unerlaubte Kontoabbuchungen !!!

Hallo zusammen,

Alpträume und ferne Nachrichten ... "mich erwischt es schon nicht.." ... haben ihren Weg gefunden

Da ich hier den Sachverhalt komplett schildern werde, meine Fragen gleich zu Anfgang an:

* Welches Freeware Virenprogramm ist ausreichend ? - Ich habe AntiVir
* Welche Firewall ? - Ich habe Windows 7 Sytemfirewall + Router DIR-615 DLink
* Protokolldateien vom Router werden folgende Infos aus... in der heutigen Zeit normal oder was machen ? Was bedeuten Xmas port scan attacks from WAN (was machen?) ? Was bedeuten Drop TCP packet from WAN (was machen?)?

Feb 7 10:45:16 Xmas port scan attack from WAN (ip:195.95.193.33) detected.
Feb 7 10:44:46 Xmas port scan attack from WAN (ip:195.95.193.33) detected.
Feb 7 10:44:26 Xmas port scan attack from WAN (ip:195.95.193.33) detected.
Feb 7 10:44:16 Xmas port scan attack from WAN (ip:195.95.193.33) detected.
Feb 7 10:44:06 Xmas port scan attack from WAN (ip:195.95.193.33) detected
Feb 7 10:08:12 Xmas port scan attack from WAN (ip:193.24.237.182) detected.
Feb 7 10:07:42 Xmas port scan attack from WAN (ip:193.24.237.182) detected.
Feb 7 10:07:28 Xmas port scan attack from WAN (ip:193.24.237.182) detected.
Feb 7 10:06:45 Xmas port scan attack from WAN (ip:193.24.237.182) detected.
===================================================
Feb 7 09:35:44 Drop TCP packet from WAN (src:78.48.146.92:2317, dst:77.22.207.196:80) by default rule.
Feb 7 09:35:38 Drop TCP packet from WAN (src:78.48.146.92:2317, dst:77.22.207.196:80) by default rule.
Feb 7 09:35:34 Drop TCP packet from WAN (src:78.48.146.92:2317, dst:77.22.207.196:80) by default rule.
Feb 7 01:44:13 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
Feb 7 01:43:48 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
Feb 7 01:43:36 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
Feb 7 01:43:29 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
Feb 7 01:43:26 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.
Feb 7 01:43:23 Drop TCP packet from WAN (src:188.50.54.244:35177, dst:77.22.207.196:80) by default rule.

Das zu meinen aktuellen Fragen... und nun schildere ich meinen Sachverhalt, das versuche ich aber knapp zu halten mit den wichtigsten Ansätzen und Infos... das das hätte sicherlich vermieden werden können ist klar... aber ich bin kein PC Profi und das vorhandene, gedachte Sicherheiten auch mit Passwort nicht ausreichten - weiß ich nun auch ... diesbezüglich bitte keine blöden Kommentare... ärgere mich ungemein

Sachverhalt:

Gestern Morgen stellte ich fest, dass Lastschriften meines Kontos nicht mehr durchgeführt worden - mangels Deckung. Hierbei fiel auf, dass durch ClickandBuy mehrfache Abbuchungen seit dem 02.02.2010 Abbuchungen gelaufen sind (ca. 700 EUR in Kleinbeträgen). Die Abbuchungen kommen alle von ITunes (nicht meinem Konto).

Anruf ClickandBuy -> Konto gesperrt -> Abbuchungen erfolgen über ITunes -> Email Adresse wurde am 01.02. auf "meinname"@online.de geändert->Anfrage der LogDaten über Polizei läuft

Anruf 1und1 wegen @online.de Endung ->Endung ist nur für Vertragskunden->Anfrage der Daten über Polizei läuft

Anruf bei meinem Provider wegen EMail und PW von ClickandBuy, denn das ist identisch und der kann somit meinen Email Verkehr lesen-> Anfrage ab dem 01.02. IP Logins läuft

Anruf bei ITunes->Wer kauft ein mit meinem Bezahlkonto->Auskunft: Können sie nicht nachvollziehen->Anfrage über Polizei läuft

Gestern Nachmittag habe ich mein Router neu eingestellt->WLAN verschlüsselung war WEP 8stellig (zeichen/Buchstaben/Zahlen..wahllos)

Alle Passwörter wurden nun geändert in 12 stellig (beliebige Zeichen) und UNTERSCHIEDLICH

Welche Ansätze könnten noch vorliegen ? Wie kann ich noch die Identität des Angreifers feststellen lassen ?

Einen WLAN Angriff auf meine WEP Verschlüsselung halte ich fast für unwahrscheinlich aus folgenden Gründen:

*Sehr gute Wohngegend (keine Jugendlichen im Umkreis)
* Keine Parkplatzmöglichkeiten für längeren Aufenthalt da Innenstadt
* Keine Schulen oder IT Einrichtungen in der Nähe
* Netzwerk geht draußen nur ca. 80 Meter...

Ich vermute ein Zugriff auf mein Mail Konto -wieauchimmer- lag vor

Das ist mein Wochenende

LG

 

solltest der Vollständigkeit halber noch ein HJT-Log machen -> http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

> Hierbei fiel auf, dass durch ClickandBuy mehrfache Abbuchungen seit dem 02.02.2010 Abbuchungen gelaufen sind ...

ist klar, dass Du das alles problemlos zurück buchen lassen kannst?

 

So... hoffe mit der Datei alles richtig gemacht zu haben.. wie bereits geschrieben - bin nicht so firm in INet Sachen

Der gealterte Holzkopf will das auch nicht mehr so schnell kapieren.

Ja, das mit der Rückbuchung ist soweit bekannt, werde das auch morgen Früh als allererstes.. noch vor dem Duschen und Essen regeln... allerdings stellt sich mir dann doch noch die Frage.. was ist mit den offenen Buchungen ? Kann ich dafür belangt werden ? ... ich denke aber mal nicht...

LG

 

Wenn das so beweisbar ist, brauchst du dir keine Sorgen (rechtlicher Natur) machen. Die Rückbuchung wird die beteiligten Firmen in Bewegung versetzen, was unter Umständen ein wenig nervig wird - aber hier muss man nur kühlen Kopf bewahren. Letztlich muss der, der eine Rechnung stellt, seinen Anspruch beweisen können. Wenn Empfänger der Leistung und Zahlungsdaten nicht übereinstimmen, wird das schwierig.

WEP ist schon seit Jahren als unsicher eingestuft und kann mit geeigneter Software innerhalb von Minuten geknackt werden - egal wie lang der Schlüssel ist. Ein Ändern des Schlüssels hilft hier also nicht viel. Es sei dir dringend ein Aufrüsten auf WPA2 angeraten und bis dahin das WLAN abzuschalten.

 

Hallo Kalweit ...

jo in Sicherheit wiegen mit wenigstens einer Verschlüsselung war /ist nicht ratsam... aber mit den Unterschiede habe ich mich leider bisher nicht beschäftigt gehabt.

Das WAR meine Einstellung... WEP (8-stellig)

Mittlerweile habe ich WPA2 auf 13-stellig...

Schwer begriffstutzig aber noch lernfähig

Das denke ich mal, dass das ersichtlich ist, dass ich nicht der Nutzer bin... derjenige hat ja auch gute Ansätze da gelassen - Mail Änderung, Itunes, vermutliche Logins in meinen EMail Acc... ich kann nur hoffen, dass da nicht überall meine IP auftaucht wegen geknackten WLANs aber wie oben geschrieben - halte ich das für unwahrscheinlich...

Wie ist das mit den Protokollen in meinem Router ? Alles im Bereich des normal erträglichen ?

Sollte ich bei Port Scanns ruhig (bei deutschen) die Provider informieren ? ... oder vergebene Mühe ?

 

Du hast ja nur ein Protokoll von Zugriffsversuchen über das Internet auf deinen Router. Derlei ist harmlos und braucht letztlich überhaupt nicht protokolliert werden. Viel interessanter wäre hingegen die andere Richtung, denn dann könntest du zweifelsfrei sehen, wenn jemand in deinem WLAN wäre.

 

Hallo...

so nun war ich ganzen Tag arbeiten.. habe meinen Rechner laufen lassen und ihn von meiner Firewall überwacht...

Dabei habe ich der Grafik ersichtliche Einträge... hierbei fällt mir auf, dass Einträge wie

95.116.197.204:53839
92.72.6.248
62.192.156.130

immer wieder auf den auf/von den Rechner zugreifen wollen... Gemäß einer WHOIS Abfrage handet es sich hierbei aber um Provider Telekom, Arcor und KB Impuls Service GmbH...

Wie verfahre ich nun weiter - die wurden geblocked und das wars ? Was macht man in so einem Fall...

 

Was blockiert wurde, ist ungefährlich. Wenn du jeden Zugriffsversuch zurück verfolgen willst, hast du in deinem Leben nicht anderes mehr zu tun.
Der überwiegende Teil würde auch ohne Firewall keinen Schaden anrichten, da der Zugriff nur erfolgen kann, wenn ein Serverdienst läuft, der Befehle entgegen nimmt.

Falls dein Router protokolliert, wer sich am WLAN anmeldet, kannst du das Log auch überprüfen.

Das kannst du mal genauer bei www.virustotal.com/de untersuchen lassen:

Code:

R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\[COLOR="Red"][B]AddressBarSearch.dll[/B][/COLOR]

 

Bei W Lan dürfte ein blick auf die angemeldeten Mac Adressen reichen....

 

Nochmal: es sind einzig die Zeilen mit "outgoing" und Source IP Adressen interessant, die NICHT zu deinen Rechnern gehören. ALLES andere ist uninteressant.