Søg
Avatar billede chalde Seniormester
08. august 2004 - 21:48 Der er 30 kommentarer og
5 løsninger

Mange portscanninger/forsøg på indtrængen.

Hejsa!
Jeg har på det sidste fået ekstremt mange portscanninger, og det ender som regel med forsøg på indtrængen med LSASS  buffer overflow.
Her til aften er jeg så blevet angrebet med noget der kunne minde om ddos i følge sygate. Og det er ikke kun fra en ip af, men en hel del.
Til forskel fra de sædvanlige scanninger som stammer fra tdc-bredbåndkunder (ifølge backtrace/whois), er disse fra andre isp'er, men samme macadresse ifølge sygate.
Blocker jeg mac-adressen i sygate, kan jeg ikke komme på nettet med iexplorer.

Her er loggen fra idag af:
http://www.chalde.frac.dk/log1.jpg
http://www.chalde.frac.dk/log2.jpg
http://www.chalde.frac.dk/log3.jpg

Er det en person der har udset mig som et "sjovt" offer, eller ligger der andet under?

Er igang med en avastscanning (efter en panda som ikke fandt noget), og den fandt tegn på en trojan-gen og BiSpy. Filer fjernet, intet i run/runonce eller andet.
Smider lige en hjlog bare lige for om jeg evt har overset noget.

Logfile of HijackThis v1.98.2
Scan saved at 21:44:49, on 08-08-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Programmer\Microsoft IntelliPoint\point32.exe
C:\Programmer\Motherboard Monitor 5\MBM5.EXE
C:\Programmer\WinBar\WinBar.exe
C:\Programmer\Miranda IM\miranda32.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Programmer\Winamp\Winamp.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Chalde\Skrivebord\Ny mappe (3)\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R3 - URLSearchHook: CnfSearch Class - {D7CD08F0-D691-11D8-9669-0800200C9A66} - c:\windows\system32\ConfuSearch.dll
O2 - BHO: DNSProxyObj Class - {06594350-D723-11D8-9669-0800200C9A66} - c:\windows\system32\DNSProxy.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - :C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programmer\Popup Manager\PopupMgr_1.0.2.1P.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmer\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Programmer\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Startup: WinBar.lnk = C:\Programmer\WinBar\WinBar.exe
O4 - Startup: Genvej til miranda32.lnk = C:\Programmer\Miranda IM\miranda32.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O16 - DPF: Profile CAPI 7,0,0,478 - https://udstedelse.certifikat.tdc.dk/person/applets/entrustprofileapplet-capi.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A590956F-AE99-4419-BB39-3C721276C625} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-0504.exe
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://www.seagate.com/support/disc/asp/tools/en/bin/npseatools.cab

System:
Windows Xp sp1, fuldt opdateret
Sygate personal firewall, fuldt opdateret
Avast, fuldt opdateret
Avatar billede erikjacobsen Ekspert
08. august 2004 - 21:51 #1
Mac-adressen er blot adressen på den router der står tættest på dig, enten
hjemme hos dig selv, eller hos din udbyder - den skal du nok ikke blokere ;)
Avatar billede forevernewbie Nybegynder
08. august 2004 - 21:56 #2
Det lyder ikke godt det der. vi skal have checket din maskine med en rigtig trojanscanner. Btw, har ikke kigget nærmere på loggen, det må komme senere.

Prøv dette:
Hent en trial af TDS 3 her http://tds.diamondcs.com.au/index.php?page=download
Opdateringen manuelt her http://tds.diamondcs.com.au/index.php?page=update

Fanebladet "system testing"/scan control,flueben ved alle options-save configuration, luk på X. Igen "system testing"/full system scan.
Når scanningen er færdig , højreklik på det den finder, og fjern det.

TDS 3 vil muligvis ændre i din hostsfil under installationen, det er helt ok.
Avatar billede andersenph Nybegynder
08. august 2004 - 21:59 #3
ConfuSearch.dll Skal væk ellers ligger der ikke noget i loggen.
Avatar billede bufferzone Praktikant
08. august 2004 - 21:59 #4
Det er altid noget skidt når man bliver udset som mål. Jeg gør det selv ofte, men har ikke noget i mod det, da jeg kan bruge alle angrebene i mit arbejde. Du bør gøre følgende.

Kontroller at dit system er fuldt opdateret. Herunder både windows update og updatering af alle andre programmer, f.eks. din office pakke.

Prøv at downloade Microsoft baseline security analyzer og scan dit system med denne. hvorefter du følger de anvisninger der gives.

Hvis du har servere installeret (f.eks. iis) eller icq/messenger, kunne du overveje at disable dem i den nærmeste tid, da de udgør en risiko.

Kontroller din antivirus om den er fuldt opdateret, og kik også forbi din firewalls hjemmeside og se om du har nyeste version.

Du kunne overveje at lave avanceret IP filtrering på dit netkort (du finder disse muligheder inder de avancerede IP indstillinger. Højreklik netværkssteder ob vælg egenskaber. herefter trykkes tcp/ip hvorefter du klikker dig frem til de avancerede indstillinger. Lav en positivliste hvor du kun lukker det igennem du tillader, alt andet blokkeres.
Avatar billede forevernewbie Nybegynder
08. august 2004 - 22:00 #5
Andersenph>> du ER unik *S*
Avatar billede chalde Seniormester
08. august 2004 - 22:05 #6
I er sq hurtige :-)

erikjacobsen -> Ok :-)
forevernewbie -> Tager en tds 3 scanning med det samme
andersenph -> Done :-)
bufferzone -> Bruger miranda, prøver at slukke den imorgen mens jeg er på arb, og lader comp stå tændt.
Har du link til Microsoft baseline security analyzer og office updates?
Ang. IP filtrering. Vil det ikke tage en del tid at sætte op? Spiller/surfer en del.
Avatar billede andersenph Nybegynder
08. august 2004 - 22:06 #7
>>Forevernewbie>> Vi bliver alle født som kopier. Nu er jeg ved at blive en original.
*GH*
Avatar billede forevernewbie Nybegynder
08. august 2004 - 22:14 #8
*LOL*
Avatar billede bufferzone Praktikant
08. august 2004 - 22:29 #9
Links kommer:

IP filtrering tager kun tid hvis du ikke ved hvilke porte du skal tillade, her kommer en liste

25 for smtp til at hente mail
53 for DNS, ellers kan du ikke surfe
80 for web surfing HTTP
110 for POP3 til at hente mail
443 for HTTPS hvis du vil kunne surfe sikre sider via ssh

Hvis du ruger andre tjenester kan der være andre
Avatar billede bufferzone Praktikant
08. august 2004 - 22:32 #10
http://www.microsoft.com/technet/security/tools/mbsahome.mspx
http://office.microsoft.com/OfficeUpdate/default.aspx
Avatar billede forevernewbie Nybegynder
08. august 2004 - 22:46 #11
Btw, meld lige tilbage med hvad TDS 3 finder, inden du sletter det.
Avatar billede chalde Seniormester
08. august 2004 - 23:05 #12
Den eneste mulige er denne:
Positive identification <Adv>: Possible WebDownloader
File: c:\windows\system32\vt04.exe

Resten bare filer med dual extensions jeg godt kan sige god for :-)
Avatar billede forevernewbie Nybegynder
08. august 2004 - 23:22 #13
Hvis du ikke kender filen, eller dette program http://members.fortunecity.com/diemer/german/progs.htm kan du slå systemgendannelse fra, og slette den, og genstarte. Husk at slå systemgendannelse til igen bagefter.
Den ser dog ikke alvorlig ud. Jeg er alligevel lidt nysgerrig mht. de andre filer, hvad siger TDS 3 til dem ?

Bufferzone>> TDS 3 har jo "netstat" og andre værktøjer, er der noget du vil se på der ?
Avatar billede bufferzone Praktikant
08. august 2004 - 23:30 #14
bestemt, der kan du jo se om der skulle være forbindelser åbne du ikke selv har startet.  du kunne prøve at se denne artikle, der beskriver lidt andre muligheder også

http://www.eksperten.dk/artikler/135
Avatar billede forevernewbie Nybegynder
08. august 2004 - 23:36 #15
chalde>> TDS 3: Fanebladet "system analysis">netstat, klik "all". Den kan ikke kopieres, måske du kan lave dump ?
Avatar billede chalde Seniormester
09. august 2004 - 00:08 #16
Resten af filerne er ikke noget gris. Miranda, glsetup osv.. jeg selv har hentet. De har bare 2 extensions, og det er mistænkeligt for TDS3.

Jeg kigge på det andet og vender tilbage imorgen aften. Hopper i seng nu. Arbejdet kalder jo imorgen :-/

Men tusind tak for hjælpen ind til videre :-)
Avatar billede forevernewbie Nybegynder
09. august 2004 - 14:12 #17
chalde>> Når du engang er på igen, så hent lige wwdc.exe her http://www.firewallleaktester.com/wwdc.htm og sæt den til max. sikkerhed. Det lille program fortæller selv hvordan. Visse funktioner på computeren kan holde op med at virke, såsom "windows scheduler", programmet fortæller også dette. Jeg vil anbefale at du holder den indstilling mens du er under angreb, og hvis muligt hele tiden. Programmet giver mulighed for at lempe på sikkerhedsniveauet, så du stadig er sikret rimeligt godt, men uden evt. ulemper.

Prøv derefter dette: TDS 3>fanebladet plugins og kør disse 3 små scanninger: common ports check-TCP Inspector-Trojan ports check, og meld tilbage hvad de siger om porte og connections. Og selvfølgelig også et dump af "netstat".
Avatar billede forevernewbie Nybegynder
09. august 2004 - 14:34 #18
bufferzone> Top artikel..
Avatar billede forevernewbie Nybegynder
09. august 2004 - 17:02 #19
chalde>> Du kunne også selv lave en "whois" på den "netstat", så behøver du jo ikke at lave dump. https://www.cert.dk/cgi/whois.cgi?host=80.161.138.54&nic=auto
Avatar billede chalde Seniormester
09. august 2004 - 19:12 #20
Jeg har desværre ikke vildt meget tid her til aften (selvom jeg gerne så jeg havde).
Men her er netstat:
http://www.chalde.frac.dk/netstat.jpg

Common ports -> port 25 åben ved ip 127.0.0.1

TCP inspector ->
Inspecting primary TCP ports on 127.0.0.1
Trying FTP [21] . Failed
Trying Telnet [23] . Failed
Trying SMTP [25] . Connected
Waiting for data . Packet = 34 bytes
> 220 JOE avast! SMTP proxy ready....
Trying Finger [79] . Failed
Trying HTTP [80] . Failed
Trying POP [103] . Failed
Trying POP2 [109] . . Failed
Trying POP3 [110] . Connected
Waiting for data . Packet = 30 bytes
> +OK avast! POP3 proxy ready.[...
Trying NetBIOS [135] . Connected
Waiting for data . . . . .
Trying NetBIOS [139] . Failed
Trying NetBIOS [135] . Connected
Waiting for data . . . . .
-> resten failer

Trojan ports -> Alle lukkede.

Ang. wwdc, så var rpc locator åben -> har lukket den, samt netbios (bruger netbios til spil osv, men kan jeg undlade at bruge denne?)
Btw, så er alle mine porte stealthed ifølge en shields up test.

En af mine venner kommer forbi med hans computer senere, så får vi også og se om folk går i krig med den :-)
Avatar billede chalde Seniormester
09. august 2004 - 19:14 #21
Btw. De LSASS buffer overflow jeg får (ifølge sygate). Hvad kan de stamme fra? Andre folk med inficerede maskiner?
Inden for 10 min fra jeg tændte min maskine fik jeg to "angreb" :-(
Avatar billede forevernewbie Nybegynder
09. august 2004 - 19:38 #22
Netstat vil jeg helst ikke gøre mig klog på. Det andet ser godt ud, der er selvfølgelig din mail, og det er jo ok. Port 135 bios er åben, formentlig fordi du ikke har genstartet efter indstillingen i wwdc. Du skal bruge bios til spil, ok. Men der vil jeg sige at det måske var en ide at have wwdc liggende på skrivebordet, så du kan slå til og fra. Det kræver jo en genstart at lave ændringen hver gang, og det er jo lidt bøvlet. Men jeg vil mene at med det du er ude for lige nu, bør den være blokkeret så vidt det er muligt. Andre vil muligvis være uenige. Men som jeg ser det lige nu, så tror jeg at din firewall har holdt skansen. Man kan jo aldrig sige noget 100% sikkert, men jeg syntes at det ser meget fornuftigt ud. Og igen, andre kan være af en anden mening.
Avatar billede forevernewbie Nybegynder
09. august 2004 - 19:56 #23
LSASS bufferoverflow? Jahh, din egen teori kan være lige så god som min, måske nogen af dem du spiller med, det er svært at sige. Hvis du har en 7-8 MB i overskud, kan jeg give dig et link til et program der kan blokkere det (og meget andet) Sig til hvis du vil have det, men det er ligesom om firewall, der også kan komme med "meldinger" en gang imellem, og det er jo egentlig lidt "ubekvemt".
Avatar billede forevernewbie Nybegynder
09. august 2004 - 20:06 #24
Btw, prøv og se om blokkeringen af port 135 ikke stopper det.
Avatar billede squashguy Nybegynder
09. august 2004 - 20:11 #25
alle maskiner, som er inficeret med sasser (vist nok en del), forsøger konstant at smitte andre maskiner på nettet. Men så længe din firewall stopper ormene, så sker der ikke noget.
Avatar billede forevernewbie Nybegynder
09. august 2004 - 20:41 #26
Nej, men den voldsomhed angrebet har, kunne godt tyde på et "lokalt" problem, måske andre "spillemaskiner".
Avatar billede chalde Seniormester
11. august 2004 - 22:53 #27
I må undskylde at jeg ikke lige har vendt tilbage så hurtigt, men der går desværre lidt endnu. Problemer på hjemmefronten. Håber i forstår. Tusind tak ind til videre.
Avatar billede chalde Seniormester
14. august 2004 - 18:48 #28
Så er jeg tilbage. Har testet idag. Comp stod tændt fra 9-18 med miranda + mirc kørende. 5 portscanninger, heraf 4stk active response.
Tester mandag el tirsdag uden miranda + mirc.
Port 135 er lukket ifølge wwdc.
Avatar billede forevernewbie Nybegynder
14. august 2004 - 19:40 #29
Er der noget her du kan genkende? https://www.cert.dk/nyheder/nyheder.shtml?04-08-12-11-16-26
Avatar billede chalde Seniormester
14. august 2004 - 19:54 #30
Jeps :-)
Det ser mig meget bekendt ud hehe!
Avatar billede forevernewbie Nybegynder
14. august 2004 - 21:14 #31
Hvem pokker er det der banker løs på den måde ? Al-queda ?
Avatar billede chalde Seniormester
14. august 2004 - 23:14 #32
Det tror jeg. Deres plan er at få hele verdens computere i knæ så vi kommer ned på deres niveau før de tør lave et storstilet angreb :-)

Men folkens, smid nogle svar, så ryger der lidt af i jeres retning. Det ser ud til at være sasser el ligende der vil have en lille tår gevalia.

ddos angrebet er ikke fundet sted siden, og det ser ud til at min ip bare var målet dengang.

Tusind tak for jeres deltagelse.
Avatar billede forevernewbie Nybegynder
15. august 2004 - 10:17 #33
Velbekommen, og det ser jo ud til at din maskine er godt sikret, og at den kan holde til sådan nogle angreb, så på en måde var det jo en god "test" ;-)
Avatar billede chalde Seniormester
15. august 2004 - 12:13 #34
Det ser sådan ud (håber jeg da hehe).

erikjacobsen -> smid lige et svar.
Avatar billede chalde Seniormester
17. august 2004 - 08:28 #35
erikjacobsen -> Hvis du ombestemmer dig må du lige råbe op, så smider jeg lidt point efter dig :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
hvilken afløser kan I anbefale? Af jcr18 i Andet sikkerhed 5 17/03/202610:32 18/03/202615:36
Advarsler om datalæk for nogle apps Af nu_igen i Andet sikkerhed 6 02/02/202614:54 03/02/202613:45
Mail fra Yousee ? Svindel? Af nu_igen i Andet sikkerhed 4 13/01/202617:27 14/01/202609:36
Er det sandsynligt, at jeg har været udsat for phishing Af Slettet bruger i Andet sikkerhed 4 13/11/202515:09 14/11/202510:45
Google fake Af johp i Andet sikkerhed 3 27/10/202516:31 28/10/202506:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 10:38 Indholdsfortegnelse ændrer sig, når jeg gemmer som PDF Af Jan K i Word
06/0419:53 installer mange programmer på en gang Af Overgaard1654 i Andet software
06/0417:48 Min hp Officejet pro 7740 skærer det nederste af billedet i word Af rosmarin i Printere
06/0413:13 Batch OCR Af KurtG i Billedbehandling
06/0410:42 AI integreret i Access Af per2edb i Access
White papers
Flere white papers »