randomi
Anmeldungsdatum: 22. Juli 2019
Beiträge: 17
|
Hallo, ich nutze (K)Ubuntu und bis heute hat mein System tadellos funktioniert. Nie ein Problem gehabt. Dann habe ich mich heute Nachmittag mit dem Uni-VPNServer verbunden, welcher Zugriff auf einen (wenig gesicherten) Windows Server eines angebundenen Instituts hat, und plötzlich läuft gar nichts mehr. Die Internetverbindung läuft mit 1-2 Mbit, während mein Windows-Notebook mit vollen 30-50 Mbit läuft. Netstat zeigt keine Auffälligkeiten an. Ich habe den Verdacht, dass der Windows-Server gekapert wurde. Glücklicherweise habe ich mein Laptop vor 2 Tagen frisch aufgesetzt und auf eine Verbindung der beiden PCs komplett verzichtet. Meine Arbeitspartitionen waren den ganzen Tag nicht gemountet und sind nun physisch entkoppelt. Die Partition für Arbeitsdateien ist nicht gemountet, ich kann also risikolos formatieren. Bevor ich formatiere, wie finde ich heraus, ob mein PC infiziert wurde und ich nicht sinnlos eine Warnung an den Prof sende und damit für Überstunden und Panik sorge? Ich werde gleich eine USB-Live-Distribution ausprobieren, um eine Hardwareursache auszuschließen. Ich freue mich über Hinweise zur Identifikation.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Wie hast du dich mit dem Win-PC verbunden?
Hast du von da Software geladen/Skripte ausgeführt? Prüfe mal bitte das Verhalten im Live-System.
|
randomi
(Themenstarter)
Anmeldungsdatum: 22. Juli 2019
Beiträge: 17
|
DJKUhpisse schrieb: Wie hast du dich mit dem Win-PC verbunden?
Hast du von da Software geladen/Skripte ausgeführt? Prüfe mal bitte das Verhalten im Live-System.
Über Cisco-VPN, geöffnet habe ich nur Excel-Tabellen und Powerpoint, jeweils mit Libreoffice.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
randomi schrieb: Über Cisco-VPN, geöffnet habe ich nur Excel-Tabellen und Powerpoint, jeweils mit Libreoffice.
Auf deinem PC lokal oder auf dem Win-PC über VNC/RDP? Bei VNC/RDP halte ich das Infektionsrisiko für gering, da da eigentlich nur der Monitor übertragen wird und die Eingaben, ggf. noch Ton.
|
randomi
(Themenstarter)
Anmeldungsdatum: 22. Juli 2019
Beiträge: 17
|
Eigenartig, mehrere Stunden war die Verbindung absolut am Nullpunkt, plötzlich nach meinem Posting, läuft wieder alles. Laut O2 gibt es keine Störungen, reiner Zufall?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17583
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Bitte im Live-System mal testen.
Laut O2 gibt es keine Störungen, reiner Zufall?
Vielleicht bei O2 keine, aber vielleicht an deinem PC.
|
randomi
(Themenstarter)
Anmeldungsdatum: 22. Juli 2019
Beiträge: 17
|
Merkwürdig ist das durchaus, 4-5 Stunden musste ich mich trotz Neustarts quälen und nun läuft alles friedlich. Entweder ein Virus mit Anomaliescanner oder reiner Zufall. Ist das erste Mal bisher.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8554
Wohnort: Münster
|
randomi schrieb: […] wie finde ich heraus, ob mein PC infiziert wurde
Mit einem Virenscanner, auch Antivirenprogramm genannt. Gibt es auch für Linux, siehe z.B. hier: https://de.safetydetectives.com/blog/besten-wirklich-gratis-antiviren-programme-fur-linux/
|
voxxell99
Anmeldungsdatum: 23. September 2009
Beiträge: 3901
Wohnort: da, wo andere Urlaub machen. :)
|
Auf dem beschriebenen Weg über das Öffnen von Office Dokumenten mit LO kann eigentlich nichts passiert sein. Ganz abgesehen davon, dass es so gut wie keine Linuxviren im realen Leben gibt, die Desktops angreifen. "Viren" sind eine beliebte "Erklärung" für Fehlfunktionen bei Windows Usern, aber bei Linux ist es eigentlich nur albern, sorry. Mir ist in Foren noch kein Fall untergekommen, wo sich solche Fragen mit JA beantwortet hätten am Ende.
|
randomi
(Themenstarter)
Anmeldungsdatum: 22. Juli 2019
Beiträge: 17
|
heute Abend ist die Verbindung wieder eingebrochen, Speedtest gemacht: Vor Neustart: 0,2-2 MBit/sec Mit TAILS-Live Distro (ohne Tor): 20MBit/sec Nach Neustart: 0,2-2 Mbit/sec Laptop (frisch eingerichtet): ebenfalls 20 Mbit/sec
ss und netstat melden keine Auffälligkeiten. Das Ergebnis ist bei mir replizierbar. Es sind keine anderen Internetverbindungen offen, ich habe alle über lsof ausgelesen und über pkill geschlossen. Trotzdem bricht die Verbindung immer wieder massivst ein. Nach einem Mining-Trojaner sieht es auch nicht aus, dafür ist die CPU-Last zu gering. Meine GPU ist auch silent, sonst würde sie sich bemerkbar machen. Ich halte es für unwahrscheinlich, dass über Dualboot ein Virus von Win auf Linux übergesprungen ist, da meine Windowsinstallation komplett ohne Wifi-Verbindung läuft. Ich habe auch keinen ext4-Reader unter Windows laufen. Irgendwas ist faul, aber die Herkunft wird sich nicht mehr feststellen lassen. Dafür ist es zu spät. Ich fürchte, es bleibt nur ein Hardkill meiner Ubuntu-Installation übrig. Alternativen sehe ich keine. Für einen Pen-Test habe ich zu wenig Kenntnisse.
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8493
|
Ich würde doch noch einmal nach einem möglichen Netzwerkproblem suchen. Nützt ja nichts, wenn Du den Rechner neu aufsetzt und das Problem ist nächste Woche wieder da 😉. Evtl. noch einmal einen Thread dazu im richtigen Subforum eröffnen.
|
randomi
(Themenstarter)
Anmeldungsdatum: 22. Juli 2019
Beiträge: 17
|
Ich habe gelernt, dass Ubuntu per default safe sei. Nun habe ich eine GUI-Firewall installiert zur Live-Überwachung. Alle Ports manuell gesperrt und plötzlich: High-Speed Hat ein Programm kommuniziert ohne protokolliert zu werden oder sonst irgendwie aufzufallen? Gibt es andere Erklärungsmöglichkeiten?
|
randomi
(Themenstarter)
Anmeldungsdatum: 22. Juli 2019
Beiträge: 17
|
Trotz eingeschalteter Firewall ist die Geschwindigkeit wieder erheblich gesunken.
|
randomi
(Themenstarter)
Anmeldungsdatum: 22. Juli 2019
Beiträge: 17
|
Update: Ich habe nun doch meinen PC zusätzlich formattiert und nutze nun btrfs als Dateisystem für einfachere Rollbacks. Alles frisch und höchste Paranoia. Nun zeigt mein Smartphone schwere Auffälligkeitsstörungen. Innerhalb von 12 Stunden ist mein Akku leer gegangen. Android Akkuverlauf aber auch bei den Systemeinstellungen unauffällig, alle Apps waren geschlossen und kommen in Summe kaum auch 10%. Interessant ist ein exponentieller Verlauf der Akkuentleerung, während der Schlafenszeit (angezeigt über eine alternative Akku-App). Heute Nachmittag ist mein Handy dran. Ich kann nur hoffen, dass es nicht letztlich der Fernseher oder ein externer Hacker war. Ich kann mir auch einen zielgerichteten Angriff durchaus vorstellen (Forschnung Industrie 4.0).
|
voxxell99
Anmeldungsdatum: 23. September 2009
Beiträge: 3901
Wohnort: da, wo andere Urlaub machen. :)
|
|