Frage von Xman84, 28

Kann man herausfinden, ob zu Hause der Linux-pc intern überwacht wird?

Hallo,

mich interessiert wie ich herausfinden kann ob ein PVC mit Linux intern, also im Netzwerk von irgendjemandem überwacht o.ä. wird. Hab gelesen dass es windows "windows defender" gibt, aber was kann ich beim Linux-System machen um das herauszufinden?

Danke schon mal. :)

Hilfreichste Antwort - ausgezeichnet vom Fragesteller
von Linuxhase, Community-Experte für PC, 4

Hallo

Kann man herausfinden, ob zu Hause der Linux-pc intern überwacht wird?

Zunächst solltest Du wissen das es für eine solche "Überwachung" entsprechende Vektoren geben muss.

Wer sollte denn Deinen heimischen Computer überwachen und wozu?

Programme zum überprüfen was geöffnet ist gibt es haufenweise:

  • iftop oder wireshark kann Dir helfen Zugriffe über LAN/WLAN zu sehen.
  • Die Logdateien geben die Möglichkeit nachzusehen wer wann worüber eingeloggt war und oft auch was getan wurde.
  • Auch die history könnte darüber Aufschluss geben
  • nicht zuletzt auch ps um zu sehen welche Tasks und Programme laufen

Bei mir kommt keiner rein so schnell rein, ich sitze hinter zwei realen Routern und einem extra Computer der die Firewall (pfsense) und abermals einen Router (virtuell) beherbergt

Linuxhase

Kommentar von Xman84 ,

Wer guckt is ja unwichtig... Will aber gerne wissen wie man sehen kann ob jemand guckt, daher die Frage. Dein Name sagt mir dass du das weißt.^^ Zufällig nen paar Screenshot um auch zu verstehen wie dan030 das genau meint? Bin ja Laie ....

Kommentar von Linuxhase ,

@Xman84

Wer guckt is ja unwichtig

Das klingt jetzt aber eher so als wenn Du schon einen Verdacht hättest (Mitbewohner, Eltern, kleiner Bruder ect.)

Soziale Probleme kann man aber nicht mit dem Computer lösen.

Will aber gerne wissen wie man sehen kann ob jemand guckt

Wenn es darum geht genau in diesem Augenblick nachzusehen ob noch jemand eingeloggt ist, dann geht das schlicht mit:

w

im Programm Terminal.¹

Mit dem zuvor schon genannten:

ps ax

kannst Du sehen welche Prozesse und Tasks gerade laufen. Daraus aber einen Eindringling auszumachen ist nur dann möglich wenn Du jeden der laufenden Prozesse kennst und zuordnen kannst.

Geht es darum nachträglich zu sehen ob und wann jemand in Deinem System gewesen ist, dann geht das nur über die verschiedenen Protokolle (Logfiles). So kannst Du beispielsweise mit:

last

(welches die wtmp ausliest) nachsehen welcher Benutzer wann zuletzt eingeloggt war. Oder Du schaust Dir die history deines Benutzers und von root an ob darin Kommandos auftauchen die Du definitiv nicht genutzt hast, schon gar nicht zu der Zeit

history

Ansonsten mal mit grep durch die Logfiles gehen.

Das betraf bislang nur direkte Zugriffe an Deinem PC und solche die über ssh erfolgen/erfolgten. Dazu kämen dann noch solche die über dass Netzwerk aber mit anderen Protokollen stattgefunden haben, da wäre dann das zuvor genannte iftop (oder auch wireshark) das geeignete Werkzeug.  Z.B.:

iftop -i eth0

eth0 durch Deine Schnittstelle ersetzen.

Dann kannst Du natürlich grundsätzlich mal nachsehen welche Ports auf Deinem PC überhaupt offen sind:

nmap -sS 192.168.1.1

dabei natürlich Deine eigene IP einsetzen

Linuxhase

-------------------------------------------------------------------------------------

  • ¹ Genau genommen ist es nur eine Terminal-Emulation die Zugriff auf die voreingestellte Shell gibt.
Antwort
von dan030, 13

Naja, Du kannst als erstes Mal in der Prozesstabelle nachsehen, was überhaupt auf Deiner Kiste so läuft ("ps aux"). Dann kannst Du schauen, was für Netzwerkverbindungen auf der Kiste aktiv sind ("netstat -an"). Damit bekommst Du schon mal einen groben Überblick darüber, ob auf Deiner Maschine direkt etwas installierst ist, was mitschnüffeln könnte. Plumpe Abhörversuche sollte man so finden könnten, ausgefeilte Rootkit-Angriffe jedoch nicht (weil die nämlich Tools wie "ps" und "netstat" manipulieren).

Ausschluss von Abhöraktionen im Netz sind nicht ganz trivial, hier hilft eher mal logisches Nachdenken: wie ist die Kiste mit dem Router verbunden? Geht das durch ein kabelgebundenes oder ein drahtloses Netz? Falls kabelgebunden: sind da Switches oder Router zwischen, die man so konfigurieren kann, dass sie durchlaufenden Traffic auf einem Port ableiten kann? Und hängt dann da was dran, was möglicherweise Netzwerktraffic mitliest?

Die Wahrscheinlichkeit, dass EDV-unkundige Leute in einem geswitchten LAN mitschnüffeln, ist relativ gering. Weil heutzutage meistens Switches und keine alten Hubs verbaut werden. (Alte Hubs haben das Signal wirklich auf alle Ports gegeben, da konnte man sehr leicht mitlesen.)

Wenn Du allerdings einen EDV-Experten im lokalen Netz sitzen hast, dann wird der möglicherweise Wege finden, sich in eine Verbindung einzuklinken. Und das kannst Du ohne tiefergehendes know-know dann auch nicht so schnell rausfinden.

Kommentar von Xman84 ,

Wo müssen diese Kürzel eingegeben werden. Hast du vielleicht ein screenshot oder weißt du eine Seite mit Anleitung für Laien?

Danke schon mal.:)

Kommentar von dan030 ,

Die gennanten Kommandos kannst Du auf der Shell ausführen. Du musst dafür ein Terminalfenster öffnen und kannst das dann eingeben. Es kommen dann entsprechend Ausgabedaten (z. B. die Prozesstabelle bei "ps" oder die Liste der aktiven Netzwerkverbindungen und -sockets bei "netstat"). Den Output interpretieren musst Du allerdings selbst.

Sorry, ohne gewisse Grundkenntnisse wirst Du da vermutlich nicht weiterkommen. Und ein schnelles 10-Minuten-Tutorial, womöglich auch noch mit Screenshots oder als Video, ist mir da gerade nicht bekannt.

Kommentar von Xman84 ,

Okay trotzdem danke.

Keine passende Antwort gefunden?

Fragen Sie die Community