HACKERangreb

Prøv at sætte en firewall op, så undgår du hackere

Og opdater dit windows med alle patches fra MS

En klar forskraekkelse er da at ligge en besked til ham paa dit skrivebord og samme tidigt at afsende en mail til http://www.anmeldelse.politi.dk/

Hvordan ser din konfiguration ud ? (PC, Firewall,Router, Net )

Jeg vil fraråde nogen form for aktiv reaktion fra din side, det gør dig kun mere interessant, husk de fleste hackere er unge mænd, med ego problemer. Der er ingen grund til at fodre deres ego ved at anerkende deres anstrængelser.

Sæt dit system op så det er lukket og sådan at de ingen response får. Metoden med at opsætte dummy sites og lokke dem derind for at få beviser nok til at kunne dømme dem hårds skal du nok overlade til professionelle specialister og lovens udøvere

Hvilke 3 ip'er er det snakk om som avsenderadresser ? Kan du legge dem ut her, samt gjerne med litt mre informasjon om hvordan angrepet skjedde ? Selv om det ikke er snakk om noe direkte motangrep, så kan det da være interessant å kartlegge litt mer hva som egentlig skjedde ??!!

Sansynliheten er vel størst for at det er snakk om en avsender ip som ikke er Dansk. Skal man reagere på noen fornuftig måte i det hele tatt, så måtte det vel være å finne fram til hvor personen sitter og hvilken isp det er snakk om. (Man kunne eventuelt sende en mail til eieren av linjen/ip adressen, dette vil vel være den eventuelt fornuftige reaksjon ??!!)(I hvert fall så inneholder de internasjonale registrene over ip adreeser oppfordringer om å melde denne type aktivitet til en bestemt mail adresse for det aktuelle nettverk.)

Det kan vel også godt tenkes eller det er vel kanskje også sansynlig at det dreier seg om et automatisert angrep slik at den person som sitter på den annen adresse slettes ikke vet om hva som skjer. På den anene side så kan det godt hende at han er utmerket godt klar over det.

Noen slike backdoor programmer har meldingsmekanismer som gjør at de gir melding til en chattekanal på internett om at nå er maskinen med ip xxxx infisert med backdoor xxx, vær så god logg inn den som måtte ønske det.

Det skulle vel ikke være noen ulempe med å kartlegge litt mere hva som egentlig skjer eller som har skjedd ??

Sub seven har vel etter hva jeg forstår en server del og en klientdel.

Dersom sub seven server delen er installert på en maskin som trojansk hest så vil denne kunne utføre portscanning ut fra "offrets" maskin og ip adresse.

Den vil også kunne opprette ftp server funksjonalitet slik at den som sitter med sub seven klient vil kunne være i stand til å gå inn på filområdene til "offermaskinen".

Klientmaskinen vil også kunne utføre keystroke logging av offermaskin, slik at de tastetrykk som tastes inn på offermaskinen kan leses på klientmaskinen.

Den som sitter på klientmaskinen vil også kunne logge seg inn på offermaskinen og gi systemkommandoer og han vil også kunne starte opp web browser på offermaskin for å gå inn på de sider han måtte ønske.

Forsøk å sette av den eller de firewalls du måtte ha. Kjør så en utvendig portscan med disse to scannerne:
https://grc.com/x/ne.dll?bh0bkyd2
http://scan.sygate.com
Etterpå så bør du sette på igjen firewals. Enkelt firewalls her under en del hardware firewalls vil ikke gi noen beskyttelse hvis Sub Seven først har kommet seg inn fordi de ikke filtrerer utgående trafikk.

Man bør være etter hva jeg forstår være spesielt oppmerksom på eventuell aktivitet på følgende porter på egen maskin (da kan man ha en sub seven trojansk hest installert på egen maskin):

Port 27374, default port for klient tilkopling.
Port 2773, Keystroke logger.
Port 7215, Remoote kontrol.
Port 54283, For spying on MS Messenger mm

Hvordan vet du at du er angrepet for/fra/med Sub Seven, hva slags indikasjoner er det som viser dette ??

Apropos politi og påtalemakt: I Norge så finnes det gående en sak mot en tenåring som deltok i å lage et Linux program for kopiering eller spilling av DVD plater - "DVD - John"

I denne forbindelse så gjorde aktoratet et stort nummer av at "DVD-John" hadde Linux installert på sin hjemmedatamaskin og at Linux var/er et operativsystem som brukes spesielt mye av hackere.

Den politietat som står for etterforskning og tiltale har sin egen hjemmeside:
http://www.okokrim.no

Dersom man gjør etter det jeg vet et aller høyst lovlig og ordinært banneroppslag på deres hjemmeside så framkommer bla følgende informasjon:

Date: Tue, 31 Dec 2002 00:57:41 GMT
Server: Apache/1.3.26 (Unix) Debian GNU/Linux

Jeg mener at det kan ikke skade å forsøke å tenke og undersøke litt selv, bare man gjør det på riktig og lovlig måte !! :-)

For ordens skyld: De data som står nevnt over er dada som framkommer ved ordinær surfing via browser, nærmest som en reklame for operativsystem og Web server. Apache web server gir i default konfigurasjon fra seg slike opplysninger, men dette kan hvis man ønsker det stenges av.

http://www.nettavisen.no/servlets/page?section=9&item=246590

admin, eksperten -> Jeg har notert meg at man kan risikere at spørsmålene kan bli lukket dersom man legger ut "opplysninger som kan missbrukes".

Jeg vil i den forbindelse påpeke at det så langt og videre framover bare er og vil bli lagt ut opplysninger vedrørende om sub seven:

a. De problemer som sub seven kan medføre.
b. Hvordan man kan identifisere om man intetanende har en sub seven trojansk hest kjørende eller om eventuelt andre har det.
c. Hvordan man eventuelt kan få eleminert/fjernet/tatt bort et eventuelt slikt program.
d. Hvordan man ved hjelp av firewall kan forhindre
d1. at slike program kommer inn på PC.
d2. at sub seven og liknende programmer får utføre sin tiltenkte funksjon dersom de allikevell rekker å komme inn på PC.

Altså de sikkerhetsforebyggende sider ved saken. Andre opplysninger enn dette har og blir ikke lagt fram.

... Og selvfølgelig opplysninger om hvordan man identifiserer nettverket der sub seven klient eller server kjører slik at den som eier eller har ansvaret for nettverket eventuelt kan få en beskjed. Den som eventuelt intendanende har Sub seven kjørende på sin maskin vil kanskje ha en stor interesse av å motta en eventuell videre beskjed fra sin nettverksoperatør/eller isp om dette.

Hvis du kender hackerens ip kan du jo prøve at trace ham f.eks. med VisualRoute http://download.com.com/redir?pid=10165374&merid=57547&mfgid=57547&ltype=dl_dlnow&lop=link&edId=3&siteId=4&oId=3002-20-10165374&ontId=20&destUrl=http%3A%2F%2Fdownload.visualware.com%2Fpub%2Fvr%2Fvr.exe

/C-Skau

http://visualroute.visualware.com/

Er lige blevet angrebet igen. Nogle af ip'erne der siger jer noget?

02-01-2003 21:14:16
217.81.251.253

30-12-2002-19:23:41
80.146.137.222

27-12-2002 14:05:03
213.96.57.209

21-21-2002 19:55:48
80.142.255.75

Du kan kontrollere hvem de tilhøre her

http://www.ripe.net/ripencc/pub-services/db/whois/whois.html

217.81.251.253, 80.146.137.222 og 80.142.255.75 er fra tyskland

213.96.57.209 er fra spanien

Hvis der ikke er tale om bounced hostest

Du kan slå den op enkeltvis og så skrive til den abuse adresse der opgives. Det bør man faktisk, da det kan stoppe de muligheder og betyde at nogle mennesker, hvis compuuter anvender som bouncer bliver gjort klar over det så de kan gøre noget ved det

Jo, enig, både perfekt nettsted for oppslag og fremgangmåte !! :-)
http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=217.81.251.253&do_search=Search

Og så bør du sjekke om din egen maskin eventuelt kav være synderen ved at det er den som har Sub Seven trojansk hest. Utfør som minimum en portscan. Installer også gjerne et firewall program som kan gi varsel dersom din pc begynner å kommunisere ut til internett på egen hånd. (Zone 2.6 alarm kan settes i locked mode slik at den alltid vil gi varsel.

For å gjenta et spørsmål som jeg er ganske interesert i eller nyskjerrig på å vite svaret til: Hvordan kunne su se i loggen eller på annen måte at det dreier seg om Sub Seven ?? (Den er jo kjent som Trojansk Hest av slemmeste type.)

du skal lige være opmærksom på, at det kan være en virus eller orm som foretager angrebet og at de pågældende maskinejere ikke ved noget om det.

http://www.computerworld.dk/default.asp?Mode=2&ArticleID=17469

Siden DVD JOhn har vært nevnt her:
http://www.vg.no/pub/vgart.hbs?artid=7697148