Infizierter PC, Problem im FF Netz ?

Wenn ein User mit einem Malware infizierten PC im FF Netz sich befindet und somit ungewollt Bots sendet, läuft sich das im Netz tot oder gäbe es da Probleme ?

Das FF Netz, wie alle anderen Netze und das Internet auch, transportieren die Daten und filtern nix.

Wenn alse jemand einen oder viele infizierte PC ins FF Netz bringt, koennen diese durchaus weitere PCs infizieren und zum Teil des BOT Netzes machen.

Das FF Netz ist sicherheitstechnisch genau so wie das Internet selber anzusehen-> keine Sicherheit.

Danke, ich hatte früher mal von der Telekom ein Briefchen erhalte, mein Anschluß wäre infiziert - konnte also zurückverfolgt werden. Im FF Netz ja nicht. War nur eine Verständnisfrage

Morgen

Wir hatten mal nen PC der intensiv ARP Spoofing betrieben hat (angeblich Virus war am Ende die Aussage als wir ihn gestellt haben). Hat die ganze Batman ARP Tabelle mit rotzt voll geschrieben das L2 Netzsegment war dabei unbrauchbar…

P.S. Die L2 Netze müssen kleiner werden :wink:

mfg

Christian

@ChrisD mit Wireshark ?

Wireshark? Wie meinst du?

Das wäre, glaube ich , so ein Tool zum Missbrauchen. /OT , nicht falsch verstehen !

Also wenn das eigene Gateway das man betreibt betroffen ist gibt es sicher mittel und wege um herauszufinden was ungefähr wo schief läuft. und das meiste mit bordmitteln

1 Like

In der Tat, wenn die Admins derartige Informationen, wie du damals von der Telekom, erhalten, sind wie durchaus in der Lage die Störung genauer einzugrenzen, sofern diese noch besteht.

Was halt nicht funktioniert sollte ist auf vergangene Vorgänge einzugehen, denn dafür bräuchte man ja logs.

Falls der Betreiber des Knoten dann nicht erreichbar ist müsste man diese eben komplett vom Netz nehmen.

Man muss noch nicht mal „Admin“ sein. Es reicht ein Node im Layer 2 Netz zu sein um solche Sachen aufzuspüren.

Dieser ARP spoof war gar nicht so schwer zu finden:

  • die MAC hat er ja tonnenweiße in die ARP Table vom Batman geschossen → batctl dc immer die gleiche MAC hinter jeder IP.
  • Danach warten bis er mal nicht spooft (kam zum Glück immer mal zeitweise vor) und einen batctl tr MAC somit hat man seine Freifunk IP und weiß auf welchen Knoten er verbunden ist
  • nmap Scan auf die IP man findet noch paar Infos über den Rechner (z.b. Hostname) und kann dann den Knotenbesitzer anschreiben und ihn darauf hinweisen was los ist. War in diesem Fall ein Flüchtlingsheim und der betroffene Rechner wurde relativ schnell gefunden und bereinigt da Hostname bekannt war.

Das aufwendigste war einfach nur, zu verstehen warum es eigentlich nicht geht und was eigentlich kaputt ist und dann halt noch das warten bis man seine richtige IP isolieren konnte für den Scan und Traceroute.

Dies ging alles ohne „Admin im Netz“ (was ist das bei Freifunk eigentlich?! Dezentral? Es sollte keine „Admins“ geben) zu sein, im dezentralen Netz kann solche Sachen jeder machen, man muss das Netz dazu nur verstehen.

Und nein Wirekshark kann nur Traffic mitschneiden missbrauchen kann man da nix (außer eben Traffic mitscheiden aber jeder der Freifunk nutzt, sollte ja wissen was Ende-zu-Ende Verschlüssung bedeutet oder :wink: )

P.S. Hab ich schon erwähnt das die L2 Netze unbedingt kleiner werden müssen damit sowas nicht ne halbe Stadt lahm legt :wink: ?

mfg

Christian

1 Like

Netz mit VPN Servern und/oder Autoupdates ohne Admins?

Halbe Stadt ist doch schon nicht schlecht, dann sind es schon zwei Layer2 in einer Stadt, das gibt es eher selten.