[XP Pro] Hacker achterhalen?

Nee. Tenzij je wat meer informatie kan geven op wat voor manier hij gehackt is.

Tevens zal een provider niks doen. Bewijzen dat iemand slechte (illegale? ik weet niet wat de wet hierover zegt) dingen heeft gedaan is sowieso al heel lastig, en providers hebben wel betere dingen te doen.

[ Voor 58% gewijzigd door ixi op 28-02-2005 23:44 ]

Klinkt als een trojan. Als je erachter kan komen welke trojan het was (virusscanner) kan je misschien achterhalen wie het was, ervanuitgaande dat die trojan dat bijhoud. Voor zover ik weet doet geen enkele trojan dit.

Ik denk dat die dochter van iemand een trojan per MSN heeft gekregen, dus misschien dat je op die manier wat verder komt.

Windows XP (of in zekere zin, de firewall van..) logt niets over IP's, daar zal je dus een extra firewall voor nodig hebben.

Eventvwr misschien.

En op het moment dat zoiets gebeurt is netstat -a ook erg handig.

Hoe zat de handel aangesloten, was de pc bijgewerkt met security update's, zat er een wachtwoord op de accounts.
Zo maar ff een paar voor de hand liggende vragen.

Maar een pc die gehackt is is niet meer van jou.
Herinstalleren dat ding. Weet jij veel wat er op die machine is achtergelaten ?

Zou zelf blij wezen dat iemand me erop gewezen heb dat me PC zo bagger beveiligd is. Provider inlichten vind ik ook beetje overbodig. Gewoon herinstalleren en/of goed beveiligen.

Je kunt eventueel TCPView gebruiken om te zien welk programma welke verbindingen legt.
De trojan zal toch op een bepaalde poort moeten luisteren. Het hoeft nog geeneens een malafide trojan te zijn, misschien is het wel een VNC o.i.d.

[ Voor 33% gewijzigd door Eegee op 01-03-2005 00:02 ]

Verwijderd schreef op maandag 28 februari 2005 @ 23:55:
In Eventvwr heb ik niets kunnen terugvinden. Er is maar één account aanwezig en die is niet beveiligd met een wachtwoord. Er is sprake van een kabelaansluiting met vast IP-adres. Ik weet inderdaad niet wat er op de pc is gezet, maar heb niet veel zin om het hele geval opnieuw te installeren. Ik heb NIS2005 geinstalleerd en de boel zo goed als het kan dichtgetimmerd.

En heb je ook een virusscanner of dergelijk iets gerunned (zoals al eerder aangeraden) om te kijken of de bak ook onderdak biedt aan een trojan? Want dit alles klinkt mij heel erg 'trojan' in de oren. Als je die trojan eraf kan halen, en de primaire account met een wachtwoord beveiligd, is de bak al weer stukken veiliger. Gooi daar een x aantal windows updates overheen, en je zit vrij safe. Op natuurlijk menselijke fouten na dan hé (waaronder dus het willekeurig accepteren van bestanden via MSN, om maar iets te noemen)

Soms word er door hackers wat achtergelaten in bijvoorbeeld de C:\Windows\System32\ map. soms kan je hier iets mee en kan je zijn ID achterhalen... Hou er wel rekening mee dat de meeste hackers vanaf een heel andere pc te werk gaan bijvoorbeeld 1 of andere server in Italie, dus dan kom je nog niet ver... En ik spreek uit ervaring

Verwijderd schreef op dinsdag 01 maart 2005 @ 00:07:
... Hou er wel rekening mee dat de meeste hackers vanaf een heel andere pc te werk gaan bijvoorbeeld 1 of andere server in Italie, dus dan kom je nog niet ver...

We hebben het hier niet over "pro" hackers maar over een of andere n00b die met trojans om kan gaan.

Verwijderd schreef op maandag 28 februari 2005 @ 23:55:
Er is sprake van een kabelaansluiting met vast IP-adres. Ik weet inderdaad niet wat er op de pc is gezet, maar heb niet veel zin om het hele geval opnieuw te installeren. Ik heb NIS2005 geinstalleerd en de boel zo goed als het kan dichtgetimmerd.

Maar een pc die gehackt is is niet meer van jou.
Herinstalleren dat ding. Weet jij veel wat er op die machine is achtergelaten ?

Is imho geen kwestie van "geen zin".
Wat als die machine gebruikt wordt voor een hackpoging op weet ik veel welke instelling.
En daar reageert iemand wel adequaat. Een pc die niet onder controle is van de eindgebruiker, en zoals ik in je startpost las was dat duidelijk het geval, is niet meer van die gebruiker. Iemand anders beheert dat kreng. Met alle ellende die daar het gevolg van kan zijn.

Sorry, maar imho is "geen zin" een heel erg slecht argument om er na installatie van NIS2005 (netjes gekocht neem ik aan) niets meer aan te doen.
(struisvogelpolitiek was daar de uitdrukking voor dacht ik)

My 2 ct's.

En op het moment dat zoiets gebeurt is netstat -a ook erg handig.

en die andere reply..

Zou die hacker of degene die toegang heeft tot de pc dat zelf niet snel wegklikken dan ?

Als er gebruikt wordt gemaakt van een anonymus proxy (die dus niet logt) kan je weinig doen.

Dit duidt op een trojan want je kan niet zomaar remote access krijgen vanaf een fresh XP install.

[ Voor 17% gewijzigd door Verwijderd op 01-03-2005 00:17 ]

aZuL2001 schreef op maandag 28 februari 2005 @ 23:49:
zat er een wachtwoord op de accounts.

dat is net een goede beveiliging, een account zonder wachtwoord betekent in xp pro dat daarmee uitsluitend vanop de pc zelf mee kan ingelogd worden, en niet van buitenaf.
het gedrag dat de ts beschrijft, wijst mijns inziens ook totaal niet op een trojan.
trouwens dit is een goede gelegenheid om er de rootkitrevealer eens op los te laten.

edit:TheFrozen zit wel op het goede spoor denk ik.

[ Voor 5% gewijzigd door Verwijderd op 01-03-2005 11:54 ]

Weet je wel zeker dat het een trojan was en niet zo'n "lollig" programma dat door mensen via MSN veel verspreid wordt en die vervolgens een aantal acties uitvoerdt. Zoals bv je msn naam veranderen of wat programma's runnen ...

Als je de trojan hebt gevonden, gooi hem er dan niet af! Veel trojans bevatten aan functie waarmee ze de gebruiker op manier naar keuze alerten. Dat is geen bewijs ofzo, maar wel een duidelijke hint wie het heeft gedaan.

Verwijderd schreef op maandag 28 februari 2005 @ 23:44:
De hacker begon - aldus de dochter van mijn kennis - allerlei programma's te openen, onder andere Patience. Tevens mengde hij zich in in MSN Messenger-gesprekken. Ten slotte opende hij een Kladblok-venster waarin hij iets typte als: 'Jullie pc is erg slecht beveiligd, ik kan er zomaar in rondneuzen. Reset de pc en je bent van me af'. Daarop heeft de dochter de pc direct afgesloten.

Dit verhaal komt mij te bekend voor. Is die dochter van jou kennis toevallig Ilja? Of heeft zich exact dezelfde situatie voorgedaan?