hacker/cracker tatt på fersken på maskinen min

[argasteDJ]

vel... når jeg ser dere skriver at dere har blitt hacket, så kan jeg si med engang!... kanskje 1 av 500 er faktiske angrep.. resten er fordi du ikke har nok kunskap om hvordan en brannmur skal konfigureres. mange av disse portene har jo ikke noe med hackere å gjøre i det heletatt.. en annen "trigger" er spamware! kjør ad-aware ol. og du vil helt sikkert finne mange, mange kjørende programmer som prover å koble seg til eksterene servere rundt i verden.

 

brannmuren vil jo selfølgelig gi deg sikkerhet, men en vil feillogge i vildensky. feillogge er kanskje feil ord, da til koblingene faktisk skjer, men det utgjør som oftes ingen sikkerhetes risk. i våres brannmur er det typisk 1-2 hacker angrep i uken, men det er ofte bare portscan. kjører du kazaa ol. med mange nedlast/opplast samtidig vil du få ip spoofing/flooding i loggen, men som nevnt,, ikke farlig.

 

kjører du en oppdatert brannmur er du ganske sikker, så lenge du ikke åpner porter som du ikke vet hva er!!!

 

 

mvh,

Thomas Sannes

System Admin,

Media Networks

[llehsirK]

Ueland; ikke skriv mer før du får tatt screenshot! (3000 poster)

Kan du fortelle meg hva som er så jævelig viktig med screenshot av det?

Måtte du poste et innlegg? Du kunne sendt en pm.

http://forum.hardware.no/viewtopic.php?top...157488&forum=60

Er vell syting som kommer fra meg nå men ber om at man kan slippe sånne poster i fremtiden.

[Ueland]

Det som plager meg er at jeg koder hver eneste dag og når noe har sendt data ut til 5 ip`er fast så blir jeg ikke helt "glad". Liker liksom å ha tingene mine i fred

[argasteDJ]

da kan jeg annbefalle "clarkconnect" det er en linux basert brannmur,.. med super lett grensesnitt via nettlesern din.

 

så om du har en gammel maskin liggende + ett ekstra nettverkskort..

så vil jeg helt klart annbefalle det ; http://www.clarkconnect.com

 

 

mvh

Thomas S

[[0x]]

omtrent alle moderne trojanere dreper software branmurer, skaff deg en hardware branmur istedet Var jeg deg ville jeg tat en tit under

 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

 

i registeret for og se etter mystiske filer.

 

De fleste hex editer trojaner serveren slik at antivirus ikke skall oppdage faenskapet, aldri stol på antivirus!!

[sofTest]

Når det gjelder ISP'ens ansvar, så går det vel så mye på å forhindere/stoppe uønsket oppførsel i nettet som å beskytte den enkelte kunde. Det er det jeg har skrevet i mine tidligere poster. I Odelstingsproposisjonen til lovens § 2-5 kan man lese: "En kunde som bruker nett eller tjenester på en måte som vil kunne pådra tilbyder medvirkeransvar av strafferettslig eller erstatningsrettslig karakter vil eksempelvis også kunne karakteriseres som mislighold. En av forutsetningene for at tilbyder ikke skal pådra seg ansvar i slike tilfeller vil gjerne være at tilbyder handler raskt for å stoppe den aktiviteten som kan føre til medvirkeransvar. "

Men hva er dette da? Slik jeg ser det er om en bruker skaffer seg tilgang til servere, rutere, e.l. og saboterer/legger hele core-nettet i grus.

Kan ikke se et eneste sted at loven er begrenset til dette. Hadde slike begrensninger eksistert, så hadde det vært uttrykt.

 

Det eneste det du quotet sier, er at ISP ikke er ansvarlig for informasjonen (information transmitted) som er transportert i nettet. Det betyr ikke at ISP ikke er ansvarlig for annet bruk av nettet. Forøvrig så leser jeg av høringsutkastet, at all gjeldende EU-rett på området er innarbeidet i loven.

Men er ikke all trafikk til/fra kunde i ISPnettet informasjon da?

Meningen er nok overføring av email, filer, webinformasjon osv. All trafikk er ikke bare informasjon. F.eks. så er ISP beskyttet mot ansvar for en kundes nedlasting av piratkopiert programvare, men ikke mot et ansvar for en kundes innbrudd i et system hvis han med rimlighet kan forhindre dette. Ref. også punktet om ansvar over.

 

En annen ting er hva skal ISP foreta seg når de får en slik forespørsel? For det første kan de ikke logge all trafikk alle kunder foretar seg av praktiske årsåker. Men dersom de skal begynne å overvåke trafikken vil ikke da §2-9 tre inn? "Opplysningene kan heller ikke nyttes i egen virksomhet eller i tjeneste eller arbeid for andre, med unntak av statistiske opplysninger om nettrafikk som er anonymisert og ikke gir informasjon om innretninger eller tekniske løsninger."

Nødvendig sikkerhet i nettet er ikke omfattet av "egen virksomhet". Dette er ganske standard, man kan ikke bruke innsamlede opplysninger til annet enn de de er innsamlet for. Denne paragrafs 3. ledd sier at en ISP må utlevere kundeopplysninger, hvis politiet krever dette. For at de skal kunne gjøre dette, kan de oppbevare logger som kan identifisere kunde. Når det er sagt, så har ikke ISP'ene plikt til å logge, men de kan. Hvis du leser diskusjonen i denne delen av odelstingsproposjonen, så ser du at en vurdering av plikt til å logge er en del av Datakrimutvalgets arbeid. Det er dog en mulighet til innføring foreskrift til denne lov om det skulle vise seg at at ISP'ene rutinemessig sletter logger slik at f.eks. Politiets arbeid umuliggjøres.

 

Var litt mer matnyttig informasjon der men det endrer ikke min oppfattning av loven. Jeg tolker det slik at f.eks. Kvalito som mistet mailserveren(e?) må informere sine kunder om dette slik at de kan endre passord. Dette er noe som kan falle under "Videre oppstilles det i første ledd en informasjonsplikt for tilbyder i de tilfeller der det er særlig risiko for brudd på sikkerheten."

Det er en liten del av loven, og det er vel ikke bare passordene til Kvalito's servere som er i fare. Det kan også være at andre opplysninger kan være i fare, som kredittkort, kontonummer osv. Egentlig alt av personlige opplysninger som er lagret på de stjålne maskinene. Og informasjonen om dette skal oversendes til hver person individuelt.

 

Men vi kan godt være enige om å være uenige. Alltid interessant å få innblikk i andres synspunkter, og en god diskusjon om et emne virker også som en oppfriskning på egne kunnskaper.

[xeon]

Vel her er et lite snippit av apache loggen min (nei jeg kjører ikke windows)

 

213.118.171.109 - - [12/Oct/2003:20:17:48 +0200] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 277

213.118.171.109 - - [12/Oct/2003:20:17:51 +0200] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 275

213.118.171.109 - - [12/Oct/2003:20:17:54 +0200] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 285

213.118.171.109 - - [12/Oct/2003:20:17:57 +0200] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 285

213.118.171.109 - - [12/Oct/2003:20:18:01 +0200] "GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299

213.118.171.109 - - [12/Oct/2003:20:18:04 +0200] "GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316

213.118.171.109 - - [12/Oct/2003:20:18:05 +0200] "GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 316

213.118.171.109 - - [12/Oct/2003:20:18:05 +0200] "GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 332

213.118.171.109 - - [12/Oct/2003:20:18:06 +0200] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

213.118.171.109 - - [12/Oct/2003:20:18:09 +0200] "GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

213.118.171.109 - - [12/Oct/2003:20:18:10 +0200] "GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

213.118.171.109 - - [12/Oct/2003:20:18:15 +0200] "GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 298

213.118.171.109 - - [12/Oct/2003:20:18:19 +0200] "GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 282

213.118.171.109 - - [12/Oct/2003:20:18:20 +0200] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 282

213.118.171.109 - - [12/Oct/2003:20:18:21 +0200] "GET /scripts/..%25%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299

213.118.171.109 - - [12/Oct/2003:20:18:23 +0200] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 299

213.115.16.72 - - [12/Oct/2003:20:20:11 +0200] "GET / HTTP/1.1" 200 3705

 

Dette vil jeg tørre å påstå er et forsøk på angrep.. (antageligvis av en n00b som ikke har noe bedre å finne på)

[bLoOdFiSh]

det kjem stadig vekk på brannmuren min atd er har vert ein port scan osv, er det virkelig noen folk som scanner då?

det skjer kanksje ein gang i veka.

 

 

mvh bLoOdFiSh

[Xvani]

humm. Er ingen vits & rapportere... Bruker sikkert en shell IP, dvs at det ikke er hans egen. Husker ikke hvor det var, men om det ikke er shell IP er det til en nettkafe, og da er det oxo h&pl0st...

 

men seri0st da..... Her var det mye useri0se og teite innlegg. Hold forumet rent, hold dere til tr&den. Hacking og cracking h0rer til en annen tr&d, og det er altfor mange av dem. Bruk de isteden!

[Torbjørn]

hm.. hvorfor så jeg ikke denne tråden før..

 

nåja, Ueland, hvordan vet du at data er flyttet ut fra din pc?

 

en connection i netstat -n trenger ikke bety at de faktisk kommer inn. Og hvordan fikk du vite at en keylogger var oppe å kjøre?

 

et par rare ip'er i netstat betyr nada.

 

Uansett, hvis først tusen og ett er ute, er en reinstall det eneste som hjelper.

 

Når det gjelder annet, så er det vanskelig å si hva som er reelle angrep og ikke. I langt langt de fleste tilfellene er det bare bakgrunnsstøy (maskiner infisert av gamle virus som står og spyr ut eter og galle), f.eks Code Red, MS-SQL ormer, etc..

 

Når det gjelder mail varsling til ansvarlig isp, så sjekker jeg alltid hvis det er noe annet enn den vanlige smørja i apachelogen, f.eks forsøk på port 6000, jeg får ofte svenske og andre norske (et par hver natt hvis jeg sitter oppe) inn der, og sender da abuse mail, som regel med svar tilbake eller med det resultat at forsøk fra den ipen opphører. top: [email protected] vil i 99% av tilfellene komme rett.

[Samcki]

Hadde selv samme problem.... huff ille, de klarte å komme gjennom brannmuren (Routeren) og så forbi Zonealarm og avslutta den.. men heldigvis så var jeg rask nok til å slå den på igjenn etter 4-5sek og da snoka de rundt i registret mitt (Skummelt)

Og dumme lille meg i all frustrasjon heiv de ut og glemte å logge ip`n demmers :oops: ¨

(sjekker logger om jeg finner de)

 

Ble litt skremt

[jevel]

vel... når jeg ser dere skriver at dere har blitt hacket, så kan jeg si med engang!... kanskje 1 av 500 er faktiske angrep.. resten er fordi du ikke har nok kunskap om hvordan en brannmur skal konfigureres. mange av disse portene har jo ikke noe med hackere å gjøre i det heletatt.. en annen "trigger" er spamware! kjør ad-aware ol. og du vil helt sikkert finne mange, mange kjørende programmer som prover å koble seg til eksterene servere rundt i verden.

 

brannmuren vil jo selfølgelig gi deg sikkerhet, men en vil feillogge i vildensky. feillogge er kanskje feil ord, da til koblingene faktisk skjer, men det utgjør som oftes ingen sikkerhetes risk. i våres brannmur er det typisk 1-2 hacker angrep i uken, men det er ofte bare portscan. kjører du kazaa ol. med mange nedlast/opplast samtidig vil du få ip spoofing/flooding i loggen, men som nevnt,, ikke farlig.

 

kjører du en oppdatert brannmur er du ganske sikker, så lenge du ikke åpner porter som du ikke vet hva er!!!

 

 

mvh,

Thomas Sannes

System Admin,

Media Networks

________________

OS Name:Windows® Server 2003

Version: 5.2.3790 build 3790

System Manufacturer: COMPAQ

System Model: PROLIANT 6000Rack

System Processors: Pentium Xeon

Total Physical Memory: 3072 MB

Total Disk Space: 404 GB (7 disks)

 

Beklager, men jeg klarer bare ikke å la være å kommentere denne...

 

Dette er for det første ren svada! All data som du lar passere ut fra din PC er en potensiell sikkerhetsrisiko. ALL adware og spyware er sikkerhetsrisiko på lik linje med en fjortiscracker. Å kalle seg sysadmin og påstå noe annet er veldig lite seriøst.

 

Det å i tillegg skryte av en nisseserver i siggen, det tar bare kaka.

 

Til den som starta tråden så må jeg si at det å installere en sw firewall var en god idè, men det eneste som hjelper er å fysisk koble maskina fra internett, for så å saumfare systemet for "bakveier". Jeg er ikke så rutinert i W32 cracking, men regner med at det finnes verktøy for å sjekke for "rootkits" også i disse systemene.

 

Da lønner det seg å laste ned et slikt verktøysett på en annen maskin, for så å brenne dette over på en CD og kjøre en full sjekk på den gjeldende maskinen. Jeg vet at den opprinnelige posten er litt gammel, men dette rådet gjelder for en evt. fremtidig hendelse også!

 

Lykke til.

 

-KJ

[Jannis-15]

Jeg må få si det, hvem i all verden med respekt for seg selv kjører Zonealarm... Det er så sinnsykt mange bugs i den.. Har du ett problem angående nettverket, fildeling etc så er det 99% mulighet for at det eer zonealarm som fucker det opp..

 

Programmeren for dc++ skrev no sånt:

 

What about ZoneAlarm?

Forget it. ZoneAlarm is a known issue with DC++, it causes corrupted downloads/uploads, this is directly linked with the 'Rollback Consistency' error message.

You need to completely uninstall it, just disabling it will not help, and then get another firewall, such as Tiny personal firewall.

 

 

Og dem er ikke så veldig flink til å gjøre no særlig med bug`sa i ZA

hmm.. jeg har da ikke merket noen problemer med DC++ enda i allefall. kanskje bug'ene er blitt rettett opp i nyere versjoner an zonealarm?

[Gr3MliN]

Mange av dere bør faktisk være glade man har crackere. Noen av dem sender faktisk inn bugreports. Så hullet blir kan tettet. Jo flere scripkiddies som bruker hullet, jo større sjanse er det for at det blir fikset etterhvert. Uten at unger hadde forsøkt, og lært av slike hull, hadde vi sikkert hatt et fåtall personer utdannet i ineternett-sikkerthet som i praksis kunne eid internett.