Gå til innhold
Trenger du hjelp med internett og nettverk? Still spørsmål her ×

Er jeg HACKET?

DrDoogie

Av DrDoogie
i Internett og nettverk

Anbefalte innlegg

DrDoogie

DrDoogie

Skrevet
Skrevet (endret)

Dette er da rapporten fra snort (to alarmer, hvor 10.0.0.2 er selve software-brannmuren min):

 

Sources triggering this attack signature
Source	# Alerts (sig)	# Alerts (total)	# Dsts (sig)	# Dsts (total)	
10.0.0.2	2	222	1	2	
Destinations receiving this attack signature
Destinations	# Alerts (sig)	# Alerts (total)	# Srcs (sig)	# Srcs (total)	
63.211.210.225	2	2	1	1

 

Og ifra snort.org har vi (forkortet):

SID  1882  
Message  ATTACK-RESPONSES id check returned userid  
Signature  alert ip $HOME_NET any -> $EXTERNAL_NET any (msg:"ATTACK-RESPONSES id check returned userid"; content:"uid="; byte_test:5,<,65537,0,relative,string; content:" gid="; distance:0; within:15; byte_test:5,<,65537,0,relative,string; classtype:bad-unknown; sid:1882; rev:9;)  
Summary  This event is generated by the use of a UNIX "id" command. This may be indicative of post-compromise behavior where the attacker is checking for super user privileges gained by a sucessful exploit against a vulnerable system.

Impact  Serious. An attacker may have gained user access to the system.

Source: Snort.org

 

Så, hvor bekymret skal jeg trenge å være?

 

EDIT: Fikset linken.

EDIT 2: 'banna link som stod i en 'code' block og var vanskelig.

Endret av DrDoogie
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
MrLeftfield

MrLeftfield

Skrevet
Skrevet
Sjekk om det ligger trojaner på systemet ditt, og prøv en annen firewall.

Jeg spør igjen:

 

Hvor bekymret trenger jeg å være?

 

Legg merke til at jeg ikke spør: "Er Macintosh bedre enn fisk?"

frekk i kjeften du var a.....

 

 

Ja du burde være bekymret....nokså mye. som fyren sa, sjekk for f***ns trojanere...

Lenke til kommentar
DrDoogie

DrDoogie

Skrevet
  • Forfatter
Skrevet (endret)
Ja du burde være bekymret....nokså mye. som fyren sa, sjekk for f***ns trojanere...

Å "sjekke for trojanere" er lite aktuelt fra min side, all den tid jeg ikke har kompetanse til å kunne garantere at jeg klarer å detektere mulige trojanere.

 

Men hvis dere to (hvis alder er meg uvist) har kompetanse til dette, kunne dere jo kanskje fortalt litt om det?

 

For slik svarene deres står nå, kan jeg ikke bruke dem til noe særlig.

 

EDIT:

Kanskje jeg ikke har sagt tydelig nok fra om at dette dreier seg om en ClarkConnect-boks. Det er i tilfelle min feil.

Endret av DrDoogie
Lenke til kommentar
Lch

Lch

Skrevet
Skrevet (endret)

Jøss, har du uvenner i Seattle? Jeg tror jeg ville gått opp et Defcon-hakk for å si det slik. :)

 

Jeg stiller dessverre ikke særlig sterkt på hvordan-fikse-siden, men det er noe fra snort.org som er interessant :

Attack Scenarios
A buffer overflow exploit against an FTP server results in "/bin/sh" being executed. An automated script performing an attack, checks for the success of the exploit via an "id" command.

Ease of Attack 
Simple. This may be post-attack behavior and can be indicative of the successful exploitation of a vulnerable system.

False Positives
This rule will generate an event if a legitimate system administrator executes the "id" command over an unencrypted connection to verify the privilege level available to him.

 

Hvordan er sjansen for at det er en falsk positiv? Og finner du andre oppføringer fra samme kilde?

 

Spirograf: Hvis du ikke har noe å bidra med, ei heller lyst til å bidra, kan du like gjerne la være å svare.

Endret av LarsC
Lenke til kommentar
DrDoogie

DrDoogie

Skrevet
  • Forfatter
Skrevet (endret)
Skal du ha hjelp så bør du legge av deg noen hakk med spydighet og arroganse

La oss anta at jeg gjorde det i min siste post.

 

Hva har du da å bidra med?

 

EDIT:

 

Fikset linken til snort-signaturen, fra der står det ang. "Falske Positiv":

False Positives:

This rule will generate an event if a legitimate system administrator executes the "id" command over an unencrypted connection to verify the privilege level available to him.

 

Noe som ved første øyekast ikke ser ut til å være tilfelle. Altså at jeg vil ikke tro det er et falskt positiv.

Fra log-filene på boksen (10.0.0.2) har vi:

[**] ATTACK-RESPONSES id check returned userid [**]
01/22-00:37:13.676551 10.0.0.2:4055 -> 63.211.210.225:80
TCP TTL:64 TOS:0x0 ID:46309 IpLen:20 DgmLen:486 DF
***AP*** Seq: 0xBE002358  Ack: 0x92EC5C92  Win: 0x16D0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 37525454 0
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

 

Og (to alarmer, to filer):

[**] ATTACK-RESPONSES id check returned userid [**]
01/22-00:37:20.301699 10.0.0.2:4063 -> 63.211.210.225:80
TCP TTL:64 TOS:0x0 ID:44927 IpLen:20 DgmLen:612 DF
***AP*** Seq: 0xBEA23534  Ack: 0x5DBE37F8  Win: 0x16D0  TcpLen: 32
TCP Options (3) => NOP NOP TS: 37526117 0
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

 

Dette da om det forteller noen noe mer.

 

EDIT 2:

VVV "Ad som har lagt igjen melding i loggen?". Ja, altså - NEI. Ok?

Endret av DrDoogie
Lenke til kommentar
inaktiv000

inaktiv000

Skrevet
Skrevet
Legg merke til at jeg ikke spør: "Er Macintosh bedre enn fisk?"

...

Å "sjekke for trojanere" er lite aktuelt fra min side, all den tid jeg ikke har kompetanse til å kunne garantere at jeg klarer å detektere mulige trojanere.

 

Men hvis dere to (hvis alder er meg uvist) har kompetanse til dette, kunne dere jo kanskje fortalt litt om det?

Herlighet... ønsker du hjelp til å beskytte deg fra de skumle hackerne, kan du vel svare folk som forsøker å hjelpe på en litt folkelig måte? :no:

Lenke til kommentar
jevel

jevel

Skrevet
Skrevet

Først litt offtopic, men klarer ikke å dy meg:

 

Mannen spør et spørsmål, og folk svarer helt borti natta. Man må vel få lov til uttrykke sin frustrasjon etter å ha stilt et spørsmål og fått svar på noe annet?

 

Offtopic ferdig.

 

Hvilken versjon kjører du av CC? Har du patchet alle sikkerhetsfeil hvis du har en eldre versjon? Hvis du er redd for at du har blitt kompromittert vil jeg anbefale å sjekke etter rootkits, noe som de fleste lighthackere bruker å installere på maskiner de får adgang til. Det som er litt rart hvis de har fått adgang er at de ikke har slettet loggene, noe som er rimelig standard for selv light-hackere.

 

Hvis du ikke kan gjøre dette manuelt så er dette en fin ressurs.

 

Lykke til!

 

-KJ

Lenke til kommentar
DrDoogie

DrDoogie

Skrevet
  • Forfatter
Skrevet (endret)
Hvis du ikke kan gjøre dette manuelt så er dette en fin ressurs.

 

Lykke til!

 

-KJ

Hjertelig.

 

Kjekt å se at det sitter folk rundt omkring med kompetanse :thumbup: .

 

Får vel gi en tilbakemelding litt senere om jeg har funnet noe, da.

 

EDIT: Hmf. Nope, ikke'no. Vet ikke helt... kanskje jeg bare skulle reinstallere hele CC, og sette opp Tripwire denna gangen? Jaja, får ta det senere da.

Endret av DrDoogie
Lenke til kommentar
Samcki

Samcki

Skrevet
Skrevet
Ja du burde være bekymret....nokså mye. som fyren sa, sjekk for f***ns trojanere...

Å "sjekke for trojanere" er lite aktuelt fra min side, all den tid jeg ikke har kompetanse til å kunne garantere at jeg klarer å detektere mulige trojanere.

 

Men hvis dere to (hvis alder er meg uvist) har kompetanse til dette, kunne dere jo kanskje fortalt litt om det?

 

For slik svarene deres står nå, kan jeg ikke bruke dem til noe særlig.

 

EDIT:

Kanskje jeg ikke har sagt tydelig nok fra om at dette dreier seg om en ClarkConnect-boks. Det er i tilfelle min feil.

"Å sjekke trojaner" kan gjøres enkelt ved å se om du har spyware (Spybot og adaware). Evt kjør en virus scan på maskinen.

Men desverre har jeg ikke dypere kompentanse og trolig vet du mer om dette, men i tillfelle du ikke vet om disse programmene bør du prøve dem, det er utrolig hva du finner :)

Lenke til kommentar
sim

sim

Skrevet
Skrevet
"Å sjekke trojaner" kan gjøres enkelt ved å se om du har spyware (Spybot og adaware). Evt kjør en virus scan på maskinen.

Men desverre har jeg ikke dypere kompentanse og trolig vet du mer om dette, men i tillfelle du ikke vet om disse programmene bør du prøve dem, det er utrolig hva du finner :)

Er du sikker på at han kjører Windows ?

Lenke til kommentar
PulZ

PulZ

Skrevet
Skrevet (endret)

Bare for å si det enkelt, den snort meldinga di kan tolkes både posetiv.

 

Når du sier CC så regner jeg med du tenker på clarkconnect, som er en debian modifsert distro, og i linux er bruken av kommandoen ganske vanlig.

Hvis du har lagt inn noen nye programmer i det siste, så er det vanlig (i alle fall av noen) at de sjekker at det er riktig bruker, før du er setter i gang compilen.

 

Men også brukes id kommandoen så og si av alle exploiter osv, for å sjekke at dem har gaina rett bruker.

 

Siden denne kommandoen kom fra en remote adresse ville jeg ha vært bekymra,

jeg ser du nevner ftp i denne tråden.

Hvilken ftp version er det du kjører, og hvilken version ?

 

 

Og jeg skjønner godt at du blir oppgitt av folk som svarer på ting dem absolutt ikke har peil på, bare for å en post ekstra i post counten sin.

Vet du ikke hva du snakker om, la vær å post i tråder

Endret av PulZ
Lenke til kommentar
norrick

norrick

Skrevet
Skrevet
Ja du burde være bekymret....nokså mye. som fyren sa, sjekk for f***ns trojanere...

 

Å "sjekke for trojanere" er lite aktuelt fra min side, all den tid jeg ikke har kompetanse til å kunne garantere at jeg klarer å detektere mulige trojanere.

 

Og vi skal selvfølgelig kunne gjette oss frem til det her... :laugh:

 

Lær deg å bruke samt forstå de programmene dere bruker folkens, les for en gangs skyld manualer og små docs for å kunne tilegne dere kunnskaper/kompetanse om produktet!

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...