Die DEUTSCHEN Trojaner-Seiten
				Home
			Was tun bei einer Hacker-Attacke Häufig werde ich gefragt: "Während einer Internet-Sitzung meldet mir Lockdown einen Zugriffsversuch auf meinen Rechner. Wie lese ich das ausgegebene Logbuch und was kann ich gegen den Hacker unternehmen ?" Im Folgenden möchte ich also einmal anhand eines Beispieles ausführlich auf diese Frage eingehen. Wir nehmen uns der Einfachheit halber mal das Beispiel, das bereits unter "Probleme mit Lockdown" aufgeführt ist. Beispiel Während einer Online-Sitzung meldet mir Lockdown folgendes: [08.11.99 18:04:21] Incoming hack attempt from IP Address: 62.157.53.28 [08.11.99 18:04:21] Hacker is attempting to gain access using the SubSeven trojan. [08.11.99 18:04:21] Hacker's connection was terminated by Lockdown 2000. [08.11.99 18:04:21] Log auto-saved to: 11081999.LOG [08.11.99 18:04:21] Attempting trace route... Please stand by... [08.11.99 18:04:21] Attempting to trace hacker's connection... Please stand by... [08.11.99 18:04:21] 08.11.99 18:04:21-[From 62.157.53.28]- [08.11.99 18:04:22] => 193.158.133.50 [08.11.99 18:04:22] => F-gw3.F.net.DTAG.DE [08.11.99 18:04:22] => K-gw13.K.net.DTAG.DE [08.11.99 18:04:22] => 193.158.144.13 [08.11.99 18:04:22] => p3E9D351C.dip.t-dialin.net [08.11.99 18:04:22] ========================== Oder wenn ich eine Software-Firewall (z.B. die ConSeal PC Firewall) einsetze alternativ folgendes: [21.10.1999 13:34:14] Incoming hack attempt from IP Address: 62.40.8.135 [21.10.1999 13:34:14] Hacker is attempting to gain access using the SubSeven trojan. [21.10.1999 13:34:14] Hacker's connection was terminated by Lockdown 2000. [21.10.1999 13:34:14] Log auto-saved to: 10211999.LOG [21.10.1999 13:34:14] Attempting trace route... Please stand by... [21.10.1999 13:34:14] Attempting to trace hacker's connection... Please stand by... [21.10.1999 13:34:14] 21.10.1999 13:34:14-[From 62.40.8.135]- [21.10.1999 13:34:22] - Connection made locally! [21.10.1999 13:34:22] ========================================= Der einzige Unterschied zum ersten Beispiel besteht darin, dass Lockdown die IP des Hackers nicht zurückverfolgen kann, da die Firewall diese Aktion abblockt. Stellt sich nun die Frage: Was kann ich jetzt mit diesen Angaben anfangen ? Also dröseln wir die erste Meldung mal auf. 1. Zeile: Die IP Adresse von der der Scannvorgang ausgeht lautet 62.157.53.28 (Kurze Anmerkung: Diese Adressen werden vom Provider bei jeder Online-Sitzung dynamisch vergeben. Das heißt, dass der Nutzer bei der nächsten Einwahl eine völlig andere Adresse zugewiesen bekommt. Ausnahmen bilden hier nur Standleitungen. Dort wird eine feste Adresse vergeben.) 2. Zeile: Der Hacker benutzt den Trojaner SubSeven, um nach einem infizierten System zu suchen. 3. Zeile: Lockdown hat die Verbindung des Hackers lokalisiert. 4. Zeile: Dieses Logbuch wird unter dem Dateinamen 11081999.LOG abgespeichert. (Kurze Anmerkung: Lockdown zeigt unter dem Punkt "Log" alle automatisch gespeicherten Logbücher an. Man kann also auch im Nachhinein noch einen Ausdruck vornehmen.) 5. und 6. Zeile: Lockdown verfolgt mittels trace route den Verbindungsweg des Hackers zurück. Dieser Vorgang dauert einige Sekunden. 7. Zeile bis zum Schluss: Lockdown listet genau den Weg der zurückverfolgten Verbindung auf. Okay, damit haben wir alles zusammen. Was nun ? Die letzte Zeile enthält eine der wichtigsten Angaben. Die IP Adresse 62.157.53.28 führt also auf die Einwahl-Verbindung p3E9D351C.dip.t-dialin.net zurück. Diese Angabe benötigt der Provider unbedingt, um den Hacker ermitteln zu können. Wie geht es weiter? >> Dieser Text wurde von Andreas Ebert verfasst und zur Veröffentlichung auf https://www.trojaner-info.de freigegeben. Vielen Dank dafür ! Copyright by Andreas Ebert & trojaner-info.de