Hallo und guten Tag.

Vorgestern hatte ich folgendes Problem: Ich war mit Linux Mint 13 und dem Firefox (aktuell) im Internet auf Facebook. WLan habe ich immer aus. Bis dahin benutzte ich "Kabelnetzwerk". Mitten in der Facebooksession wurde das Internet dann getrennt (laut meinem ISP für 16 Sekunden) und das System verband sich mit "Kabelnetzwerk 1". Alle Versuche, mich mit Kabelnetzwerk zu verbinden, schlagen fehl, da Kabelnetzwerk ausgegraut ist. Ich habe jetzt Angst, daß ein Hacker mich in sein Netzwerk gelotst hat, ein kompromittiertes Netzwerk.

Daraufhin habe ich eine Neuinstallation von Linux Mint vorgenommen (gleiche Version), und da fiel mir auf, daß ebenfalls bei Benutzung der DVD im Live-Modus nur Kabelnetzwerk 1 verfügbar ist. Ich habe im IRC auf dem Linux Mint Server nachgefragt, und mehrere Leute sagten mir, das wäre aller Voraussicht nach nur ein Bug im Netzwerkmanager, einer sagte mir sogar, ich solle das Internet nicht mehr benutzen.

ifconfig zeigt nur 2 Adapter an, eth0 (ethernet) und lo (loopback?). who und w zeigen nur einen Benutzer an, mich. Auch sonst scheint alles in Ordnung, aber ich habe jetzt das Gefühl, daß Jemand mein Surfverhalten beobachtet und meine Passwörter notiert.

Der springende Punkt ist, daß ich im September/Oktober letzten Jahres beim Nutzen von Windows 7 gehackt wurde. Dabei wurde zuerst ein neues Netzwerk gefunden. Ich wählte aus den 3 Optionen "Ich bin zu Hause". Daraufhin verband sich der Hacker mit meinem System, brach aus der Netzwerkumgebung aus und erreichte Adminrechte. Dann installierte er per Exploit das TDL4 Rootkit.

Das ist der Grund, warum ich bei Betreten von "Kabelnetzwerk 1" gleich Bauchschmerzen bekam. Die Vorgehensweise ist identisch mit dem Windows Hack.

Wer kann mir helfen? Bin ich nur paranoid oder habe ich Grund, mir echte Sorgen zu machen?

Vielen Dank im Voraus.

Hallo,

dass man dich in ein "böses" Netzwerk gelotst hat, kann ich mir kaum vorstellen. Ich hab es zwar auch noch nicht erlebt, dass sich der Name von Kabelnetzwerk zu Kabelnetzwerk1 ändert, aber das allein ist noch kein Hinweis für deine Vermutung.

Zitat:

ifconfig zeigt nur 2 Adapter an, eth0 (ethernet) und lo (loopback?).

Das ist richtig. WLAN hast du ja deaktiviert.

Zitat:

Das ist der Grund, warum ich bei Betreten von "Kabelnetzwerk 1" gleich Bauchschmerzen bekam. Die Vorgehensweise ist identisch mit dem Windows Hack.

Kabelnetzwerk1 und Kabelnetzwerk gibt es noch beide? Die Konfigdateien dazu solltest du im Verzeichnis

Code: Alles auswählenAufklappen

ATTFilter

/etc/NetworkManager/system-connections/
         

finden. Wie viele bzw. welche Dateien werden dir da aufgelistet?

Zitat:

Zitat von cosinus

Kabelnetzwerk1 und Kabelnetzwerk gibt es noch beide? Die Konfigdateien dazu solltest du im Verzeichnis

Code: Alles auswählenAufklappen

ATTFilter

/etc/NetworkManager/system-connections/
         

finden.

Ja, es gibt Kabelnetzwerk (ausgegraut) und Kabelnetzwerk 1 (was aktiv ist)

Zitat:

Zitat von cosinus

Wie viele bzw. welche Dateien werden dir da aufgelistet?

Es werden keine Dateien aufgelistet. Ich dachte, ich sehe schwer und hab "verborgene Dateien anzeigen" aktiviert aber auch hier nix. Keine Dateien.

Mach es über die Konsole mit

Code: Alles auswählenAufklappen

ATTFilter

ls -lha /etc/NetworkManager/system-connections/
         

Hier das gewünschte Ergebnis:

Code: Alles auswählenAufklappen

ATTFilter

insgesamt 8,0K
drwxr-xr-x 2 root root 4,0K Apr 12  2012 .
drwxr-xr-x 5 root root 4,0K Mai 23 00:32 ..
         

Hm... ich denke Mint mit MATE tickt etwas anders als das Xubuntu, welches ich gerade nutze

Versuchen wir mal die Dateien, die ich suche zu lokalisieren mit

Code: Alles auswählenAufklappen

ATTFilter

find /etc | grep -i kabelnetz
         

Bittesehr:

Code: Alles auswählenAufklappen

ATTFilter

find: "/etc/cups/ssl": Keine Berechtigung
find: "/etc/ssl/private": Keine Berechtigung
         

Mhh...der Netzwerkmanager von Linux Mint MATE scheint anders zu ticken als der den ich unter Xubuntu 12.04.2 gerade hab. Kann ich jetzt so nicht sagen, müsste ich mal ausprobieren in einer VM. Aber ich glaube auch eher dass es ein Bug ist.

Du hast deswegen alles extra neu installiert?

Zitat:

Zitat von cosinus

Mhh...der Netzwerkmanager von Linux Mint MATE scheint anders zu ticken als der den ich unter Xubuntu 12.04.2 gerade hab. Kann ich jetzt so nicht sagen, müsste ich mal ausprobieren in einer VM. Aber ich glaube auch eher dass es ein Bug ist.

Du hast deswegen alles extra neu installiert?

Ja, hab ich. Was mich wundert, ist, wie ich in meinem Eingangspost beschrieben habe, daß selbst mit der Live DVD nur Zugriff auf Kabelnetzwerk 1 möglich ist. Vorher war das das Kabelnetzwerk. In der Live DVD ist Kabelnetzwerk ebenfalls ausgegraut und Zugriff ist nur auf Kabelnetzwerk 1 möglich.

Es scheint, als sei mein BIOS oder die Netzwerkkarte gehackt. In einer weiteren Partition auf dem System habe ich nämlich noch Windows 7 liegen. Ich betreibe Dual Boot und nutze Windows 7 für Spiele.

Sorry, aber der Windows Hack im Oktober hat mich paranoid gemacht. Ich hoffe sehr, daß wir nix finden. Aber ich sehe Zusammenhänge vom Hack vom Oktober, daher hab ich Angst.

So etwas ähnliches hat es in unserem WLAN gegeben. Wäre natürich auch für mich interessant zu erfahren, ob das vielleicht gefährlich ist? Halte ich aber für unwahrscheinlich. Soll ich das mal genauer beschreiben, wäre das hilfreich oder eher kontraproduktiv für die Lösung des hiesigen Problems?

Zitat:

Zitat von subvision1

Es scheint, als sei mein BIOS oder die Netzwerkkarte gehackt.

Bitte keine voreilig-hysterische Schlussfolgerungen ziehen

So, hab jetzt Mint13 mit MATE Desktop in der VM am Laufen aber erstmal nur als Livemodus.
Das "Wired Network" (oder eben "Kabelnetzwerk") ausgegraut ist, ist völlig normal, das ist die - ich nenne es mal - Rubrikbezeichnung, darunter stehen alle kabelbasierten Netzwerkprofile zB "Wired Connection 1" (oder eben Kabelnetzwerk1)

Wenn WLAN aktiv ist, würde da auch noch eine ausgegraute Rubrik wireless stehen



Und dann darunter die gefundene WLANs

Also gibt es hier überhaupt keinen Anlass zur Hysterie ist ja völlig ok, wenn einem etwas fremdartig vorkommt, aber das ist noch lange kein Grund gleich alles plattzumachen. Ruhe bewahren und nachsehen.


Und achja, wenn du "Kabelnetzwerk 1" aktiviert hast, steht auch im besagten Verzeichnis

Code: Alles auswählenAufklappen

ATTFilter

/etc/NetworkManager/system-connections/
         

die Konfigdatei mit dem gleichen Namen.

Zitat:

Zitat von cosinus

Und achja, wenn du "Kabelnetzwerk 1" aktiviert hast, steht auch im besagten Verzeichnis

Code: Alles auswählenAufklappen

ATTFilter

/etc/NetworkManager/system-connections/
         

die Konfigdatei mit dem gleichen Namen.

Also bei mir sieht das Netzwerk anders aus und die Optionen, die du in einem Fenster hast, kann ich nur mit einmal Rechtsklick und einmal Linksklick aufrufen. Benutzt du die 32 Bit Version?

In /etc/NetworkManager/system-connections/ steht absolut nichts. Keine Datei, nix.

Plötzlich wurde ein neues Netzwerk gefunden. Was hat das zu bedeuten? Wie kann ich herausfinden, ob mich Jemand in ein "böses" Netzwerk gelockt hat? Ich wette, wenn ich Windows 7 starte, wird auch ein neues Netzwerk gefunden, darum traue ich mich gar nicht erst.

Also, wie muß/sollte ich jetzt vorgehen?

Der Screenshot ist nicht meiner, den hab ich aus dem Web nur um das besser zu verdeutlichen warum Kabelnetzwerk bzw. in diesem Fall "wired network" ausgegraut ist.

Zitat:

In /etc/NetworkManager/system-connections/ steht absolut nichts. Keine Datei, nix.

Hm...kann sein, dass man die erstmal sich anschaueen und "bearbeiten" muss, damit die da abgelegt wird.
Ist aber auch völlig irrelevant, Kabelnetzwerkverbindung 1 ist völlig legitim.

Zitat:

Plötzlich wurde ein neues Netzwerk gefunden. Was hat das zu bedeuten? Wie kann ich herausfinden, ob mich Jemand in ein "böses" Netzwerk gelockt hat? Ich wette, wenn ich Windows 7 starte, wird auch ein neues Netzwerk gefunden, darum traue ich mich gar nicht erst.

Würdest du auch mal genauer beschrieben was du da immer für neue Netzwerke meinst? Ich versteh hier nur Bahnhof
Man kann von außen deinen Rechner nichtmal eben physikalisch mit einem anderen Netwerk verbinden, wie soll das gehen? Per Software das LAN-Kabel abstecken, erweitern und auf nen anderen Router stecken oder woe?

Zitat:

Zitat von cosinus

Würdest du auch mal genauer beschrieben was du da immer für neue Netzwerke meinst? Ich versteh hier nur Bahnhof
Man kann von außen deinen Rechner nichtmal eben physikalisch mit einem anderen Netwerk verbinden, wie soll das gehen? Per Software das LAN-Kabel abstecken, erweitern und auf nen anderen Router stecken oder woe?

Als ich im Oktober letzten Jahres Windows7 verwendete, wurde nach meinem Urlaub plötzlich ein neues Netzwerk gefunden, ich wählte "Ich bin zu Hause". Daraufhin verband sich der Hacker mit meinem Rechner, brach aus der Netzwerkumgebung aus, erreichte Adminrechte und installierte schließlich das TDL4 Rootkit per Exploit, das eine 300 MB X: Partition erstellte und von dort aus operierte.

Jetzt, mit Linux Mint, wurde ebenfalls wieder ein neues Netzwerk gefunden. Während ich auf Facebook surfte, wurde (laut meinem ISP) die Internetverbindung für 16 Sekunden unterbrochen und mein Rechner verband sich mit dem neuen "Kabelnetzwerk 1" anstatt mit "Kabelnetzwerk", wie vorher.

Das ist der Grund, warum ich mittelmäßig aufgebracht bin, denn das ist genau die Methodik, mit der "mein" Hacker arbeitet.

Was soll ich jetzt machen? Es scheint mir so zu sein, als hätte er mir sein Netzwerk aufgezwungen und ich weiß nicht, was er machen wird. Diese Methode scheint unüblich zu sein, ich habe jedenfalls mit Google nichts gefunden. Die Methode ist aber äußerst effektiv, wie ich eben beschrieben habe. Ich muß zugeben, daß ich nicht genau weiß, was der Hacker da im Einzelnen macht, aber er weiß, was er tut.

Ich habe im Oktober Anzeige bei der Polizei gestellt und die konnten mir nicht helfen (Verfahren wurde eingestellt), weil die IPs nicht bei den Providern gespeichert werden. Im Falle eines Hackerangriffs bin ich also völlig schutzlos.

Ich hoffe, das war verständlich. Wie soll ich jetzt vorgehen?