Trojaner erkennen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
themonk
Beiträge: 41
Registriert: 18.03.2008 15:25:39

Trojaner erkennen

Beitrag von themonk » 30.12.2015 17:30:23

Hallo,

ich habe seit ein paar Wochen das Problem, dass sobald ich meinen Linux Rechner startet die Fritzbox Probleme macht und folgende Meldung anzeigt:
Zeitüberschreitung bei der PPP-Aushandlung.
Internetverbindung wurde getrennt.

Nun vermute ich, dass es mit dem Rechner zusammenhängt. Über netstat -tapen habe ich dann noch folgendes herausgefunden. Dort steht neben den Standart Verbindungen unteranderem auch diese:
tcp 0 0 192.168.6.2:46983 175.126.82.12:6004 VERBUNDEN 0 406558 1036/gnome-terminal
Ich kann mir diese nicht erklären. Dies scheint wohl einen IP aus Seoul zu sein.
Gibt es vielleicht noch einen anderen weg um unerwünschte Software aufzuspüren und zu entfernen?

Benutzeravatar
whisper
Beiträge: 3401
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Trojaner erkennen

Beitrag von whisper » 30.12.2015 17:47:38

Erste Hilfe:

Code: Alles auswählen

iptables -I INPUT -s 175.126.82.12 -j DROP
Dein Rechner hat ein ungewöhnliches Netz. 192.168.6.2
Kann natürlich sein.
Der Port 6004 gehört zu exchange Windows what ever.
Edit: X-Windows, es scheint eine X-Forwarding Verbindung zu sein.
Läuft in deinem Netz so was in der Richtung?
Da würde ich darauf wetten, dass der Koreaner keinen Spaß daran hat.

Sollte wirklich ein Terminal gestartet worden sein, fände ich das ziemlich ungewöhnlich.
Bis ein paar Experten antworten, versuche mal Debianrkhunter
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt. 😉

themonk
Beiträge: 41
Registriert: 18.03.2008 15:25:39

Re: Trojaner erkennen

Beitrag von themonk » 30.12.2015 19:21:14

Windows exchange läuft in dem Netzwerk nicht. Allerdings glaub ich, das ich damals auf dem Rechner Xorg oder einen anderen XServer installiert habe.
rkhunter hat übrigends nichts gefunden.

Was meinst du den genau mit
Da würde ich darauf wetten, dass der Koreaner keinen Spaß daran hat.
?

Benutzeravatar
whisper
Beiträge: 3401
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Trojaner erkennen

Beitrag von whisper » 30.12.2015 22:58:05

Mit DSL einfach zu geringe upload rate.
Mach derweil die IP dicht.
Ach ja und in der Fritzbox schon mal nach den PORT Weiterleitungen gesehen? Etwas offen, da?
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt. 😉

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Trojaner erkennen

Beitrag von Blackbox » 31.12.2015 04:45:24

Eigentlich kann es bei einer Kompromittierung deines Systems nur einen professionellen Tipp geben.

Persönliche Daten sichern, Neuinstallation angehen.
Das System erst sicher [1] konfigurieren, bevor es das nächste Mal ins Netz darf.
Ja, das ist mit Arbeit verbunden.

[1] http://www.debian.org/doc/manuals/secur ... ex.de.html

Weiterhin würde ich die Fritzbox auf den Auslieferungszustand zurücksetzen, die aktuellste Firmware für dein Gerät einspielen und dann erst die Fritzbox mit den Daten deines ISPs wieder online gehen lassen.

Am Besten, du fängst mit der Fritzbox an.
Auf dem Desktopsystem keine Serverdienste betreiben, zumindest keine die ins Internet durchgereicht werden.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Trojaner erkennen

Beitrag von mistersixt » 31.12.2015 10:20:29

Aus Interesse aber vielleicht den Rechner oder die Platte "aufheben" und Jugend-Forscht betreiben, angefangen mit den Tools rkhunter und chkrootkit. Aber wie schon Blackbox sagte: am besten eine Neuinstallation starten.

Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE

themonk
Beiträge: 41
Registriert: 18.03.2008 15:25:39

Re: Trojaner erkennen

Beitrag von themonk » 04.01.2016 20:11:19

Danke erstmal für eure Hilfe. Habe den Rechner heute neuinstalliert und nun läuft auch das Internet wieder

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Trojaner erkennen

Beitrag von Blackbox » 05.01.2016 03:57:05

Hast du bei deiner Neuinstallation wenigstens den einen, oder anderen Sicherheitshinweis aus dem Debian Sichereheitshandbuch übernommen und dein System etwas besser abgesichert ?
Sonst wirst du über kurz, oder lang ein ähnlich gelagertes Problem bekommen.

Kannst du bitte den Thread als [gelöst], oder [erledigt] markieren, indem du in die Betreffzeile deines ersten Postings vor den eigentlichen Text einfügst.
Danke !
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Antworten