Hallo & Servus,
hier möchte ich euch erklären und zeigen wie ihr Mittels Wireshark (WIN) einen Keylogger b.z.w. Backdoor Server aufspüren und zugleich auslesen könnt.
Zunächst gibt es 2 Methoden die jemand für einen Server verwendet:
Email: Der Server wird so konfiguriert das bestimmte Daten an eine Email gesendet werden.
FTP: Der Server wird so konfiguriert das bestimmte Daten an eine FTP IP gesendet werden.
(bevorzugte Variante).
Jeder dieser Server sendet in ca. 20 Minuten Abständen die Daten an einer der oben aufgezählte Methode.
1. Zunächste braucht ihr das Programm Wireshark .
2. Beim installieren achtet drauf WINPCAP mitzuinstallieren ( sonst funktioniert die Aufzeichnung nicht, die wichtig dafür ist).
3. Alles soweit Installiert? Gut .exe starten:
nun habt ihr folgenden Startbildschirm:
Klickt oben in der Leiste auf Capture -> Interfaces :
und wählt euren momentanigen Adapter aus:
bei mir wäre das also das 2. von Microsoft wegen der Wlan Verbindung.
Also aussuchen und auf Start klicken.
Nun werden alle eure Verbindungen / Pakete / Protokole und was es nicht alles gibt aufgezeichnet.
So lässt ihr wie oben schon gelesen (da ein Server alle ~ 20 Minuten eure Daten versendet)
die Aufzeichnung gute 30 Minuten laufen.
Nach 30 Minuten beendet ihr die Aufzeichnung:
Jetzt habt ihr ganz schön viel aufgezeichnet.
Jetzt müsst ihr nur noch in der Filter Leiste :
einmal FTP ( wenn nichts dabei rauskommt ) versuchts mit SMTP ( sollte jetzt auch kein Ergebniss angezeigt werden) .. einen halbwegs Glückwunsch von mir
sollte doch ein Ergebniss auftauchen, werden weiter unten in der Leiste
seine Daten ( Email oder IP) + sein Passwort sichtbar.
Das wars auch schon mehr oder weniger.
Schlusswort: dies ist nur eine Methode die manchmal funktioniert, sollte der Ersteller eines Servers paar Järchen dahinter sein, wird das nicht funktionieren.
Verbesserungsvorschläge / Kritik / u.s.w. Willkommen
(sollte es ein ähnliches TUT geben, löschts einfach. Ist auf die schnelle dahin geschrieben ^^ )