Trojaner/Virus im Netzwerk????

[Leberkasbepi]

Hallo!

Seit vorgestern benimmt sich mein Netzwerk etwas komisch.
Mein Internet ist von A1 und der Router hat natürlich auch WLAN, ist aber auch per LAN an die Switches, Server usw. angeschlossen. Weil wir aber in der WG starke Probleme haben mit dem WLAN Empfang, habe ich an dessen Grenze einen Extender aufgestellt von Netgear.
Im unseren Netzwerk haben wir 4 WLAN Netze:
1x A1 Router
1x Extender
2x Apple Wifi
Vor ein paar Tagen habe ich in einer Zeitung gelesen, dass eine Kritische Lücke bei Router-Produzenten gefunden wurde.
http://derstandard.at/2000016156505/Kritische-Luecke-gefaehrdet-Millionen-Router
Blöder weise ist mein Extender genau von diesem Hersteller und auch die Serie ist betroffen (NETGEAR WN2000RPTv2). Updates findet er leider keine.

Vor 2 Tagen kam plötzlich mein Mitbewohner zu mir, ob ich den Benutzer und Passwort für das Internet weis. Ich hab ihn im ersten Moment blöd angeschaut, weil man für WLAN Netze ja nur ein Passwort braucht und keinen Benutzer und er ausserdem schon immer in unserem Netz war. Ich ging zu seinem PC und sein Browser hat nach dem Benutzer und Passw. für den Extender gefragt. Das kam mir sehr seltsam vor, weil keine Änderungen im Netzwerk gemacht wurden. Ich dachte A1 hätte wieder ein Update verpfuscht und den Router von A1 neu gestartet und dann gings wieder. Aber mit meinem Server hatte ich dann Probleme und Finder hat sich aufgehängt und wollte per Terminal Befehl ihn neu starten und da sah ich, dass das Programm bei dem Extender angemeldet war.
Und heute wollte ich wieder was im Terminal machen und da stand plötzlich das Apple Wifi drin, antsatt mein MBP.

Kann es sein, dass sich durch die Lücke ein Virus oder Trojaner eingenistet hat und jetzt versucht auf die PC's zu zugreifen?
Falls ja, wie kann ich das heraus finden, ob der Extender was hat? Nur reseten wird denke ich nicht viel bringen...

 

[echo.park]

Geht es um diese Lücke?

http://www.heise.de/newsticker/meldung/Exploit-Kit-greift-ueber-50-Router-Modelle-an-2665387.html

Router resetten und neu einrichten. Vorher aber die neueste Firmware beim Hersteller runterladen und "drüberbügeln", auch wenn diese Version schon installiert ist. Den Vorgang nach dem Resettten eventuell noch mal wiederholen.

Das fällt mir spontan so ein, Router-Geschichten sind immer heikel. Da kann man leider eben nicht mal eben ein Time Machine Backup zurückspielen.

/ Edit:
Zum Thema Trojaner - das wird wohl nicht der Fall sein. Hier geht es vorrangig um die Manipulation der Einstelllungen im Router, speziell um die der DNS-Server. Quasi unbefugter Zugriff auf das Einstellungsmenü.

 

[Farafan]

Falls ja, wie kann ich das heraus finden, ob der Extender was hat?

Ein prima Anfang wäre wenn du uns auch mitteilst um welch ominösen "Extender" es sich handelt? Dann lässt sich zumindest einmal sagen ob der Hersteller überhaupt betroffen ist.

Aber generell scheint es ja nahezu alle Anbieter aus Fernost zu erwischen. Da zeigt sich einmal wieder das selbst alle Fehler beim Mitbewerben gnadenlos mit kopiert werden.
Nur AVM (FritzBüchsen) lassen sich wohl definitiv ausschließen.

 

[Leberkasbepi]

Geht es um diese Lücke?

http://www.heise.de/newsticker/meldung/Exploit-Kit-greift-ueber-50-Router-Modelle-an-2665387.html

Router resetten und neu einrichten. Vorher aber die neueste Firmware beim Hersteller runterladen und "drüberbügeln", auch wenn diese Version schon installiert ist. Den Vorgang nach dem Resettten eventuell noch mal wiederholen.

Das fällt mir spontan so ein, Router-Geschichten sind immer heikel. Da kann man leider eben nicht mal eben ein Time Machine Backup zurückspielen.

/ Edit:
Zum Thema Trojaner - das wird wohl nicht der Fall sein. Hier geht es vorrangig um die Manipulation der Einstelllungen im Router, speziell um die der DNS-Server. Quasi unbefugter Zugriff auf das Einstellungsmenü.

Möglich, dass es diese Lücke ist. Genau kann ich es nicht sagen, aber er mein Netzwerk verhält sich komisch und mit ihm hat es angefangen. Es ist Router sondern ein Extender, werde aber die Tage trotzdem mal probieren zu resetten und die vorhandene Software neu zu installieren.

Ein prima Anfang wäre wenn du uns auch mitteilst um welch ominösen "Extender" es sich handelt? Dann lässt sich zumindest einmal sagen ob der Hersteller überhaupt betroffen ist.

Aber generell scheint es ja nahezu alle Anbieter aus Fernost zu erwischen. Da zeigt sich einmal wieder das selbst alle Fehler beim Mitbewerben gnadenlos mit kopiert werden.
Nur AVM (FritzBüchsen) lassen sich wohl definitiv ausschließen.

Habe ich schon erwähnt.
Hersteller: Netgear
Model: wn2000rptv2
Firmware: V1.1.0.12

 

[Farafan]

Netgear ist definitiv betroffen.

Die Firmware scheint aktuell zu sein, leider finde ich nichts zum Veröffentlichungsdatum der Firmware auf die Schnelle.
Im Zweifelsfall das Ding von Netz nehmen, Support kontaktieren und nachfragen. Sollte sich das Teil etwas eingefangen haben hilft nur der Werksreset und das Aufspielen einer neuen Firmware,

 

[Leberkasbepi]

Vom Netz nehmen geht leider nicht, weil sonst ein Mitbewohner kein Internet mehr hat.

 

[Farafan]

....weil sonst ein Mitbewohner kein Internet mehr hat

Aha.
Das klingt für mich wie "Ich kann mir den Blinddarm nicht raus nehmen lassen weil ich dann ein Fußballspiel verpasse". Ohne Worte.

 

[Scotch]

Mal wieder so ein inhaltsfreier Wahnsinns-Thread... Offensichtlich keine Ahnung von der Materie, aber "4 WLAN-Netze"...

@Leberkasbepi , wenn du dir irgendeine Hilfe erhoffst, mach 'ne Skizze von deinem Netzwerk. Router, angeschlossene WLAN-AP (LAN? WLAN?), angemeldete Computer/NAS/Switches (LAN? WLAN? Welcher AP?), Gerätetypen, FW-Version usw.

Ausserdem:

• Was ist "2x Apple Wifi"?
• Was ist ein "Extender"? Bridge, Repeater,... ?
• Wie ist das WLAN abgesichert?
• Mitbewohner mit dem Problem am "Extender" angeschlossen?
• Wie wird der "Extender" verwaltet - lokal, über ein anderes Gerät, eigene ACL/MAC-Filter...?
• Was ist "dein Server" und welche "Probleme" hatte der? Was macht der, wieso ein Server und was interessiert den ein "Extender"? Auch über WLAN angebunden?
• Was hat "Finder abgestürzt" mit der Login-Aufforderung deines "Extender" zu tun?

Junge junge, ich hab's schon ein paar Mal geschrieben: Lasst euch nicht alles aus der Nase ziehen. Ist mir sowieso unverständlich, wieso die Anzahl der Netzwerkelemente immer reziprok zur Kompetenz der Netzbetreibers ist.

 

[Leberkasbepi]

Ich bin deshalb mit den Details so sparsam, weil ich ungern will, dass jeder weiß, wie mein Netzwerk aussieht.

Was ist ein "Extender"? Bridge, Repeater,... ?

Mit Extender ist ein Repeater gemeint.

Wie ist das WLAN abgesichert?

WPA/WPA2

Wie wird der "Extender" verwaltet - lokal, über ein anderes Gerät, eigene ACL/MAC-Filter...?

Verwaltung über Aufruf am Browser per IP.

Was ist "dein Server" und welche "Probleme" hatte der? Was macht der, wieso ein Server und was interessiert den ein "Extender"? Auch über WLAN angebunden?

Beide Server sind von Synology, per Ethernet angeschlossen und dienen als Medien und Backupserver. Als das Netzwerk zum ersten mal Probleme gemacht hat, konnte ich von meinem MacBook Pro nicht mehr darauf zugreifen bzw. hat sich Finder aufgehängt. Deshalb der weg übers Terminal und darauf aufmerksam geworden, dass sich Terminal nicht an meinen Mac angemeldet hat sondern am Extender.

Die beiden Server und AirPort Express haben eine Statische IP. Alle anderen Geräte bekommen per DHCP ihre IP, bis auf das Samsung Smartphone von einer Mitbewohnerin. Das verlangte immer die gleiche IP wie Cloud und hab dann keine Verbindung mehr zum Server bekommen. Das Handy bekommt die IP Statisch vom A1 Router zugewiesen.

 

[dadudeness]

1. Schmeiß den Repeater raus und such eine bessere Lösung. Weniger schlecht wäre z.B. Powerline, gut wäre Ethernet und dann LAN-Bridge wie auch im biologischen Wlan.

2. Du hast an dem einen NAS 4x Ethernet und an dem anderen 2x. Wozu, aggregation/failover? Vom 1. 8port-Switch gehst doch bloß per Gigabit zum Switch am Patchfeld. Die Zimmer sowieso nur gemeinsam mit 1xGigabit angeschlossen, aggregation ist also Unsinn. Als Ausfallsicherung? Wenn was Entsprechendes passiert, habt ihr vermutlich andere Sorgen. Also schmeiß 1x3 und 1x1 Ethernet raus.

dass sich Terminal nicht an meinen Mac angemeldet hat sondern am Extender

Bitte was?

konnte ich von meinem MacBook Pro nicht mehr darauf [aufs NAS] zugreifen bzw. hat sich Finder aufgehängt.

Wie ist der Switch, an dem die beiden NAS mit insgesamt 6xLAN angeschlossen sind, denn konfiguriert?

 

[Scotch]

Ich bin deshalb mit den Details so sparsam, weil ich ungern will, dass jeder weiß, wie mein Netzwerk aussieht.

Das ist erstens bei dem Aufbau auch besser so und zweitens: Wie glaubst du eigentlich, dass man dir mit Netzwerkproblemen helfen kann, wenn du nicht willst, dass jemand weiss, wie dein Netzwerk aussieht? Geht's noch?!

Ansonsten hat @dadudeness bereits alles zu dem Aggregation-Unfug gesagt. Das ist aber nicht dein Problem. Also naechste Runde zum Thema Informationen aus der Nase ziehen:

• Wo laeuft der DHCP-Server?
• Wo/wie sind die statischen IP-Adressen vergeben?
• ACL oder MAC-Filter konfiguriert? Falls ja: Wo?

Das verlangte immer die gleiche IP wie Cloud und hab dann keine Verbindung mehr zum Server bekommen.

Und das macht dich nicht irgendwie misstrauisch, dass in deinem Netzwerk was grundsaetzlich im Argen liegen koennte, sondern du vermutest einen Trojaner?!

Ansonsten bitte die ausstehenden Fragen aus #8 beantworten.

 

[dadudeness]

Server und AirPort Express haben eine Statische IP.

Die im Vergleich zum automatisch per DHCP vergebenen Bereich wo genau liegt?

bis auf das Samsung Smartphone von einer Mitbewohnerin

Woher bekommt das seine Adresse?

Das verlangte immer die gleiche IP

Wer verlangt was und wie äußtert sich das?

die gleiche IP wie Cloud

Wenn Du dem NAS einfach eine statische IP aus dem DHCP Bereich reinknallst, die dann nochmal per DHCP an ein anderes Gerät vergeben wird, ist es nicht verwunderlich, wenn Du Probleme mit den beiden betroffenen Büchsen haben wirst.

weil ich ungern will, dass jeder weiß, wie mein Netzwerk aussieht.

Wie millionen andere einfache Heimnetze auch. Also hochgradig unspannend. Die Switches nutzt ihr anscheinend als billige Mehrfachsteckdosen und mit dem Wegfall sinnloser LAN-Strecken der NAS kannst mindestens einen davon sogar rausschmeißen.

 

[Leberkasbepi]

Langsam leute! Ich komm sonst nicht nach mit dem Antworten!

 

[Leberkasbepi]

s

 

[dadudeness]

http://www.amazon.de/Netgear-GS608-...id=1432815681&sr=8-11&keywords=netgear+switch

Auf jeden Fall raus mit den überflüssigen Kabeln!

Der Router macht 10.0.0.0(sic!) auf, verteilt per DHCP 10.0.0.1 bis 10.0.0.99 und das eine NAS 10.0.0.1 - aber statisch? Wo ist dann der Router und weiß der Router, dass das NAS 10.0.0.1 hat?

Bitte was? Wie war das mit dem aus der Nase Ziehen?

EDIT: Hmm, jetzt steht da gar nix mehr.

 

[Leberkasbepi]

Wie ist der Switch, an dem die beiden NAS mit insgesamt 6xLAN angeschlossen sind, denn konfiguriert?

Bei denen kann man nichts konfigurieren, weil das die simpelsten Switches von Netgear sind.
http://www.amazon.de/Netgear-GS608-...id=1432815681&sr=8-11&keywords=netgear+switch

Wo laeuft der DHCP-Server?

Der DHCP Server (vom A1 Router) baut ein Netzwerk mit "10.0.0.0" auf und der Maske 255.255.255.0, mit den Adressen von 10.0.0.1-10.0.0.99. Ist so ab Werk eingestellt. Mein Netzwerk hatte bis Dato auch so gut wie keine Probleme, mit Ausnahmen.

Wo/wie sind die statischen IP-Adressen vergeben?

Die Statischen Adressen von den Servern und AirPort Express werden direkt an den Geräten eingestellt. Das Samsung Smartphone erhält als einziges die Statische vom A1 Router.

Cloud 10.0.0.1 - statisch im Gerät
Backbone 10.0.0.2 - statisch im Gerät
AirPort Ex. 10.0.0.3 - statisch im Gerät
Smartphone 10.0.0.28 - von A1 Router

ACL oder MAC-Filter konfiguriert? Falls ja: Wo?

Keiner aktiv.

Und das macht dich nicht irgendwie misstrauisch, dass in deinem Netzwerk was grundsaetzlich im Argen liegen koennte, sondern du vermutest einen Trojaner?!

Es hat bis jetzt ohne Probleme funktioniert.

Mitbewohner mit dem Problem am "Extender" angeschlossen?

Kann ich nicht genau sagen weil die meisten per WLAN ins Internet gehen und ich nicht weis in welches Netz. Aber mindestens einer fix bei dem Extender.

Wenn Du dem NAS einfach eine statische IP aus dem DHCP Bereich reinknallst, die dann nochmal per DHCP an ein anderes Gerät vergeben wird, ist es nicht verwunderlich, wenn Du Probleme mit den beiden betroffenen Büchsen haben wirst.

Wenn aber der Server immer Online ist und die gleiche IP hat, dürfte das Smartphone nicht die gleiche Adresse bekommen, selbst nach einem Neustarten des Netzwerkes. Hab glaub ich 3x alles aus und ein geschaltet und trotzdem wollte das Smart die 10.0.0.1 Adresse, obwohl in den Einstellungen vom Smartphone direkt "DHCP automatisch" eingestellt war.
Bemerkbar hat es sich dadurch gemacht, dass ich zwar die Laufwerke vom Server öffnen konnte, aber mir nichts angezeigt wurde und auch TM kein Backup machen konnte.

 

[Leberkasbepi]

Auf jeden Fall raus mit den überflüssigen Kabeln!

Der Router macht 10.0.0.0(sic!) auf, verteilt per DHCP 10.0.0.1 bis 10.0.0.99 und das eine NAS 10.0.0.1 - aber statisch? Wo ist dann der Router und weiß der Router, dass das NAS 10.0.0.1 hat?

Bitte was? Wie war das mit dem aus der Nase Ziehen?

EDIT: Hmm, jetzt steht da gar nix mehr.

Falls du die Adresse vom Router direkt meinst, der hat 10.0.0.138

 

[dadudeness]

Keine! Statischen! IPs! In! DHCP! Bereiche!

Entweder per DHCP anhand der MAC-Adresse immer die gleiche Adresse vergeben lassen oder die statischen Geräte in einen Bereich legen, der niemals nie vom DHCP angefasst wird.

 

[Leberkasbepi]

Soll heißen ich soll beim A1 Router nicht 10.0.0.1-99 stehen haben sondern 10.0.0.4-99???

 

[dadudeness]

10.0.0.4-99???

Wenn drei IPs reichen, dann ja.
Zusätzlich die Mehrfach LANs aus den NAS und die Geschichte läuft.