Provider meldet Mißbrauch meines Internetzuganges

Linuxfan · 16 Juli 2009

Hallo Leute,

folgende Email erhielt ich gestern von meinem DSL-Provider 1&1:

Ihr 1&1 Internetzugang wird missbraucht

[...] Wir haben Hinweise erhalten, dass über Ihren 1&1 Internet AG Internetzugang Spam
verbreitet wird.

Anhand dieser Hinweise konnten wir feststellen, dass Ihr Computer sehr
wahrscheinlich mit einem Virus infiziert ist. Dadurch ist er Teil eines
sogenannten Botnetzes und kann von Hackern weltweit missbraucht werden.

Ohne dass Sie selbst es merken, dient Ihr Rechner dazu, Spam zu verbreiten,
Angriffe auf andere Rechner zu koordinieren und auszuführen. Auch könnten Ihre
persönlichen Daten auf Ihrem Computer ausspioniert werden. [...]

Mein System:
openSUSE 11.1 (x86_64)
2.6.27.23-0.1-default x86_64 (aktueller Kernel, alle System-Patches und Updates)
4.2.4 (KDE 4.2.4) "release 2"
VirtualBox 3.0.2 r49928

Mein Rechner läuft als Einzelplatzrechner über DSL-Router FRITZ!Box Fon WLAN 7113 (UI) (Firmware-Version 60.04.67) und ist fast den ganzen Tag an. Nur zeitweise starte ich die VirtualBox, um auf Windows Vista zugreifen zu können, angeschlossen über Netzwerk-Adapter (NAT). Meine Rechnerkonfiguration hat sich in den letzten Monaten kaum geändert, um so erschrockener war ich über die Email meines Providers. Ich habe nochmals mit Antivir alle Dateien inkl. Archive und heuristische Makrovirenerkennung alles durchgescannt ohne jegliche Meldung. Außerdem chkrootkit und rkhunter durchlaufen lassen. Keine Rootkits und keine verdächtigen Meldungen. Jetzt bin ich etwas ratlos, was einerseits vorgefallen sein soll und was ich ohne jeglichen Verdachtsmoment noch tun kann. Mein Provider schweigt sich noch aus, nachdem ich ihn sofort um Stellungnahme per Mail gebeten hatte. Meine Firewall der Fritz!Box ist natürlich aktiv sowie die Software-Firewall von openSUSE 11.1, die ich nicht weiter konfiguriert habe.

Kann bzw. soll ich an meinen Firewall-Einstellungen etwas ändern? Was könnte ich außerdem verändern bzw. prüfen? Gibt es Erfahrungswerte, wann ein Provider diese Meldung verschickt? Kann es sein, daß ein Programm (avidemux?) softwaremäßig Spams von meinem Rechner verschickt hat? Dieses Videoschnittprogramm hatte ich am Vorabend laufen, ich habe es mittlerweile allerdings wieder deinstalliert.

Ich wäre dankbar für alle möglichen Tipps und Vorschläge, was sich ohne mein Wissen auf meinem Rechner abgespielt haben könnte und wie ich mein System sicher(er) bekommen kann.

Vielen Dank,

Linuxfan.

Rainer Juhser · 16 Juli 2009

1.) Wie oft nutzt du Vista?
2.) Was ist mit der WLAN-Verbindung? Verschlüsselt? Jemandem mal das Passwort gegeben oder 'nen Windows-Rechner drangehängt?

gropiuskalle · 16 Juli 2009

Ich würde mal Rücksprache mit Deinem Provider halten, wie die darauf kommen.

Ein kompromittiertes System lässt sich u.U. übrigens ohnehin nicht zuverlässig auf Angriffe prüfen. Es ist ja bereits geknackt.

whois · 16 Juli 2009

Nur mal so hinterfragt.
Bist du sicher das dieses Mail von deinem Provider kommt und nicht seinerseits Spam ist.

Anonymous · 16 Juli 2009

Hi,

daß es Spam sein könnte, war auch meine erste Vermutung. Allerdings schreiben Leute in Viren-Foren, daß sie nach solcher Mail wirklich massive Probleme bekommen haben. Vgl. etwa http://windowsdefender6062.start4all.com/2009/06/25/bot-netz-ihr-11-internetzugang-wird-missbraucht-viren-trojaner-w%D1%8Crmer-in-the-life-or-death-forum-chip-online/ und http://www.trojaner-board.de/73450-91-infizierte-registrierungsschluessel-trojaner-etc-gefunden.html

Sieht also so aus, als sei da wirklich was faul. Hast Du ein anderes Antivirenprogramm, das Du mal laufen lassen kannst? Wir haben hier für Windows-Systeme Sophos, das ist ziemlich gut.

Schöne Grüße,

Joker

Linuxfan · 16 Juli 2009

Hallo,

zuerst einmal vielen Dank für die schnellen Antworten.

Windows Vista über VirtualBox nutze ich alle paar Tage mal eher im Rahmen von Minuten als Stunden. Auch dort sind alle Patches und Updates von mir gemacht. Ich nutze Vista fast nur, um die Nokia PC Suite laufen zu lassen und meine Handy-Firmware updaten zu können. Alle Sicherheitsfunktionen sind auf Vista eingeschaltet, seit vorgestern sogar noch AntiVir mit residentem Virenscanner, eben die Windows-Variante.

WLAN ist bei mir über die Fritz!Box immer deaktiviert, ich nutze ausschließlich eine reine Kabelverbindung bei mir in der Wohnung. Abgreifen einer WLAN-Verbindung ist also 100%ig auszuschließen.

1&1 brütet nach telefonischer Auskunft derzeit über meiner Rückmail und wird mir hoffentlich detaillierter erklären, was vorgefallen sein soll.

Die Email von 1&1 ist garantiert keine Spammail, da ich per Vor- und Nachname sowie mit meiner Kundennummer angeschrieben worden bin, außerdem hat sich dies soeben durch mein Telefonat mit dem Hotliner bestätigt.

Was ich sicherheitshalber machen werde: Windows Vista auf VirtualBox komplett löschen (virtuelle Festplatte) und komplett neu installieren, sofort AntiVir darauf installieren und alle Updates und Patches machen. Dazu noch die Frage: sollte man auch auf dem virtuellen System (guest) immer einen residenten Virenscanner wie z.B. AntiVir laufen lassen? Dennoch irritiert mich, daß ich Vista kaum verändert habe und quasi nur wenige weitere Installationen vorgenommen habe (aktueller AdobeReader, Flash, Java).

Mich würde noch eure Meinung interessieren, was ich verbessern könnte. Wie sieht es mit der Linux Firewall auf meinem System aus, sind da neben den Grundeinstellungen, die die Installation gemacht hatte, weitere Anpassungen nötig? Regelmäßig auf Rootkits etc. mittels rkhunter und chkrootkit checken versteht sich von selbst. Ist eine andere Firewall zu empfehlen? Wie gesagt ist es mein Home-PC, der auch wegen Mythtv oft stundenlang läuft.

Vielen Dank schon mal für eure Tipps und Antworten,

Linuxfan.

whois · 16 Juli 2009

Mich würde auch interessieren was die sonst noch dazu ablassen.
Ich halte das für etwas übertrieben deshalb gleicht Windows von der Platte zu fegen.
Das ist etwas zu voreilig finde ich.

Jägerschlürfer · 16 Juli 2009

ich würde auch erstmal warten, bis mir der Provider mehr Infos dazu liefert. Evtl lässt sich da was eingrenzen.

Rainer Juhser · 16 Juli 2009

Linuxfan schrieb:
Windows Vista über VirtualBox nutze ich alle paar Tage mal eher im Rahmen von Minuten als Stunden. Auch dort sind alle Patches und Updates von mir gemacht. Ich nutze Vista fast nur, um die Nokia PC Suite laufen zu lassen und meine Handy-Firmware updaten zu können. Alle Sicherheitsfunktionen sind auf Vista eingeschaltet, seit vorgestern sogar noch AntiVir mit residentem Virenscanner, eben die Windows-Variante.

Damit ist die Gefahr einer Infektion eigentlich eher gering. Deshalb denke ich, dass dein Vorhaben

Linuxfan schrieb:
Was ich sicherheitshalber machen werde: Windows Vista auf VirtualBox komplett löschen (virtuelle Festplatte) und komplett neu installieren

etwas übereilt ist. An deiner Stelle würde ich mich vor dem Löschen eher mal über den von 007_joker geposteten Link im
Trojaner-Board umsehen und die dort aufgeführten Überprüfungstools und -methoden mal auf dein virtuelles Vista loslassen.

gropiuskalle · 16 Juli 2009

Es ist allerdings ein bekannter Grundsatz, dass ein gehijacktes System über Mechanismen verfügt, eventuelle Überprüfungen auf Viren, bots etc. wiederum zu unterlaufen, ein entsprechender scan bringt also keinesfalls die notwendige 100%ige Sicherheit, dass alles in Ordnung ist.

Ich bin dennoch extrem skeptisch. Die Darstellung von Linuxfan legt nahe, dass hier zumindest von Vista aus kaum was kommen kann; selbst wenn das System geknackt wurde, kann ein minutenweises (beispielsweise) Spamverschleudern aus dieser Quelle wohl kaum vom Provider bemerkt werden.

Regelmäßig auf Rootkits etc. mittels rkhunter und chkrootkit checken versteht sich von selbst.

Es erscheint mir ebenfalls sehr unwahrscheinlich, dass sich auf Deinem Home-Desktop ein rootkit eingenistet hat. Die Dinger sind sauteuer, die Anschaffung lohnt sich nur dann, wenn man derlei auf Servern einschleust. Botnets werden meines Wissens nach vorwiegend über exploits eingeschleust, nicht über rootkits.

Ich würde nochmals nachfragen. Wenn ein solcher Verdacht besteht, sollte Dir Dein Provider auch klipp und klar sagen können, waraus sich dieser ableitet.

onkelchentobi · 16 Juli 2009

Aus welchem Grund rennt dein Rechner den ueberhaupt fast den ganzen Tag, nur wegen Mythtv ?
Du hast nicht zufaellig irgend welche Downloads den halben Tag laufen oder bist in einem P2P Netz sehr aktiv?
Welche Dienste sind sonst noch auf deinem System installiert und eventuell auch aktiv?

panamajo · 16 Juli 2009

gropiuskalle schrieb:
Es erscheint mir ebenfalls sehr unwahrscheinlich, dass sich auf Deinem Home-Desktop ein rootkit eingenistet hat. Die Dinger sind sauteuer, die Anschaffung lohnt sich nur dann, wenn man derlei auf Servern einschleust.

Naja, es gibt auch billige Varianten, die dafür gerne nicht funktionieren. Der übliche Weg sind brute-force Attacken (die man an den allseits beliebten ssh Loginversuchen bemerkt) und dann einen IRC Client für irgendeinen Hi-Port installieren (was meist scheitert weil die Skripte an den Eigenheiten der UN*X Dist scheitern, also nicht LSB konform sind.

gropiuskalle schrieb:
Botnets werden meines Wissens nach vorwiegend über exploits eingeschleust, nicht über rootkits.

ACK. Bei einem rootkit wird man meist zum p2p Teilnehmer mit begehrten warez...

rolle · 17 Juli 2009

Wenn Du meinst, Dein virtuelles Windows könnte das Problem sein, dann deaktiviere in dem den Gateway (damit es nicht ins Internet kommt, boote in der Maschine ein BartPE Windows (mit Virenscanner) oder eine linuxbasierte Virenscannerlösung und untersuche den Rechner nach Viren.
Interessant wäre auch noch die Frage, wie Dein Provider auf die Idee kommt, Du hättest SPAM versandt. Loggen die Deinen Mailverkehr mit? Und wenn ja, warum und auf welcher Grundlage?

Linuxfan · 17 Juli 2009

Mittlerweile finde ich die Reaktion meines Providers auch merkwürdig, zumal ich gestern (Do.) Mittag mit dem Hotliner telefonierte und mir dieser sagte, die entsprechende Abteilung (abuse) sei gerade mit meiner Mail beschäftigt und ich bekäme Antwort. Bisher habe ich aber noch nichts bekommen. Ich frage mich natürlich auch, wie mein Provider Kenntnisse von angeblichem Spamversand ohne mein Wissen von meinem Rechner haben will.

Ferner hieß es in besagter Email:

[...] Um die Sicherheit Ihres Internetzuganges und Ihrer persönlichen Daten
wiederherzustellen, gehen Sie bitte wie folgt vor:

1. Virus löschen und PC schützen:
Um den Virus von Ihrem Computer zu entfernen und in Zukunft vor einer Infektion
geschützt zu sein, empfehlen wir Ihnen die professionelle Anti-Viren-Software
Norton 360 oder Norton Internet Security. Sie finden sie in Ihrem 1&1 Control
Center.

2. Zugangsdaten ändern:
Nachdem Sie den Virus gelöscht haben, ändern Sie zur Sicherheit alle Ihre
Passwörter und Zugangsdaten zu Online-Accounts. Möglicherweise sind diese vom
Virus ausspioniert wurden. Denken Sie zum Beispiel an die Passwörter zu:
- Ihrem 1&1 Control-Center (Service-Passwort)
- Ihrem eBay-Mitglieds-Konto
- Ihrem WEB.DE oder GMX E-Mail-Postfach
- Ihrem PayPal-Konto
- Ihrem Online-Banking-Account [...]

Ich meine, das wäre nun wirklich der Hammer, wenn sich 1&1 erlauben würde, aus Werbegründen eine solche Email zu versenden, damit ich deren Norton-Security-Paket nehme. Daher mal abwarten, was mir demnächst für Einzelheiten genannt werden.

Ich bin tatsächlich weder auf irgendeiner Tauschbörse und nicht mal auf einem Messenger wie ICQ tätig, mein PC wartet in meiner Abwesenheit oft als Multimediamaschine vor sich hin, damit mir Mythtv in den Abendstunden was aufnimmt. Insofern wirklich keinerlei Angriffspunkte, weswegen ich ja auch so irritiert bin.

Dienste laufen auf meinem System nur die seit der Installation eingerichteten sowie vboxdrv, das Kernel Modul für VirtualBox, und das Backend von mythtv. Sonst alles Standard. Auch da sind keine Kuriositäten vorhanden, im Runlevel ist voreingestellt das Profil Voller Mehrbenutzerbetrieb mit Netzwerk und Display-Manager.

Dann weiß ich jetzt also, daß ein Rootkit auf einem Rechner wie meinem eher selten und quasi unsinnig wäre. Bleibt für mich aber noch die theoretische Frage, ob eine Software wie z.B. avidemux (Videoschnitt und -bearbeitung) unerkannt in der Lage wäre, derlei Spams abzusondern, ohne daß man sie dafür dingfest machen und aus einem Repository schmeißen kann. Wenn 1&1 zügig auf wie auch immer geartete Fälle reagieren würde, wäre dies das einzige ungewöhnlichere Programm, das ich in der Nacht davor ausprobiert und nach einigen Stunden entnervt wieder deinstalliert hatte. Es gibt also keinen Grund für mich, weitere Firewall-Einstellungen vorzunehmen? Unter Windows sieht man ja bei ZoneAlarm genau, welches Programm um Erlaubnis fragt, online gehen zu dürfen.

Wenn ich mir allerdings nach einer Google-Suchabfrage meines Email-Betreffs das hier anschaue, dann scheine ich ja momentan nicht der einzige mit solch einer Nachricht von 1&1 zu sein und sollte mir wirklich um mein Windows Vista Sorgen machen. Ich denke, mal eben neu installiert, alles Updates + Patches gemacht, AntiVir drauf und überhaupt kostet mich 2 Stunden. Vielleicht mal probieren, ob ZoneAlarm rein performancemäßig auch läuft, dann hätte eine Kontrolle über die Dienste und Programme, die online gehen wollen. Was meint ihr?

Jedenfalls nochmals vielen Dank für die Tipps und Kommentare, ich denke, wir warten mal die Reaktion von 1&1 ab und sind gespannt, was die sagen.

Linuxfan

whois · 17 Juli 2009

Dann mach tabula rasa und wirf Vista runter.
Wenn es kein besonders grosser Zeit/Geldaufwand ist.
Ich glaube zwar kaum das dies viel bringen wird aber.....

Rainer Juhser · 17 Juli 2009

Linuxfan schrieb:
Unter Windows sieht man ja bei ZoneAlarm genau, welches Programm um Erlaubnis fragt, online gehen zu dürfen.
...
Vielleicht mal probieren, ob ZoneAlarm rein performancemäßig auch läuft, dann hätte eine Kontrolle über die Dienste und Programme, die online gehen wollen.

Zonealarm bringt dir so gut wie gar nichts. Das gilt übrigens für jede "Personal Firewall" in Bezug auf die Überwachung des ausgehenden Verkehrs. Wenn eine Anwendung wirklich heimlich nach Hause telefonieren will, dann schafft sie das auch ohne dass ZA was merkt - z.B. huckepack über den Browser (Port 80).

whois · 17 Juli 2009

Vielleicht wäre es auch nicht mal schlecht sowas wie Knetstats,Gkrellm zu installieren um zu sehen was raus geht und rein kommt.

P6CNAT · 20 Juli 2009

Hallo Linuxfan,

wenn du eine Ader für Analysen hast könntest du versuchen herauszufinden was auf deinem Rechner los ist. Hier ein paar Ideen.

1. Netzwerkanalyse
Die von whois vorgeschlagenen Programme kenne ich nicht. Aber mit den Sniffer Wireshark kannst du auf jeden Fall herausfinden ob große Mengen Mails rausgehen. Man kann Paketfilter auf den Port 25 (smpt) setzen um das Ganze übersichtlicher zu machen.

2. Leistungsmessung
Mit dem Konsolenprogramm top oder mit der Systemüberwachung kannst du feststellen, ob ein Programm aussergewöhnlich viel CPU Zeit beansprucht. Ein ruhendes System ist zu 98% id, das heisst idle=untätig. Hier ein Schnappschuss von top:

Code:

top - 13:07:50 up 24 min,  5 users,  load average: 0.01, 0.07, 0.20
Tasks: 124 total,   3 running, 121 sleeping,   0 stopped,   0 zombie
Cpu(s):  2.3%us,  1.0%sy,  0.0%ni, 96.7%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   2061036k total,   978940k used,  1082096k free,    51476k buffers
Swap:  2104472k total,        0k used,  2104472k free,   471400k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 9638 root      20   0 25692 1428 1036 R  0.7  0.1   0:00.10 top
    1 root      20   0   864  332  272 S  0.0  0.0   0:00.68 init
    2 root      15  -5     0    0    0 S  0.0  0.0   0:00.00 kthreadd
    3 root      RT  -5     0    0    0 S  0.0  0.0   0:00.00 migration/0
    4 root      15  -5     0    0    0 S  0.0  0.0   0:00.12 ksoftirqd/0
    5 root      15  -5     0    0    0 S  0.0  0.0   0:00.52 events/0
    6 root      15  -5     0    0    0 S  0.0  0.0   0:00.00 khelper

Allerdings ist das nicht ganz einfach zu verstehen, wenn man keinen Vergleich zum normalen Ruhezustand hat.

3. Vista testen
Fahre die Virtual Box runter und prüfe mit Wireshark ob Mails rausgehen.

4. Neuen User anlegen
Wenn Vista ausscheidet und du nicht gerade die schlechte Angewohnheit hast dich immer unter root anzumelden sollte eigentlich nur dein normaler Benutzer korrumpiert sein. Lege einen neuen an und beobachte ob immer noch Mails rausgehen. Mit top oder der Systemüberwachung kannst du dann auch sehen ob ein Prozess unter dem Namen deines alten Benutzers aktiv ist.

Wenn die Schritte 3 und 4 nicht greifen und dein Provider immer noch behauptet, dein Rechner sei eine Spamschleuder, bleibt wohl nur eine Neuinstallation.
Übrigens können auch DSL Router gehackt und missbraucht werden, siehe auch http://www.linux-club.de/viewtopic.php?f=38&t=102504

Gruß
Georg

Linuxfan · 20 Juli 2009

Hi P6CNAT,

vielen Dank für Deine ausführliche Antwort. Ich habe ohnehin immer meine CPU-Auslastung im Blick und mir ein System-Plasmoid so auf den Desktop gelegt, daß ich schön übersichtlich bestimmt die letzten 10 Minuten umfassend sehe, wie aktiv die CPU war. Da ist gar nichts Außergewöhnliches zu sehen und die CPU-Auslastung ist permanent im minimalen Bereich, ansonsten informiere ich mich sofort über die Systemüberwachung, was zeitweise rechenintensive Prozesse angeht. Zudem bin ich selbstverständlich nonstop als normaler Benutzer angemeldet und starte eigentlich nie als Root-User, da man ja unter Linux immer schön mal kurz mit Passwort als Superuser fungieren kann. Ich werde mir nun aber mal Wireshark ansehen, da ich durchaus interessiert bin, auch was Analysen angeht.

Mittlerweile hege ich allerdings den Verdacht, daß 1&1 da eine eher zweifelhafte Tour fährt, zumal ich bis heute noch keine Antwort bekommen habe und gleich noch mal die Hotline kontaktieren werde. Immerhin kann ich von meinem Provider erwarten, daß er mir in einem solchen Fall zügig nähere Infos und Details gibt, alleine was Uhrzeit und Zeitraum anbelangt. Das ist jedoch bis dato nicht geschehen.

Des weiteren könnte ich mir vorstellen, daß meine Installation von Windows 7 RC 32-bit unter VirtualBox einige Infos versendet, zumal man sich ja mit dieser kostenlosen Vorabversion als Beta-Tester betätigt und eingewilligt hat, daß man an der Verbesserung des fast fertigen Betriebssystems in eben diesem Endstadium beteiligt ist.

Vielen Dank für Deine Tipps,

Linuxfan.

lOtz1009 · 20 Juli 2009

Linuxfan schrieb:
Des weiteren könnte ich mir vorstellen, daß meine Installation von Windows 7 RC 32-bit unter VirtualBox einige Infos versendet, zumal man sich ja mit dieser kostenlosen Vorabversion als Beta-Tester betätigt und eingewilligt hat, daß man an der Verbesserung des fast fertigen Betriebssystems in eben diesem Endstadium beteiligt ist.

Sie sendet, allerdings nichts was 1&1 dazu bewegen dürfte dich als Spammer (gewollt oder ungewollt) zu deklarieren. Es sei denn MS will deine Informationen nicht haben

Provider meldet Mißbrauch meines Internetzuganges

Linuxfan

Rainer Juhser

Moderator

gropiuskalle

whois

Anonymous

Gast

Linuxfan

whois

Jägerschlürfer

Moderator

Rainer Juhser

Moderator

gropiuskalle

onkelchentobi

panamajo

rolle

Linuxfan

whois

Rainer Juhser

Moderator

whois

P6CNAT

Linuxfan

lOtz1009

Moderator