Innbrudd på maskin. Infisert! Hvordan stoppe?

[magnus]

Hmm, marzo.

 

Her får du et eksempel som bygger på både erfaring og egne planer. Veit du ikke likte linux ideen, men til ditt bruk ville jeg først les litt om linux og oppsett (egentlig samme hvilke distro osv, men ubuntu server vil jeg personlig anbefale).

 

Jeg ville kort fortalt satt opp en minimal linux server som kjører sftp, og her er det viktige, KUN SFTP tjenesten. Da vil du så godt som 100% sikkert slippe slike problemer i framtiden, og du kan (kjører ikke windows så ikke prøvd) nok få sftp plassen opp som vanlig harddisk i windows ved å bruke ws_ftp programvaren. Da blir det jo lett å bruke vedsiden av (og som hvis du jobber med folk som bruker mac kan disse også lett logge seg på en slik maskin)

[zzzneo]

Takk for input magnus... Politikken rundt p2p trenger vi ikke ta i denne tråden.

 

Off_the_record brukes maskinen til mellomlagring av negativer når jeg er ute å fotograferer og ikke har tilgang til brenner/annen ekstern lagring!

 

Lyst å hjelpe meg mere nå?

8409181[/snapback]

 

 

Vel, nå var det ikke egentlig noen som anklaget deg for å drive med p2p. Det var mer at du ikke sørger for at maskina di ikke kan misbrukes.

 

Hvis du bruker maskina til lagring av negativer ville jeg da virkelig lagt mye innsats i at det skal være en sikker maskin. F.eks en helt lukka maskin uten noe som helst av tjenester bortsett fra sftp.

[SpecialForce]

diskusjonen ang. p2p er det mest unyttige trådstarter trenger akkurat nå..

 

men skal du ha noe som helst virusprogram som er sikkert pålitelig og gratis DA har DU behov for avast!(google er din venn der)

 

pluss et godt renseprogram..(www.ccleaner.com)

 

og et som regulerer prosessoren(process tamer g00gle igjen:)

 

når du får inn det da har du en pc som er sånn midt-på-treet sikret

noe mer tror jeg egentlig ikke er nødvendig..

 

gi meg gjerne en pm hvis du trenger hjelp eller har spm om programmer nevnt ovenfor!

[Marzo]

Hva er uaktsomt i dette tilfellet?

 

Det som er uaktsomt her er at du setter en totalt åpen maskin på nett. Det som skjer med slike maskiner er at de ofte havner i botnets og blir brukt til diverse onde formål. Dette inkluderer gjerne spam, ddos, og så videre.

 

Brannmur og antivirus (glemte kanskje nevne det tidligere) samt SP2 burde holde i forhold til hva som er å forvente av en gjennomsnittsbruker.

 

Passordene som er brukt der de trengs er ikke ord fra ordbøker, inneholder store og små bokstaver samt tall. Dere mener kanskje at dette er totalt uforsvarlig i deres øyne, men i realiteten er det langt mere enn hva man finner i mange norske hjem!

 

 

Er ikke hensikten med forumet å hjelpe hverandre her`, eller kan jeg ta meg til rette å begynne å skjelle ut folk fordi de ikke vet alt her i verden?

[mrblc]

hmm

 

det var litt av en vending..

 

jeg anbefalte alternative OS fordi det vil forenkle muligheten for at det skulle skje igjen.. hvis jeg var ute etter å promotere noe, ville jeg ikke samtidig gitt anbefalinger innenfor trådstarters originale OS..

 

for en som etterlyser muligheten til å fjernadministrere maskinen så er det å anbefale SFTP noe av det teiteste jeg har sett... men de om det.. (forøvrig har ssh både tunnelmulighet og sftp som en del av sin protokoll hvis vi først skal begynne å reklamere om programmer.. )

 

anyway, så er jeg til dels enig med de andre.. ja.. du burde tatt strakstiltak, og ja.. den andre personen er helt klart ute etter å bruke din maskin som et mellomledd mellom seg og andre ting han/hun er ute etter å gjøre på internett..

psybnc brukes utelukket for irc bruk.. men kan være en bouncer både for brukere og bot'er..

den tillater deg å gjemme deg bak noen andre's ip adresser, og jeg bruker den aktivt selv på et lovlig shell.

 

når det gjelder resten av det han/hun har lagt inn der, så er det tydelig at personen er ute etter å bruke din maskin til å spre ulovlig materiale... siden de har brukt speedtestere, så har de tydeligvis satt veldig pris på båndbredden tilgjengelig på den, og funnet det nytteverdig i en eller annen ulovlig sammenheng..

 

Det er allikevel liten sjangs for at du kan klare å lukte ut IP adressen til selve personen da de som regel bruker en annen maskin til å gå via for å komme til deg..

 

Beste du kan gjøre nå er å flushe hva som er på den, og sørge for å sikre den betydelig bedre i neste runde.

 

håper det ga litt mer klarhet enn alle de andre halvferdige svarene som har kommet så langt..

 

-blc

[zzzneo]

boyeminem: Det er ingen som diskuterer p2p. Magnus nevnte det såvidt i forbindelse med at andre kan misbruke maskina til p2p, på samme måte som å misbruke den til spam, osv..

 

 

Marzo:

 

Hei. Jeg prøver å hjelpe deg litt her. Det er enkelt. Lær deg litt om sikkerhet, og sett opp en sikker maskin. Det er f.eks null problem å kjøre en upatchet windows maskin uten antivirus bare den står bak en enkel dLink firewall/router så lenge man veit litt om sikkerhet. (ikke at jeg på noen måte anbefaler det)

 

Det du sier med "realiteten i norske hjem", og "brannmur, antivirus og sp2" er desverre sant, men det betyr ikke at det er nivået man bør legge seg på. Det er nettopp disse maskinene som står i botnet's, og sprer spam, virus og faenskap som ødelegger internett.

 

Passord med både tall, små og store bokstaver er det som anbefales. Så mange av dem som du klarer å huske. Gjerne spesialtegn i tillegg, hvis mulig.

 

Hensikten er å hjelpe deg, og her er det som jeg og Magnus sier, lær deg litt om sikkerhet, ikke regn med at "realiteten i norske hjem" holder. Jeg skal ikke nekte deg å installere masse jalla antispyware programmer, osv osv, men det betyr ikke en dritt hvis du ikke lærer deg noe.

 

Spesielt når du bruker maskina til lagring av bilder. Det er ting man aldri får tilbake om man mister de. Da gjør man ALT for å sikre det så bra som mulig.

 

 

Hvis du oppfatter meg som frekk, og bare slenger dritt blir jeg egentlig fornærmet. Har jo faktisk brukt en god del til på å skrive innleggene mine.

[Marzo]

Jeg beklager hvis jeg har fornærmet noen, må skylle på magnus sitt første provoserende innlegg som kanskje har hengt litt igjen her...

 

Er klar over at jeg nok har en ting og to å lære innen sikkerhet, har aldri nektet for dette. Og med denne tråden prøver jeg å få hjelp til å sikre windows maskinen min slik at jeg slipper det store tiltaket det blir for meg å måtte sette opp en Unix maskin, i første omgang...

 

Er fullstendig klar over at det beste alternativet er unix, men det finnes vel gode alternativer for windows? (ikke svar nei her for de som har tenkt på det)

[mrblc]

Ja det finnes alternativer for windows.. og ja.. det finnes gode alternativer.. men nei.. de er ikke gratis.. og ja.. det krever at du setter sammen en pakkeløsning av flere programmer..

 

in the end så vil du måtte bruke like mye tid/penger/ressurser på begge varianter..

 

jeg kan gjerne konkretisere alternativene på pm/epost om du ønsker, men med tanke på hvor mange "snille" brukere det er i dette forumet er jeg ikke spesielt interesert i å legge ut om detaljer og løsninger som vil generere masse unødvendige svar om hvorfor et program er bedre enn et annet eller hvorfor jeg anbefaler noe fordi de mener det er dårlig osv..

 

har jobbet lenge med løsninger mot internett, både basert på windows og linux/unix, så jeg vet hva jeg snakker om..

[Jarmo]

Så tar vi en liten opprydding i denne tråden.

 

Dette er et diskusjonsforum med noen retningslinjer som alle bør følge etter.

Uhøflige poster og kommentarer hører ikke hjemme her. Vi setter pris på

saklige og konstruktive svar og spørsmål. Noe annet vil bli sett som offtopic, spam eller unødvendige poster.

 

Vennligst følg etter våre forumregler og hold dere til tema.

[zzzneo]

hmm

 

for en som etterlyser muligheten til å fjernadministrere maskinen så er det å anbefale SFTP noe av det teiteste jeg har sett... men de om det.. (forøvrig har ssh både tunnelmulighet og sftp som en del av sin protokoll hvis vi først skal begynne å reklamere om programmer.. )

 

-blc

8409404[/snapback]

 

Må bare kommentere den, selv av frykt for "off topic". Jeg mente SFTP til overføring av bildene. SSH såklart til administreringen.

[abcosv]

Del ut advarsler, moderator, for dette er jammen skikkelig forumlavmål.

 

On topic: det er fullstendig mulig å ha en helt sikkert opplevelse på nettet med en Windows-maskin. Det du bør gjøre da, er å laste ned en software-firewall (et bra freeware-program er zonealarm) som du brenner ut på CD, gjerne sammen med andre nødvendige drivere, slik at du har alt klart til formattere.

 

Etter at det er klart, trekker du ut TP-kabelen, formatterer PC-en, og installerer winxp på nytt. Når du så starter opp første gang, er det nok at du installerer firewallen for at du skal være trygg for de mest åpenbare farene. Det er vel 28 sekunder i gjennomsnitt eller noe slikt det tar før en fresh windowsinstall blir infisert om man ikke har firewall oppe, så at den er helt klar før du putter inn TP-kabelen igjen, er et must.

 

Etter dette er gjort, er det bare å begynne den store jobben det er å oppdatere windows med alle de oppdateringene som er tilgjengelig, med SP2 som førsteprioritert og resten etter det. Løsningene mine forutsetter selvsagt at det er snakk om Windows XP, men de andre windows-versjonene har lik fremgangsmåte.

 

Etter SP2 er klart, med alle patches o.l., er det bare å uninstalle ZoneAlarm igjen, da jeg trooor SP2-firewallen skal være god nok for vanlig bruk.

 

edit: I tillegg er det anbefalt å ha et virusprogram på PC-en.. Kan da anbefale AVG fra http://free.grisoft.com.

 

edit2: Grunnen til denne lange guiden er enkelt og greit det at format etter min mening er den letteste utveien her. Du har vel et par-tre IP-adresser fra denne "hackeren" liggende, de kan du jo alltids sjekke opp via nettet (whois), men jeg tviler på at de gir deg noe særlig. Bedre å bare ta en clean reinstall for å fjerne alt gugget som ligger på PC-en, spesielt siden du ikke har noe viktig liggende uansett.

Endret 17. april 2007 av _oDIn_

[spaakh]

Det å la en maskin som man vet har blitt hacket stå på nett er uansvarlig ja, men å drive å hause opp diskusjonen og dra inn mye annet fører ikke nødvendigvis til at trådstarter får den hjelpen han spør om, heller tvert imot.

 

Marzo:

 

Det jeg kunne tenke meg er litt mer informasjon om nettet der denne maskinen står. Hvis den står bak en ruter kan du komme veldig langt om du gjør slik at ruteren rett og slett ikke sender videre (forwarder) pakker til maskinen som ikke går til den ene porten som du trenger å ha åpen for å få lastet opp/ned bilder.

 

I tillegg ville jeg kjørt ett program som automatisk sperrer en bruker/ip om man skriver inn passordet til maskinen feil 3 ganger innen så og så lang tid, noe jeg tror man kan finne på de fleste sFTP programmer uten at jeg kjenner til noen gode programmer til windows. Du bør som det er nevnt ikke kjøre programmer som godtar at passord og brukernavn sendes ukryptert, det er å be om trøbbel.

 

Hvis du har med egen laptop på fotografrundene dine går det jo an å bruke programmer som krypterer all informasjon, men hvis du bruker maskiner som er gamle vil dette føre til treg overføring fordi kryptering krever mye CPU, og du bør velge å kun kryptere brukernavn/passord.

 

Hvis du ikke liker linux ikke les dette avsnittet:

Hvis behovet ditt kun er å mellomlagre bilder når du er ute og reiser finnes det mange fine distroer å bruke. Hvis du vil ha en som er veldig enkel å sette opp/bruke kan jeg anbefale ClarkConnect. Da får du raskt satt opp sperring av alle porter du ikke trenger, og den vil automatisk sperre ip dersom noen prøver å hacke deg (bakdelen med slike programmer som monitorerer iptrafikken er at de noen ganger er litt vel sensitive). CC kommer med webinterfjes slik at du ikke trenger å sitte og knote i shell om du ikke er vant med det.

 

 

I alle tilfeller: lykke til, og ikke la en maskin som er hacket stå på nett i fremtiden om du ikke er sikker på at du er mer 1337 hacker enn vedkommende som har brutt seg inn Med skikkelig logging har du allerede nok informasjon idet inbruddet finnre sted.

 

kan som odin anbefale Zonealarm på det varmeste!

Endret 17. april 2007 av spaakh

[abcosv]

Alt dette linux-maset blir for meg som å skyte spurv med luftvernild. Har personen Windows-CD liggende allerede, trenger han bare en clean reinstall og et halvt minutt på å gjøre det sikkert mot de problemene som mest trolig kan oppstå.

[spaakh]

@_oDin_ : "bare en clean reinstall" tar jo fort litt tid, og jeg skulle gjerne sett den som får installert og satt opp Zonealarm inkludert restart på 30 sek Tenk på hvor mye annet gøy man kan ha det med en Windows-CD!

 

Hilsen luftvernildfører Spaakh som synes det er gøy å skyte spurv (med luftvernkanonildmitraljøse)

[abcosv]

Legg merke til "reinstall OG et halvt minutt". Regner med det slår nedlastingstiden på en Linux-distro samt installasjonen av denne, uten at jeg vet helt hvor store de nevnte distroer er, ei heller hvilken internetthastighet det er snakk om.

[zzzneo]

Legg merke til "reinstall OG et halvt minutt". Regner med det slår nedlastingstiden på en Linux-distro samt installasjonen av denne, uten at jeg vet helt hvor store de nevnte distroer er, ei heller hvilken internetthastighet det er snakk om.

8410232[/snapback]

 

Du regner med mye rart ja. Sier mye rart og. Kanskje du skal prøve det ut før du uttaler deg?

[Marzo]

For informasjonens skyld står maskinen tilkoblet fiberlinje direkte mot hjemmesentralen, uten router altså.

 

Maskinen er slått av og blir formatert så snart jeg har ledig tid. Følger da råd om firewall og ser over oppdateringer til programvaren.

 

Finnes det noen typer programmer som loggfører trafikk/handling til maskiner?

Slik at jeg kan overvåke og evt avsløre en fremtidig mishandling av maskinen.

 

Må til slutt få takke for støtten mot slutten av en tråd jeg trodde skulle speile realiteten til hvordan forumet hadde utviklet seg. Håper dette ikke er noe en hver bruker må gå igjenom for å søke litt hjelp av andre og at vi fortsatt kan få svar på det vi lurer på, slik vi en gang gjor!

 

mvh Marzo

 

P.s fortsett gjerne med flere innspill rundt topic.. Jeg trenger de råd jeg kan få!

[Marzo]

Fikk forleden dag formatert maskinen. La inn Windows XP SP2 strippet for div i nLite.

Installerte så ZoneAlarm Firewall og div andre nødvendige ting (winrar m.m)

 

Koblet så til maskinen med TP kabelen og fikk med en gang opp "bobbler" fra ZoneAlarm.

 

Den advarte først mot at hele 3stk svchost.exe applikasjoner ville ut på nett. Er det riktig?

I ZoneAlarm bobbla kommer det også en slags anbefalings gradering av programmet som vil ut på nett. To av disse fikk grønt lys av Zone, mens den siste fikk strengt rød!

 

Er det noe som ikke stemmer?

 

Maskinen har "rullet" i ca 30 minutter etter installasjon og kun de siste 5 med kabel i. Ser derfor ikke hvordan det skulle være mulig at maskinen var blitt infisert igjen.

 

Ka også legge til at det er flere partisjoner på maskinen, er det mulig å få skjult noe på andre partisjoner som kjøres etter en formatering?

Har aldri hørt om noe sånt selv...

 

Ellers hvis noen har en fin guide til hvordan jeg åpner porter og gir tilgang til riktige programmer slik at jeg får styrt maskinen via nettet, hadde det vert kjekt. Så så vidt på det men forstod meg ikke helt på det med sikkerhetssoner etc...

 

Marzo

[nebrewfoz]

Den advarte først mot at hele 3stk svchost.exe applikasjoner ville ut på nett. Er det riktig?

I ZoneAlarm bobbla kommer det også en slags anbefalings gradering av programmet som vil ut på nett. To av disse fikk grønt lys av Zone, mens den siste fikk strengt rød!

 

Er det noe som ikke stemmer?

8423226[/snapback]

svchost.exe er en systemkomponent i WinXP som tydeligvis trenger netttilgang, og jeg vet ikke hvor mye som ikke vil funke hvis du nekter den å slippe ut.

 

Selv synes jeg ZoneAlarm er vel paranoid noen ganger, og jeg følger ikke alltid "trafikklysenes" anbefalinger.

 

Det finnes en kommando du kan bruke for å se hvilke applikasjoner som aksesserer internett via svchost.exe, men jeg husker i farten ikke hva det var, men Google kan sikkert gi svar ...

[SpecialForce]

boyeminem: Det er ingen som diskuterer p2p. Magnus nevnte det såvidt i forbindelse med at andre kan misbruke maskina til p2p, på samme måte som å misbruke den til spam, osv..

 

 

Marzo:

 

Hei. Jeg prøver å hjelpe deg litt her. Det er enkelt. Lær deg litt om sikkerhet, og sett opp en sikker maskin. Det er f.eks null problem å kjøre en upatchet windows maskin uten antivirus bare den står bak en enkel dLink firewall/router så lenge man veit litt om sikkerhet. (ikke at jeg på noen måte anbefaler det)

 

Det du sier med "realiteten i norske hjem", og "brannmur, antivirus og sp2" er desverre sant, men det betyr ikke at det er nivået man bør legge seg på. Det er nettopp disse maskinene som står i botnet's, og sprer spam, virus og faenskap som ødelegger internett.

 

Passord med både tall, små og store bokstaver er det som anbefales. Så mange av dem som du klarer å huske. Gjerne spesialtegn i tillegg, hvis mulig.

 

Hensikten er å hjelpe deg, og her er det som jeg og Magnus sier, lær deg litt om sikkerhet, ikke regn med at "realiteten i norske hjem" holder. Jeg skal ikke nekte deg å installere masse jalla antispyware programmer, osv osv, men det betyr ikke en dritt hvis du ikke lærer deg noe.

 

Spesielt når du bruker maskina til lagring av bilder. Det er ting man aldri får tilbake om man mister de. Da gjør man ALT for å sikre det så bra som mulig.

 

 

Hvis du oppfatter meg som frekk, og bare slenger dritt blir jeg egentlig fornærmet. Har jo faktisk brukt en god del til på å skrive innleggene mine.

8409569[/snapback]

 

nå oppfattet jeg noen innlegg her som en p2p diskusjon.. men hvis dette er dårlig tolkning så tar jeg kritikk for det..

 

men når det kommer til jalla spyware programmer så hadde jeg likt og få noen faktiske eksempler på dette her.. maskinen min kjører på høyeste personvern\sikkerhetsinnstillinger m\avast! ccleaner bittorrent og limewire:P så hvis jeg ikke er "hakket" hvordan er han blitt det? i tillegg kjører jeg vista\xp(vista i 29 mer dager) så snart er det sugenmøkkaxp igjen:(