PC Spionage via Internet?

Dieses Thema im Forum "Netzwerkprobleme & Internetprobleme" wurde erstellt von zauberlehrling65, 12.08.2010.

  1. #1 zauberlehrling65, 12.08.2010
    zauberlehrling65

    zauberlehrling65 Neuer Benutzer

    Dabei seit:
    12.08.2010
    Beiträge:
    2
    Zustimmungen:
    0
    Meine Kollegin hat mir erzählt, dass unser vorhergehender Chef die Rechner seiner Mitarbeiter überwacht hat.

    Misstrauisch geworden, habe ich mir die Einstellungen unseres Routers NetGear RP 614 angesehen.

    Unter Portweiterleitung war dort der Eintrag
    VNC_RP
    erster Port 15905
    letzer Port 15907
    IP-Adresse 192.168.0.100

    sowie
    WebDAV
    erster Port 15908
    letzer Port 15908
    IP-Adresse 192.168.0.100

    eingetragen.
    Die angegebene IP-Adresse kenne ich nicht, es ist weder der Router noch unser Server noch einer der Mitarbeiter-Rechner.

    Ich habe diese Portweiterleitung gelöscht.
    Genau seit diesem Tag erhalte ich im Routerprotokoll immer Eintragungen wie:
    [HOST Attack: TCP SYN Flood][Deny access policy matched, dropping packet] oder [TCP SYN Flood][Deny access policy matched, dropping packet]


    Laut einer ersten Suche im Internet sollten dies harmlose Portscans sein. Erstaunlich nur, dass diese ausschließlich während unserer Arbeitszeit von 8:00 - 16:30 Uhr stattfinden und niemals spät am Abend oder nachts.

    Hat hier unser alter Chef evtl. noch Zugriff oder versucht es? Die Trennung von ihm ist im Streit verlaufen, nun habe ich Angst vor Spionage.

    Noch ein Hinweis, unser Router ist nicht direkt mit dem Internet verbunden. Unsere Firma hat Räume in einem Bürokomplex angemietet und sitzt hinter einem anderen Router (der auch für andere Firmen nutzbar ist), die IP unseres Routers dürfte also nur intern sichtbar sein.

    Vielen Dank für eine hilfreiche Antwort
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 xandros, 14.08.2010
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Der WebDav-Eintrag ist schon etwas verdächtig. Schliesslich baut das auf HTTP auf und benötigt normalerweise nur Port 80 wie es für jeden normalen Browser üblicherweise auch der Fall ist. Dabei handelt es sich um ein Dateiaustausch-Protokoll, mit dem sogar Verzeichnisse verschoben werden können und eine Versionskontrolle möglich ist.
    (Versionskontrolle bei Dokumenten hat etwas mit Überwachung zu tun - normalerweise ist das dann aber eher im Firmensinne....)

    VNC ist ja bekannt. Das angehängte RP könnte RemotePort bedeuten - ist allerdings nur mal ins Blaue geraten, da der Name wohl individuell gewählt worden sein kann.
    Interessant ist allerdings, dass hier ein Remote-Zugriff auf vorgegebenen Ports möglich ist und dann auch noch ein Verzeichnisupload über das HTTP-Protokoll auf einen anderen Port umgeleitet wird.
    Da wird wohl wirklich noch regelmässig irgendeine Anwendung von Innen versuchen, Daten nach aussen zu schicken - oder eben jemand versucht von Aussen, verschiedene Daten abzurufen.

    Ich persönlich würde die Ports mal offen lassen und ein Trafficprotokoll anfertigen, aus dem man den auf diesen Ports stattfindenden Datenverkehr mit den beteiligten IPs erkennen kann. Dann sollte die Fremd-IP schon Aufschluss darauf geben, wo die Gegenstation sich etwa aufhält.
    (Der "Kabelhai" wäre dabei eine Möglichkeit für den Scan.)
     
  4. #3 dunervst, 14.08.2010
    dunervst

    dunervst Neuer Benutzer

    Dabei seit:
    14.08.2010
    Beiträge:
    13
    Zustimmungen:
    0
    Ich würede an deiner Stelle die beiden Ports sofort schließen. Webdav ist eine Webfreigabe auf dem PC mit der 192.168.0.100. Bedeutet, das jemand von außerhalb auf die Freigegebene Ressource zugreifen kann.

    VNC_RP ist für die Remoteverwaltung des PCs mit der 192.168.0.100. Sollte natürlich nicht freigegeben sein.

    Deaktiviere die Portweiterleitung mal, lösche Sie aber nicht. Wenn Sie benötigt wird, wird sich schon jemand melden. Offen lassen würde ich diese nicht, da du damit ja jemandem die Möglichkeit offen lässt auf Daten und auf den PC zu zu greifen.
     
  5. #4 xandros, 14.08.2010
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Da es keinen PC mit der IP 192.168.0.100 im Netzwerk gibt, laufen die Weiterleitungen/Freigaben sehr wahrscheinlich ins Leere! (Der TO wird mit Sicherheit nicht geprüft haben, ob nicht auf irgendeinem Rechner eventuell ein Dienst mit diesen IPs läuft...... Ein interner Ping sollte Auskunft geben, ob die IP erreichbar ist oder nicht.) Solange kein Ziel für eingehende Anfragen vorhanden ist, kann man auch diese Einträge verwenden, um herauszufinden, woher die Anfragen kommen. Und das geht nur, solange der Router die Anfragen zulässt! Nach Erstellung des Protokolls sollten die Einträge natürlich entfernt werden. Schlupflöcher sollte man immer schliessen.
     
  6. #5 zauberlehrling65, 14.08.2010
    zauberlehrling65

    zauberlehrling65 Neuer Benutzer

    Dabei seit:
    12.08.2010
    Beiträge:
    2
    Zustimmungen:
    0
    Vielen Dank für die schnelle Hilfe.

    Interessant finde ich die Idee, ein Trafficprotokoll anzufertigen, aus dem man den auf diesen Ports stattfindenden Datenverkehr mit den beteiligten IPs erkennen kann. Nur leider weiß ich nicht, wie das gehen könnte. Kann mir dazu jemand helfen? Leider sind wir nur ein 3-Mann-Projektbüro und haben keine eigene EDV-Abteilung, die wir fragen könnten.

    Die Portweiterleitung deaktivieren ist natürlich immer eine Option. Ob sich danach jemand meldet? Wenn, wie ich befürchte, unser ehemaliger Chef illegal noch schaut, an welchen Projekten wir gerade arbeiten, kann er sich ja schlecht bei uns melden und nachfragen.

    Vielen Dank im Voraus.
     
  7. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  8. #6 xandros, 14.08.2010
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    ... Wireshark ist dazu geeignet. Zumindest protokolliert es den Datenverkehr im eigenen Netzwerk, sofern kein Layer-3-Switch irgendwo eingesetzt wird.... (Normale Small-Office oder Heimgeräte arbeiten auf Layer 2 und stellen kein Problem dar.)
     
  9. #7 helidoc, 14.08.2010
    helidoc

    helidoc killed by a black pudding
    Moderator

    Dabei seit:
    01.06.2007
    Beiträge:
    3.647
    Zustimmungen:
    1
    Ort:
    Bluemchenwiese
    ...allerdings bringt der Kabelhai sowie auch andere Dumper einem ungeübten Auge als Ergebniss unterm Strich: nichts bis nicht viel.

    Von daher wäre es vielleicht eine Überlegung wert, wenn es um ein ernstzunehmendes Sicherheitsproblem mit möglichen finanziellen Konsequenzen der Firma geht, vielleicht doch einen DIenstleister zu Rate ziehen...?
     
Thema: PC Spionage via Internet?
Besucher kamen mit folgenden Suchen
  1. spionage via internet

    ,
  2. ip spionage

    ,
  3. ip spion

    ,
  4. über skype computer spionage,
  5. spionage über internetruter,
  6. internet spionage durch ip,
  7. webdav spionage,
  8. spioniert jemand mein cmputer,
  9. eigene ip spionieren,
  10. computer im netzwerk spionieren,
  11. syn flood from attack im routerprotokoll,
  12. spionage ip adresse,
  13. spionage übers internet auf anderen pc,
  14. 192.168.0.100edvoffice,
  15. pc spionage übers internet,
  16. ip adresse aus spion,
  17. spionieren bei einer ip,
  18. wie wird ein pc spion gelöscht,
  19. spionage über ip adresse,
  20. skype spioniert im rechner,
  21. spionage auf anderen computer,
  22. skype pc spionage,
  23. spionage port,
  24. wie spioniert jemand meinen Computer,
  25. router ip-adressen protokoll netzwerk spionage
Die Seite wird geladen...

PC Spionage via Internet? - Ähnliche Themen

  1. PC-"Putz"-oder Bereinigungs-Software...ja oder nein ?

    PC-"Putz"-oder Bereinigungs-Software...ja oder nein ?: Hallo zusammen, Ich möchte nach dem Sinn oder der Notwendigkeit einer PC-Pflegesoftware. fragen. Lange Zeit hatte ich die Software von AVG in...
  2. Universal PC mit Gaming Ambitionen

    Universal PC mit Gaming Ambitionen: Hi Leute, ich bräuchte, da ich einiges aus der Materie raus bin, Hilfe bei einer aktuellen PC Zusammenstellung. Wünsche: Ein schlichter Intel PC...
  3. Neue Grafikkarte Pc Schaltet sich einfach aus und neustartet bei Leistungsstarken Spielen

    Neue Grafikkarte Pc Schaltet sich einfach aus und neustartet bei Leistungsstarken Spielen: Ich habe vor mehreren Wochen von meiner Geforce GTX 285 Grafikkarte auf die GTX 570 von EVGA Overclocked gewechselt da ich diese brauchte um...
  4. Passendes Regal, Sideboard für PC, Hardware & Co.

    Passendes Regal, Sideboard für PC, Hardware & Co.: Liebe Profis und erfahrende Amateure. ich habe einmal eine ganz doofe Frage. Wie habt Ihr Euren Rechner aufgestellt, bzw. wie bewahrt ihr Eurer...
  5. PC Zusammenstellung ~1000€

    PC Zusammenstellung ~1000€: Hallo liebe Forum Mitglieder. Bin gerade dabei für einen Freund einen PC zusammenzustellen. Er spielt viel am PC aber eher Spiele wie World of...