Einbruch ins inhouse netz

Question

ich habe einen seltsamen Fall. Mein Freund wurde am 8.12. dringend aufgefordert seinen PC zu booten, mit gehackter Tel. Nr., eine Frau mit asiatischem Akzent. Bei der Swisscom sind weitere Fälle bekannt. Ich wollte dann Ubuntu booten, der CD Boot ging aber wegen UEFI BIOS nicht. So bootete der PC halt via Disk und infizierte sich offenbar. Der Schaden - MBR Read Error, nebst abgeänderten Services. Was mich aber am meisten verblüfft ist folgendes. Auf der Internet Box sieht man, dass sich ein fremder PC am 3.12. ins Heimnetz einloggte, offenbar eine IP bekam, und offensichtlich Zugang hatte. Was mich noch mehr verblüffte, dass in der fraglichen Zeit keinerlei Eintragungen im Event Log sichtbar sind!? Der gleiche Fall wiederholte sich am 10.12., wonach ein PC mit gleicher MAC Nr im Heimnetz war, Eventlog wiederum keine Eintragungen. Dabei müsste doch im Eventlog Unter WLANConfig Events irgendewtas sichtbar sein, oder? Mein Verdacht - dass da ein War Driver aktiv ist. Die Infektion ist im übrigen böse, ich bin dran den PC neu aufzusetzen. Hat jemand eine Idee wie sowas möglich ist?

Answer 1

oh Mann warum so kompliziert?
Bei der geringsten Verdächtigung, kopiere ich mit CloneZilla mein Partition-Image rüber. Ab und an auch mal nen Router-Reset, die gespeicherte Router-Config neu einlesen und Passwort und Verschlüsselung ändern. Das ganze dauert nur 20 minuten inclusive CloneZilla zurückkopieren. Und schon ist alles wieder sauber !!

Answer 2

auch erwähnt..
andere Verschlüsselung und auch mal den Mc-Filter aktivieren. Deine Geräte trägst du ein in der Filterliste und der Rest muß draußen bleiben. Zumindest mir ist es noch nicht gelungen mich selber zu hacken, obwohl ich mich da recht gut auskenn wenn ich meine Geräte auf Lücken untersuch..

Answer 3

Also um beim Thema zu bleiben - die Mac-Adresse wird unverschlüsselt übertragen, also im Router findest du durchaus verbindungsversuche von fremden Mac-Adressen, die müssen aber nicht zwangsläufig zu erfolgreichen verbindungen gehören.

Die Mac-Adresse von deinen Geräten kann also jeder in der Nähe sehen.  Sie ist auch lange nicht mehr Hardwaregebunden, sie kann sogar schon seit ewigkeiten selbst in Windows ohne extra Tools von Hand überschrieben werden. Ein Hacker würde also einfach die Macadresse von deinem PC bei sich einstellen und wäre damit an der Stelle wo du schaust unsichtbar und der MacFilter bringt dann rein gar nichts.

Sollte der Hacker tatsächlich die echte Mac-Adresse seines Notebooks senden, wäre das ziemlich dumm... Du könntest per WLANSniffer versuchen rauszufinden mit welchen anderen WLAN's sich die MAC-Adresse in deiner Nachbarschaft verbindet - wäre der Hacker also ein Nachbar von dir, könnte man das Notebook also in nachbars wlan wiederfinden und über die Signalstärke kriegst vielleicht sogar Haus und Stockwerk raus wo der sitzt. Aber das ist eigentlich aufgabe der Polizei.
Außer wenn der Hacker das wusste und die Macadresse deines Nachbarn nimmt um bei dir einzubrechen - dann stehst wieder vor nichts.

Answer 4

danke MixMax. Ich lasse hie und da Wireshark laufen und suche da drin natürlich nach dieser MAC Adresse wurde aber bisher nicht fündig. Nun gut, es muss ja nicht sein, dass der Hacker diese MAC Adresse weiter verwendet, wäre ja auch dumm. In Wireshark kann man Filter setzen, was würdest du mir raten, bin mir aber nicht schlüssig welche Filter am aussagekräftigsten wären. Ein Filter 802.11, ok, aber ich suche jenes Protokoll bei dem die Registrierung der MAC Adresse erfolgt. Die Datenmeneg ist sonst einfach zu gewaltig. Inzwischen hbe ich WLAN nur noch eingeschaltet wenn ichs grad brauche. Ansonsten beschäftige ich mich grad mit IDS/IPS Routern.

Answer 5

das letzte mal als ich was mit Wireshark gemacht habe ist lange her und auch wenn ich mich für Netzwerkprotokolle interessiere bin ich da noch lange kein Fachmann. Bei mir haperte es dann daran das ich den übertragenen Inhalt nicht sehen konnte weil ja fast alles heute verschlüsselt ist (auch ohne WLAN also z.B. https) - mein interesse galt da auch nur die funktion eines Protokolls zu betrachten und nicht einen Hacker aufzuspüren.

Also ich bin mir da auch nicht so sicher das das WLAN selber gehackt wurde. Ich tendire halt eher das der Hack über schadsoftware lief und vielleicht hat der ganze Hack gar nichts mit wlan zu tun sondern lief nur über Internet mit einem infizierten PC im Netz als Proxy (quasi Proxy umgekehrt)

Soweit er keine Spuren wie IP-Adresse seines realen internetzugangs hinterlassen hat wird die Jagt nach einer MAC-Adresse ohnehin schwer - man kann ja schlecht alle Nachbarn überfallen und auffordern die Mac-Adressen aller vorhandenen Notebook rauszurücken.
Gibts einen begabten Nachbarsjungen zwischen 15 und 20 der etwas schüchtern ist und wenn du ihn anschaust immer schnell auf den Boden schaut? Oder hätte jemand einen Vorteil dich zu hacken wenn es nicht eine Gelegenheitstat war?

Ich wurde auch mal gehackt, wurde seinerzeit übrigens hier im Supportnet eifrig verfolgt - er nutzte eine Sicherheitslücke auf meinem Webserver aus der bei mir zu Hause lief und ich konnte das Serverlog retten und auch wenn er hier und bei einigen zugriffen per Tor-Netzwerk unterwegs war, der eigentliche Hack funktionierte da nur ohne Proxy, mit dem Log bei der Polizei haben die ihn auch ein paar Monate später morgens um 6 Uhr seine PC's und Notebooks abgeholt. War ein Student und er wollte sich nur beweisen. Ist mit einem blauen Auge davon gekommen also keine Strafe oder so - war aber bestimmt nicht angenehm erwischt zu werden.

Answer 6

wir haben schon eine Vermutung, aber ich bin ja nicht James Bond mit seiner Ausrüstung. Vielleicht findet die Polizei was, immerhin können die den Provider aufordern Logdaten rauszurücken. Ich selbst glaube, dass ich höchstens letztendlich den Weg finde wie der Hack zustande kam, und wie ich inskünftig meine PC's und mein Netz zunageln kann. Ich verwende auch hie und da Tor, oder Tails in der Virtualbox. Aber meistens bin ich zu bequem, wenn ich nur grad nmeine Zeitungen lesen will, dann gehe ich direkt rein.