wohnheimnetzwerk und mein trojaner problem

Hier auswerten :
http://www.hijackthis.de/
Wie wäre es mit einer Firewall ?

@gast

du, die firewall lief auch aber leider konnte der admin irgendwie dafür sorgen, dass, wenn ich inet wollte, mit meinem admin reingehen musste und dann später soager, dass es nur funktionierte, wenn meine firewall aus war. ich war bei ihm und er sagte mir dann: mit einer firewall ins inet, wieso das denn! ihr seht hier ist der hund begarben.

das file übrigens wo der trojner ist

Apache/2.0.51 (Fedora) Server at mexxgood.com Port 80

Wie wäre es mit einem alten 286 , 386 , oder 486er mit IPCOP (linux)
als HW-FW ???

>> mit einer firewall ins inet, wieso das denn! << Sag ihm mal einen Gruss , und wenn keine HW-FW da ist , halte ich ihn für "bekloppt" !!!
Nicht , dass das Netz offen fü DOS-Angriffe ist , ohne eigene FW kann jedes Programm "nachhausetelefonieren und Mails versenden !!!
Hat der ADMIN etwa Zugriff auf alle PC , ohne Rücksprache oder dass Du ein Prog laden musst ??
Damm WERFT IHN RAUS !!!

du hast recht, aber mir geht es vor allem um das prinzip und den nachweis, dass es die netzwerkbetreuer sind die die viren streuen. ich kennen mich ziemlich gut mit tcp/ip protokollen aus und was da über meine firewall läuft fand ich immer schon komisch. dass sich aber hier in meiner unmittewlbaren umgebung leute einen jux daraus machen diverse rechner zu hacken, kann längerfristig nur unterbunden werden, wenn man sie drankriegt. ich denke da an eine aufschlüsselung nach hostnamen der gesendeten pakete und quais rückverfolgung bis zum auslöser.seit 3monaten ist das problem da, und meine system hat sich an logs und reports satt gefressen, so dass nun mit dem studentenwohnheim abgeklärt werden muss, wie es dazu kommen kann.
stichwort illegal.

Wenn Du Zonealarm einsetzt , und alles zulässt , dann noch ALLE Ereinisse protokollieren lässt , müsstest Du bald Belege haben , mit denen Du die Polizei einschalten kannst . Das ist schliesslich genauso , als wenn Du einen Sasser oder BOT einschleust ... 

Nachtrag : Lies mal hier (LINKS) mit....
http://www.computerhilfen.de/hilfen-17-75863-0.html
Könntest ja ggf den Telnet und FTP-Port usw schliessen    ???

ich habe mit mittlwerweile den TCP DUMP monitor geholt und leute ihr glaubt nicht was sich unter der scheinbar glatten oberfläche meiner zonelab alles tut.
leider gelingt es den anderen pc s immer mir einen blauen bildschirm hinzuzaubern, wenn ich die pakete zurückverfolge, dh ich kann zwar die pakete suchen, aber es ist nur eine frage der zeit, bis sie den CV crahsen.bei der ereignissanzeige steht dann:
Der Computer ist nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: 0x100000d1 (0x82c00000, 0x00000002, 0x00000000, 0xeddba86c). Ein volles Abbild wurde gespeichert in: C:\WINDOWS\Minidump\Mini070605-10.dmp.
also nicht schön. ich werde jetzt die tage versuchen die ips in reele macnamen umzusetzen um den leuten an den karren machen zu können und dann das system neu aufsetzen. postet weiter zu diesem beitrag, oder verfolgt einfach, wie isch die geschichte entwickelt.

grüsse gehen raus

Vielleicht hilft das , keine Ahnung . Habe 95 bei Siemens zwar den Admi für PC gespielt , aber da hatten wir intern die PC nur per Mac adressiert . Habe nich die erste Class C bestellt und eingerichtet , aber dann 97 mit 55 in Vorruhestand 
Wenn du die MAC des internen Ports suchst hilft evtl. folgendes:


Zitat:
C:\>arp -a

Schnittstelle: 192.168.0.2 on Interface 0x100005
  Internetadresse      Physikal. Adresse
  192.168.0.1          00-0f-b5-0b-78-1a


der Befehl arp -a zeigt dir deine lokalen ARP-Tabellen an, in meinem Falle hier mein Gateway und dessen MAC.
Im Anschluss habe ich einen weiteren Computer mit der IP 192.168.0.3 eingeschaltet und einmal "gepingt".

Zitat:
C:\>ping 192.168.0.3

Ping wird ausgeführt für 192.168.0.3 mit 32 Byte

Antwort von 192.168.0.3: Bytes=32 Zeit<10ms TTL=64

[...]tütütü, blablabla, kennste ja[...]



Jetzt wieder den Befehl 'arp -a', und er offenbart folgendes:

Zitat:
C:\>arp -a

Schnittstelle: 192.168.0.2 on Interface 0x100005
  Internetadresse      Physikal. Adresse
  192.168.0.1          00-0f-b5-0b-78-1a
  192.168.0.3          00-40-d0-20-02-2e


Die IP des neuen Computers wurde also auf dessen MAC aufgelöst.

das hilft wirklich, ich habe nun die mac adressen , der vmutmusslichen täter, die ich an der uni über den zentralrechner auslesen lassen werde.
@hans: und da sag noch mal einer die alten müssen raus, weil sie nichts bringen. echt super danke für dein tipp.

Danke , helfe immer gerne , besonders wenn es gegen Viren und sonstige Eindringlinge geht !!!

@alle:

weiter im text. arbeite jetzt sehr erfolgreich mit tcp.dump um die angriffe aufzuschlüsseln., siehe thread weiter oben, aber!!! die bösen hacker schaffen es doch glatt mein stytem zu zuerschiessen, indem sie mir pakete schicken, die ( rest erklärt der link)

http://www.tecchannel.de/index.cfm?pid=187&pk=424185

für mich stellt sichnur die frage, wie kann ich das verhindern. weiss jemamd mehr dazu??? pls help

und gruss geht raus an nero^^

WIN-XP - SP2 ? Mach einfach mal die INTERNE Firewall an !!!! Die sollte dich vor DOS Angriffen schon schützen . Besser ist ein Router mit FW .
Suche mal nach IP-COP (Linux Firewall) , auf altem 286er möglich !!!

Hallo,

was hast du für eine Netzkarte - Chipsatz