Gathering of Tweakers

quote:

DaNiEl KuNsT schreef op woensdag 02 juli 2008 @ 13:06:
Verder, ik heb geen router hier staan omdat die alleen mn internet verbinding staat te knijpen (100mbit verbinding werkt niet met 20mbit wan van de meeste routers).

Dit snap ik niet helemaal

Maargoed, kans is groot geweest dat ze dagenlang je porten hebben gecheckt, ergens toch via via binnen zijn gekomen. Zeker als je Xampp niet goed dichtgooi (die draait mysql, apache, ftp en nog iets) zonder ook maar iets van beveiliging is het gewoon erom vragen.

Hebben jullie een draadloos netwerk en hebben alle pc-accounts een wachtwoord?

quote:

Samtax schreef op woensdag 02 juli 2008 @ 13:25:
[...]


Kortom je hebt totaal geen beveiliging. Het valt me nog mee dat het al niet eerder fout is gegaan...

Hoe lang draai je al op deze manier?

Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Denk iemand gewoon een geintje probeerd uit te halen met hem...

Owja, nog 1 ding.

Gooi een wachtwoord op je admin account!

Anders kun je net zo goed ook je useraccounts zonder password laten.

quote:

Mektheb schreef op woensdag 02 juli 2008 @ 13:30:
[...]


Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Denk iemand gewoon een geintje probeerd uit te halen met hem...

Mischien heel raar, maar als je er zo overdenkt. Wat komen mensen hier dan doen als je het (schijnbaar) niet nodig hebt.

quote:

Mektheb schreef op woensdag 02 juli 2008 @ 13:30:
[...]


Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Denk iemand gewoon een geintje probeerd uit te halen met hem...

Jij hebt dus geen router geen firewall en draaid geen virus prog's? Bij jou gaat het dus goed, maar de ts weet duidelijk dus niet wat hij doet....

quote:

Mektheb schreef op woensdag 02 juli 2008 @ 13:30:
[...]


Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Denk iemand gewoon een geintje probeerd uit te halen met hem...

Ik denk dat een hacker met hem een grappie maakt omdat ie geen Firewall heeft.

quote:

Samtax schreef op woensdag 02 juli 2008 @ 13:33:
[...]


Jij hebt dus geen router geen firewall en draaid geen virus prog's? Bij jou gaat het dus goed, maar de ts weet duidelijk dus niet wat hij doet....

Standaard heeft je router een firewall , en draai inderdaad geen norton of iets wat er op lijkt het is inderdaad maar dat je weet wat je doet, als je bv als normale gebruiker geen raare site's of programma's zoals limewire etc gebruikt is er 90% niks aan de hand...

Maar ik reageerde even op deze manier omdat het leek "je zei iemand die niks gebruikt is niet helemaal lekker "
Verder bedoelde ik er niks mee , denk dat de TS zelf het beste weet sinds wanneer er wat op ze pc is gekomen en dat hij er nu van geleerd heeft op te letten of dat er iemand loopt te "ouwehoeren"

Waarom zou het een grap zijn? Menig backdoor gebruikt een r_admin principe om meer of betere controle te krijgen en je PC in te zetten voor meerdere dooleinden. (ddos, spam, etc).

Helemaal beveliging vrij werken, eigen keuze. Maar daarbij merk ik altijd op, als je niet weet dat het kapot is, hoe kan je het dan vinden?

quote:

SinergyX schreef op woensdag 02 juli 2008 @ 13:36:
Waarom zou het een grap zijn? Menig backdoor gebruikt een r_admin principe om meer of betere controle te krijgen en je PC in te zetten voor meerdere dooleinden. (ddos, spam, etc).

Helemaal beveliging vrij werken, eigen keuze. Maar daarbij merk ik altijd op, als je niet weet dat het kapot is, hoe kan je het dan vinden?

Dat ben ik wel met je eens , maar als menig "gebruiker" weet je toch wel wat wel op je pc draaid en wat niet...

Zoals ik kijk dus regelmatig wat me Services aant doen zijn, wat voor mapjes er zijn gekomen in me Programfiles windows , application data etc...

Kortom tuurlijk kan je wat "spam" over het hoofd zien maar dat je pc word overgenomen heb je denk ik wel door teminste hoop ik wel anders ben ik wel de sjaak

quote:

The Realone schreef op woensdag 02 juli 2008 @ 13:31:
Owja, nog 1 ding.

Gooi een wachtwoord op je admin account!

Anders kun je net zo goed ook je useraccounts zonder password laten.

Ehm..

Nee, dat is sinds SP2 een misvatting.

Een Local Administrator account zonder password is in een standaard configuratie niet over het netwerk te gebruiken/benaderen.

Maar als je de voordeur wijd open laat staan en geen enkele standaard beveiligingsmaatregel in acht neemt is dat eigenlijk het laatste waar je je druk over moet maken.

Mijn advies :

Nuke & Rebuild.

Oftewel: alles wipen en opnieuw volledig installeren.
En dit keer wel je verantwoordelijkheid nemen tegenover andere Internet gebruikers en je PC beveiligen.

quote:

Samtax schreef op woensdag 02 juli 2008 @ 13:33:
[...]
Jij hebt dus geen router geen firewall en draaid geen virus prog's? Bij jou gaat het dus goed, maar de ts weet duidelijk dus niet wat hij doet....

Dat weet ik zeker wel. Ik draai al 7 jaar zo, zonder iets!

En dat met de router:

Ik zit hier op de campus van de UTwente. Daar heb ik een 100 mbit verbinding. Ik heb ooit eens een goeie linksys router gehad, maar de meeste routers hebben een WAN poort van 20mbit. Alleen de duurdere professionele routers hebben meer. Kortom, de router die ik had raakte constant over de zeik omdat ie een snellere verbinding aangeboden kreeg dan dat ie kon. Vandaar dat er dus ook geen router tussen zit.

Verder is het ook best raar dat dat er gister ineens op kwam. Ik heb verder niets geïnstalleerd / gedownload of wat dan ook.

Gebruik geen Limewire of andere download meuk gezien we hier voorzien zijn van campusnet

Maargoed, ik kan nu weer op de computer. Eerst even uitzoeken hoe ik een image van de schijf kan maken zodat ik de volgende keer makkelijker een reïnstal kan doen...

En bij XAMPP, op de mysql en de phpmyadmin stonden wachtwoorden. FTP was uitgeschakeld...

Owja, en al mn mail check ik online (gmail, hotmail en studentmail)

Misschien een paar domme tips:
edit: maar die kan je wrs al om 7jaar te overleven zonder firewall enzo
- zet netbios over tcp/ip _uit_
- client for microsoft netwerks _uit_
- dat ding voor delen van mappen en printers _uit_

op de netwerkconnectie die je gebruikt voor internet-connectie.
Dat voorkomt al veel "script-kiddie-exploits".
(ik draait zelfs voor de interne connectie' geen van dit allen, en het zijn windows-pc's... enkel tcp/ip draait, file-sharing gaat via ftp-software en/of usb-sticks, slechts eenmaal last gehad van een exploit maar toen had ik mysql nog fout geconfigureerd - poort ook opengesteld voor externe ip's ipv enkel localhost, dankzij exploit waren ze zo binnen (ik had ook een ;oeilijk wachtwoord, maar daar gingen ze zo over door die exploit): zet je poorten voor mysql enzo dicht voor buiten als enkel je eigen site erop moet: 80 open voor buiten, rest dicht ?)


vaak zitten 'de hackers' in hetzelfde subent. scriptkiddies die een tooltje gebruiken en eens uitproberen op hun eigen internet-connectie en zo de buurman (ofzo) hacken omdat die nog netbios draait.
(en mits men allebei in hetzelfde subnet zit, zit er geen router tussen de systemen en kan men dus perfect misbruik maken van zulke flaters)

ps: kijk je systeemlogs na wanneer die account is aangemaakt en ev. vanwaaruit, die informatie kan je dan weer gebruiken mocht je klacht willen gaan indienen.

pps: en je titel kan ook 'en' zijn hoor een backdoor waarlangs je gehackt bent ...

soulrider wijzigde dit bericht 02-07-2008 13:51 (15%)

In dit geval is opnieuw beginnen en nu wel fatsoenlijk beveiligen ook imho verstandig.

quote:

Mektheb schreef op woensdag 02 juli 2008 @ 13:30:
Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Punt is dus dat bijna iedereen die dat roept niet weet wat 'ie doet

Aangifte lijkt me niet helpen. Ten eerste omdat dit nu niet meteen spannend genoeg lijkt om de tijd van de politie mee te verdoen - als je al in contact komt met iemand die er voldoende verstand van heeft, en vooral omdat je woord me geen bewijs lijkt en de PC zo te horen niet zodanig was ingericht dat je goede logs hebt achtergelaten.

Het routerverhaal snap ik ook niet helemaal, maar dat lijkt me hier niet relevant (behalve dan natuurlijk het gegeven dat er geen NAT zit tussen de grote boze buitenwereld en je PC). Hoeft allemaal niet, maar houd er wel rekening mee. Idd oa bij open poorten / services.
Edit: ah, de prijs is het probleem. Dat snap ik

F_J_K wijzigde dit bericht 02-07-2008 14:20 (7%)

quote:

soulrider schreef op woensdag 02 juli 2008 @ 13:46:
Misschien een paar domme tips:
edit: maar die kan je wrs al om 7jaar te overleven zonder firewall enzo
- zet netbios over tcp/ip _uit_
- client for microsoft netwerks _uit_
- dat ding voor delen van mappen en printers _uit_

Die eerste 2 kunnen wel. Die laatste wordt echter lastig. We zitten hier op het campusnet, 1 groot netwerk. Printer heb ik niet gedeeld staan. 2 mappen met films en muziek echter wel. Deze moeten ook gedeld blijven, daar draait het hele netwerk hier op..

Volgende keer komt er gewoon geen xampp meer op.

Maargoed, eerst ff uitvogelen hoe ik een image van een schijf kan maken. Want iedere keer windows, office, adobe enz instaleren is niet super relaxed... Daarna computer helemaal opnieuw instaleren (met 64 en 32 bits windows XP naast mekaar.. )

Dus wat doe je: je zet er een firewall die alleen communicatie met het IP-adres van de printservers toestaan

XAMPP is zeker niet inherent onveilig. Wel kan je het erg onveilig inrichten en beheren (incl updates).

Image: Ghost oid vanaf bootable CD/USB/oid is het makkelijkst.

F_J_K wijzigde dit bericht 02-07-2008 17:09 (5%)

Met de tips van mij en die hierboven wordt een volgende inbreuk wel voorkomen wrs.

je kan ook op je gedeelte mappen spelen met rechten
(leesrechten op alles voor iedereen, maar slechts 1 map om te uploaden ?)

en xampp hoeft op zich niet onveilig te zijn. je moet als beheerder enkel 'erbij blijven' tijdens configuratie en gebruik.
waarom mysql openzetten voor iedereen als enkel je lokale php-site ermee moet kunnen communiceren of een file-server vanaf ip x.x.x.x ... (bv),
met apache ook: draai die onder een eigen gebruiker die enkel leesrechten heeft op de bestanden die nodig zijn voor de website's. meer heeft die niet nodig dus meer moet je hem ook niet geven. en zo zijn er nog enkel tips die vindbaar en bruikbaar zijn.

maw: je voorkomt een exploit ten eerste door een veilige configuratie, ten tweede door opvolging van nieuws over exploits en updates. (het kan net zo goed via een php-script zijn dat je draait op je xampp dat ze binnen zijn geraakt in je windows-gebruikers-beheer: maw: apache en/of je php-parser draait onder beheerders-account ipv limited-account.)

quote:

DaNiEl KuNsT schreef op woensdag 02 juli 2008 @ 16:49:
2 mappen met films en muziek echter wel. Deze moeten ook gedeeld blijven, daar draait het hele netwerk hier op..

En dan verbaasd zijn dat je er toch een RAT op krijgt?
Hmm.
Ik denk dat je tot nu toe gewoon mazzel hebt gehad dat het niet eerder fout is gegaan eerlijk gezegd

quote:

alt-92 schreef op woensdag 02 juli 2008 @ 17:50:
[...]


En dan verbaasd zijn dat je er toch een RAT op krijgt?
Hmm.
Ik denk dat je tot nu toe gewoon mazzel hebt gehad dat het niet eerder fout is gegaan eerlijk gezegd

Die mappen waren wel read-only. Kan dat ook kwaad dan?

Je hebt op een publiek netwerk (campusnet is gewoon een hostile omgeving, net als de rest van Internet) filesharing aanstaan.

Dan heb ik als Evil Bob gewoon een aanvalshoek. Zo lastig is dat toch niet te begrijpen?

quote:

DaNiEl KuNsT schreef op woensdag 02 juli 2008 @ 13:44:
Dat weet ik zeker wel. Ik draai al 7 jaar zo, zonder iets!

Je weet toch bij een standard XP install de 'hulp van buitenaf' default AAN staat ?

Dat aanstaan hebben en rechtstreeks op een netwerk hangen... Er moet er maar 1tje zijn die zo slim is van de meest voor de hand liggende opties eens te proberen

Hier een site waar je snelheden Wanpoorten kan zien van routers:

http://www.smallnetbuilde...ion,com_chart/Itemid,189/

Aangifte doen heeft erg weinig zin lijkt mij, vanwege de redenen die F_J_K al noemt, en ook omdat je de schijf inmiddels al weer hebt gebruikt (zonder eerst een bit-image te maken)

+ dat je niet aan je eigen veroordeling mee hoeft te werken (je helpt mee met verspreiden van auteursrechtelijk beschermd materiaal - weet je zeker dat je hiervan aangifte wil doen? )

Heeft XAMMP ook niet een FTP server aan boord? Misschien dat je via die weg gehackt bent.