Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)
-   -   server spoofing in Studentenheim durch ein Macbook Pro (https://www.trojaner-board.de/171213-server-spoofing-studentenheim-macbook-pro.html)

Fkb_lived999 17.09.2015 09:44
server spoofing in Studentenheim durch ein Macbook Pro
 
Hallo,

ich wohne in einem Studentenheim. es gab ein “Spoofing” in Server. Sie haben mir gesagt, dass es durch meine Internet Verbindung passiert ist. Deswegen haben sie meine Netzverbindung blockiert. sie sagen, dass ich schuld daran bin.

Ich verwende ein Macbook Pro und möchte wissen, ob es möglich ist, dass jemand durch meinen Laptop oder mein Laptop selber ihre Server schaden könnte.
Ich brauche mehr information dazu.
Danke vielmals.

cosinus 17.09.2015 10:03
Hi

Das sind viel zu wenig Infos. spoofing im Server, schön und gut mag ja sein, aber was soll dein MacBook damit zu tun haben. Der dient ja wohl kaum als Server/Gateway oder sonstwas für alle Heimbewohner.

Wer überhaupt hat dir das gesagt, wer ist "sie" und nimmt dich dann einfach vom Netz?

Fkb_lived999 17.09.2015 10:50
Für (sie) meine ich die Leute in Computerreferat in Diesem Studentenheim. wir haben keine mehr Informationen über was passiert ist. Nur haben sie uns (meine Mitbewohnerin und ich) gesagt, dass etwas durch unsere Netzverbindung ihre server attackiert und die Internet Geschwindigkeit im Gebäude ist reduziert.

Ich habe ein altes TP-link Router von Iran mitgebracht. Im Computerreferat haben sie das Router als Access Point reguliert. wir haben ein Macbook Pro, ein iPhone 5, ein iPhone 6 und ein iPad mini.
Ich möchte wissen, ob mein Laptop schuld daran ist oder nicht.

Veilen Dank

cosinus 17.09.2015 10:57
Alte Router sind Sicherheitslücken. Ich hätte ja zuerst mal das alte TP-Link rausgeschmissen und geprüft, ob das Netz immer noch attackiert wird.

iceweasel 17.09.2015 12:01
Welche Netzwerk-Authentifizierung wird denn in dem Wohnheim genutzt. Ich hoffe mal IEEE 802.1X oder so ähnlich, damit nicht jeder die Identität eines anderen (IP-Adresse oder MAC-Adresse) annehmen kann. Da das wohl nicht der Fall ist (wahrschienlich einfaches DHCP selbst ohne MAC-Adress-Prüfung) ist die Anschuldigung ja wohl absurd. Zugriff erfolgte wahrscheinlich von einem Dritten als du gerade offline warst. Leider spricht auch dein Betriebssystem Mac OS gegen Malware oder anderen Schadcode. Trotzdem kannst du dein System mal kontrollieren. Fordere zudem Details zu dem angeblichen Angriff an, erfrage die Netzwerk-Authentifizierung und poste mehr Informationen wie z.B. die Netzwerk-Topologie.

burningice 17.09.2015 13:05
Also Sekunde mal :D

Erstmal Hallo an Fkb_lived999, danke dass du dich angemeldet hast :)

Ich bin der Typ aus dem Computerreferat ;)

Zu dem Sachverhalt: Jedes Zimmer hier bei uns hat einen physischen LAN Port pro Zimmer. Das Verhalten von diesem Port wird sicherheitstechnisch protokolliert. Es wird jede MAC Adresse, die unser Netzwerk benutzt, zuvor registriert und einem Nutzer/Zimmerport zugeordnet - natürlich gibt es eine automatische MAC Prüfung.

In diesem Fall hier kam es seit dem 28. August zu wiederholtem MAC Spoofing anderer Nutzer in unserem Netzwerk. Das gipfelte darin, dass seit Anfang September von diesem Zimmer Mac Spoofing von unserem DHCP Server betreiben wurde, das mehrere Stunden lang. Dieses Verhalten erfolgte regelmäßig und über mehr als eine Woche verteilt. Deshalb haben unsere Netzwerkadministratoren entschlossen, dieses Zimmer offline zu nehmen.

Bedauerlicherweise war bei uns das Netwatching Skript für solche Fälle deaktiviert, weil es etwas buggy war und es kam erst beim manuellen durchsehen der Logfiles raus - zudem hatten einige Bewohner durch dieses Macspoofing Probleme mit unserem Netzwerk bekommen. Sonst wärst du sofort und automatisch gesperrt worden.

Unsere Netzwerkpolicy sieht vor, dass jeder Bewohner für die Sicherheit seines Anschlusses verantwortlich ist. Für "Mac Spoofing von Servern" steht bei uns naturgemäß eine sehr hohe Strafe.

Deshalb hat der Bewohner die Beweispflicht, nachzuweisen, dass es er nicht selbst war. Von uns aus war es eindeutig von diesem Zimmer.

Der User hat wie erwähnt scheinbar einen Access Point benutzt, daran hat er einen Mac Book, iPad usw. benutzt. Natürlich ist es möglich, dass sein WLAN gehackt wurde, aber unseren DHCP zu spoofen erfordert schon ziemlich Vorsatz, egal von wem ;)

Dass die Clients in unserem Netzwerk untereinander (eingeschränkt) kommunizieren können und so sichtbar sind, ist infrastrukturbedingt und absichtlich.

Jedenfalls sieht unsere Heimordnung und Netzwerkpolicy vor, dass der User erklären muss, wie es dazu kam.

cosinus 17.09.2015 13:16
Wie soll denn der TO erklären woher es kam, dazu braucht er doch entsprechendes Fachwissen. :D

Sagmal burningice, administrierst du da seinen Anschluss mit bzw das Netzwerk von genau diesem Heim? :wtf:

burningice 17.09.2015 13:18
Ich arbeite in genau diesem heim ja, im First-Level Support^^ für die netzwerkadministration selbst sind zwei andere zuständig, wir stehen aber in engem Kontakt ;)

cosinus 17.09.2015 13:54
Ist das jetzt ein Zufall oder watt ist hier los??? :wtf:

Märchen erzählt uns der liebe burningince ja wohl nicht oder :blabla:

burningice 17.09.2015 14:45
Nicht ganz, ich habe ihm gesagt, es gibt drei mögliche Gründe für dieses Problem:
- es war Absicht
- jemand hat sich in sein WLAN gehackt bzw das Netz war ungenügend gesichert
- es war sein Mac Book oder ein anderes Gerät durch seinen Access Point

Um seinen MacBook ausschließen zu können, hab ich ihm dieses Forum gezeigt.

Darum würde ich Dante bitten, einen kurzen Blick auf das MacBook zu werfen, auch wenn es sehr unwahrscheinlich ist.

cosinus 17.09.2015 14:53
Ist es nicht sinnvoller die wahrscheinlichste Ursache erstmal zuerst zu beackern?

Wenn es keine Absicht war, dürfte die nämlich der alte TP-Link Access Point sein.

burningice 17.09.2015 15:31
schon, aber jeder könnte nachträglich die Verschlüsselung auf WEP oder so ändern, darum ist der AP ehr eine Glaubensfrage, die Logs - falls es welche gab bei dem Teil, werden durch den Neustart und der Zeit inzwischen nicht mehr da sein. Und falls wir jetzt seinen AP anschauen und er hat WPA2 mit nem 18 Zeichen Kennwort, ist das nicht für den User entlastend ;).

Wir haben schon viel "Energie" in dem Bereich erlebt und darum zählen für uns nur mehr sichere Fakten.

Wir werden den Fall wie angeboten dem nächst mit der persönlich nochmal besprechen, hier bleibt noch der Mac wenn du möchtest :)

Dante12 17.09.2015 23:03
:hallo: @Fkb_lived999

Um deinen Mac zu prüfen führe bitte folgende Schritte aus:
Hinweis: Dazu muss dir der SysAdmin dein Netzwerk kurzfristig freigeben damit die Verbindungen geprüft werden können.

Schritt 1
  1. Klicke auf den Finder Desktop und anschliessend drücke die Tastenkombination Command + Shift + G
  2. Kopiere den Pfad aus der Code-Box in das kleine Finder Fenster und drücke ENTER.
  3. Code:
    /System/Library/CoreServices/Applications
  4. In dem Ordner befindet sich das Netzwerkdienstprogramm. Starte es bitte.
  5. Klicke auf den Button oben auf Netstat
  6. Wähle den Punkt Status der aktuellen Socket-Verbindungen anzeigen
  7. Anschliessend klicke auf der rechten Seite des Fensters den Button netstat.
  8. Kopiere den gesamten Inhalt aus dem Textfenster und füge es hier in Code-Tags ein.

Schritt 2

MalwareBytes for Mac
  • Lade dir bitte MalwareBytes for Mac herunter.
  • Öffne das DMG und verschiebe die APP in den Programm-Ordner.
  • Programm starten und klicke auf Scan. Gefundene Malware wird in den Papierkorb verschoben.
  • In MalwareBytes gehe in das Menü Scanner und anschliessend zu Take System Snapshot.Beachte das die Anwendung Aktiv sein muss, also auf das Fenster der Anwendung klicken damit du oben auf deinen Bildschirm das Menu sehen kannst.
  • Kopiere den Inhalt des Fensters und füge es hier ein. Wenn möglich in Code-Tags siehe unten


Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit COMMAND+A) und kopiere es in die Zwischenablage mit COMMAND+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Cursor zwischen die CODE-Tags und drücke COMMAND+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://dante.trojaner-board.de/bilder/code-tags.png

burningice 18.09.2015 02:25
@Fkb_lived999 das kannst du im Compref machen, dort hast du weiterhin Internet wenn dich ein Referent anschließt

iceweasel 21.09.2015 12:27
Zitat:
Von uns aus war es eindeutig von diesem Zimmer.
Nur aus Interesse. Wie stellt ihr das sicher? Wenn ich es richtig sehe müsst ihr hierfür geeignete Switches haben, damit nicht nur serverseitig die MAC-Adressen, sondern auch die Zuordnungen zu den Ports geprüft werden. Hierzu würde ich gerne mehr erfahren.
Auch würde ich gerne wissen ob ihr den "Bewohnern" Geräte wie TP-Link MR3020 zur Nutzung eines echten Mini-WISP-Client empfehlt oder nicht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:29 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129