Software stürzt halb ab

[Ulfberht]

irrtümlich doppelt hochgeladen

[Ulfberht]

Ich habe die Dateien taskmanager-minerd-exe[1].png und minerd.exe[1].htm gefunden. Im Taskmanager taucht minerd nicht auf. Jetzt ergibt die Suche auf meinem Laufwerk keine Treffer mehr. Leider gibt es in Google kaum etwas zu finden. Zwei Seiten mit Entfernungstools, die mir aber nicht vertrauenswürdig erscheinen. Mist. Ich habe Norton 360 Grad und werde morgen einen Gesamtscan laufen lassen. Vielleicht wird ja was gefunden.

Ich muss noch einmal fragen, wie die Malware auf den Raspi kommt. Das Image ist schadfrei und wird von mir mit dem Windowsrechner auf die Speicherkarte geschrieben. Da ist die Malware noch nicht drauf. Ich starte den Raspi, er wird entdeckt und wegen des Standard-Kennworts sofort infiziert? Von wem? Von meinem Windows-Rechner oder aus dem Internet durch meine Firewall hindurch?

[Familienvater]

Hi,

Offtopic, aber wenn ich das lese, dann bekomme ich spontan Lust, alle IT-Geräte im Haus, die nicht unter meiner expliziten Kontrolle stehen, wie z.B. Handies/Laptops der weiblichen Hausbevölkerung diskussionslos in das Gästenetz zu verschieben, wird zwar schwierig bis unmöglich, denen dann trotzdem Zugriff auf die Netzlaufwerke zu geben, vor allem, weil die Cloud ja eher männlich-Hellblau und weniger Einhorn-Rosa ist...
Zeigt aber mal wieder, der Feind "wohnt" ggf. im eigenen Netz, auch wenn das gerne als "theoretisches Angriffsszenario" wegdiskutiert wird.

Der Familienvater

[deimos]

Hi,

Ich muss noch einmal fragen, wie die Malware auf den Raspi kommt. Das Image ist schadfrei und wird von mir mit dem Windowsrechner auf die Speicherkarte geschrieben. Da ist die Malware noch nicht drauf. Ich starte den Raspi, er wird entdeckt und wegen des Standard-Kennworts sofort infiziert? Von wem? Von meinem Windows-Rechner oder aus dem Internet durch meine Firewall hindurch?

Ich verstehe dich so, dass du auf deinem Windowsrechner etwas mit minetd gefunden hast, dann kommt es vermutlich von dort. Wenn du Portforwsrding im Router zum Pi aktiviert hast, dann kommt es auch von dort kommen.

Im übrigen: Wenn du dir auf dem Windowsrechner etwas eingefangen hast, dann kann es gut sein, dass es nichts bringt, wenn du da jetzt in der laufenden Installation etwas runterlädst. Gab schon einige Fälle, bei denen entsprechende Malware sich so tief eingegraben hat, dass sie frisch installierte Virenscanner einfach bei der Installarion ausgetauscht hat. Was du brauchst, ist eine saubere selbstbootende Lösung, wie z.B ct desinfect. Und du must auch überlegen, wie du dir das eingefangen hast und wo das in deinem Netz jetzt überall sein kann (Raspis, NAS, Smartphones, Mediaplayer, ...)

Viele Grüße
Alex

[deimos]

Offtopic, aber wenn ich das lese, dann bekomme ich spontan Lust, alle IT-Geräte im Haus, die nicht unter meiner expliziten Kontrolle stehen, wie z.B. Handies/Laptops der weiblichen Hausbevölkerung diskussionslos in das Gästenetz zu verschieben, wird zwar schwierig bis unmöglich, denen dann trotzdem Zugriff auf die Netzlaufwerke zu geben, vor allem, weil die Cloud ja eher männlich-Hellblau und weniger Einhorn-Rosa ist...
Zeigt aber mal wieder, der Feind "wohnt" ggf. im eigenen Netz, auch wenn das gerne als "theoretisches Angriffsszenario" wegdiskutiert wird.

Mit der richtigen Hardware ist das verhältnismäßig einfach: VLAN fähiger Switch, Ubiquiti Access Points und einen Ubiquiti Edge Router. Dann verschiedene Netze in jeweils eigenen VLANs aufspannen und zwischen denen mit Firewall routen. Wenn man beruflich nicht aus der Ecke kommt, muss man eine Menge lernen, aber das kann ja auch Spaß machen. Sonst würden wir uns Homematic ja auch nicht antun.

Viele Grüße
Alex

[Ulfberht]

Ja toll.

Erst einmal Danke für die Infos. Damit komme ich vermutlich an meine Grenzen. Gibt es ein vernünftiges Forum, wo man sich über Virenprobleme auf Windows-Rechner austauschen kann?

Ich hatte vor einiger Zeit mit dem Raspi experimentiert, mit Hilfe eines Buches: Temperaursensor, LED schalten, alles per Programm und per Internetseite, ... und dafür verschiedene Ports freigegeben (seit heute nicht mehr). Mein Sohn hat für minecraft und teamspeak auch etliche Ports freigegeben - keine Ahnung, ob da was Gefährliches drunter ist. Aber das haben ja Tausende andere auch gemacht.

Ich habe gestern Abend versucht, alles mit minerd zu löschen. Auf den ersten Blick hing das am Browser. Zum Schluss habe ich über die Suchfunktion nichts mehr gefunden. Es wäre bestimmt zu einfach, wenn das Problem schon gelöst wäre. Heute Abend mache ich weiter.

[deimos]

Hi,

Erst einmal Danke für die Infos. Damit komme ich vermutlich an meine Grenzen. Gibt es ein vernünftiges Forum, wo man sich über Virenprobleme auf Windows-Rechner austauschen kann?

Ich kenne leider keines. Ich treibe mich eher auf den Security Mailinglisten rum, aber die sind manchmal selbst für Profis harter Tobak. Aber wie geschrieben: Das ct desinfect ist ein guter Anfang. Da ist auch ein Heft mit ein paar Infos dabei.

Ich hatte vor einiger Zeit mit dem Raspi experimentiert, mit Hilfe eines Buches: Temperaursensor, LED schalten, alles per Programm und per Internetseite, ... und dafür verschiedene Ports freigegeben (seit heute nicht mehr). Mein Sohn hat für minecraft und teamspeak auch etliche Ports freigegeben - keine Ahnung, ob da was Gefährliches drunter ist. Aber das haben ja Tausende andere auch gemacht.

Es geht da primär mal um den Port 22 für SSH zum Raspberry. Grundsätzlich ist halt jeder weitergeleitete Port ein potentielles Einfallstor.

Ich habe gestern Abend versucht, alles mit minerd zu löschen. Auf den ersten Blick hing das am Browser. Zum Schluss habe ich über die Suchfunktion nichts mehr gefunden. Es wäre bestimmt zu einfach, wenn das Problem schon gelöst wäre. Heute Abend mache ich weiter.

Wie geschrieben: Es gibt Malware, welche sogar verhindert, dass ein Virenscanner korrekt installiert wird. Ein kompromittiertes System ist ein kompromittiertes System. Jeder Versuch ein kompromittiertes System aus sich selbst wieder sauber zu machen, ist potentiell zum scheitern verurteilt. Es gibt nur zwei sichere Wege das System sauber zu bekommen: Komplett neu aufsetzen aus unkompromittierten Quellen oder Booten mit einem saubereren Datenträger und über den dann das System säubern. (Wobei Hardliner das letzte ebenfalls als nicht sicher ansehen). Und natürlich dafür sorgen, dass das Einfallstor geschlossen ist.

Viele Grüße
Alex

[Familienvater]

Hi,

Mit der richtigen Hardware ist das verhältnismäßig einfach: VLAN fähiger Switch, Ubiquiti Access Points und einen Ubiquiti Edge Router. Dann verschiedene Netze in jeweils eigenen VLANs aufspannen und zwischen denen mit Firewall routen.

mein Gäste-WLAN ist per VLAN switchübergreifend absegmentiert, ich nutze aber als WLAN-APs und auch als Router nur Lancom-Geräte, das "rausrouten" bestimmter Ports aus dem Gästenetz ins Intranet müsste ich mir dann mal genauer vornehmen und anschauen.

Da aber meine Geräte keine Default-Passwörter haben sollten, sind so "einfache" Hacks unmöglich, und die SSH-Zugangsdaten kenne regelmäßig nur ich.
Ich verlasse mich zumindest in der Windows-Welt auf meine zentral gemanagte Enterprise-Antivirus-Lösung, gegen Android-Handy-Malware hilft das aber alles nichts.

Der Familienvater

[deimos]

Hi,

wenn du schon entsprechende Hardware hast, warum dann nur zwei Netze?

Ich habe Trusted (Server, Rechner, Laptop), WLAN Handies/Mediaplayer intern, WLAN Gäste, Haustechnik und eins für die piVCCU Entwicklung.

Zumindest die wollte ich komplett aus allem raus haben, da *braucht* z.B. niemand Zugriff auf mein NAS.

Viele Grüße
Alex

[Ulfberht]

Laienfrage zu „mehrere Netze“.

Ich vermute, dass es sich nur um wlanßnetze handelt, oder?

Und es muss ein spezieller Router sein, der mehrere Netze aufbauen kann? Fritz.box bietet ja als zweites Netz nur das Gästenetz. Wobei wlan bei uns nicht funktioniert. Der Router steht im Keller, die Nutzer sind auf 3 Etagen verteilt ... Ich beschäftige mich heute Abend damit.