Liebe Leser,
Wenn dies Ihr erster Besuch hier ist, lesen Sie bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Sie müssen sich vermutlich registrieren, bevor Sie Beiträge verfassen können. Klicken Sie rechts auf 'Jetzt registrieren.', um den Registrierungsprozess zu starten.
Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 9 von 10
  1. #1
    Citywache ist offline ROM
    Mein System
    MainboardGigabyte GA-MA790XT-UD4P
    ProzessorAMD Phenom II X4 955
    GrafikkarteATI Radeon HD 5700
    RAM4096 DDR3
    Festplatte(n)200GB SATA 500GB USB
    BetriebssystemWindows 7
    AV-SoftwareAntiVir
    FirewallWindows 7
    Art des InternetzugangsKabelanschluss
    Router/ModemDIR-615 D-Link
    Monitor22 Zoll ACER
    Registriert seit
    02.2010
    Beiträge
    4

    unerlaubte Kontoabbuchungen !!!

    Hallo zusammen,

    Alpträume und ferne Nachrichten ... "mich erwischt es schon nicht.." ... haben ihren Weg gefunden

    Da ich hier den Sachverhalt komplett schildern werde, meine Fragen gleich zu Anfgang an:

    * Welches Freeware Virenprogramm ist ausreichend ? - Ich habe AntiVir
    * Welche Firewall ? - Ich habe Windows 7 Sytemfirewall + Router DIR-615 DLink
    * Protokolldateien vom Router werden folgende Infos aus... in der heutigen Zeit normal oder was machen ? Was bedeuten Xmas port scan attacks from WAN (was machen?) ? Was bedeuten Drop TCP packet from WAN (was machen?)?


    Feb 7 10:45:16 Xmas port scan attack from WAN (ip:195.95.193.33) detected.
    Feb 7 10:44:46 Xmas port scan attack from WAN (ip:195.95.193.33) detected.
    Feb 7 10:44:26 Xmas port scan attack from WAN (ip:195.95.193.33) detected.
    Feb 7 10:44:16 Xmas port scan attack from WAN (ip:195.95.193.33) detected.
    Feb 7 10:44:06 Xmas port scan attack from WAN (ip:195.95.193.33) detected
    Feb 7 10:08:12 Xmas port scan attack from WAN (ip:193.24.237.182) detected.
    Feb 7 10:07:42 Xmas port scan attack from WAN (ip:193.24.237.182) detected.
    Feb 7 10:07:28 Xmas port scan attack from WAN (ip:193.24.237.182) detected.
    Feb 7 10:06:45 Xmas port scan attack from WAN (ip:193.24.237.182) detected.
    ===================================================
    Feb 7 09:35:44 Drop TCP packet from WAN (src:78.48.146.92:2317, dst:77.22.207.196:80) by default rule.
    Feb 7 09:35:38 Drop TCP packet from WAN (src:78.48.146.92:2317, dst:77.22.207.196:80) by default rule.
    Feb 7 09:35:34 Drop TCP packet from WAN (src:78.48.146.92:2317, dst:77.22.207.196:80) by default rule.
    Feb 7 01:44:13 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
    Feb 7 01:43:48 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
    Feb 7 01:43:36 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
    Feb 7 01:43:29 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
    Feb 7 01:43:26 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
    Feb 7 01:43:23 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.

    Das zu meinen aktuellen Fragen... und nun schildere ich meinen Sachverhalt, das versuche ich aber knapp zu halten mit den wichtigsten Ansätzen und Infos... das das hätte sicherlich vermieden werden können ist klar... aber ich bin kein PC Profi und das vorhandene, gedachte Sicherheiten auch mit Passwort nicht ausreichten - weiß ich nun auch ... diesbezüglich bitte keine blöden Kommentare... ärgere mich ungemein

    Sachverhalt:

    Gestern Morgen stellte ich fest, dass Lastschriften meines Kontos nicht mehr durchgeführt worden - mangels Deckung. Hierbei fiel auf, dass durch ClickandBuy mehrfache Abbuchungen seit dem 02.02.2010 Abbuchungen gelaufen sind (ca. 700 EUR in Kleinbeträgen). Die Abbuchungen kommen alle von ITunes (nicht meinem Konto).

    Anruf ClickandBuy -> Konto gesperrt -> Abbuchungen erfolgen über ITunes -> Email Adresse wurde am 01.02. auf "meinname"@online.de geändert->Anfrage der LogDaten über Polizei läuft

    Anruf 1und1 wegen @online.de Endung ->Endung ist nur für Vertragskunden->Anfrage der Daten über Polizei läuft

    Anruf bei meinem Provider wegen EMail und PW von ClickandBuy, denn das ist identisch und der kann somit meinen Email Verkehr lesen-> Anfrage ab dem 01.02. IP Logins läuft

    Anruf bei ITunes->Wer kauft ein mit meinem Bezahlkonto->Auskunft: Können sie nicht nachvollziehen->Anfrage über Polizei läuft

    Gestern Nachmittag habe ich mein Router neu eingestellt->WLAN verschlüsselung war WEP 8stellig (zeichen/Buchstaben/Zahlen..wahllos)

    Alle Passwörter wurden nun geändert in 12 stellig (beliebige Zeichen) und UNTERSCHIEDLICH

    Welche Ansätze könnten noch vorliegen ? Wie kann ich noch die Identität des Angreifers feststellen lassen ?

    Einen WLAN Angriff auf meine WEP Verschlüsselung halte ich fast für unwahrscheinlich aus folgenden Gründen:

    *Sehr gute Wohngegend (keine Jugendlichen im Umkreis)
    * Keine Parkplatzmöglichkeiten für längeren Aufenthalt da Innenstadt
    * Keine Schulen oder IT Einrichtungen in der Nähe
    * Netzwerk geht draußen nur ca. 80 Meter...

    Ich vermute ein Zugriff auf mein Mail Konto -wieauchimmer- lag vor

    Das ist mein Wochenende

    LG
    Angehängte Dateien Angehängte Dateien
    Geändert von Citywache (07.02.2010 um 12:27 Uhr)

  2. #2
    Registriert seit
    08.2004
    Beiträge
    18.168
    solltest der Vollständigkeit halber noch ein HJT-Log machen -> http://www.pcwelt.de/forum/sicherhei...this-logs.html

    > Hierbei fiel auf, dass durch ClickandBuy mehrfache Abbuchungen seit dem 02.02.2010 Abbuchungen gelaufen sind ...

    ist klar, dass Du das alles problemlos zurück buchen lassen kannst?
    Geändert von Scasi (07.02.2010 um 12:01 Uhr)
    frei nach Mary Poppins: nörgel, nörgel, nörgel ...

  3. #3
    Citywache ist offline ROM
    Mein System
    MainboardGigabyte GA-MA790XT-UD4P
    ProzessorAMD Phenom II X4 955
    GrafikkarteATI Radeon HD 5700
    RAM4096 DDR3
    Festplatte(n)200GB SATA 500GB USB
    BetriebssystemWindows 7
    AV-SoftwareAntiVir
    FirewallWindows 7
    Art des InternetzugangsKabelanschluss
    Router/ModemDIR-615 D-Link
    Monitor22 Zoll ACER
    Registriert seit
    02.2010
    Beiträge
    4
    So... hoffe mit der Datei alles richtig gemacht zu haben.. wie bereits geschrieben - bin nicht so firm in INet Sachen

    Der gealterte Holzkopf will das auch nicht mehr so schnell kapieren.

    Ja, das mit der Rückbuchung ist soweit bekannt, werde das auch morgen Früh als allererstes.. noch vor dem Duschen und Essen regeln... allerdings stellt sich mir dann doch noch die Frage.. was ist mit den offenen Buchungen ? Kann ich dafür belangt werden ? ... ich denke aber mal nicht...

    LG

  4. #4
    Registriert seit
    04.2000
    Beiträge
    28.925
    Zitat Zitat von Citywache Beitrag anzeigen
    Die Abbuchungen kommen alle von ITunes (nicht meinem Konto).
    Wenn das so beweisbar ist, brauchst du dir keine Sorgen (rechtlicher Natur) machen. Die Rückbuchung wird die beteiligten Firmen in Bewegung versetzen, was unter Umständen ein wenig nervig wird - aber hier muss man nur kühlen Kopf bewahren. Letztlich muss der, der eine Rechnung stellt, seinen Anspruch beweisen können. Wenn Empfänger der Leistung und Zahlungsdaten nicht übereinstimmen, wird das schwierig.

    Gestern Nachmittag habe ich mein Router neu eingestellt->WLAN verschlüsselung war WEP 8stellig (zeichen/Buchstaben/Zahlen..wahllos) [...] Einen WLAN Angriff auf meine WEP Verschlüsselung halte ich fast für unwahrscheinlich aus folgenden Gründen:
    WEP ist schon seit Jahren als unsicher eingestuft und kann mit geeigneter Software innerhalb von Minuten geknackt werden - egal wie lang der Schlüssel ist. Ein Ändern des Schlüssels hilft hier also nicht viel. Es sei dir dringend ein Aufrüsten auf WPA2 angeraten und bis dahin das WLAN abzuschalten.
    You get out what you put in.

    In the future, I'll tell my grandkids that I am older than the internet and blow their minds forever.

  5. #5
    Citywache ist offline ROM
    Mein System
    MainboardGigabyte GA-MA790XT-UD4P
    ProzessorAMD Phenom II X4 955
    GrafikkarteATI Radeon HD 5700
    RAM4096 DDR3
    Festplatte(n)200GB SATA 500GB USB
    BetriebssystemWindows 7
    AV-SoftwareAntiVir
    FirewallWindows 7
    Art des InternetzugangsKabelanschluss
    Router/ModemDIR-615 D-Link
    Monitor22 Zoll ACER
    Registriert seit
    02.2010
    Beiträge
    4
    Hallo Kalweit ...

    jo in Sicherheit wiegen mit wenigstens einer Verschlüsselung war /ist nicht ratsam... aber mit den Unterschiede habe ich mich leider bisher nicht beschäftigt gehabt.

    Das WAR meine Einstellung... WEP (8-stellig)

    Mittlerweile habe ich WPA2 auf 13-stellig...

    Schwer begriffstutzig aber noch lernfähig

    Das denke ich mal, dass das ersichtlich ist, dass ich nicht der Nutzer bin... derjenige hat ja auch gute Ansätze da gelassen - Mail Änderung, Itunes, vermutliche Logins in meinen EMail Acc... ich kann nur hoffen, dass da nicht überall meine IP auftaucht wegen geknackten WLANs aber wie oben geschrieben - halte ich das für unwahrscheinlich...

    Wie ist das mit den Protokollen in meinem Router ? Alles im Bereich des normal erträglichen ?

    Sollte ich bei Port Scanns ruhig (bei deutschen) die Provider informieren ? ... oder vergebene Mühe ?
    Geändert von Citywache (07.02.2010 um 12:59 Uhr)

  6. #6
    Registriert seit
    04.2000
    Beiträge
    28.925
    Zitat Zitat von Citywache Beitrag anzeigen
    Wie ist das mit den Protokollen in meinem Router ?
    Du hast ja nur ein Protokoll von Zugriffsversuchen über das Internet auf deinen Router. Derlei ist harmlos und braucht letztlich überhaupt nicht protokolliert werden. Viel interessanter wäre hingegen die andere Richtung, denn dann könntest du zweifelsfrei sehen, wenn jemand in deinem WLAN wäre.
    You get out what you put in.

    In the future, I'll tell my grandkids that I am older than the internet and blow their minds forever.

  7. #7
    Citywache ist offline ROM
    Mein System
    MainboardGigabyte GA-MA790XT-UD4P
    ProzessorAMD Phenom II X4 955
    GrafikkarteATI Radeon HD 5700
    RAM4096 DDR3
    Festplatte(n)200GB SATA 500GB USB
    BetriebssystemWindows 7
    AV-SoftwareAntiVir
    FirewallWindows 7
    Art des InternetzugangsKabelanschluss
    Router/ModemDIR-615 D-Link
    Monitor22 Zoll ACER
    Registriert seit
    02.2010
    Beiträge
    4
    Hallo...

    so nun war ich ganzen Tag arbeiten.. habe meinen Rechner laufen lassen und ihn von meiner Firewall überwacht...

    Dabei habe ich der Grafik ersichtliche Einträge... hierbei fällt mir auf, dass Einträge wie

    95.116.197.204:53839
    92.72.6.248
    62.192.156.130

    immer wieder auf den auf/von den Rechner zugreifen wollen... Gemäß einer WHOIS Abfrage handet es sich hierbei aber um Provider Telekom, Arcor und KB Impuls Service GmbH...

    Wie verfahre ich nun weiter - die wurden geblocked und das wars ? Was macht man in so einem Fall...
    Angehängte Grafiken Angehängte Grafiken

  8. #8
    Avatar von deoroller
    deoroller ist offline Wandelndes Forum
    Mein System
    MainboardASRock AM1H-ITX Gehäuse: Antec ISK 300-65 Mini-ITX
    ProzessorAthlon 5350 (4 Kerne, 2,05 GHz, 25 Watt TDP)
    RAMCrucial Ballistix Sport VLP DIMM 8GB, DDR3L-1600, 1,35 Volt, CL9-9-9-24
    Andere Laufwerkedeoroller hat auch eine SSD
    Netzteil (inkl. Spannungswerte)Delta Electronics 65 Watt ADP-65HP, 19 Volt DC-In Mainboard
    BetriebssystemWin7 x64 und XP Wechselmuffel
    AV-SoftwareSchlangenöl Deluxe
    FirewallRouter
    System-/OptimierungstoolsGerät zur thermischen Extraktion und Filtration von gemahlenen Kaffeebohnen mit Wasser als Extraktionsmittel
    Art des InternetzugangsDSL-1000
    SonstigesTV-Karte: AverMedia A707 PCIe Dual Hybrid Analog/DVBT/DVBS
    Registriert seit
    07.2000
    Ort
    unendliche Weiten
    Beiträge
    99.614
    Was blockiert wurde, ist ungefährlich. Wenn du jeden Zugriffsversuch zurück verfolgen willst, hast du in deinem Leben nicht anderes mehr zu tun.
    Der überwiegende Teil würde auch ohne Firewall keinen Schaden anrichten, da der Zugriff nur erfolgen kann, wenn ein Serverdienst läuft, der Befehle entgegen nimmt.

    Falls dein Router protokolliert, wer sich am WLAN anmeldet, kannst du das Log auch überprüfen.

    Das kannst du mal genauer bei www.virustotal.com/de untersuchen lassen:
    Code:
    R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll
    Geändert von deoroller (08.02.2010 um 19:58 Uhr)

  9. #9
    Avatar von neppo1
    neppo1 ist offline Halbes Gigabyte
    Mein System
    BetriebssystemLMDE& openindiana
    Art des InternetzugangsDSL-16000
    Registriert seit
    02.2006
    Ort
    Statesville&Frankfurt
    Beiträge
    5.175
    Bei W Lan dürfte ein blick auf die angemeldeten Mac Adressen reichen....
    Eine Kommission ist eine Gruppe von Unwilligen, ausgewählt aus einer Schar von Unfähigen zwecks Erledigung von etwas Unnötigem.

Seite 1 von 2 1 2 LetzteLetzte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
12
Content Management by InterRed