Hilfe! Ich werde gehackt

Hallo zusammen,

ich werde gehackt. Irgendwie ist ein Hacker an mein E-Mail-Passwort gelangt. Und hat mir über meine eigene E-mail-Adresse eine E-Mail geschickt. Er habe ein privates Remote-Administration-Tool auf meinem Rechner installiert aber bereits wieder deinstalliert. Dennoch wolle er 900 USD in Bitcoin binnen 12h und da er Zugriffauf mein E-Mail-Konto bei meinem Provider habe, wisse er ob ich seine Mail gelesen habe und folglich die 12 h um sind, sonst wolle er Daten von mir veröffentlichen.
Nun diesbezüglich bin ich eigentlich wenig besorgt, da kann es kaum etwas geben, denn ich speichere keine Passwörter auf meinem Rechner. Aber vielleicht ist es ihm gelungen Tastatureingaben von mir mitzulesen. Jedenfalls habe ich erstmal mein Passwort bei meinem E-Mail-Provider geändert und mir ein VPN zugelegt.
Aber damit scheint die Sache nicht erledigt. Überwiesen habe ich ihm jedenfalls nichts.
Jetzt kann ich aber keine pdf-Dateien mehr ausdrucken. Und es scheint Probleme mit zumindest einem Ethernetcontroller zu geben, der über USB am Rechner hängt.
Deshalb habe ich wohl immerwieder Netzausfälle. Und muss hin- und herstöpseln.

Sagen wir es gibt “Anomalien”!
Hat jemand einen Tip wie ich jetzt vorgehen kann? Wenn es ein privater Trojaner ist, dann findet ihn auch kein Virenscanner. Und mit Kali-Linux kenne ich mich nicht aus.
BIn gerade mit meinem Latein am Ende! HIlft eine Neuinstallastion, oder sitzt da etwas in den SSD-bzw. Festplatten-Controllern? 1 SATA-Platte und 4 SSD.
Dual-Boot-System Eos und Win11 beide auf dem neuesten Stand.
Wobei ich Win11 so gut wie nicht verwende! Sollte demnächst in eine VM wandern.

Also ich brrauch ein paar Tips von euch, wie ich jetzt am besten weiter verfahre?

LIeben Gruss EOZ

Hallo,

ich meine zumindest einmal hates der Hacker auf meinen Rechner geschafft! Dann schafft er es aber womöglich auch ein zweites Mal! Seht ihr eine Chance das System zu säubern? So dass es wieder normal funktioniert?

Was würdet ihr an meiner Stelle tun? Am Router hab ich auch das Passwort geändert und die Einstellungen nachgeschärft. Das VPN sollte mich einigermaßen unsichtbar machen.

Gruss EOZ

Danke dalto,

unter EOSdeutsch bin ich wohl besser aufgehoben mit dem Post!
Wusste ihn nicht recht zuzuordnen!
Hätte ich ihn auch selbst dahin verschieben können?

EOZ

Ja klar! Wie soll denn ein “Remote-Administration-Tool” auf deinen Rechner gelangen? Über den Zugriff auf dein E-Mail-Konto sicherlich nicht.

Wenn ich remote-Zugriff auf deinen Rechner hätte, würde ich mir die 900$ (und mehr) gleich direkt selbst von dir holen und dich nicht per E-Mail “anbetteln”.

Zu 99,9% purer Zufall!

Siehe oben; Wie soll ein solcher denn auf dein System gelangt sein?

Entsprechende Kali-Anwendungungen funktionieren genauso unter Arch.

OMG; das lass ich mal “unkommentiert”.

In der Regel schon. Ich halte das zwar für übertrieben, aber vielleicht hilft es gegen deine Paranoia. :wink:

1 Like

Nochmal, ich bezweifle das es irgendjemand auf deinen Rechner geschafft hat.
Zugang zu E-Mail-Konto UNGLEICH Zugang zu deinem Rechner!

Folglich gibt es da nichts zu säubern.

Deine “Anomalien” können wir nach und nach angehen. In der Regel bekommen wir sowas gelöst.

2000 Wiki Contributor,

wie der mutmaßliche Trojaner aufs System kommen kann weiß ich nicht! Ich hol mir noch nicht mal E-Mails auf den Rechner! Die sehe ich mir brav über das Webportal des E-Mail-Provider an.
UNd was ich dann brauche drucke ich in eine pdf -Datei. Auch klicke ich nicht wild in E-Mails herum!
Das Kali auch unter Arch funzt dachte ich mir schon, aberkönnte es mir nützlich sein?
Kann ich da so etwas wie einen Systemcheck machen? Könnte ich den Trojaner, so doch vorhanden, ausfindig machen und eliminieren bzw. isolieren?
Also Paranoia lasse ich mir nicht vorwerfen!
Ich bin im Moment schlicht verunsichert.
Und die Anomalien sind nunmal da!
Sag mir lieber, wie ich die pdf-Dateien wieder ausdruckbar bekomme! Anstatt dich über mich lustig zu machen!

EOZ

(übersetzt mit Deepl)

War die E-Mail ähnlich wie diese?

Hi!

I know that: *** – is your password!

I infected you with my private malware, RAT, (Remote Administration Tool) some time ago.

The malware gave me full access and control over your computer, meaning, I got access to all your accounts and I can see everything on your screen, even turn on your camera or microphone and you won’t even notice about it.

I made a video showing both you (through your webcam) and the video you were watching (on the screen) while statisfying yourself!

I can send this video to all your contacts (email, social network)!

I can publish absolutly everything I found on your computer!

You can prevent me from doing this!

To stop me, transfer exactly 900$ with the current bitcoin (BTC) price to my bitcoin address.
If you don’t know how to get bitcoin, Google – “How to buy Bitcoin”.
The wallet you can create here: Address

My bitcoin adress is: 1Q9QmbRyHu89jWKwVXgkvTMNDuEags5kdq

After receiving the payment, I will delete the video, and we will forget everything.
I give you 4 days to get the bitcoins.
Since I already have access to your computer, I know when you read this email.
Don’t share this email with anyone, this should stay our little secret!

Hallo!

Ich weiß das: *** - ist Ihr Passwort!

Ich habe Sie vor einiger Zeit mit meiner privaten Malware, RAT, (Remote Administration Tool) infiziert.

Die Malware gab mir vollen Zugriff und Kontrolle über Ihren Computer, d.h. ich habe Zugriff auf alle Ihre Konten und kann alles auf Ihrem Bildschirm sehen, sogar Ihre Kamera oder Ihr Mikrofon einschalten, ohne dass Sie es merken.

Ich habe ein Video gemacht, das sowohl dich (durch deine Webcam) als auch das Video zeigt, das du dir gerade ansiehst (auf dem Bildschirm), während du dich selbst statisfierst!

Ich kann dieses Video an alle Ihre Kontakte senden (E-Mail, soziale Netzwerke)!

Ich kann absolut alles veröffentlichen, was ich auf Ihrem Computer gefunden habe!

Sie können mich daran hindern, dies zu tun!

Um mich zu stoppen, überweise genau 900$ zum aktuellen Bitcoin (BTC) Preis an meine Bitcoin Adresse.
Wenn Sie nicht wissen, wie man Bitcoin bekommt, googeln Sie - „How to buy Bitcoin“.
Die Wallet können Sie hier erstellen: Adresse

Meine Bitcoin-Adresse lautet: 1Q9QmbRyHu89jWKwVXgkvTMNDuEags5kdq

Nach Zahlungseingang werde ich das Video löschen, und wir vergessen alles.
Ich gebe Ihnen 4 Tage, um die Bitcoins zu bekommen.
Da ich bereits Zugang zu Ihrem Computer habe, weiß ich, wann Sie diese E-Mail lesen.
Gib diese E-Mail an niemanden weiter, das soll unser kleines Geheimnis bleiben!

Dies ist ein beliebter E-Mail-Trick. Der Absender hofft, Sie zu erschrecken, und Sie senden Bitcoin.

1 Like

Dont panic.

Du musst genau hinsehen. Die “From” Adresse auf beliebige Werte zu ändern, bsp. “From: bundeskanzler@brd.de” ist trivial. So habe ich schon mal einem meiner Kinder einen Streich gespielt.

Du musst dir den kompletten quelltext der email ansehen und im header nachvollziehen von wo genau die email gekommen ist.

Das muss nichts damit zu tun haben. Es gibt aktuell einen bug im neuen Cairo paket, der das ausdrucken von bestimmten PDFs verhindert. Hat mich heute auch erwischt.

Das ist das wichtigste. Und wenn du das noch konntest kann nicht mehr viel passieren. Der Zugang zu email konten ist deshalb so kritisch, weil Passwort Änderungen bei Amazon, telekom, etc. pp . immer über email links und email bestätigungen laufen. Wer zugriff auf dein email konto hat, kann also problemlos die passwörter der wichtigsten Dienste zurücksetzen und dann bist du draußen - für länger.

1 Like

Mach dich nicht verrückt, es klingt erst mal nicht so schlimm wie du denkst:

Das ist doch schon mal gut!

Hast du genau gecheckt ob die Mail tatsächlich von deiner Mailadresse gesendet wurde?
Viele Mail-Clients verwenden leider bevorzugt den sogenannten Anzeigenamen für den Versender und diesen kann sich jeder selbst aussuchen. ( Anzeigename Email-Adresse )
Meist kann man sich die echte Mailadresse anzeigen lassen in dem man mit dem Mauszeiger auf diesem Namen “hovert”
Ob das bei einem Web-Client funzt weiß ich nicht (noch nie benutzt)

Es gar nicht so unwahrscheinlich dass die echte Mailadresse in etwa so aussieht 8hxvxvbb1j23hj11233kjkh999888ddj@rusbotfarm.ru

1 Like

Da ist 2FA für den Haupt-Mailaccount auch unbedingt zu empfehlen. (wenn nicht hier, wo dann ?)

1 Like

Hallo,

ja, so ähnlich war die Mail! Ich wurde gleich stutzig bei der vermeintlichen Kamera. Ich habe nämlich gar keine Webcam. Gut am Klapprechner schon, aber der war schon lange nicht mehr aktiv. Also unmöglich das solch ein Video von mir existent sein soll. Deswegen bin ich da recht unbesorgt. Aber wie kommt der dann an mein Passwort meines E-Mail-Konto?
Hat er es überhaupt gehabt, oder hat er nicht einfach eine E-Mail unter meinem Account an mich gesendet? So eine Art Spoofing, wie das bei Telefonnummern ja auch möglich? Und letztlich sind da beim Provider ein paar Daten abgegriffen worden, was der eher nicht zugibt.
Ich jedenfalls brauche keine Pornos und im Darknet war ich noch nie.
Also soweit bin ich schon, das mir klar ist,dass man mir da Angst machen will, in der Hoffnung, dass ich BItcoins generiere. Genau deshalb hab ich das ja unterlassen! Das Passwort ist jedenfalls geändert und wenn sich das Tool nicht gerade auf meinem System befindet, dann sollte das VPN es verunmöglichen von außen Zugriff auf meinen Rechner zu erlangen, es sei denn ich lasse einen Remote Zugriff zu.
VERbleiben die Anomalien. Für die ich keine Erklärung habe.

Die Mail des Hacker war übrigens irgendwie geskriptet. Die druckte ich über das Webportal des E-Mail-Provider in eine pdf-Datei und speicherte sie ab. Als ich sie jedoch öffnete, zeigte sich, das sie nahezu unleserlich war. Es waren Buchstaben eingefügt, wo zuvor keine waren. Lesen kann man es dennoch, wenn man mit Verstand die zugefügten Buchstaben überliest. Der Originalzustand der Mail existiert nun nur noch im Archiv des E-Mail-Provider,wohin ich sie verschoben habe!

EOZ

1 Like

Hallo wavemop,

Nee genau gecheckt hab ich das nicht, woher die Mail kam, ich hab beim Mail-Provider mal in die Quelldaten reingesehen, konnte damit aber nur wenig anfangen.

EOZ

Ja.

(übersetzt mit Deepl)

Ich habe im Laufe der Jahre einige dieser E-Mails erhalten, in denen behauptet wurde, dass sie die Kamera meines Computers benutzt hätten, um mich bei etwas Peinlichem zu filmen.

Mein Computer hat keine Kamera.

Beachten Sie, dass ich die peinliche Handlung nicht bestreite. :blush:

1 Like

Nein, sorry, der Satz stimmt leider nicht.
Einer Malware auf deinem Endgerät ist komplett wurscht ob du VPN-Tunnel verwendest und kann zu 99% raustelefonieren.

Hast du unsere Antworten oben gelesen ?

1 Like

Hi mbod,

SEh ich auch so. 2FA hab ich bei der Passwortänderung gleich beim Mail-Provider angefragt, gibt es aber nicht für das E-Mail-Konto, sondern nur für das Kundenkonto (ionos).
Da wären dann wohl zuviel SMS zu versenden.Stattdessen werden meine Mails jetzt erstmal VIren geprüft. Wobei ich das vmtl. wieder abbestellen werde(mntl. kündbar), weil wenn man so wie ich nicht wild in der Mail herumklickt, dann kommt da auch nichts zur Ausführung. Außerdem hole ich mir keine Mails per imap oder so auf den Rechner ich gehe immer über das Webportal des Provider. Mag etwas umständlich sein, aber deutlich sicherer! Wenn , dann drucke ich etwas in ein pdf und das speichere ich bei mir ab.

Gute Nacht EOZ

Hast du recht! bzw mich mißverstanden. Eben das meine ich doch , wenn der Schädling auf meinem System, dann nützt das VPN rein gar nichts! Im Gegenteil, es wiegt mich dann nur in falscher Sicherheit, während die Malware womöglich die Login-Daten des VPN ungehindert versendet.

OK. ICh hoffe wir finden einen Weg die Anomalien los zu werden!
Und wenn da im cairo-Tool gerade was nicht passt, dann könnte das freilich auch eine Erklärung für meine PRobleme sein.
Wäre jedenfalls wünschenswert, so sich das alles lediglich als eine Verkettung ungünstiger Umstände erweist. Ich schwöre eben Stein und Bein auf unser eos. Aber hin und wieder, wenn auch äußerst selten schleicht sich auch mal eine UNgereimtheit ein. Man ist das halt so gar nicht gewohnt, weil es in 99,9% immer gut läuft.

Sorry ich muss jetzt vom Rechner weg, habe morgen einen wichtigen Tag.

Danke Euch.

EOZ

EOZ

Vorweg, ich wollte mich nicht über dich lustig machen, aber

… Paranoia habe ich dir tatsächlich vorgeworfen. In der Hoffnung dich etwas wachzurütteln und wieder in die Realität zurückzuholen. Paranoia scheint ja leider ansteckend zu sein, deswegen noch einmal in der Hoffnung das dich dies beruhigt:

Du bestätigst doch jetzt selbst, dass sich dein vermuteter “Trojaner” nicht “per E-Mail-Hack” auf dein System schleichen konnte. →

Also, was soll das immer mit diesem “Trojaner”?
==> Du kannst im Moment einfach keine pdf ausdrucken; dazu mehr weiter unten.

Es gibt eine Menge Sachen die du untersuchen könntest. Es wird dir nur in mehrfacher Hinsicht nichts bringen.
Erstens, du hast keinen Trojaner (!!!),
zweitens werden einge der unten genannten Befehle dir rein gar nichts sagen, da du dich nachweislich weder mit deinem System im speziellen, noch mit der Funktionalität eines Rechners, des Internets, …, genug auskennst(*) und
drittens, solltest du tatsächlich kompomitiert sein, kannst du den Ausgaben deines Systems einfach nicht trauen.

Ein echtes Dilemma; du traust jetzt einfach auf die Erfahrung anderer oder du gibst dich weiter der Paranoia hin. Dann wäre deine einzige Lösungallerdings: Rechner komplett verschrotten und neu kaufen. Neuinstallation hilft dir ja evtl. nicht weiter; wegen “SSD-bzw. Festplatten-Controllern”-Trojanern (siehe dein 1tes Post). Dein “Problem” wird dir jetzt hoffentlich klar.
Auch hier möchte ich mich ausdrücklich davon distanzieren, dies als Beleidigung oder Belustigung aufzufassen. Dies ist einfach ein Faktum, dass du mit deinen Behauptungen immer wieder aufs neue stützt.

*Nochmals, nicht als Beleidigung gemeint. EndeavourOS macht Arch eben weiten Kreisen zugänglich; als normaler Desktop-Nutzer brauchst du dich ja auch überhaupt nicht so auszukennen → und dies ist auch gut so!


Vielleicht hilft es dir ja dich zu beruhigen, daher hier einige Sachen, die du überprüfen/unternehmen könntest:

  1. Aktualisiere regelmäßig dein System und die installierten Pakete, um sicherzustellen, dass du die neuesten Sicherheitsupdates hast.
    yay

  2. Suche nach rootkits. Halte ich zwar für Zeitverschwendung, aber hier sind einige Tools, z. B.:
    A.
    yay chkrootkit
    sudo chkrootkit
    B.
    sudo pacman -S rkhunter
    sudo rkhunter -c -sk
    C.
    sudo pacman -S unhide
    sudo unhide --hidden -r

  3. Achte auf unbekannte oder verdächtige Prozesse. Z. B. mit
    ps aux

  4. Verwende Tools wie netstat, ss oder iftop, um nach ungewöhnlichen Netzwerkverbindungen zu suchen
    sudo netstat -tulnp
    sudo ss -tulnp

  5. Überprüfe auf ungewöhnliche Startdienste (die du nicht erkennst):
    systemctl list-units --type=service

  6. Überprüfe Systemprotokolle (z. B. in /var/log/) auf ungewöhnliche Aktivitäten. Auch …
    sudo dmesg | less

  7. Überprüfe installierte Pakete auf verdächtige Elemente oder solche, die du nicht installiert hast.
    pacman -Qe # Liste der explizit installierten Pakete

  8. Suche nach ungewöhnlichen Dateien in gängigen Verzeichnissen wie /tmp, /var/tmp, deinem Home-Verzeichnis, etc. Z. B.:
    sudo find / -type f -mtime -5 # Finde Dateien die in den letzten 5 Tagen modifiziert wurden

  9. Obwohl Linux im Allgemeinen weniger von Malware angegriffen wird, kannst du dennoch Antiviren-Tools wie ClamAV verwenden, um nach bekannten Bedrohungen zu scannen. Diese betreffen dann aber i. d. R. deine Windows-Systeme und nicht Linux.
    sudo pacman -S clamav
    sudo freshclam
    sudo clamscan -r /


Das ist das Wesen eines “Rolling Release”. “Anomalien”, wie du sie bezeichnest, werden immer mal wieder auftreten. Du musst da eben sehr viel lockerer werden und nicht sofort “WOLF” oder “FEUER” schreien. Andere unbedarfte könnten dann auch auf die Idee kommen, sie hätten sich “Trojaner” eingefangen, obwohl dies nahezu ausgeschlossen ist.
Ich möchte mich, wie in den vergangenen fünf Jahren meiner Forenmitgliedschaft, zukünftig auf echte Probleme (anderer oder meiner) konzentrieren, deshalb dieser, von mir eher ungewohnte, ausschweifender Rant.


Nun zu deinem PDF-Druck Problem.

  • Welche Art pdf? Selbstertsellte, heruntergeladene?
  • Welche pdf-Software benutzt du zum öffnen und drucken? Hast du die pdf schonmal im Browser (Chromium, Firefox, …) geöffnet und zu drucken versucht?
  • Kannst du andere Dateien, mit anderen Anwendungen problemlos drucken?
  • Wie ist dein Drucker angebunden (LAN, WiFi, USB)?

Überprüfe deinen Druckerstatus z. B. mit
lpstat -p -d

2 Likes

Hi Wiki Contributor,

ok, das mit der Paranoia seh ich dir nach. Ich war wie gesagt verunsichert.
Danke für die diversen Prüfbefehle. So fühlt man sich nicht ganz so ausgeliefert.
Die Angst der Trojaner befände sich auf meinem System hat sich gelegt.
Tatsächlich denke ich auch, dass es recht unwahrscheinlich ist, sondern lediglich eine angstschürende Behauptung des Hacker. Nichtsdestotrotz ist es ein psychologisch geschickt eingefädelter Angriff!
Und das ich noch dazu lernen muss, weiß ich nur allzu gut! Aber, das ist angesicht des Umfang von Linux nicht gerade einfach. Im Grunde findet das lernen stets dann statt, wenn ich versuche etwas bestimmtes zu erreichen . Und so ist auch dieser Angriff lehrreich!
Mein System ist stets Up to Date! Alsbald mir Updates gemeldet werden, spiel ich sie ein.
Nur momentan ist da wohl auch etwas im Argen:

Fehler: Vorgang konnte nicht vorbereitet werden (Kann Abhängigkeiten nicht erfüllen)
:: Installation von pacman (7.0.0.r3.g7736133-1) verletzt Abhängigkeit »libalpm.so=14«, benötigt von libpamac-aur
:: Installation von pacman (7.0.0.r3.g7736133-1) verletzt Abhängigkeit »pacman<6.2«, benötigt von libpamac-aur
 -> Die Installationsschicht ist fehlgeschlagen, es wird zur nächsten Schicht übergegangen.error:error installing repo packages
:: Paketdatenbanken werden synchronisiert …
 endeavouros ist aktuell
 core ist aktuell
 extra ist aktuell
 community ist aktuell
 multilib ist aktuell
:: Vollständige Systemaktualisierung wird gestartet …
Abhängigkeiten werden aufgelöst …
Nach in Konflikt stehenden Paketen wird gesucht …
Fehler: Vorgang konnte nicht vorbereitet werden (Kann Abhängigkeiten nicht erfüllen)
:: Installation von pacman (7.0.0.r3.g7736133-1) verletzt Abhängigkeit »libalpm.so=14«, benötigt von libpamac-aur
:: Installation von pacman (7.0.0.r3.g7736133-1) verletzt Abhängigkeit »pacman<6.2«, benötigt von libpamac-aur
 -> error installing repo packages
error installing repo packages
error installing repo packages

Vermute das geht nicht nur mir so, und an einer Lösung wird bereits gewerkelt!?

Der Drucker ist über USB angeschlossen und funktioniert wieder einigermaßen. Mit den pdf habe ich noch immer Schwierigkeiten.Normalerweise hab ich den Atril- Dokumentenbetrachter verwendet, aber mit dem Evince funktioniert es wohl besser!

Also nix für ungut!
Ich bin auch noch ein pflegender Angehöriger und schlage mich die letzten Tage durch den Dschungel unseres Gesundheitswesen. Daher hab ich kaum Zeit mich mit der Hacking-Sache zu beschäftigen, bin aber gerade deshalb auf ein funktionierendes System angewiesen.
Immerhin startet mein VPN mittlerweile mit XFCE zusammen, so, dass ich quasi von Anbeginn geschützt bin. Und mich nicht jedesmal erst einloggen muss.
Muss aber alles gerade so nebenher laufen. BIn schlicht overloaded!

Soweit danke EOZ

DEn BEitrag lasse ich erst mal noch offen.