Tauschbörsen

tellme · 18.09.2005, 10:26

Hallo Gemeinde !

Ich habe folgendes Problem:
In einer unserer Filialen wird die Standleitung offensichtlich für illegale Machenschaften benutzt. Denn das im Produkt integrierte Transfervolumen wurde um 165GB, davon 151GB Upload überschritten und die Telekom verrechnet uns fast 7000 Euro zusätzlich. Jetzt habe ich von der Leitung den Auftrag bekommen, dei in Frage kommenden PC, die an dieser Leitung hängen, softwaremäßig zu checken. Da ich aber mit den ganzen Tauschbörsen usw. nicht up to date bin, einige Fragen an die Spezialisten: Wonach muss ich suchen? Oder gibt es Tools, die solche Programme automatisch aufspüren? Oder gibt es Programme, die ich auf den Maschinen installieren kann und die den Traffic pro PC messen, ohne gleich ersichtlich zu sein.
Zugang zum Router bekomme ich leider nicht, da die Telekom die Passwörter für den Router nicht herausrückt. Ist ein Netzwerk, an dem ca. 50 PCs hängen mit fixen IPs. Der Userkreis geht von absoluten DAUS bis zu nehme ich an doch versierteren Usern.

lg
Tellme

Don Manuel · 18.09.2005, 11:07

In einer Firma sollte jedenfalls eine zentrale Firewall derartiges verhindern.
Nur die folgenden Ports sollten nach draußen offen gelassen werden:

Port | Dienst
80 - HTTP
20,21 - FTP
110 - POP3
25 - SMTP
53 - DNS
37 - time
546,547 - DHCP
23 - Telnet
69 - TFTP
135 - RPC

edit: Mit einem portscan kannst Du demzufolge intern nach der Nutzung anderer Ports Ausschau halten.

LouCypher · 18.09.2005, 11:27

wenn du nur upload und keinen dl hast würd ich eher auf einen illegalen ftp server oder auf einen virus tippen.

Wenn dort ein mailserver steht könnte es auch eine hängengebliebene ausgehende email sein.

Falls sich die telekom nich kulant zeigt würde ich ausserdem sofort den provider wechseln.

Don Manuel · 18.09.2005, 11:36

Einige Tauschbörsen und die dafür notwendigen ports

Kazaa Lite 1214
eMule 4661, 4662, 4665, 4672
BitTorrent 6881 bis 6889
Soulseek 2234, 5534
DirectConnect konfigurierbar
Gnutella 6346

pc.net · 18.09.2005, 13:09

übrigens: wenn den usern keine firmenpolicy bezüglich internetnutzung (nachweislich) kenntlich gemacht wurde bzw. die rechner nicht entsprechend abgesichert sind (keine admin-rechte für die user), hat man keine handhabe gegen den mitarbeiter ...

höchstens der admin könnte wegen fahrlässigkeit in argumentatinsnotstand kommen

...

außerdem: um welches produkt von der TA handelt es sich? idR sind deren router so konfiguriert, dass nur bestimmte ports offen sind und die öffnung zusätzlicher ports explizit angefordert werden muss ... ev. kommt hier dann die TA auch in argumentationsnotstand und verzichtet auf die nachverrechnung

...

maxb · 18.09.2005, 13:20

Trojaner bzw. offenes mail relay ist am wahrscheinlichsten? FTP server ist hinter einem router ohne adminrechte etwas unpraktisch

@tellme - schau mal ob die IP hier irgendwo gelistet ist. http://www.senderbase.org/

Dumdideldum · 18.09.2005, 13:23

kann LouCypher nur beipflichten - so ein Ungleichgewicht zwischen Up/Download ist entweder ein FTP-Server, ein freigiebiger p2p-Sharer, oder ihr habt euch ein mistiges Vieh eingefangen.
(oder offenes WLAN ? )

Habt ihr im Netzwerk einen FTP Server am Laufen bzw. irgendeinen Samba Share, der von außen erreichbar ist ?

Es kann gut sein, dass ihr da Server für die Allgemeinheit spielt.

Ich würd mal schleunigst die Firewall überprüfen - denn die ist wahrscheinlich nicht gerade strikt konfiguriert.
Wenn es möglich ist, die aktiven Verbindungen auf der Firewall anzuschauen, würd ich das mal machen.

Edit:
Hab überlesen, dass du auf den Router keinen Zugang hast. Soweit ich weiß erlaubt der vorkonfigurierte Router, falls nicht anders gewünscht, keine Verbindungen nach innen.

Ansonsten:
Torkel mal von PC zu PC und überprüf die mal.

Letztendlich bleibt die Schuld aber wahrscheinlich am Admin hängen

Edit2:
pm oder post mal die IP, vielleicht kann man da was aufspüren

18.09.2005, 13:25

da wird es sich fast 100%ig um einen Str0 handeln.
http://de.wikipedia.org/wiki/Stro
Der lauft aber sicher nicht auf Port 21. Blöd müsstens ja sein

Dumdideldum · 18.09.2005, 13:27

dagegen würde aber der vorkonfigurierte TA Router sprechen, der meines Wissens alle Ports nach innen ab Werk gesperrt hat ?

maxb · 18.09.2005, 13:53

Gegen den ftp spricht vor allem, dass jemand die warez per externen notebook oder DVDs mitgebracht haben muss. Wer tut sich sowas "in der Szene" schon an

18.09.2005, 10:26	#1
tellme Master Registriert seit: 06.03.2000 Alter: 65 Beiträge: 683	Tauschbörsen Hallo Gemeinde ! Ich habe folgendes Problem: In einer unserer Filialen wird die Standleitung offensichtlich für illegale Machenschaften benutzt. Denn das im Produkt integrierte Transfervolumen wurde um 165GB, davon 151GB Upload überschritten und die Telekom verrechnet uns fast 7000 Euro zusätzlich. Jetzt habe ich von der Leitung den Auftrag bekommen, dei in Frage kommenden PC, die an dieser Leitung hängen, softwaremäßig zu checken. Da ich aber mit den ganzen Tauschbörsen usw. nicht up to date bin, einige Fragen an die Spezialisten: Wonach muss ich suchen? Oder gibt es Tools, die solche Programme automatisch aufspüren? Oder gibt es Programme, die ich auf den Maschinen installieren kann und die den Traffic pro PC messen, ohne gleich ersichtlich zu sein. Zugang zum Router bekomme ich leider nicht, da die Telekom die Passwörter für den Router nicht herausrückt. Ist ein Netzwerk, an dem ca. 50 PCs hängen mit fixen IPs. Der Userkreis geht von absoluten DAUS bis zu nehme ich an doch versierteren Usern. lg Tellme

18.09.2005, 11:27	#3
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	wenn du nur upload und keinen dl hast würd ich eher auf einen illegalen ftp server oder auf einen virus tippen. Wenn dort ein mailserver steht könnte es auch eine hängengebliebene ausgehende email sein. Falls sich die telekom nich kulant zeigt würde ich ausserdem sofort den provider wechseln. ____________________________________ Greetings LouCypher

18.09.2005, 13:09	#5
pc.net Aussteiger Registriert seit: 07.10.2001 Ort: Nettistan Beiträge: 12.997 Mein Computer	übrigens: wenn den usern keine firmenpolicy bezüglich internetnutzung (nachweislich) kenntlich gemacht wurde bzw. die rechner nicht entsprechend abgesichert sind (keine admin-rechte für die user), hat man keine handhabe gegen den mitarbeiter ... höchstens der admin könnte wegen fahrlässigkeit in argumentatinsnotstand kommen ... außerdem: um welches produkt von der TA handelt es sich? idR sind deren router so konfiguriert, dass nur bestimmte ports offen sind und die öffnung zusätzlicher ports explizit angefordert werden muss ... ev. kommt hier dann die TA auch in argumentationsnotstand und verzichtet auf die nachverrechnung ... ____________________________________ Praktizierender Eristiker No hace falta ser un genio para saber quién dijo eso. Der wirklich faule Mensch ist oft extrem fleißig, denn er will möglichst schnell wieder faul sein.

18.09.2005, 13:20	#6
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	Trojaner bzw. offenes mail relay ist am wahrscheinlichsten? FTP server ist hinter einem router ohne adminrechte etwas unpraktisch @tellme - schau mal ob die IP hier irgendwo gelistet ist. http://www.senderbase.org/ ____________________________________ www.maxb.cc und www.bikeandbeer.info

18.09.2005, 13:23	#7
Dumdideldum Inventar Registriert seit: 01.08.2001 Alter: 46 Beiträge: 1.508	kann LouCypher nur beipflichten - so ein Ungleichgewicht zwischen Up/Download ist entweder ein FTP-Server, ein freigiebiger p2p-Sharer, oder ihr habt euch ein mistiges Vieh eingefangen. (oder offenes WLAN ? ) Habt ihr im Netzwerk einen FTP Server am Laufen bzw. irgendeinen Samba Share, der von außen erreichbar ist ? Es kann gut sein, dass ihr da Server für die Allgemeinheit spielt. Ich würd mal schleunigst die Firewall überprüfen - denn die ist wahrscheinlich nicht gerade strikt konfiguriert. Wenn es möglich ist, die aktiven Verbindungen auf der Firewall anzuschauen, würd ich das mal machen. Edit: Hab überlesen, dass du auf den Router keinen Zugang hast. Soweit ich weiß erlaubt der vorkonfigurierte Router, falls nicht anders gewünscht, keine Verbindungen nach innen. Ansonsten: Torkel mal von PC zu PC und überprüf die mal. Letztendlich bleibt die Schuld aber wahrscheinlich am Admin hängen Edit2: pm oder post mal die IP, vielleicht kann man da was aufspüren ____________________________________ Linux is like a wigwam: No windows, no Gates, Apache inside.

18.09.2005, 11:07	#2
Don Manuel Inventar Registriert seit: 08.02.2001 Beiträge: 9.977	In einer Firma sollte jedenfalls eine zentrale Firewall derartiges verhindern. Nur die folgenden Ports sollten nach draußen offen gelassen werden: Port \| Dienst 80 - HTTP 20,21 - FTP 110 - POP3 25 - SMTP 53 - DNS 37 - time 546,547 - DHCP 23 - Telnet 69 - TFTP 135 - RPC edit: Mit einem portscan kannst Du demzufolge intern nach der Nutzung anderer Ports Ausschau halten.

18.09.2005, 11:36	#4
Don Manuel Inventar Registriert seit: 08.02.2001 Beiträge: 9.977	Einige Tauschbörsen und die dafür notwendigen ports Kazaa Lite 1214 eMule 4661, 4662, 4665, 4672 BitTorrent 6881 bis 6889 Soulseek 2234, 5534 DirectConnect konfigurierbar Gnutella 6346

18.09.2005, 13:25	#8
schichtleiter Gast Beiträge: n/a	da wird es sich fast 100%ig um einen Str0 handeln. http://de.wikipedia.org/wiki/Stro Der lauft aber sicher nicht auf Port 21. Blöd müsstens ja sein

18.09.2005, 13:27	#9
Dumdideldum Inventar Registriert seit: 01.08.2001 Alter: 46 Beiträge: 1.508	dagegen würde aber der vorkonfigurierte TA Router sprechen, der meines Wissens alle Ports nach innen ab Werk gesperrt hat ? ____________________________________ Linux is like a wigwam: No windows, no Gates, Apache inside.

18.09.2005, 13:53	#10
maxb Großmeister Registriert seit: 06.08.2001 Ort: Wien Beiträge: 5.077 Mein Computer	Gegen den ftp spricht vor allem, dass jemand die warez per externen notebook oder DVDs mitgebracht haben muss. Wer tut sich sowas "in der Szene" schon an ____________________________________ www.maxb.cc und www.bikeandbeer.info

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)