18. juni 2003 - 18:37Der er
68 kommentarer og 2 løsninger
Mange trojan/sub7 angreb.
Da jeg fik adsl tilbage i februar kørte det fint uden specielt mange af føromtalte angreb/portscanninger. Men inden for den sidste måned er det nærmest eksploderet. Jeg får gennemsnitlig 1-3 sub7 trojan meldinger fra norton personal firewall (2003) i timen. Havde en ven (og hans computer) på besøg igår. Efter 5 min blev hans også angrebet, og dette skete også ca 1-3 gange i timen mens han var her. Han har selv fast forbindelse derhjemme, men får ca 1 angreb om ugen. Hvorfor så mange på mit net. Lidt info: Har 512/128 adsl hos tdc 2 dynamiske ip´er Opsat fra modem->switch->computere Har selv 2 computere, en med win98 og en med winxp. Når den ene bliver angrebet, bliver den anden også angrebet. Ip´erne ligger som regel lige op ad hinanden f.eks xx.xxx.xxx.100 og xx.xxx.xxx.110 Min ene computer (med winxp) står næsten altid tændt (ca 12t i døgnet) Det jeg bruger på nettet er: CounterStrike, Icq, mIRC og Iexplorer.
Nogen der kan give mig nogle gode råd, til hvordan jeg får mindsket disse angreb. Ville det hjælpe at spørge tdc om at ændre ip (hvis de altså gør så noget uden videre)?
Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.
Du kan scanne din pc for virus ( www.pandasoftware.com/activescan ), og hvis den ikke finder noget, så er det sikkert bare en almindelig ping eller portscanning (som der bliver udført hele tiden på mange tusinde computere)
Nej hør nu selvfølgelig skal du ikke slette din harddisk. Du er jo ikke blevet angrebet endnu, men kun forsøgt angrebet. Jeg har også ADSL og er i flere måneder end ikke forsøgt angrebet. Jeg har været ind og lukke nogle ekstra porte. Derudover har jeg flere programmer til at passe på mig hele tiden så jeg ikke får dette skidt ind. Jeg har også sat en masse adresser i klasseficeret zone som blokere for disse.
Gå til dette link: http://www.spywarefri.dk under værktøjer finder du en masse gode gratis værktøjer så som: IE Spyad Browser hijack blaster SpywareGuard Spywareblaster Under tip og trick finder du derudover en del adresser som du selv manuelt kan tilføje i klasseficeret zone. Der er en masse i IE som ligger sig automatisk når du installerer programmet, resten ligger her under tip&trick
Derudover er det jo selvfølgelig nødvendig med AV samt en spywarescanner som enten Spybot eller Ad-aware. Vil du betale for det kan jeg anbefale Aluria. Alle de nævnte ligger også under værktøjer på spywarefri.
Kan også lige nævne, at en del af sub7/trojan "angrebne" kommer tit fra samme sted (får oftest fra tyskland/israel/californien). Har haft 2 fra danmark af (har givet udbyderne besked). En enkelt gang har jeg haft et direkte angreb.
prøv at downloade det her program, og scanne din comp for trojanere http://www.anti-trojan.net/en/ det er et kanongodt lille program, som finder de fleste trojanere. For resten, hvordan ved du at det er den trojaner (sub7)? Min norton melder kun portnummer hvor angrebet finder sted, og angriberens ip.
Da jeg i sin tid fik ADSL fik jeg også disse portscanninger hele tiden. Jeg kontaktede TDC for at høre hvad der var galt, og de oplyste at deres sikkerhed i ADSL ikke var så høj som den var hvis man "bare" havde alm. netværk via modem. Derfor er det også ekstra vigtig med firewallen.
ebe -> Den popper op med det når det sker hos mig. (man kan vælge hvor meget den skal vise i indstillinger), ellers kan du se det i loggen: http://www.ebruger.dk/img/dote/chalde_hack.jpg
chalde>> ok :) der ligger i beskrivelsen af sub7 også en vejledning hvordan man fjerner den manuelt, hvis anti-trojan ikke skulle kunne fjerne den. Men normalt skulle norton antivirus kunne finde og fjerne den også, mener jeg.
Plugins The Hybris plugins are: news - This plugin fetches and posts new Hybris updates from/to Usenet news, specifically the alt.comp.virus newsgroup. http - This plugin fetches new Hybris updates from web sites (which are by now shut down). avip - This plugin blocks connections to known antivirus web sites. i_rz - This plugin enables the worm to insert itself into ZIP and RAR archives. iexe - This plugin enables the worm to infect other DOS exe files on the disk. i_pe - This plugin enables the worm to infect and corrupt Windows executables on the disk. sub7 - This plugin enables the worm to find and copy itself to other users already compromised with the SubSeven backdoor. @@@@ - This plugin contains a screen effect (a rotating black/white spiral). encr - This plugin enables the worm to encrypt parts of itself. serv - This is a basic plugin retrieves mail server and nntp server info. text - This plugin enables the worm to change text/subject/attachment name in the email messages that are sent.
Other plugins (poly, pdll, d2av) which seem to contain polymorphism and more anti-antivirus techniques, have been set into circulation by the author. So far we have not seen that they have been used by the worms in the wild.
den jeg mangler er: version 5.1.2600.0 jeg laver en sfc /scannow senere. Så må den gamle da komme ind. Evt bare slete den (så popper windows jo op med en "blablabla fil mangler sæt cden i" besked)
Antitrojan ville jeg nu ikke bruge. Den hører heller ikke til de anerkendte trojanfjernere og koster efter en prøveperiode 25 USD. Der er tre rigtig gode hvis du vil betale. Det er BoClean, TDS-3 og TrojanHunter. De er alle pengene værd.
perhaps -> Er lige blevet færdig med antitrojan. Men du må meget gerne linke til dem du nævnte.
Log fra antitrojan: Portscan:
Port 135 open. Port 139 open. Port 445 open. Port 1025 open. Port 1031 open. Port 1033 open. Possible trojans. NetSpy Port 2774 open. Port 2775 open. Port 2788 open. Port 2789 open. Port 2790 open. Port 2791 open. Port 5000 open. Possible trojans. Sockets de Troie, Blazer 5
chalde>> inden du begynder at rode og slette en masse, fjern alle applikationer fra norton listen over programmer som må gå på nettet. Slå automatisk konfiguration fra, og hold øje med hvem der melder sig på vej ud. Tillad kun programmer, som du kender og ved skal have lov. Hvis der kommer noget mistænkeligt, nægt den at komme ud og se hvad der sker. Hvis du har en trojaner, dukker den efterhånden op.
Jeg tror ikke du har en trojaner (mere?) hvis hverken norton eller anti-trojan har fundet den. det kan være, at den en gang i fortiden har sendt din ip hjem til mor og far, og at de derfor bliver ved med at scanne dig engang imellem. Sørg for ikke at åbne for alt muligt mærkeligt i din firewall, og tag den med ro, tror jeg..... :)
ebe> Ja og det er jo egentlig ikke så meget. Det kan du også finde ud af hvis du f.eks. går ind på Spywarefri.dk og klikker på Trojanerporte i menuen. Her er de tre gode trojanfjernere, som koster.
Den kommunikation som norton blokker for, sker der jo ikke noget med. Hvis du er i tvivl om de andre åbne porte bruges til noget skidt, kan du jo lukke for dem og se hvad der sker.... Jeg mener at xp har en livlig traffik på nettet uden at fortælle dig det, og hvis du har autokonfiguration slået til, opdager du det aldrig. Men jeg ved ikke hvilke porte der bruges til det.
I kender ikke nogle freeware trojan fjernere? Men det skulle også undre mig hvis jeg havde en trojan, da jeg er meget paranoid :-) og scanner comp regelmæssigt, samt updatere firewall og antivirus jævnligt. Irriterer mig godt nok en del, at norton ikke fandt den w32/hybris.
Har også sat norton til at advare hvis ubrugte åbne porte bliver accessed. Helt præcist hvor i norton åbner/lukker jeg for porte? Og kan jeg lukke for alle trojaner porte, uden andre programmer vil få problemer?
Hvis du vil scanne komprimerede filer med norton, skal du sætte hack, jeg mener det er under options. Du åbner og lukker porte ved at tilføje dem i listen under options - advanced options - other (vers 2002) Det kan godt være andre programmer får problemer, men så melder de sig jo nok og du kan åbne igen.
Ka ikke lige finde det, men har slået en masse andet til (eks. at norton advarer hvis et program med internet adgang, åbner for et andet ukendt program)
Spywarefri's onlinescanner som du finder ved at klikke logoet midt på forsiden har rent faktisk sub7 med i databasen. Den snupper nemlig også en del trojaner.
Ellers vil jeg sige at det er meget vigtigt at du installerer nogle af de programmer som aovergaard har nævnt. Ad-aware (eller Spybot) sam SpywareBlaster og IE-Spyad kan du ikke undvære. De fylder ingenting, de konflikter ikke med noget, nemme at bruge og opdatere og så er de gratis.
Ja, jeg ville blokke al traffik udefra medmindre jeg har bedt om den. Du kan med norton checke hvem der har ip-adressen, men som regel får du et svar som f.eks. universitetet i Groningen, fordi hackere som regel slører deres ip ved at køre igennem åbne relays.
Men tror jeg er lidt mere sikker end før. Ku bare være fedt hvis jeg kunne få minimeret trojan/sub7 attempts. Men så hedder det vel at anmelde til udbyderen og i sidste ende politiet (anbefalede tdc mig faktisk). men smid et svar, du har hjulpet mig med en del, så du har fortjent point.
remarks: ---------------------------------------- remarks: Network problems to: noc@skynet.be remarks: Peering requests to: peering@skynet.be remarks: Abuse notifications to: abuse@skynet.be remarks: ---------------------------------------- du kunne f.eks. anmelde den her til abuse@skynet.be. Men det er sikkert bare en relay. Men det kan jo ikke skade at beskrive angrebet, kopiere denne side og maile den.
Tror faktisk at det hjælper. Fik en del fra et universitet i usa, mailede til deres abuse, og attempts stoppede en uge efter. Det samme med nogle sub7 fra sunnydale i usa. Men dem fra isreal stoppede ikke. Men det ka jo også være at de blev trætte af og blive "afvist" af min firewall.
Det kan jo være, at "abuse" på serverem har blacklistet deres ip, så de ikke kan komme igennem mere. Men så finder de bare en anden vej. Der findes en masse programmer på nettet til formålet, som selv opdaterer en liste med åbne servere hele tiden som man så kan bruge til dette (eller andre) formål.
Her http://www.spywarefri.dk/onlinevark.htm finder du ikke mindre en 5 onlinescannere specielt for trojaner, samtidig finder du også flere programmer som skanner porte. Nogle meget interessante links som du kan kigge lidt nærmere på, og dette http://www.pcflank.com/trojans_test1.htm er den bedste onlinescanner efter min mening specielt for trojaner.
ebe -> skulle også lige til og skrive "Så skal man jo helst igennem udbyderen og give besked om det først" rimelig surt at blive dømt, bare for at teste sikkerheden mod dem der egentlig burde dømmes.
En lille væsentlig detalje er selve kilden. At du bliver udsat for "angreb" er hvad det er... så længe du blot er ordenligt beskyttet.
Mit gæt er, at du ofte benytter p2p software som edonkey, kazaa og lignende. Dette er en åben invitation til scriptkiddies og andre småsuspekte personer. p2p programmerne skriger jo din IP adresse ud med store bogstaver.
Det eneste råd, hvis man vil være fri for forsøg på omtalte type "angreb" er at holde sig langt væk fra alle p2p services.
nanoq -> Må "desværre" skuffe dig. Ingen p2p programmer. Har ikke noget at bruge dem til. Som sagt er de eneste programmer jeg bruger: CounterStrike, Icq, mIRC og Iexplorer. mIRC er nok det sted jeg er mest "sårbar", men bruger det ikke særligt tit.
Lukker. Hvis der er nogen der vil have point som ikke har fået, må de poste og "brokke" sig. Mærkeligt nok har jeg ikke haft et eneste angreb siden weekenden. Mistænker portscanningerne for at være den nye trojan der har scannet siden engang i starten af maj (hvor de mange portscanninger op min comp startede.
Anyway. Tusind tak for hjælpen alle sammen, er blevet en del klogere.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
