ComputerBase Menü
Aktuelles

(Heim)Netzwerk auf Botnetzaktivitäten untersuchen

X

XXXBold

Ensign
Registriert
Aug. 2019
Beiträge
170
Hallo zusammen

Ich habe den Verdacht, dass ein Heimnetzwerk, welches ich betreue, eventuell Geräte enthält, welche einem Botnetz oder ähnlichem angehören könnten. Dies daher, dass angeblich von dieser IP über bestehende E-Mail Adressen (Welche den Benutzern desselben Netzwerks gehören) Spam versendet worden sei. Die Mailadressen resp. Server selber werden von jemand anderem betreut, darauf habe ich keinen direkten Einfluss. Von dieser Partei weiss ich auch wegen der Spammails Bescheid.

Ich hab zwar grundsätzliches Wissen darüber wie das Ganze funktioniert, allerdings keinen konkreten Plan wie ich am besten vorgehen soll, um dieser Sache auf den Grund zu gehen. Folgendes habe ich mal vorgesehen:

- Liveboot eines Kali-Linuxsystems, auf einem Gerät, welches an den Router via Kabel angeschlossen wird.
- Welche Tools dazu hat Kali an Bord? Dokumentationen/Wikis dazu?
- Überprüfung des Netzwerkverkehrs auf verdächtige Aktivitäten: Wie erkenne ich solches am besten?
- Dazu Wireshark mit ARP-Spoofing verwenden? Ich bin darin nicht wirklich geübt.

Ich habe vollen (auch physischen) Zugriff auf den Router und die Geräte.
Geräte im Netzwerk sind:
  • Div. Mobiltelefone (Android)
  • TV-Boxen
  • Desktopcomputer, Laptops (mit Linux Mint/Windows 10)
  • Ein Server mit Debian 10

Alle Geräte befinden sich hinter einem Standardrouter von UPC (Schweiz), auf den Server sind einzelne Ports weitergeleitet.

Erfahrung mit Debianbasierten Linuxdistributionen ist vorhanden, allerdings nicht mit Kali direkt.
Wäre froh um einige Tipps wie ich am besten vorgehen kann.

Werden genauere Informationen benötigt, werde ich diese auf Anfrage ergänzen.

Danke und Grüsse

XXXBold
 
Am besten machste einen Mirror-Port auf dem Switch und sniffst darüber den Traffic mit.
Wo steht denn der Mailserver? Sicher dass nicht der Mailserver das Problem ist?
 
  • Gefällt mir
Reaktionen: XXXBold und razzy
Wie oben schon, mirrorport am switch, mitschneiden und dann per wireshark auswerten/analysieren.
Vorher aber unbedingt bei dem Verantwortlichen der Geräte hinter dem Port die Genehmigung einholen, da Datenschutz etc.
 
  • Gefällt mir
Reaktionen: XXXBold
Zwei unterschiedliche Admins für das selbe Netzwerk ist ungewöhnlich, aber das soll nicht mein Problem sein.
Dann kommt der Admin1 dem Admin2 in die Quere.
Besser wäre es alles in die Hand von nur einem Admin zu geben, der sich dann auch rechrfertigen muss.
Dieser Haupt-Admin soll dann das mit dem Botnetz klären.
 
Ich mag mich irren, gehe aber schwer davon aus das ein Botnetz Mails unter einer Adresse verschickt die ihm ein Command und Control Server vorgibt. Die werden wohl kaum die lokalen Emailadressen dafür abgreifen.

Folgerichtig würde ich an Deiner Stelle erstmal die Windows Geräte auf Viren scannen. Natürlich per Boot-CD/DVD.
 
  • Gefällt mir
Reaktionen: XXXBold
Danke für die Antworten!

gaym0r schrieb:
Am besten machste einen Mirror-Port auf dem Switch und sniffst darüber den Traffic mit.
Wo steht denn der Mailserver? Sicher dass nicht der Mailserver das Problem ist?
Zum Vergrößern anklicken....

Der Mailserver steht meines Wissens nach irgendwo in Deutschland, weiss ich aber nicht mit Sicherheit. Nein, da ich mit dem Mailserverbetreiber keinen direkten Kontakt habe weiss ich das nicht. Der Zugriff auf den Server fand allerdings immer per Pop3 und unverschlüsselt statt, auch ohne starke Kennwörter... Ich will mich aber meinerseits absichern und prüfen, ob meine Seite "sauber" ist.

razzy schrieb:
Wie oben schon, mirrorport am switch, mitschneiden und dann per wireshark auswerten/analysieren.
Vorher aber unbedingt bei dem Verantwortlichen der Geräte hinter dem Port die Genehmigung einholen, da Datenschutz etc.
Zum Vergrößern anklicken....

Hm, ich habe meine Zweifel, ob ich bei dem Router einen Mirror-Port erstellen kann. es handelt sich um dieses Gerät: https://de.wikipedia.org/wiki/Datei:Connectbox.jpeg
Das mit der Genehmigung versteht sich von selbst ;)
Warum brauch ich denn einen Mirrorport dafür? Wenn ich die Mac-Adresse des Routers übernehme müsste das doch auch so funktionieren?

Hayda Ministral schrieb:
Ich mag mich irren, gehe aber schwer davon aus das ein Botnetz Mails unter einer Adresse verschickt die ihm ein Command und Control Server vorgibt. Die werden wohl kaum die lokalen Emailadressen dafür abgreifen.

Folgerichtig würde ich an Deiner Stelle erstmal die Windows Geräte auf Viren scannen. Natürlich per Boot-CD/DVD.
Zum Vergrößern anklicken....

Ist auch eine Möglichkeit, das müsste dann aber ebenfalls bei einer Netzwerkanalyse auffallen, oder?
Ja, das wäre auch noch etwas was ich machen wollte bei den Windowsmaschinen. Hab das allerdings länger nicht mehr gebraucht, irgendwelche Empfehlungen, was dafür taugt?

Eishunter schrieb:
Zwei unterschiedliche Admins für das selbe Netzwerk ist ungewöhnlich, aber das soll nicht mein Problem sein.
Dann kommt der Admin1 dem Admin2 in die Quere.
Besser wäre es alles in die Hand von nur einem Admin zu geben, der sich dann auch rechrfertigen muss.
Dieser Haupt-Admin soll dann das mit dem Botnetz klären.
Zum Vergrößern anklicken....

Ich bin der alleinige Admin des betreffenden Netzwerkes, nur die Mailadressen/Domains werden von jemand anderem verwaltet, in einem ganz anderen Netzwerk womit ich nix zu tun habe.
 
Fangt mal an, die Passwoerter der MailAccounts zu aendern. Von einem Geraet was nicht in diesem Netz ist.
Und dann jedes einzelne Geraet im Netz offline nach Tierchen absuchen.

BFF
 
XXXBold schrieb:
Warum brauch ich denn einen Mirrorport dafür? Wenn ich die Mac-Adresse des Routers übernehme müsste das doch auch so funktionieren?
Zum Vergrößern anklicken....

Ja natürlich. Aber was genau siehst du dann? Der Versuch eines Clients den Mailserver zu kontaktieren. Mehr ist dann (ohne weiteres) nicht zu sehen, da die Verbindung nicht zustande kommt.
 
BFF schrieb:
Fangt mal an, die Passwoerter der MailAccounts zu aendern. Von einem Geraet was nicht in diesem Netz ist.
Und dann jedes einzelne Geraet im Netz offline nach Tierchen absuchen.
Zum Vergrößern anklicken....

Da bereits mehrmals Spam davon versendet wurde, sind die Mailaccounts aktuell deaktiviert. Eingehende Mails werden an alternative Adressen weitergeleitet.
Welche Software würdest du fürs absuchen empfehlen?

gaym0r schrieb:
Ja natürlich. Aber was genau siehst du dann? Der Versuch eines Clients den Mailserver zu kontaktieren. Mehr ist dann (ohne weiteres) nicht zu sehen, da die Verbindung nicht zustande kommt.
Zum Vergrößern anklicken....

Naja, die Daten müssen natürlich zum echten Gerät weitergeleitet werden :D
 
Desinfect, Kaspersky Rescue Disc, Malewarebytes AntiRootKit usw.

Ueberlegen, ob es auch ein IoT in dem Netzwerk erwischt haben kann.

BFF
 
Einzelne pc absteckend und schauen ob der bot nicht mehr aktiv ist.
wie genau lautet die Meldung des providers
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
Heim Netzwerk Neu aufsetzen
Antworten
5
Aufrufe
682
NetzJo3
N
M
Heim-Netzwerk erneuern und absichern
2 3
Antworten
44
Aufrufe
7.539
whispet
W
W
Heim Netzwerk mit Gastnetz und sep. Netz für Freund mit VLAN ohne Firewall möglich?
2
Antworten
21
Aufrufe
4.668
whispet
W
schlotzi
(Kauf)beratung: Heim-Netzwerk
Antworten
19
Aufrufe
2.810
Skysnake
S
P
  • Gelöst
Heim Netzwerk PC wird nicht gefunden
Antworten
15
Aufrufe
1.058
snaxilian
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz