betriebssystem unbekannt, wird selten gestartet

1x Swisscom TV Box

Desweiteren steht mit auch ein Kali 1.0.6 von einem USB Stick zurverfügung.

Ich bedanke mich im Voraus für jede Antwort!

WalterB

Bin selber kein * Linux * Anwender, würde aber in Deinem Fall das Schweizer Linux Forum aufrufen.

http://www.linuxforum.ch/

PowerMac

Ist natürlich etwas schwierig, aus der Ferne genaueres zu deiner Situation zu sagen. Kannst du evt. noch etwas genauere Details über diese ARP-Requests schreiben?

Bist du sicher, dass die Requests unbeantwortet bleiben? Normalerweise werden nur die ARP-Requests per Broadcast an alle Netzwerkteilnehmer verschickt und nicht die Antworten, dh. es kann sein dass die Requests zwar beantwortet werden aber dein Wireshark-Computer davon nichts mitbekommt.

Du kannst aber z.B. einen "ping -c 1 -w 1 192.168.1.199" (bzw. die ominöse IP) und gleich darauf "arp -a" (als root) aufrufen. Wenn die verdächtigen IPs in deinem Netz wirklich aktiv sind, kannst du so deren MAC herausfinden auch wenn sie nicht auf Pings antworten.

Anrudoma

Vielen Dank! Werde mich dort mal umsehen

Anrudoma

Vielen Dank für deine Antwort!

Der Router hat die ARP Request bis zu vier mal pro Sekunde versendet und als ich vom Kali aus die verdächtigen IPs ohne Count und Deadline gepingt habe, war im ARP Cache nur ein unvollständiger Eintrag zu finden, in etwa " 192.168.1.98 <unkown>". Ich werde aber deinen Ping heute Abend ausprobieren, wenn ich wieder zu Hause bin.

Unterdessen gehe ich davon aus, dass, falls ich tatsächlich angegiffen werde, irgendwie eine VPN-Verbindung oder etwas ähnliches ins Internet besteht, die gestern Abend inaktiv war.

Die ARP Request gingen wie gesagt vom Centro Grande (192.168.1.1, Herstellerteil der MAC Adresse war von ADBand -> Pirelli) aus und fragten nach den MAC Adressen von 192.168.1.98 und 192.168.1.80. Diese beiden IPs benutze ich schon seit midestens einem halben Jahr nicht mehr. Die statischen IPs die ich per DHCP verteile sind von 192.168.1.3 bis 192.168.1.30 und 192.168.1.99, alle Adressen von 192.168.1.100 an aufwärts vergebe ich dynamisch bei Bedarf).

Ich hoffe du kannst damit etwas anfangen.

RAL9004

Hallo Anrudoma

Zitat:

"Eines unserer Familienmitgliedern hat von Google ein E-Mail erhalten, in dem steht, dass ein Anmeldeversuch auf sein Google Konto von einem E-Mail Client durch Google unterbunden worden sei, da das Password gestohlen wurde."

Fragen:

1. Wie meldet sich ein E-Mail Client in einem Google Konto an?

2. Auf welche Mail Adresse (GMAIL / etc.) hat das Familienglied die Mail erhalten?

3. Wurde die Behauptung in diesem Mail überprüft? Kann man effektiv nicht mehr anmelden?

4. Hat man in diesem Google Konto die Wiederherstellungsoptionen konfiguriert?

Grüsse

RAL9004

Anrudoma

Hallo RAL9004

Hier die Antworten:

1. Man kann ein Google Konto so einstellen, dass man mit einem E-Mail Client auf G-Mail zugreifen kann. Dann ist es möglich den Client ähnlich zu konfigurieren wie für Bluewin Mails und dann damit via G-Mail zu schreiben. Diese Einstellungen sind im betroffenen Google Konto jedoch nicht aktiviert worden, weshalb Google den Anmeldeversuch blockiert hat.

2. Google bietet die Möglichkeit diverse E-Mail Adressen und Telefonnummer zu hinterlegen für solche Meldungen. Die Benachrichtigung ging an mich und an die G-Mail Adresse des Kontos selbst, da meine Adresse hinterlegt wurde und der Kontoeigentümer diese Benachrichtigungen immer erhält.

3. Da gab es wohl ein Missverständnis. Die Anmeldung (mit zweiphasen Authentifizierung) funktioniert nach wie vor. Es war nur dieser eine Anmeldeversuch der Blokiert wurde, da dieses Google Konto nicht dafür konfiguriert wurde.

4. Die Wiederherstellungsoptionen sind weitgehend eingerichtet, da es nicht mein Konto ist, bin ich nicht so gut informiert wie es dort aussieht.

RAL9004

Hallo Anrudoma

D.h. es hat nie ein Problem gegeben.

Lediglich einen Sachverhalt, dass einmal die Anmeldung über E-Mail zurück gewiesen wurde.

Was ja durchaus geschehen kann. Frei nach dem Motto: lieber einmal zuviel zurückweisen...

Schönes WE

RAL9004

Anrudoma

Hallo RAL9004

Bezogen auf das Google Konto gebe ich dir recht, dem ist nichts passiert.

Aber wie konnte der Anmelderversuch von unserer IP aus erfolgen, wenn niemand zu Hause war? Das versteh ich nicht wirklich. Deshalb hatte der Techniker von Swisscom auch vermutet, dass es sich um Malware handeln könnte.

In der Zwischenzeit habe ich mich mal informiert über die bekannte Malware, die lauffähig ist auf meinen Systemen, und festgestellt dass nur der Trojaner Turla in frage kommen würde, da er ohne Root-Berechtigungen Schaden anrichten kann und die ausgenutzte Sicherheitslücke - meines Wissens - noch nicht gestopft ist. Dieser Trojaner soll jedoch als Primäre Angriffsziele Statliche Institutionen haben, was bedeutet, dass ich uninteressant sein sollte für den Angreifer und falls nicht, muss ich so oder so kapitulieren.

Deshalb gebe ich die weitere Suche auf und bedanke mich herzlich bei allen, die mir halfen!

RAL9004

Hallo

Wenn Du auf Cloud Dienste wie Google setzt, dann können diese jederzeit mit dem Heimat-Server Kontakt aufnehmen. D.h. hier stellt sich die Frage, wieso ging das anmelden diesesmal schief?

Da Du Dir zu Hause eine Linux Farm aufgezogen hast, ferner mit WireShark hantierst, wirst Du bei einer Analyse des Netzwerk Verkehres sicher den Grund herausfinden.

In diesem konreten Fal einfach den Portverkehr des Dienstes (z.B. SMTP) einer Woche bzw. eines Monats auswerten, um ein Grundgefühl für den normalen Netzwerkverkehr zu erhalten. Danach ist man sensibilisiert für Abweichungen - IMO.

Schönes WE

RAL9004