Avatar billede disable Nybegynder
03. december 2005 - 18:39 Der er 6 kommentarer og
1 løsning

nyinstall. Stoppede services - alligevel kommer nogen ind?

Hej eksperter.

Jeg ved ikke, om jeg vil spørge - eller om jeg blot konstaterer.
Men måske kan i hjælpe mig til, hvad der går/gik galt.

Jeg har netop re-installeret W2000 adv. server pga. jeg syntes den havde sendt lige vel mange bytes.. Netværksforbindelsen stod og kørte konstant, så der har vel nok været nogen forbi.

Efter re-install (uden forb. til internet) lukkede jeg samtlige services, jeg ikke har brug for, da jeg kører webserveren med Fireserv php server og bruger BulletProof som FTP.

Da alt kørte, smed jeg maskinen på nettet for at besøge Windows Update.

Efter genstart, åbnede et mIrc vindue, som jeg ikke har installeret - Det lukkede meget hurtigt igen.

Jeg tjekkede så med HiJackThis.
Derefter fandt jeg omkring 12-14 ændringer i reg-db og programmer, der var sat til at køre.
Sådan nogle som svcho5t.exe og scvhost.exe .. Desuden en 'Firewall', som var et Micro5oft program..

Inden jeg smed den på nettet, slettede jeg diverse brugere, og ændrede Administrator til mit eget navn.

Efter genstart, var der tilføjet nye brugere (Internet-brugere, åbenbart.)
Nu har jeg ladet de brugerkonti være, men disabled dem.

Hvordan i hele hule h...... kan sådan noget ske, bare fordi jeg smider serveren på internettet og besøger Microsoft update?

Jeg kan godt tænke så langt, at det ikke er Microsoft, der har installeret skidtet.. Men hvordan har nogle fundet et hul i min server så hurtigt ?

Der er point til gode - og (for mig) lærerige svar :-)
Avatar billede disable Nybegynder
03. december 2005 - 19:44 #1
Nu har jeg testet med 'Shields Up!' på www.grc.com .. Og der er to åbne porte. (80 og 81.) og en lukket (113). 80 er den, Fireserv Apache serveren kører på. Der er en index fil, der redirecter til en www adresse (på en anden server.) Port 81 kører FsHost (program til at hoste MS FlightSimulator 2004)

FS2004 kræver også, at port 23456 er åben.. Før i tiden valgte jeg i routeren, at FsHost skulle åbne for port 81 til 23456 ... Er det måske derfor, der gik ged i den i første omgang ?

Kan jeg gå ud fra, at min server er nogenlunde sikker nu?
Avatar billede johnnymadsen Nybegynder
04. december 2005 - 09:44 #2
Svar til punkt 1 er 'Shields Up!' er fint men prøve også en portscanner på din server og glem ikke din router hvsi den er med i dit detup.

Svar til punkt 2 er ja, her gik det galt for dig.

Svar til punkt 3 en server er sikker hvsi du holder øje med den samt gennemser log hver dag, og opdatere den samt beskytter den med AV.
Dettil skal du også huske din router hvsi det er af god kvalitet kan lukke en hel del af.

Så du har fået lidt dyre lærepenge, men det er altid i sådanne situtationer men lærer :)
Avatar billede disable Nybegynder
05. december 2005 - 17:06 #3
Jeg vil da i hvert fald lige overvåge den i de kommende dage.
Meget tyder på, at den ikke står pivåben, som før.. :-D

Er det muligt at finde en fingersnild, der kan se, hvor åben serveren er, og så komme med gode råd til, hvordan man lukker eventuelle huller, monstro?
Avatar billede pcn Nybegynder
09. december 2005 - 17:01 #4
Du kan da give besked on adressen så skal jeg se om ??????????
pcn
Avatar billede disable Nybegynder
19. december 2005 - 18:44 #5
Er det IP adressen, du tænker på, pcn ?
Avatar billede pcn Nybegynder
19. december 2005 - 23:27 #6
Nu er der jo gået noget tid...........
Men det var en Ip xxx.yyy.vvv.zzz jeg efterlyste...
Jeg har en server kørende på 8 år........
Den kører en hel del samt en web desuden er der en løs firewall..
  --
Send KUN post som tekst, fight virus.
Preben Charles Nielsen Vildtbaneparken 114 E 2635 Ishøj
Tel:43733807 Dat:43733808 Mob:24495288 ISDN:43733805
Post: p-c-n@tiscali.dk, http://www.1pc.dk

  --
Avatar billede disable Nybegynder
26. april 2006 - 10:34 #7
Hmm..
Glemte helt, at jeg havde dette spørgsmål åbent.
Serveren er blevet sat op et par gange siden - og der er ingen problemer nu.

Lukker
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester