PIS, vi er lige blevte hacket, men jeg har IP hvad gør jeg så

Du er ikke den eneste, se bare: http://www.google.dk/search?hl=da&q=%22Turkish+Hacking+Sabotage%22&meta=

Hvordan de plejer at komme ind, er svært at sige noget bestemt om uden at sidde ved maskiner og uden at have adgang til logfiler mm.

Helt generelt er Zonealarm ikke egnet til at beskytte servere, det er en personlig firewall, der bruges til at beskytte personlige computere, også kaldet en PC. Den skal beskyttes af en rigtig firewall, der ordentligt isolerere hackerne fra serveren.

Selv om du har IP adressen kan du sikkert intet gøre, dels kan denne spoofes så du ikke kan regne med den og dels kan de komme fra et land der ikke retsforfølger den slags.

Du bør undersøge logfiler for at finde ud af hvordan de er kommet ind.
Du bør hardne alle dine systemer på den maskine der har serveren installeret.
Du bør tage orddentlige firewalls i drift

Har du prøvet at skrive format c: i en DOS-prompt?

bufferzone: Firewall da snakker du ikke om software så eller?
bufferzone: Logfilen, den Windows laver går jeg ud fra, jeg her ikke selv så meget forstand på servere, det er en ven der har sat den op i sin tid, men har ikke kontakt til ham mere. (jeg vil da gerne give dig windows log filen, hvis du vil kigge i den)
bufferzone; Hardne, hmm jeg opdaterer windows, ellers aner jeg ikke hvad jeg kan gøre :(

1234bella: ja, masser af gange, skal jeg også formatere alle dine partitioner nu hvor jeg er i gang ?

Firewallen kan godt være software, men jeg taler om en rigtig firewall som f.eks. linux med netfilter (som er gratis), Firewall-1 fra checkpoint (som koster kassen)og ikke zonealarm, sygate eller den indbyggede i XP.

Logfilerne afhænger af hvilket styresystem vi taler om f.eks. windows og hvilken web server du bruger f.eks. IIS eller Apache.

Du skal opdaterer ALT, Windows, Office, IIS eller Apache. ALT det software du har på dine maskiner

Oh jeg har Windows 2003 webserver.

Troede ZoneAlarm var en firgig firewall :( SÅ jeg skal bruge den indbyggede i stedet for zonealarm så?

Zonealarm er en udemærket personlig firewall og den kan du sagtens bruge, men du skal beskytte en server yderligere for at få tilstrækkelig sikkerhed. Zonealarm er efter min mening bedre end den idnbyggede. De du bør gøre er at placerer en firewall foran din server der beskytter før hacvkerene har fat i serveren.

Windows 2003 web server er IIS og du bør kunne se hvad der er sket i logfilen. du er velkommen til at sende den til mig, så forsøger jeg at se hvad der er sket, (det bliver dog først efter onsdag da jeg er væk mandag og tirsdag

Ok, mange tak sender den til dig senere, vil lige se om jeg selv kan hitte ud af hvad der er sket :D

Jeg her en D-Link DI-604, som skulle have noget firewall i, men har aldrig fået den til at virke :(

Hvilke porte bør jeg tillade i D-Link DI-604, ved port 80 er til browser, men hvad ellers, jeg har ikke egen mail server.

port 53 til DNS. Generelt skal du tillade så lidt som muligt. læs f.eks. her

http://www.eksperten.dk/artikler/554

og her hvis du søger generelle sikkerhedsrelaterede oplysninger
http://www.eksperten.dk/artikler/Sikkerhed/

Ok så har jeg sat min d-link op LOL, tror jeg da nok i hvertfal :D

http://img308.imageshack.us/my.php?image=dlink2df.gif

uden at kende d-link i detaljer, så ser der rimeligt ud.

Du kan scanne dig selv med http://scan.sygate.com for at se om dine porte er lukket som de skal. Hvis du vil ind i noget mere avanceret, så kan du med programmet nessus, scane din maskine for sårbarheder, men så skal du have gang i en linux maskine

Ok mange tak :)

Hmm jeg har lige slettet alle de filer den havde lagt op, så startede jeg serveren igen, og 1 min efter så jeg så at den havde lavet alle de p.s filer igen, men jeg kan ikke finde ud af hvad script eller program det er der laver dem :(

Og linux er ikke lige mig, jeg kan bedre finde ud af Windows, well kan jeg jo heller ikke kan man se :D

HEHE ok ved ikke om det er godt eller ej, men jeg får "The page cannot be displayed" når jeg trykker på "Scan now", så jeg tror at den ikke er åben for de porte ?

Ja ved det, er en spørge jørgen :D

Hvis den siger "The page cannot be displayed" så er sygate nede, den skal sige noget med " Trying to find out......"

Prøv igen

Kan stadig ikke komme ind.
Jeg så lige et øjeblik i linket at der stod: http://scan.sygate.com:443.. . . eller sådan noget, altså bruger de port 443 til at teste med ik?

Og da jeg kun har 2 porte åben kan de jo ikke komme ind, eller er jeg forkert på den der ?

Oh har fundet ud af hvordan de har gjort det, vi har et billede galleri på siden, og der kan brugere uploade billeder, de har så på en eller anden måde fået uploaded en .asp fil til serveren, og derfra så started deres spam af diverse .asp .php . . . filer som har kopieret sig selv til samtlige mapper på serveren :(

Har nu fjernet billede galleriet indtil videre.

Du skal helst køre din firewall på flere "levels" (derved ment at du skal have firewalls så vel på maskinen som en dedikeret firewall sat først på forbindelsen), jeg forslå kraftigt at du sætter en maskine op til at være dedikeret firewall. Måden du gør det på er at tage en gammel maskine med et cdrom drev og sætter 3 netværkskort i. Så går du ind på www.m0n0.ch/wall og henter m0n0wall firewallen og brænder den til en cd. Det næste trin er så at dele trafikken op rent fysisk, så du har en WAN, LAN og DMZ. Det vil sige at du lader firewallen filtere trafikken sådan at den trafik der kun skal til server kun har mulighed for at komme ind på den del af netværket (DMZ) og lader trafikken til dit interne netværk (LAN) være lukket af fra udekommende trafik. Men læs lidt mere på hvordan du sætter det op på sitet det kræver lidt planlægning og du sætter dig lidt ind i tingene men det er et "must" hvis du vil have en smule sikkerhed. Der ud over skal du særfølgelige også hardne din maskine som bufferzone skriver. Jeg mener han har skrevet et par gode artikler om hvordan du gør, kig under hans profil og de artikler han har skrevet. Nårh ja og den sidste bemærkning, hold din maskine opdateret, det er altid nemmest at have lukket hullerne så der ikke er noget at udnytte :)

Kan du ikke, på en eller anden måde sikre dit billed galleri således at man kun kan uploade jpg, gif og png filer.

Hvordan fand ud af hvad der var sket

Jo jeg skal have kigget på det med billederne.

Jeg sorterede efter dato på serveren, og fandt så 2 filer under images som ikke burde være der, da jeg så navnet var den samme som ham der hackede, var jeg klar over at det var denvej de var kommet, filen var krypteret også, og da jeg ikke havde lavet noget om på serveren i flere dage, så var der ikke så mange filer at kigge igennem :)

dreamless: At smide en maskine mere op, for at sikre er lidt formeget for mig, har knap nok råd til at have de andre kørrende jeg har, kæsreten og jeg har hver vores samt serveren, men helt sikkert det ville hjælpe på sikkerheden :D

dudesicko, hvis du ikke har råd til at sætte ordenligt sikkerhed op burde du slet ikke sætte en "live" services op på nettet. Det er en risiko for dig selv og andre indirekte. At finde en gammel maskine og 3 netkort burde ikkke koste dig noget kun strømmen. Er det strømmen der er problemet kan du købe en hardware firewall eller bruge et stykke "embbed hardware" som feks. soekris til at køre m0n0wall på.