Virus auf dem Rechner im Studentenwohnheim?

Guten Tag,

Ich wohne in einer WG in einem Studentenwohnheim und wurde gerade angerufen, dass bei mir ein Virus bzw. ein Bot auf dem Rechner am 19.11 gefunden wurde der anscheinend irgendwie versucht auf die Server meiner Universität zuzugreifen, da diese mit dem Internet aus unserem Wohnheim gekoppelt sind. Sie haben mir gedroht, wenn ich das Problem nicht löse wird mir das Internet abgestellt, da diese Angriffe von meiner IP-Adresse kommen.

Ich habe eigentlich seit dem 20.11 nur Arbeitsrelevante Daten (die von meiner Uni kommen) gedownloadet, allerdings habe ich festgestellt, dass seit 23:00 Uhr am 20.11 eine weiße Datei, die mit zufälligen Buchstaben und Zahlen benannt ist, in meinem Ordner ist, welche ich nicht zuordnen konnte. Diese habe ich umgehend natürlich gelöscht.

Ich habe außerdem Windows Defender durchlaufen, der jedoch nichts gefunden hat und mir wurde in einer Email das Programm Malwarebytes empfohlen, welches ich gerade durchlaufen lassen habe und mir tatsächlich auch 4 oder 5 Dateien gelöscht hat.

Ich weiß jetzt nicht, ob das die Dateien waren oder nicht. Kann mir jemand noch Tipps geben, der Ahnung von der Materie hat, was ich noch tun kann?

In den Emails steht folgendes:

IP-Adresse      Ereignistyp                 Anzahl Zuletzt gesehen

----------------------------------------------------------------------------------

xxx.x.xxx.xxx   Bot                         3      2023-11-19 22:01:39+00:00

 

Beschreibung: Auf dem System scheint eine Bot-Software betrieben zu

             werden, die versucht, einen Command-and-Control (C2)-Server

             zu erreichen. Zu den unterschiedlichen Malwaretypen finden

             Sie im folgenden Dokument mehr Informationen (aktuell nur

             als PDF verfügbar):

und heute:

Hallo,

 

wir haben schon wieder eine Warnung:

 

IP-Adresse      Ereignistyp                 Anzahl Zuletzt gesehen

----------------------------------------------------------------------------------

xxx.x.xxx.xxx   Bot                         4      2023-11-21 21:05:30+00:00

         

Computer, Virus, Netzwerk, IT, Bot, cmd, Hacker, Informatik, IP-Adresse, Malware, Universität, Wohnheim, Cyberangriff
Meine IP ist gesperrt! um diese zu entsperren soll ich ein paar Einstellungen umändern. Kann mir jemand das hier in einfacher Sprache übersetzen?

Anmerkung: Meinen Router habe ich von Vodafone. An den Voreinstellungen habe ich nichts geändert. Mein PC Betriebssystem ist Windows 11.

Wie mache ich das ? Was muss ich genau tun? Bitte in einfacher Sprache erklären

Vielen Dank, dass Sie Spamhaus CSS Removals kontaktiert haben.

xx.xxx.x.xxx wurde als Teil eines Proxy-Netzwerks klassifiziert. Es gibt eine Art Malware, die diese IP verwendet und einen Drittanbieter-Proxy installiert, der für fast alles verwendet werden kann, einschließlich des Versendens von Spam oder des Stehlens von Kundendaten. Dies sollte besorgniserregender sein als ein Spamhaus-Eintrag, der ein Symptom und nicht das Problem darstellt.

Wichtig: Wenn diese IP als Mailserver fungiert, sollte sie wie ein Mailserver aussehen und sich wie ein Mailserver verhalten. So wie es aussieht, scheint das verwendete HELO dynamisch zu sein. Dieses Verhalten wird häufig in Malware-/Proxy-Netzwerken beobachtet.

(IP, UTC-Zeitstempel, HELO-Wert)

ip-xx.xxx.x.xxx um26.pools.vodafone-ip.de

xx.xxx.x.xxx.um26.pools.vodafone-ip.de

xx.xxx.x.xxx.dynamic.adsl.gvt.net.br

Der Proxy ist auf einem Gerät installiert – normalerweise einem Android-Handy, Firestick, einer intelligenten Türklingel usw., aber auch iPads und Windows-Computern – das Ihre IP verwendet, um Spam DIREKT über Port 25 ins Internet zu senden: Dies ist sehr oft das Ergebnis von „kostenlosen“ Apps von Drittanbietern wie VPNs, Kanal-Freischaltungen, Streaming usw., die auf dem persönlichen Gerät einer Person, normalerweise einem Telefon, installiert werden.

Dies ist eine einfache Erklärung, wie das funktioniert:

Überprüfen Sie zunächst alle Geräte, auf denen „kostenlose“ VPNs, TV-Streaming, Kanalfreischaltung oder Apps von Drittanbietern installiert sind.

Wie dieses Problem gelöst werden kann, hängt davon ab, ob diese IP statisch ist und für die geschäftliche Nutzung mit einem internen Mailserver zugewiesen wird oder ob sie dynamisch für die private Nutzung ist. Wenn Sie sich nicht sicher sind, rufen Sie Ihren ISP an und fragen Sie ihn.

HEIMBENUTZER: Dynamische Einzel-IP für nichtkommerzielle Nutzung. Es gibt eine Reihe von Möglichkeiten:

* Möglicherweise haben Sie ein Problem vom vorherigen Benutzer der IP geerbt. Bitte überprüfen Sie die oben angegebenen Zeitstempel. War diese IP zuletzt Ihre?

* Dynamische IPs sind nicht für den Betrieb von Mailservern gedacht. Wenn Sie dies tun, suchen Sie bitte bei Ihrem Anbieter nach einer Lösung. Eine wirksame NAT-/Firewall-Konfiguration ist erforderlich.

* Für den Fall, dass Sie keinen eigenen Mailserver betreiben – was für die meisten Menschen der Fall sein dürfte – konfigurieren Sie bitte Ihren Router so, dass er jeglichen Zugriff auf Port 25 blockiert, und verwenden Sie SMTP AUTH beim Anbieter Ihrer Wahl. Ihr ISP kann Ihnen dabei helfen und die meisten Router-Benutzerhandbücher sind online verfügbar.

Bitte wenden Sie sich an Ihren ISP oder Ihre IT-Abteilung, um Hilfe bei der korrekten Konfiguration Ihres Routers oder Ihrer Firewall zu erhalten. Sie können die meisten Router-Konfigurationshandbücher auch online finden.

Wenn die IP statisch ist, liegt im Netzwerk ein Malware-Problem vor. Es ist sehr unwahrscheinlich, dass es sich um den eigentlichen Mailserver handelt, aber es handelt sich um etwas, das dieselbe öffentliche IP-Adresse verwenden kann.

Bedenken Sie die Auswirkungen, wenn ein Proxy, der unter der Kontrolle einer anderen Person steht, in Ihrem Netzwerk aktiv ist: Böswillige Betreiber kontrollieren ein Gerät in Ihrem Netzwerk. Für sie ist Spam ein Extra. Ihr Geschäft ist ihr Geschäft.

Wir empfehlen dringend, Ihre Firewall so zu sichern, dass keine ausgehenden Pakete über Port 25 zugelassen werden, außer solchen, die von einem oder mehreren E-Mail-Servern in Ihrem lokalen Netzwerk stammen. Das Remote-Versenden von E-Mails an Server über das Internet sollte weiterhin funktionieren, wenn webbasiert oder ordnungsgemäß für die Verwendung von Port 587 mit SMTP-AUTH konfiguriert. Wir empfehlen auch, alle Gastnetzwerke auf die gleiche Weise zu sichern. WICHTIG: Durch die Begrenzung von Port 25 wird verhindert, dass Verbindungen Ihr Netzwerk verlassen, der Proxy wird jedoch nicht neutralisiert. Es muss gefunden und entfernt werden.

Da wir weder NAT noch die Firewall durchschauen können, liegt die Fehlersuche ausschließlich in der Verantwortung des IT-Managers. Die Protokollierung am Router oder an der Firewall, um zu sehen, was versucht, Port 25 zu verwenden, sollte zu den kompromittierten Geräten führen.

Die einfachere Vorgehensweise wäre, den ausgehenden Port 25 auf Mailserver zu beschränken und so Ihr Netzwerk zu sichern und die Einträge zu stoppen. Anschließend können Sie nach den Geräten suchen.

HINWEIS: Es kann mehr als ein betroffenes Gerät geben. Es kann auch mehr als ein Problem geben. Bitte überprüfen Sie alle Ihre technischen Einstellungen, einschließlich DNS (Forward und Reverse) und HELO-Werte. Auch Gastnetzwerke müssen gesichert werden.

Unsere FAQ :

https://www.spamhaus.org/faq/section/Hacked...%20Here's%20help

Server, Internet, WLAN, Netzwerk, IP-Adresse, LAN, Netzwerktechnik, Port, Router, Vodafone DSL, VPN, WLAN-Router, IPv4

Meistgelesene Beiträge zum Thema IP-Adresse