Luk for adgang udefra

Instaler en firewall

har jeg gjort.

Jeg er bange for at der er en hacker der har været inde og kigge - hvordan kan jeg tjekke?

http://download.com.com/3000-2092-10247416.html?tag=lst-0-5

jeg HAR sygate...

Er der ikke meningen at dine webstder skal kunne nås fra nettet, det er ligesom derfor man opsætter en server.

Sikkerhed er andet og mere end en firewall. Jeg har skrevet et par artikler om enmet du kan kikke op. Se under artikler her på Eksperten

bufferzone > Nej, jeg har ikke brug for at folk udefra kan tilgå mine sider - jeg tester kun lokalt.

Sikkerhed på din private Computer. http://www.eksperten.dk/artikler/32

Jeg vil lukke af for adgang til IIS og Apache udefra

Så skal du bl.a. lukke for portene 20, 21, 80 og 8080 som minimum

hvordan gør jeg det?

Det kommer an på hvilken firewall du har og om det er en ordentlig firewall du har. Hvis det er en personlig (software) firewall, er det typisk lidt vandskeligt og nogle af dem kan ikke lukke på port niveau

det er en personlig firewall :( Men jeg vil meget gerne vide hvordan man gør.

Hvad er det for en, sygate, Zonalarm, bitguard, det gøres forskellige i dem alle og jeg kender ikke dem alle

sygate personal

Det gør du under tools - Advanced Rules - Add

Her opsætter du specialregler for alle porte, både TCP og UDP, mindst indgående.

Under faneblader Ports and protokols

Højreklik på iconet nede i din taskmanager / advanced rules / ports and protocols / der vælger du TCP i den første rullepanel. dernæst kan du i det næste rullepanel lukke for diverse porte

OK, så fik jeg lukket af - tror jeg. Hvordan finder jeg ud af om en hacker har været inde og rode - og hvad han i givet fald har lavet?

Det er ikke så let, især hvis du ikke har nogen log. Du kan læse denne artikel

Hackerbesøg, hvordan opdages de, og hvad gør du. (Windows systemer) http://www.eksperten.dk/artikler/135

Det har jeg desværre ingen anelse om

bufferzone > Har nu læst din artikel og blevet lidt klogere. Men er det tilstrækkeligt at lukke af for de porte?

Your computer's TCP ports:
80, 113, 79, 23 and 22 have been scanned from 207.33.111.37.

Your computer's TCP ports:
22, 21, 110, 1080 and 8080 have been scanned from 207.33.111.37.

Det kommer jo an på trudslen. Det vil fjerne de fleste hackere, man hvis han vil ind, kommer han det. Man kan gøre meget, men det skal jo stå i forhold til trudslen, hvis ingen hacker dig, er der jo heller ingen grund til at sikre sig ydereligere.

Scanninger sker ofte og når du har IP adressen kan du jo slå den op og se hvem der er

Grunden til at jeg har mistanke om det, er at jeg ikke kunne logge på min bank - jeg blev afvist - på samme måde som hvis jeg har forsøgt at logge på med det gale password mere end 3 gange.

Ip adressen slået op hos RIPE

http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=207.33.111.37&do_search=Search

fortæller ikke meget

Jeg har selv lige prøvet. Hvis din netbank opfører sig mærkeligt, bør du med det samme kontakte din bank og tale med dem om det. Der kan være mange grunde til at du ikke kan komme på, nogle af dem kan være slemme

Har prøvet at ringe til dem

I stedet for at lukke porte, så fortæl sygate at intet trafik udefra er velkommen.

sygate burde faktisk have alt lukke som default.. du har ikke af en mærkelig grund flueben i "allow all" ?

I logbogen for min computer, kan jeg så gå ud fra at det er en hacker alle de steder hvor der står Ikke tilgængelig ved "bruger" ?

Nej bestemt ikke, logfilen skal læses nøje for at du kan slutte noget fornuftigt. Start med at se efter ting ser ser mærkelige ud.Hvis hackeren er god kan du faktisk ikke regne med loggen, den kan være editeret.

heh, bufferzone, hvornår kommer de opløftende svar?

Er der nogen tjenester du synes jeg skal slå fra for ikke at kompromittere systemet yderligere?

Du bør slå alle tjenester fra du ikke har brug for. I virkeligheden har du nok brug for en sårbarhedsanalyse, man får at kunne lave den for dig, er jeg nødt til at mødes med dig personligt, og på den måde sikre mig at du bfaktisk er ejeren af det net der skal analyseres og at du juridisk kan give mig lov til at gøre det. (Min sikring af at du ikke sætter mig til at hacke en anden)

bufferzone > Hvordan vil det kunne lade sig gøre i praksis? Jeg bor i kbh - hvad med dig?

Der lå en skummel fil ved navn C:\DOCUME~1\Lars\LOKALE~1\Temp\K7lw.exe på 192 mb :( gad vidst hvad det var...!

Prøv at scanne din ipadresse med http://scan.sygate.com for at se om der er noget snavs der lytter, ellers kan Arlet, Fromsej eller Aovergaard hjælpe dig med en logfil fra HijackThis

Jeg or på frederiksberg. Kontakt mig på kim@bufferzone.dk så vender jeg tilbage, jeg tørner ind for i aften

scan.sygate.com

Trying to gather information from your web browser...

Operating System = Windows XP
Browser = Microsoft Internet Explorer 6.0

Trying to find out your computer name...

Unable to determine your computer name!


Trying to find out what services you are running...

Unable to detect any running services!

ok, jeg mailer dig i morgen eftermiddag.

ezolu -> Inden bufferzone går igang med et størrere arbejde, så smid lige den hijackthis herind.
Hent lige en hijackthis : http://www.arlet.dk/kunhjt.htm

arlet, here goes

Logfile of HijackThis v1.97.7
Scan saved at 12:46:15, on 03-02-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programmer\PestPatrol\PPControl.exe
C:\Programmer\PestPatrol\PPMemCheck.exe
C:\Programmer\PestPatrol\CookiePatrol.exe
C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmer\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programmer\Internet Explorer\iexplore.exe
C:\Documents and Settings\Lars\Skrivebord\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmer\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programmer\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programmer\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programmer\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [THGuard] "C:\Programmer\TrojanHunter 3.8\THGuard.exe"
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1840e4841dd22a0d1806/netzip/RdxIE601.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37707.6740046296
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{06836985-ACBE-46D1-BDAC-FADF53208F76}: NameServer = 212.54.64.170,212.54.64.171
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADB94600-5C39-4BF7-B20E-43EEC10A3897}: NameServer = 212.54.64.170,212.54.64.171
O17 - HKLM\System\CS1\Services\Tcpip\..\{06836985-ACBE-46D1-BDAC-FADF53208F76}: NameServer = 212.54.64.170,212.54.64.171

kigger den lige igennem

Der var kun nogle unødvendige ting:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Allerførst skal du slå systemgendannelse fra. Hvis du ikke ved hvordan du gør det så kig her: http://www.arlet.dk/systemgendannelsen.htm derefter skal du åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for disse filer jeg har skrevet nedeunder. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :


O4 - HKLM\..\Run: [TkBellExe] "C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe" -osboot

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1840e4841dd22a0d1806/netzip/RdxIE601.cab


Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:


C:\Programmer\Fælles filer\Real\Update_OB\realsched.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.
Først når din log er endelig godkendt, må du aktiver din systemgendannelse igen.

arlet > Jeg tvivler alvorligt på at det har noget med det at gøre??! Det er jo bare realplayer?

enig. Læs min øverste linje*S*

Det er den der søger på opdateringer og bruger unødige kræfter, derfor sletter vi den altid

fjern den, så er det en clean maskine bufferzone overtager.

En gang fjernede jeg den også selv hver gang, men den kommer igen ligeså snart man har brugt realplayer(lorteprogram..!)

bufferzone > Jeg har sendt dig en mail nu :)

Prøv iøvrigt at se her

Hændelsestype:    Oplysninger
Hændelseskilde:    W32Time
Hændelseskategori:    Ingen
Hændelses-id:    35
Dato:        02-02-2004
Klokkeslæt:        11:45:34
Bruger:        Ikke tilgængelig
Computer:    LARSD
Beskrivelse:
Tjenesten Tid synkroniserer nu systemtiden med  tidskilden time.windows.com (ntp.m|0x1|195.47.170.126:123->207.46.130.100:123).

Yderligere oplysninger finder du under Hjælp og support på http://go.microsoft.com/fwlink/events.asp.




Tjenesten Tid har ikke kunnet synkronisere systemtiden i 49152 sekunder, da ingen tidsprovidere har kunnet  sende et brugbart tidsstempel. Systemuret er ikke synkroniseret.

Yderligere oplysninger finder du under Hjælp og support på http://go.microsoft.com/fwlink/events.asp.


Hændelsestype:    Fejl
Hændelseskilde:    Service Control Manager
Hændelseskategori:    Ingen
Hændelses-id:    7000
Dato:        02-02-2004
Klokkeslæt:        11:02:47
Bruger:        Ikke tilgængelig
Computer:    LARSD
Beskrivelse:
Tjenesten Dmc335n kunne ikke starte pga. følgende fejl:
Den angivne fil blev ikke fundet.

Yderligere oplysninger finder du under Hjælp og support på http://go.microsoft.com/fwlink/events.asp.


Hændelsestype:    Oplysninger
Hændelseskilde:    Application Popup
Hændelseskategori:    Ingen
Hændelses-id:    26
Dato:        02-02-2004
Klokkeslæt:        11:00:55
Bruger:        Ikke tilgængelig
Computer:    LARSD
Beskrivelse:
Program-pop-up:  : Machine Check: Regs

Yderligere oplysninger finder du under Hjælp og support på http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 00 00 08 00 03 00 6c 00  ......l.
0008: 00 00 00 00 1a 00 00 40  .......@
0010: 00 00 00 00 1a 00 00 40  .......@
0018: 00 00 00 00 00 00 00 00  ........
0020: 00 00 00 00 00 00 00 00  ........
0028: 00 00 00 00 00 00 00 00  ........

lugter det ikke ret grimt?

Gælder din artikel på bufferzone.dk om opsætning af IIS, også for opsætning på IIS på win2k pro dk ?

Den artikel er lidt gammel, og trænger til opdatering. På http://www.nsa.gov og http://www.cert.dk kan du finde vejledninger i opsætning af iis af nyere versioner.

De hændelser loggen viser, kan du slå op på http://www.microsoft.com/technet, søg på event id xxxx hvor xxxx er nummeret fra din log

Nu har jeg fået installeret w2k med sp4 og alle andre updates, sygate og fulgt vejledningen i opsætning af IIS på cert.dk

Hvad med alle sikkerhedsopdateringer pg patches. prøv at scanne med http://windowsupdate.microsoft.com efterfuldt af en scanning af MS baseline security analyzer

Har kørt IIS lockdown tool og lukket alt, kørt windowsupdate og installeret alt sikkerhedsupdate, kørt MS baseline security analyzer hvis result kommer her

Windows Scan Results


Vulnerabilities

  Score  Issue  Result 
Automatic Updates
Updates are automatically downloaded, but not automatically installed on this computer.
What was scanned                How to correct this

Password Expiration
Some user accounts (2 of 4) have non-expiring passwords. 
What was scanned      Result details      How to correct this

Internet Connection Firewall
Internet Connection Firewall is not installed or configured properly, or is not available on this version of Windows.
                   

Local Account Password Test
Some user accounts (1 of 4) have blank or simple passwords, or could not be analyzed.
What was scanned      Result details

File System
All hard drives (1) are using the NTFS file system.
What was scanned      Result details

Autologon
Autologon is not configured on this computer.
What was scanned     

Guest Account
The Guest account is disabled on this computer.
What was scanned     

Restrict Anonymous
Computer is running with RestrictAnonymous = 2. This level prevents access to any resources that do not have explicit permissions set for the Anonymous account.
What was scanned     

Administrators
No more than 2 Administrators were found on this computer. 
What was scanned      Result details



Additional System Information

  Score  Issue  Result 
Auditing
Logon Success and Logon Failure auditing are both enabled.
What was scanned               

Services
Some potentially unnecessary services are installed.
What was scanned      Result details      How to correct this

Shares
2 share(s) are present on your computer. 
What was scanned      Result details      How to correct this

Windows Version
Computer is running Windows 2000 or greater.
What was scanned               



Internet Information Services (IIS) Scan Results


Vulnerabilities

  Score  Issue  Result 
IIS Lockdown Tool
The IIS Lockdown tool has been run on the machine.
What was scanned     

Sample Applications
IIS sample applications are not installed.
What was scanned     

IISAdmin Virtual Directory
IISADMPWD virtual directory is not present.
What was scanned     

Parent Paths
Parent paths are not enabled.
What was scanned     

MSADC and Scripts Virtual Directories
The MSADC and Scripts virtual directories are not present.
What was scanned     



Additional System Information

  Score  Issue  Result 
IIS Logging Enabled
All web and FTP sites are using the recommended logging options.
What was scanned               



SQL Server Scan Results

  Score  Issue  Result 
SQL Server/MSDE Status
SQL Server and/or MSDE is not installed on this computer.
         



Desktop Application Scan Results


Vulnerabilities

  Score  Issue  Result 
IE Zones
Internet Explorer zones do not have secure settings for some users.
What was scanned      Result details      How to correct this

Macro Security
4 Microsoft Office product(s) are installed. Some issues were found.
What was scanned      Result details      How to correct this

Hvordan kan jeg være sikker på at han ikke er inde igen. Må sgu indrømme jeg er blevet lidt paranoid over det her :(

Det meste af det ser rigtig godt ud, du bør kikke på:

- Password Expiration
- Internet Connection Firewall (brug XP's egen eller ander software firewall, f.eks. sygate's)
- Local Account Password Test
- Services
- IE Zones
- Macro Security

Du kan i de links baseline security analyzer giver dig se hvordan. Der bliver ikke meget at kikke på under sårbarhedsanalysen, det er godt

Helt sikker kan du først være hvis du anvender en host based intrution detection system som Tripwire, men det koster. Ellers kan du holde øje med de ting jeg beskriver i min artikel om hvad du gør hvis du har haft hackerbesøg

Har lukket en del services ned..

Hvad med http://www.tripwire.org/ ?

I øvrigt undrer jeg mig over en mappe der er genereret i

C:\Documents and Settings\Administrator\Dokumenter\Security\Database

med indholdet

sct173.tmp
sct1E.tmp
sct2F.tmp
sctB.tmp som alle er 0-byte *.tmp filer - hvad kan det være?

www.tripwire.org jep det er den, men den er, så vidt jeg husker, kun gratis til linux og koster til windows.

stc filerne kender jeg ikke, man jeg undersøger hvad det er og vender tilbage

prøvede lige at kører netstat -an

Noget siger mig at det er rivende galt :(

eksemeel

Lokal adresse
http://195.47.170.126:1091

Fjernadresse
http://66.102.11.99:80

har sendt dig en mail med screenshots

får sgu dårlige nerver af det her :(

Det ser umiddelbart ikke godt ud. Du har noget netbios kørende. og någet jeg lie skal undersøge.

Du kan starte med at dusable netbios. Som jeg husker det, højreklik netværkssteder. vælg dit netkort, højreklik dette vælg egenskaber og fjern hakkerne i Klient programmer til MS... og fil og print deling... Hvis du altså ikke bruger disse ting. Det vil fjerne en del muligheder. Resten kikker jeg lige på.

Du har en IP adresse, den kan du måske banne i din router eller i firewallen

Har disablet netbios nu, hakkerne har hele tiden været fjernet i Klient programmer til MS og fil og prin deling.

> Du har en IP adresse, den kan du måske banne i din router eller i firewallen

Der er masser af forskellige IP adresser der står som fjernadresse når jeg kører netstat -an, gad bare kun skrive én ind her. Se vedhæftede mail for de øvrige.

Jeg tror ikke der er tale om en hacker, jeg har søgt på de porte der var i din netstate rapport. Der køre tilsyneladende en del trafik, noget af det netbios relateret på nettet i øjeblikket, men jeg har ikke kunne finde nogle exploits der udnytter det. Jeg ville gøre følgende.

Placere en firewall foran serveren. F.eks. en zywall, der har pakkefiltrering med stateful inspection. og installere en software firewall på selve serveren. f.eks. en sygate eller Kerio. Denne kombination håndtere både netværkstrafik og applikationer fra selve serveren. og så holde godt øje med loggen i den kommende tid. E.v.t. hvis du har maskiner til det, placere en Intrution detection maskine med Snort på linien mellem serveren og routeren.

Hmm, jeg har ikke mulighed for nogle af de ting du nævner :( Men er det virkeligt nødvendigt for at have en IIS kørende som KUN skal bruges til lokal afvikling af asp?

I øvrigt giver grc.com fuld stealth på alle scanninger - ved ikke om det giver noget i denne sammenhæng eller om det er falsk tryghed?

Men er det virkeligt nødvendigt for at have en IIS kørende som KUN skal bruges til lokal afvikling af asp> vvar det ikke det du ville. Du skriver øverst at du vil lukke for at folk kan tilgå dine hjemmesider udefra. og så skal den jo kun kunne tilgås lokalt, eller har jeg misforstået noget??

grc virker normalt upåklageligt, hvad præcist der sker er svært at afgøre når man ikke sidder på selve maskinen og har adgag til alle logs

Nej tror ikke du har misforstået noget. Tænkte bare på om det du nævner med router, zywall, ekstra maskine etc. er nødvendigt når man bare vil teste sine asp sider lokalt.

I øvrigt mht. den mappe jeg nævnte tidligere, så er der en tilsvarende mappe i c:\WINNT\security - dog med et andet indhold.
Er det mon noget windows har genereret selv?

Synes du jeg skal - som du nævner i din artikel - tage kontakt til min udbyder og politi?

Det er nødvendigt hvis der er adgang til nettet, da det er her hackeren kommer ind.

prøv at se her
http://www.eksperten.dk/spm/461335 der er flere end dig der har problemer

Synes du jeg skal - som du nævner i din artikel - tage kontakt til min udbyder og politi?

i øvrigt,

på http://scan.sygate.com/ står der at hvis man finder entries i sin log fra 207.33.111.37 så skal man ikke tage sig af det.

en anden ting - kørte lige netstat -a igen
Aktive forbindelser

  Proto  Lokal adresse          Fjernadresse          Status
  TCP    lars-qbr82bnd6y:epmap  lars-qbr82bnd6y:0      LISTENING
  TCP    lars-qbr82bnd6y:microsoft-ds  lars-qbr82bnd6y:0      LISTENING
  TCP    lars-qbr82bnd6y:1026  lars-qbr82bnd6y:0      LISTENING
  TCP    lars-qbr82bnd6y:1027  lars-qbr82bnd6y:0      LISTENING
  TCP    lars-qbr82bnd6y:1028  lars-qbr82bnd6y:0      LISTENING
  TCP    lars-qbr82bnd6y:1586  lars-qbr82bnd6y:0      LISTENING
  TCP    lars-qbr82bnd6y:3372  lars-qbr82bnd6y:0      LISTENING
  TCP    lars-qbr82bnd6y:1565  80.80.3.197:http      TIME_WAIT
  TCP    lars-qbr82bnd6y:1586  66.102.9.104:http      ESTABLISHED
  TCP    lars-qbr82bnd6y:1587  80.80.3.197:http      TIME_WAIT
  UDP    lars-qbr82bnd6y:microsoft-ds  *:*
  UDP    lars-qbr82bnd6y:1025  *:*
  UDP    lars-qbr82bnd6y:1050  *:*
  UDP    lars-qbr82bnd6y:1585  *:*
  UDP    lars-qbr82bnd6y:isakmp  *:*

og søgte på http://www.google.dk/search?hl=da&lr=&ie=UTF-8&oe=UTF-8&sa=G&q=%2280.80.3.197%22 som viser et lidt stenet resultat.

Hvordan skal jeg tolke resultater af netstat kommandoen?