Hvordan kan jeg se om jeg er hacket, og om der er uønsket trafik

Installer Norton internetsecurity. Det er rigtigt godt, hvis du er på nettet hele tiden. Det afslører, hvis nogle prøver at hacke dig... Jeg blev meget overrasket, hvor tit man faktisk bliver udsat for angreb, selvom at det oftest er fra computere der prøver at få adgang automatisk uden at det er et direkte henvent attack.

Mvh.
Thomas

Det er et MEGET bredt spm. du her stiller. For at se, om du er blevet hacket, skal de se efter ting, der ikke er normalt for din PC. Dette kan f.eks. være nye brugerkonti, netværks traffik til/fra fremmede maskiner, processer der kører, processer der ikke kører osv.

Hvis du ønsker at se traffik til/fra din maskine, skal du køre en pakke sniffer. Etherreal er en gratis god pakkesniffer.

Som altid er det er smag og behag hvilke værktøjer man ønsker at anvende.

For at "rydde op" på en hacket maskine, er det vigtigte naturligvis, at man danner sig 100% overblik over, hvordan maskinen er blevet kompromiteret, samt hvad hackeren har foretaget sig på maskinen (eks. installeret ekstra programmer, ændret sikkerhedsindstillinger osv.). Dette er i praksis en umulig opgave, så mit standard svar er en total reinstallation af maskinen, hvor de anvendte huller naturligvis lukkes. Alle passwords skal naturligvis også ændres.

JP

Ja, det viktigste redskapet for å sjekke om man har blitt angrepet eller hacket det er jo firewall log. Man bør kjøre en software firewall som er satt opp slik at den varsler forsøk på å sette opp trafikk og ellers slik at den loggfører tilsvarende forsøk / trafikk. Det vil vanligvis være slik at man kan lese en rekke forsøk på å sette opp trafikk i firewall log før noen egentlig hacking kar skjedd. Norton software firewall er sikkert ok.

For å ha en ok sikkerhet så bør man også ha en hardware firewall av en eller annen type. ADSL modemer har ofte en innebygget firewall som er ok hvis den er konfigurert bra.

Det må vel være tilnærmet umulig å gi noen generell oppskrift på hvordan man rydder opp etter et innbrudd. Hvis intrengeren klarer å skaffe seg admin eller root tilgang så kan han jo gjøre hva som helst inklusive å slette eller forandre samtlige filer og programmer. Han kan korts sagt ødelegge det hele.

For Linux så finnes det er program som heter tripwire og som kan flge med og gi alarm eller varsel dersom det skjer endring i visse kritiske systemfiler. Tror ikke det finnes noe slikt til Windows (?)

Ethereal kan vel brukes hvis man observerer at et angrep er i gang. Ethereal produserer en nokså stor mengde data som den logger forløpende slik at det vel ikke er mulig å ha ethereal kjørende for lange perioder av gangen. Den vil simpelthen blokkere det hele rent kapasitetsmessig. http://www.ethereal.com/

Til Thomas.
Du omtaler Norton internetsecurity. Lytter den på samtlige porte??
Ved trafik på Internettet bruges port 80.
Jeg har et program der hedder ServU som lytter på port 21 (ftp) her kan jeg se når der er fremmede IP adresser der prøver at hacke sig ind på min computer. De kommer dog ikke videre...
Men hvad med alle de andre porte, ja over 65000 stk. ?? Der er jo rig mulighed for at komme ind i en computer. Jeg har fundet ud af at jeg har mindst 5 porte åbne, selv med en firewall som BigGuard.....
Hvad gør jeg??
PS. jeg er ny bruger, så jeg ved intet om pointsystemet. Men jeg vil gerne give gode point hvis jeg kan få et godt svar.
Dennis.

Du skriver at du har 5 porte åbnet, dem skal du have lukket. Dog ikke dem alle idet du skal bruge port 80 samt 110 alle andre kan faktisk godt lukkes. Port 21 skal kun bruges hvis du bruger ftp server. De andre porte kan du manuelt lukke. I Norton Firewall gøres det ved at gå i options - avanceret - fanebladet other - Add de porte som du vil have lukket.
Når du kun har 5 åbne porte er det fordi din Firewall selv automatisk har lukket adgangen på alle de andre porte, så det behøver du ikke bekymre dig om.
Du har BigGuard og den ved jeg ikke hvordan skal sættes til at lukke, men dog tror jeg at du kan bruge samme fremgangsmåde som med Norton

De fleste firewalls er satt opp slik at de som default sperrer for samtlige porter i inngående trafikk. Firewall lytter sånn sett ikke den bare sørger for at alle 65000 ++ porter i utgangspunktet er stengt for inngående trafikk.

For at det skal bli åpning for inngående trafikk så må portene i prinsipp åpenes enkeltvis.

Der er samtidig ganske eller litt vanlig at firewalls har full åpning for utgående trafikk. Dette gjelder spesielt hardware firewalls med default konfigurering. En del software firewalls kan stilles inn / konfigureres slik at de gir varsel ved pop up meny vet alle forsøk på innttregning. Dette gjelder for eksempel Zone Alarm 2.6 som er gratis og som er meget enkel å bruke. Norton firewqall har sansynligvis en tilsvarende funksjon, men jeg har ikke prøvd den, så langt.

Når du scanner utenfra så er det i grunnen to vilkår som må være oppfylt for at en port skal bli detekted som åpen:

1. Firewall må være åpen for denne porten.
2. Det må finnes en service bak denne porten som gir et svar.

For å sammenligne:

Et kontorbygg har 65000 kontorer.

Du lager en portscan, dvs du går rundt i bygget og banker på samtlige dører.

For noen av kontorene så vil døren være låst, for andre kontorer så døren være låst. For noen av kontorene så vil det sitte en saksbehandler bak skrivebordet, for de fleste av kontorene så vil det faktisk ikke finnes noen saksbehandler.

Hvis man for eksepel banker på kintor 21 så vil for eksempel saksbehandler for ftp kunne åpne døren og si: Goddag jeg er saksbehandler for ftp og mit navn er vsftpd hos firma Red Hat 8.0 server.

Ved andre kontorer så kan døren være låst eller den kan være åpen, men det vet man ikke fordi det ikke finnes en saksbehandler tilstede som kan gi svar.

Ved andre dører igjen så vil man kunne få dette svar: Ja jeg er her men døren min er låst for all trafikk inn. Jeg har kun tillatelse til å spasere ut, ingen får lov til å slippe inn.

Som sagt i et deafult kontorbygg av denne type, da leveres ofte alle dører låst for inngående trafikk og åpen for utgående trafikk.

Det skulle selvfølgelig være: "For noen av kontorene så vil døren være låst, for andre kontorer så kan døren være åpen."

langbein du har en dejlig måde af forklare tingene på :)

OK Langbein - tak for det. Så har jeg bare et spørgsmål, eller kommentar.
Jeg har kendskab til en der har både antivirus og firewall, men alligevel har vedkommende fået en trojansk hest ind i systemet, og løsningen på hans problem var, at han måtte formattere hans computer og købe nyt antivirus, med en udgift på ca. 25.000 kr. til følge.
For mig lyder det som om at man ikke kan være helt sikker på "at være sikker" selv om at man har antivirus og firewall.
Mit spørgsmål er derfor: Kan man med garanti sige at man kan vide sig helt sikker på at der ikke kommer uønsket indgående trafik ind på sin computer....????
Så efterlyser jeg også flere værktøjer til brug for spionering af trafik på sin computer......

http://www.spywarefri.dk  Her kan du finde en masse informationer. Det kan du også på http://www.kriminalitet.dk

Du kan IKKE være helt sikker - med mindre du sørger for, at din pc slet ikke er forbundet med noget som helst, og at du aldrig indsætter disketter eller CD'er eller andet.  Men så kan du jo heller aldrig få nye programmer installeret...  Det ER hændt, at selv en etableret leverandør har fået smitte i sit system (jeg tror nok, det var Oracle, som på et tidspunkt sendte en virus ud på en program-cd).
  Så moralen er: Sørg for firewall og antivirus, undgå icq og lignende beskedprogrammer, som kun kan fungere, hvis de kan få lov til at kontakte din pc.
  Og frem for alt: Brug din sunde fornuft!  Kør kun programmer fra andre, hvis du stoler på dem, og hvis det er aftalt, at de skal sende dem til dig.

Nei, det er sant. Helt sikker kan man ikke være. Mange trojanere kan fint slippe gjennom den firewall man måtte ha for eksempel ved at man laster ned og installerer programvare fra nettet.

Vil det sige at en trojansk hest kan ligge gemt i en exe fil, og/eller er der andre måder at man kan få sådan et dyr indendørs?

Ja, det er en ganske vanlig måte å spre trojanske heter på. Andre måter, ja ved å være koplet opp mot fildelingsprogrammer. Kazaa leveres ellers med innebygget spyware, dvs et program som swender ut informasjon om deg og sørger for at du får den riktige popup reklame.

OK -
Når man nu skal have installeret en firewall, er der jo mange at vælge imellem, man hvad skal man vælge????
Jeg kører Windows XP.....

Norton er et godt bud, det samme er bitguard som kan fåes her: http://dk.shopping.yahoo.com/sikkerhedscenter/bitguard/ Dansk firewall som har fået en fantastisk god kritik. Koster ca. 380kr. Er svær at bryde for hackere

Skal man ha en rimelig bra sikkerhet så bør man ha en hardware firewall i kombinasjon med en softwarefirewall slik at man får sikkerhet og firewalling i to nivåer. Dersom du har en adsl forbindeslse så er det sansynlig at ditt adsl modem har en innebygget hardwarefirewall som enten er eller kan aktiviseres/konfigureres. Windows XP har ellers en innebygget firewall som er av rimelig god kvalitet. Denne kan også aktiviseres og konfigureres.

langbein-> mener du virkelig at den fra XP er af god kvalitet. Jeg syntes ellers at alle deaktivere den med det samme. Er det fordi den bliver konfugureret forkert og i så fald hvordan skal den så konfigureres for at være på højde med de andre firewall?

Ja, jeg vil vel tro at den er av bedre "kvalitet" enn enkelte av dem man kjøper, men det avhenger litt av hvordan man måler kvalitet.

Konfigurering - man slår den på. Da er den konfigurert for å stanse all trafikk inn. Hvis man kjører serverfunksjoner foe eksempel web server eller ftp server da må man konfigurere for å slippe denne trafikken inn.

Hvis man måler "kvalitet" for en firewall med graden av integrasjon inn i operaitivsystemet og inn mot kernel da har XP's firewall sansynligvis en høy grad av kvalitet. (Men ikke likt Linux 2.2.x)

XP sin innebygde firewall har imidlertid også en svakhet. Den har ingen filtrering av trafikken ut. Spyware og trojanere har med andre ord fritt spillerom hvis de først kommer inn. Benytter man imidlertid også en hardware firewall som tar seg av denne problemstillingen slik at oppgaven til XP firewall blir å fungere som backup i forhold til denne så bør den kunne fungere meget bra i en slik sammenheng.

Man må forsøke å se helheten i situasjonen, ikke bare tenke på den ene firewall men også en del andre problemstillinger for eksempel hvorvidt man kjører serverfunksjoner (som eventuelt kan missbrukes), hvorvidt man har følsomme data, hvorvidt adsl modemet har innebygget firewall, hvordan denne fungerer, osv.

Hvis man synes det er viktig at man for eksempel får et varsel gjennom et pop up windu dersom en trojan forsøker å sette opp trafikk ut, så kan ikke XP sin innebygde gi et slikt varsel og den kan heller ikke stanse trafikken ut.

Vil man ha et slikt varsel så må valget bli en zoftwarefirewall av typen Zonealarm eller Norton. (Har ikke testet Norton men mener den har slik varslingsfunksjon som også Zonealarm har.) Da blir i så fall dette den "kvalitet" som du etterspør.

langbein-> Jeg har Norton og er så vidt jeg kan se når jeg scanner porte fuldstændig lukket. Er meget tilfreds med Norton og havde kun hørt skidt om XPs egen firewall. Kunne ikke snakke med da jeg ikke kender den, bla fordi jeg har hørt at den er så elendig, at jeg også er en af dem som har deaktiveret den. Tak fordi du gad og ligge en kommentar omkring det. Zonealarm, har jeg for den sags skyld også kun hørt dårligt omtalt af kyndige, undtagen af dig :)

Jeg har haft udmærkede erfaringer med ZoneAlarm, som var meget let at sætte op og forstå.  Men ifølge nogle af de tests, jeg har læst i diverse magasiner, så er ZoneAlarm blevet dårligere til at stoppe angribere, end Norton er.
  Da min licens udløb (jeg kørte på købeversionen for at få fuldt udbytte af ZA), så skiftede jeg til Norton, som var kåret til testvinder.  Det var let at installere, men jeg synes ikke, at administrationen er så simpel, som ZoneAlarms - men det er nok mest en temperamentssag.

Jeg har ingen personlig favorit.  ZoneAlarm er lettest at tilrette, men det er jo ikke så tit, man skal ændre, så det er jo ligegyldigt i længden.

"Men ifølge nogle af de tests, jeg har læst i diverse magasiner, så er ZoneAlarm blevet dårligere til at stoppe angribere, end Norton er."

Det er vel bare hvis angriperne kommer innenfra, altså trojanere ??