Rückverfolgung IP

svenkonstanzer

svenkonstanzer

Printhox
#1
#1
Hallo zusammen,

ich habe mal eine ganz andere Frage an die IT-Spezialisten hier:

Wir haben einen Kunden bei dem im Haus ein Netzwerkgerät per Port Forwarding und dynamisches DNS übers Internet erreichbar ist.
An diesem Gerät wurde nun von extern, also übers Internet, zugegriffen.

Das Gerät sitzt direkt hinter dem Router. Es wird im Haus nirgends etwas mitgeloggt.

Jetzt google ich mir schon den ganzen Tag die Finger Wund, aber ich finde nirgends, ob es möglich ist, die IP Adresse herauszufinden, von der auf das Netzwerk zugegriffen wurde.

Speichert der Provider (T-Online) des Kunden denn die Zugriffe? Wenn ja, wie lange?
Ich kann mir das anhand der aufkommenden Datenmenge nicht vorstellen...

Das einzige, was ich gefunden habe ist, das mein Provider meine öffentliche IP Adresse , die ja täglich wechselt, für sieben Tage zur Fehlersuche etc. speichern darf. Das hilft mir ja in diesem Fall nicht weiter, da ich ja nicht weiss, wann genau von welcher IP auf das Kundennetzwerk zugegriffen wurde...

Ich hoffe, ich habe das ganze verständlich geschrieben...?!
 
A

Arakon

Erfahrener Benutzer
#2
#2
Kannst du vergessen. Selbst wenn der Provider die speichert, kriegst du keinen Zugriff auf diese Information.. das darf höchstens die Polizei anfordern, wenn eine Straftat vorliegt und zur Anzeige gebracht wird.
Wie wurde denn drauf zugegriffen? Wenn das nur ein wahlloser Zugriff war ohne aktiv was zu machen, kannn das auch durchaus automatisiert gewesen sein.. es gibt genug Botnets, die IP Adressen einfach der Reihe nach Scannen um zu schauen, ob dort auch ein verwundbares Programm läuft.
 
svenkonstanzer

svenkonstanzer

Printhox
#3
#3
Also, es wurde aktiv darauf zugegriffen, und es wurden auch Daten verändert.

Es ist die Frage, ob sich das ganze lohnt, und eine Anzeige erstattet werden soll. Es ist nichts passiert, keine Schäden sind entstanden, aber es geht einfach darum, denjenigen ausfindig zu machen, der das war...

Das ganze ist ca 14 Tage her, also von daher sowieso die Frage, ob sich der Aufwand noch lohnt, und ob es technisch überhaupt möglich ist, die Verbindungen herauszufinden.
 
G

Gelöschtes Mitglied 1973

Gast
#4
#4
Vergiss es ^^

Wenn du selbst keine logs hast zb vom router, (ich als angreifer würde die natürlich manpulieren) kannst du das so gut wie vergessen. Selbst wenn du die scheinbare ip adresse des angreifers haben solltest was willst du dann damit?
der Provider gibt die daten nur auf richtigerlichen beschluss raus, das klappt auch nur wenn die ip in deutschland ist.
und welche angreifer ist so doof sowas von zuhause aus zu machen ;) 3 mal um die welt und dann zum nachbarn ist die devise.

ohne wirklich guten techechnischen und rechtlichen sachverstand kanste das knicken. wenn es das wert ist, zeig das ganze an und hohl dir einen it forensiker der das für dich analysiert und auch gerichtsverwertbar sichert. das ist aber mit imensen kosten verbunden mit unsicherem ausgang.
 
Zuletzt bearbeitet von einem Moderator:
Bamfax

Bamfax

Erfahrener Benutzer
#5
#5
Woher weißt du, dass du einen Zugriff aus dem Internet hattest? Anscheinend wird bei dir wohl doch was geloggt. Woher weißt du, das nichts passiert ist? Loggst du jeden Pups und bist so sicher, dass alles andere nicht angefasst wurde? Bzgl Ursprung im Internet: Dein Router könnte, wenn Du Glück hast, schon ein paar Logs haben, z.B. die Fritzbox hat welche. Wie kommt dein Internet-Verdacht denn ins interne Netzwerk? Im internen Netz sind private Adressen, die aus dem Internet erstmal nicht angesprochen werden können. Entweder ist auf dem Router ein VPN oder ein Portforwarding konfiguriert. Beides sollte mit Logging konfiguriert sein, ansonsten ist das eben szkm (selbst tschuld koa mitleid). Wenn Du ein Log hast, stimmt auch die darin enthaltene IP Adresse: TCP Verbindungen kann man nicht fälschen. Aber die Adresse wird kaum zur gesuchten Person führen. Die Telekom als Dein Provider weiß sehr wohl, welche IP Adressen mit Dir gesprochen haben. Diese Daten werden sie Dir als Privatpersonen aber nie geben. Du kannst aber zur Polizei gehen und eine Anzeige gegen unbekannt stellen. Das ist das einzige und beste, was Du machen kannst. Allerdings brauchst Du dafür Indizien (=Logs), die der Polizei weiterhelfen. Und viel Geduld und Zeit helfen auch, zumal da wahrscheinlich nie was rauskommen wird.
 
svenkonstanzer

svenkonstanzer

Printhox
#6
#6
Ok,

wie oben geschrieben ist das Netzwerkgerät direkt hinter dem Router in einem privaten Netzwerk. Per Port Forwarding ist das Gerät erreichbar, Es wurden Daten darauf verändert. Der Kunde war es nicht, was definitiv feststeht ( nicht das nötige technische Verständnis)

Das Gerät steuert im Endeffekt die Beleuchtung im Haus. Deswegen ist kein direkter Schaden entstanden.

Und nochmal, ich will diese IP Adresse von demjenigen gar nicht. Für mich ist nur relevant, ob es technisch überhaupt möglich ist, denjenigen ausfindig zu machen. Ob später die Staatsanwaltschaft oder die Mafia die Daten beim Provider anfordern und auswerten, ist mir egal.
 
Brunsi

Brunsi

Viel zu viel zum Fliegen
#8
#8
Gehe ich recht in der Annahme, das es sich um eine Bus Anlage wie KNX handelt, da kannst du doch den Zugang auf das Gerät Paswort schützen, weiss ja nicht was du da für ein Gerät hast, evtl Homeserver, IPControl, Domovea oder so. Die Steuerung der Beleuchtung ist meines Erachtens schon empfindlich, Dunkle Jahreszeit, im Richtigen Moment das Licht Zentral aus, evtl. dazu noch die Tore auf......
Freier Eintritt für das Böse:cool:
 
mueckchen

mueckchen

Erfahrener Benutzer
#9
#9
svenkonstanzer hat gesagt.:
Der Kunde war es nicht, was definitiv feststeht ( nicht das nötige technische Verständnis)
Zum Vergrößern anklicken....
Aus genau dem Grund würde ich vermuten, daß es doch der Kunde war!
Die Ahnungslosen fummeln prinzipiell überall herum - sei es nur aus Neugier...
Im IT-Service bei Privatkunden war es bei uns schon Standard, diese Frage zu stellen: "was, außer Nichts, haben Sie gemacht?"
Immer wenn Du denkst, daß Du schon alles gesehen hast, kommt einer der dir das Gegenteil beweist!
Im Router wird jeder Zugriff von außen protokolliert - guck mal in's Log rein, ob überhaupt was war...
 
svenkonstanzer

svenkonstanzer

Printhox
#10
#10
Hallo Brunsi,

ja, dreht sich um KNX.
Natürlich gehört solch eine Anlage gut gesichert, sei es über VPN oder sonstige Möglichkeiten. In diesem Falle wurde das ganze aber nicht gesichert, und wohl leider auch das Standard-Kennwort und der Standard Benutzername nicht geändert. Ein wenig Wissen, wie man Google richtig bedient, und man kommt schnell in die offene Türe herein...
Es ist wie es ist, mittlerweile ist denke ich das Loch geschlossen worden. Ich selbst habe nicht direkt mit der Anlage zu tun

Bitte hier jetzt keine Diskussionen über Internetsicherheit oder ähnliches....danke
 
svenkonstanzer

svenkonstanzer

Printhox
#14
#14
Das war glaube ich ein Siemens Router, ziemlich altes Teil.
 
fofi2

fofi2

Erfahrener Benutzer
#17
#17
Ich muss da jetzt einfach meinen Senf dazugeben: Also zusammenfassend war es ein steinalter Router und ein System mit Standartpasswort. Sie haben nichts gemacht aber sie haben was verändert.
Also ist das so als würde man sein Auto mit steckendem Schlüssel mitten in eine Fußgängerzone stellen und hoffen dass nichts passiert. Nice! Als Kunde wäre ich da übel angepisst.

Ip zurückverfolgen wird wenig bringen ausser irgendwelche Kinder haben sich daran versucht.
 
ThinMan

ThinMan

Erfahrener Benutzer
#18
#18
Haben solche Lichtsteuerungen ein Urlaubsprogramm, das die Anwesenheit von Bewohnern simuliert?

Haben die da sinnlos Daten verändert, quasi nur so rumgespielt, oder was sinnvolles verändert?

ThinMan
 
svenkonstanzer

svenkonstanzer

Printhox
#19
#19
@fofi

So sieht es leider aus, aber du hast es richtig zusammengefasst

@ThinMan
Mit solchen Systemen kannst du alles mögliche machen.
Was in diesem Fall genau im Detail geändert wurde Kann ich nicht sagen
 
fofi2

fofi2

Erfahrener Benutzer
#20
#20
Was mich mal interessieren würde (da mir die Sparte garnicht soooo fern ist )....werden damit wirklich auch verriegelungen ala Haustüre und Garage angesprochen?
 
Um antworten zu können musst du eingeloggt sein.
FPV1

Banggood

Oben Unten