Gehacked, schade beperken.... - Privacy en beveiliging

maandag 11 juli 2005 11:00

Acties:

Topicstarter

Gisteren (waarschijnlijk al langer) is tot mijn grote schrik mijn computer gehacked, of liever gecracked....
Het een en ander is op de volgende manier tot stand gekomen:
Rond een uur of 10 's avonds kwam mijn broertje mij mededelen dat de computer opeens half leeg was, en er plots weer een kleine 23 gb!! vrij was, terwijl dat eerst een kleine 4 gb was. Verder deed Call of Duty en Lineage het niet meer.

Na wat door directory's gestruind te hebben, die overigens allemaal intact waren qua structuur, leek het erop dat er willekeurig bestanden zijn verwijderd van de computer, van allebei mijn data partities. Van de Windows installatie partitie is zover ik kan zien niets verdwenen.

Mijn eerste ingeving was dat het te maken had met een fout op de harde schijf, maar scandisk gaf niets raars aan. Dan de virus scanner eens proberen, wat blijkt, Mcafee loopt helemaal niet meer, en is ook verwijdered. Na herinstallatie gerund, maar kon niets vinden.

Langzaam kreeg ik het vermoeden dat de pc weleens het slachtoffer van een hack zou zijn geworden, dus eens even gekeken naar de firewall (Winroute ingebouwde firewall heeft normaal alle poorten dicht), en tot mijn grote schrik zag ik dat alle poorten open stonden. (dat kan met een vinkje!!!

). Waarschijnlijk mijn eigen fout aangezien ik de functie om alle poorten open te zetten soms gebruik om te checken waarom een bepaald programma niet werkt, en ik dus een keer vergeten ben de poorten weer dicht te zetten

.

Daarna met GetDataBack de hardeschijf eens gescanned om zo was mijn eerste bedoeling de bestanden weer terug te halen. Nadat ik mijn partitie had gescand kreeg ik de filetree te zien van terug te halen bestanden. Mijn eerste blik viel meteen op een folder met de naam LOL, erg verdacht. Na deze bekeken te hebben viel mij het bestand firedaemon.exe op. Wat ik de afgelopen dagen wel eens een error heb zien geven en daarna werd afgebroken. Na wat gezoek op internet blijkt dit een programma te zijn waarmee je elk gewenst programma als een process kunt laten runnen, en erg gelieft is bij hackers...

.

Er stonden nog meer interessante bestanden in deze folder, onder andere een .bat bestanden die alle *.log files verwijderd, en een .bat die alle beveiligings software killed. Hier een lijst:

A.BAT
CMD.EXE
convertxdccfile.exe
cygcrypt-0.dll
CYGWIN1.DLL
DeLeLoG.bat
firedaemon.exe
Infodll.state
KILL.EXE
MSServ.exe
NETCAT.EXE
PSINFO.EXE
PSLIST.EXE
SecretDir.bat
SECURE.BAT
System.dll
UPTIME.EXE
WGET.EXE
WINNTSEC.EXE
xNFODLL.PID
xNFODL~1.TMP

Verder word met secretdir.bat de installatie directory van msserv.exe/firedaemon.exe onzichtbaar gemaakt.
In de system.dll staat nog vereweg de meest interessante info:

################### Logging #################
pidfile Infodll.pid
logfile Infodll.log
logstats no
logrotate weekly
statefile Infodll.state
###########################################

#################### Connessione #############
connectionmethod direct
server irc.whiffle.org 6667
channel #Millenium
user_realname Millenium
user_modes +ix
loginname Millenium
tcprangestart 4000
#usenatip 195.47.23.124
###########################################

#################### Slot e Code ##############
slotsmax 2
queuesize 200
#nickserv_pass
maxtransfersperperson 1
maxqueueditemsperperson 1
restrictlist yes
restrictsend yes
#restrictprivlist yes
############################################

##################### Headline ################
headline 8Millenium
############################################

############# Adminhost e download ###############
adminhost *wizard*@*.interbusiness.it
adminhost *wizard*@*.*
uploadhost *!*@*
downloadhost *!*@*.*
downloadhost *!*@*
#firewall yes
hideos yes
#############################################

################ QUI VA ADMINPASS ##############
adminpass Z2Zz6ShcD8Nos
##############################################

####### RUNTIME ADDED #######

filedir D:\lol\
uploaddir D:\lol\
user_nick Millenium|186

Gelukkig staat mijn hele mp3 collectie er nog op (en sinds zaterdag ook op m'n 20gb iriver $_/-\o_$ ), en het verlies van alle games is opzich niet zo'n ramp.
De data van mijn vader is echter ook allemaal verdwenen en wat een stuk erger is, en nog net mee te leven.

Aangezien ik niet zo veel verstand heb van hackers wereld is mijn vraag een beetje hoe ik nu het beste kan handelen verder,
1: Misschien een nieuw IP adres aanvragen?.
2: Al onze passwords veranderen?
3: Windows opnieuw installeren?
4: Is dit een goede hacker geweest of is dit met een of ander standaard tooltje gedaan?
5: Is er een risico dat er toegang is gekregen tot bankrekening?, rabobank, random reader/digipass (dus in principe kan hij geen toegang hebben gehad, code is immers tijdgebonden).

Tenslotte de vraag of jullie mij een beetje kunnen helpen te ontrafelen hoe deze hacker nu precies in zijn werk is gegaan?

. Het verwijderen van meer dan 20 gig aan bestanden en de folder structuur intact laten kan toch niet met de hand gebeurt zijn?...ik neem aan dat hier ook een of ander script voor is gebruikt...

PS: Kom alstublieft niet aanzetten met de mededeling dat het feit dat ik alle poorten open had laten staan stom is, dat besef ik zelf ook nog wel..........
Ik ga morgen op vakantie dus de komende twee weken kan ik sowieso niet reageren, tenzij ik de beschikking krijg over een internetverbinding....

[ Voor 3% gewijzigd door Speedsmile op 11-07-2005 11:03 ]

If good's on the left, then I'm sticking to the right.

maandag 11 juli 2005 11:04

Acties:

Danielson

Als ik dit zo even kort doorspit dan ben je het slachtoffer geworden van iemand uit de FXP scene, Het is de bedoeling dat ze nu een FTP Server op je pc gaan draaien om warez te sharen!

Waarschijn hebben ze een of andere rootkit gebruikt!

Neem op irc eens contact met ze op:

connectionmethod direct
server irc.whiffle.org 6667
channel #Millenium
user_realname Millenium
user_modes +ix
loginname Millenium
tcprangestart 4000
#usenatip 195.47.23.124

Owja en dat Firedeamon is de ftp server volgens mij!

[ Voor 38% gewijzigd door Danielson op 11-07-2005 11:07 ]

maandag 11 juli 2005 11:06

Acties:

andreict

Danielson schreef op maandag 11 juli 2005 @ 11:04:
Als ik dit zo even kort doorspit dan ben je het slachtoffer geworden van iemand uit de FXP scene, Het is de bedoeling dat ze nu een FTP Server op je pc gaan draaien om warez te sharen!

Waarschijn hebben ze een of andere rootkit gebruikt!

en als het een beetje slimme gozer is.. wordt het een nieuwe installatie.

een goede rootkit kan je niet/of heel moeilijk vinden.

maar als jij de process al kan zien met een proces viewer dan is het geen goede rootkit.
Verwijder die zooi die je gevonden hebt en installeer een goede firewall op je pc.

en probeer data te recoveren.

[ Voor 18% gewijzigd door andreict op 11-07-2005 11:09 ]

maandag 11 juli 2005 11:09

Acties:

Speedsmile

Topicstarter

Dat vermoeden kreeg ik ook al, nadat mijn broer klaagde van een erg laggende lineage...
Het feit dat mijn mp3 collectie nog volledig intact is dan ook erg logisch.

If good's on the left, then I'm sticking to the right.

maandag 11 juli 2005 11:15

Acties:

we_are_borg

You will Comply

Je bent goed opweg door alles te onderzoeken, het grootste probleem zit hem in het feit dat mensen niet de Administrator een goed wachtwoord meegeven. Hij kan op verschillende manieren binnen zijn gekomen en vooral omdat je je firewall niet goed ingesteld had staan.
Maar nu even de specifieke vragen.
1. Ip adres veranderen heeft geen zin, dagelijks wordt er gescaned, je wint er misschien een dag mee.
2. Ja dit moet je zeer zeker doen en verander minstens 1 keer pr maand alle wachtwoorden.
3. Ik zou zelf windows opnieuw installeren je weet immers niet wat er veranderd is, zelf al zou je het weten ik zou nooit de installatie meer vertrouwen. Als je een image gebruik overtuig je 110% er van dat de image veilig is.
4. Het meeste wat er rond gaat zijn script kiddies, als persoon ben je voor de echte hacker niet intressant genoeg. Ook het wissen van bestanden is al een actie die niet door een echte hacker gedaan wordt. Het valt namelijk heel erg op als je dit doet.
5. Die kans is heel erg klein Rabobank heeft een caculator waarmee je toegang krijgt tot je rekening, ben je niet snel genoeg dan dien je weer opnieuw in te loggen.

Gelukkig zeg je het zelf al over je firewall, maar zelfs dan is het nog mogelijk om binnen te komen. Een firewall is namelijk niet 100% waterdicht ze zijn te omzeilen.

You need the computing power of a P1, 16 MB RAM and 1 GB Harddisk to run Win95. It took the computing power of 3 Commodore 64 to fly to the Moon. Something is wrong here, and it wasn't the Apollo.

maandag 11 juli 2005 11:20

Acties:

Speedsmile

Topicstarter

andreict schreef op maandag 11 juli 2005 @ 11:06:
[...]

en als het een beetje slimme gozer is.. wordt het een nieuwe installatie.

een goede rootkit kan je niet/of heel moeilijk vinden.

maar als jij de process al kan zien met een proces viewer dan is het geen goede rootkit.
Verwijder die zooi die je gevonden hebt en installeer een goede firewall op je pc.

en probeer data te recoveren.

De LOL directory was al verwijderd, maw hij stond helemaal niet meer op de computer, met GetDataBack kwam ik erachter en heb hem teruggehaald om hem eens beter te bestuderen, en het werd alleen maar verdachter toen de last accesed datums allemaal van gisteren rond 21.15 waren, de tijd waarop het gebeurd is.

[ Voor 4% gewijzigd door Speedsmile op 11-07-2005 11:20 ]

If good's on the left, then I'm sticking to the right.

maandag 11 juli 2005 11:27

Acties:

Verwijderd

Waarschijnlijk scriptkiddies o.i.d. inderdaad, en dat betekent dat er een standaardmanier (b.v. slecht beveiligd password of exploit) is gebruikt om je PC binnen te komen. Heb je bijvoorbeeld een MSSQL server met slecht password, Terminal Services aan met een slecht administrator-password, een erg oude versie van Windows (qua updates), etc. Passwords worden tegen woordenboeken met standaardpasses gechecked, dus als je een beetje persoonlijk wachtwoord hebt zit je meestal wel goed (dus geen dingen als 'admin' of '1234' gebruiken). Als je van verdere problemen af wil komen moet je eerst zorgen dat alle backdoors o.i.d. van je PC af zijn, en dan dit gat dichten anders wordt je zo weer gehacked. Zorg dat je zo min mogelijk je internetverbinding aan hebt staan; als je geen internet hebt kunnen de hackers ook niets.

maandag 11 juli 2005 11:45

Acties:

Speedsmile

Topicstarter

De adminstrator pass, was idd erg simpel: administrator. Verder hebben hier alle gebruikers (eigenlijk is er maar 1) adminstrator rechten in principe. Dit heb ik gedaan omdat ik het te lastig vond om alle rechten precies bij te houden.

. De noodzaak om het wel goed te doen blijkt hier maar weer eens.

Bedankt voor de reacties in ieder geval....

If good's on the left, then I'm sticking to the right.

maandag 11 juli 2005 11:55

Acties:

Resistor

Niet meggeren!

Ik neem aan dat je internet via de kabel hebt, als ik het goed heb hangt er dan enkel een modem tussen de computer en het internet.

Misschien voor de volgende keer een routertje tussen het internet en de computer, die dan gelijk als firewall dienst doet.
En natuurlijk een goed password, desnoods op een post-it briefje aan je computer (zo'n briefje is vanaf het internet nooit te lezen

)

What will end humanity? Artificial intelligence or natural stupidity?

maandag 11 juli 2005 11:56

Acties:

Danielson

Speedsmile schreef op maandag 11 juli 2005 @ 11:45:
De adminstrator pass, was idd erg simpel: administrator. Verder hebben hier alle gebruikers (eigenlijk is er maar 1) adminstrator rechten in principe. Dit heb ik gedaan omdat ik het te lastig vond om alle rechten precies bij te houden. . De noodzaak om het wel goed te doen blijkt hier maar weer eens.
Bedankt voor de reacties in ieder geval....

Dat is het hem waarschijnlijk geweest, ze scannen dan op admin account's met makkelijke wachtwoorden, als je dat eenmaal hebt zijn er progies om de pc remote te configureren!

Ik weet bijna zeker dat dat het was!

maandag 11 juli 2005 12:01

Acties:

Verwijderd

Gewoon stom om die poorten op te laten staan!

maandag 11 juli 2005 12:05

Acties:

RTBravo

Verkopen jullie ook jojn?

Resistor schreef op maandag 11 juli 2005 @ 11:55:
...
En natuurlijk een goed password, desnoods op een post-it briefje aan je computer (zo'n briefje is vanaf het internet nooit te lezen )...

En dan je webcam erop richten

maandag 11 juli 2005 12:07

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

offtopic:
Typo uit titel gehaald.
BrokenBones: da's bepaald geen nuttige toevoeging. Lees voortaan anders eerst ook de topicstart even voor je reageert

Verder heb ik niets toe te voegen: ik denk dat het meeste is gezegd. Ik zou inderdaad echt voor (backup + ) format + reinstall ( + scan + restore

) gaan.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 11 juli 2005 12:07

Acties:

Nakebod

Nope.

Danielson schreef op maandag 11 juli 2005 @ 11:04:
Als ik dit zo even kort doorspit dan ben je het slachtoffer geworden van iemand uit de FXP scene, Het is de bedoeling dat ze nu een FTP Server op je pc gaan draaien om warez te sharen!

Waarschijn hebben ze een of andere rootkit gebruikt!

Neem op irc eens contact met ze op:

connectionmethod direct
server irc.whiffle.org 6667
channel #Millenium
user_realname Millenium
user_modes +ix
loginname Millenium
tcprangestart 4000
#usenatip 195.47.23.124

Owja en dat Firedeamon is de ftp server volgens mij!

Volgens mij, is dat juist een XDCC server. Kan je ook zien aan de Slot e Code, max 2 zendingen tegelijk, en 200 in de wachtrij. Heb je met fxp/ftp niet.
En firedaemon, is een prog om weer andere programma's als service/daemon te laten draaien.

Blijkt wel weer dat ze echt iedere pc met de geringste upload willen hebben. "Vroeger" kwam je alleen xdcc servers tegen die een dikke upload hadden.

Blog | PVOutput Zonnig Beuningen

maandag 11 juli 2005 12:08

Acties:

DeMoN

Pastafari

Schaf anders een routertje aan voor een prikkie.

Dan heb je iig minder zorgen dan dat geklooi wat je nu hebt met Winroute.

Gamertag: Cosmicv0id
"Het woord Gods is voor mij niets meer dan een expressie en het product van menselijke zwakheid. De Bijbel is een verzamelwerk van legendes die achtenswaardig zijn maar ook primitief en kinderachtig.'' - Albert Einstein

maandag 11 juli 2005 12:19

Acties:

Speedsmile

Topicstarter

DeMoN schreef op maandag 11 juli 2005 @ 12:08:
Schaf anders een routertje aan voor een prikkie.

Dan heb je iig minder zorgen dan dat geklooi wat je nu hebt met Winroute.

Aanschaffen is niet nodig, ik heb hier een wireless router staan (Asus WL500g), deze zit echter binnen het netwerk, en heeft de firewall uitgeschakeld

, heeft immers weinig zin als dat niet de gateway is. Ik ben al een tijd van plan deze als router/firewall in te gaan zetten, alleen moet ik dan een nieuw modem aanschaffen, aangezien het huidige modem USB is. En die dingen kosten nog steeds een euro of 40 tot 60. Uiteindelijk is die setup natuurlijk wel een stuk makkelijker aangezien er dan niet altijd een server moet aanstaan.

Ik heb trouwens een 1.6 Mbps ADSL verbinding van HCC.

Ik kom er overigens net achter dat die LOL folder nog steeds op de computer staat

, het is alleen een system folder, die in explorer niet te zien was, en in GetDataBack wel. Onder de command line kan ik hem dan ook gewoon benaderen ..

[ Voor 14% gewijzigd door Speedsmile op 11-07-2005 12:29 ]

If good's on the left, then I'm sticking to the right.

maandag 11 juli 2005 12:28

Acties:

Verwijderd

Nou ik heb het IP van je hackertje

maandag 11 juli 2005 12:44

Acties:

Verwijderd

Net een gesprek met je hacker (of leider van de groep) gehad op IRC:

Session Start: Mon Jul 11 12:27:09 2005
Session Ident: NoBoDy
DCC Chat session
Client: NoBoDy (82.57.96.212)
Time: Mon Jul 11 12:27:09 2005
Acknowledging chat request...
DCC Chat connection established
(12:27:38) (NoBoDy) ehi
(12:27:39) (NoBoDy) fuck u
DCC session closed
Session Close: Mon Jul 11 12:43:52 2005

Session Ident: NoBoDy
(12:27:57) ((
(12:27:57) —› query with (NoBoDy) (wizard@SePPeLLiTeMi.TeSTa.iN.Giu.QsT.MoNDo.D.MeRDa.M.BaCeRa.iL.CuLo)
(12:27:57) —› total queries: 15 (~0 per day)
(12:27:57) —› queries today: 1
(12:27:57) —› common channels: ~#MILLENIUM
(12:27:57) ((
(12:28:04) (Millenium|186) if it ain't master hacker
(12:28:11) (Millenium|186) owned
(12:30:39) —› quit: (NoBoDy) (wizard@SePPeLLiTeMi.TeSTa.iN.Giu.QsT.MoNDo.D.MeRDa.M.BaCeRa.iL.CuLo) (Ping timeout)
(12:32:41) —› join: (NoBoDy) (wizard@SePPeLLiTeMi.TeSTa.iN.Giu.QsT.MoNDo.D.MeRDa.M.BaCeRa.iL.CuLo) (#MILLENIUM)
(12:32:59) (NoBoDy) changed ip
(12:33:03) (NoBoDy) -.-
(12:33:07) (Millenium|186) +respect
(12:33:07) (NoBoDy) tell your friends
(12:33:09) (NoBoDy) that
(12:33:12) (NoBoDy) no one
(12:33:16) (NoBoDy) has touched
(12:33:20) (Millenium|186) well that kills me
(12:33:28) (NoBoDy) your bank addresses
(12:33:36) (NoBoDy) or others
(12:33:46) (Millenium|186) but you deleted lots of data
(12:33:50) (Millenium|186) important data
(12:33:51) (NoBoDy) NOT I
(12:33:53) (NoBoDy) -.-
(12:34:01) (NoBoDy) i don't do this things
(12:34:02) (NoBoDy) -.-
(12:34:09) (NoBoDy) i know
(12:34:14) (NoBoDy) who done it
(12:34:20) (Millenium|186) i see
(12:34:24) (NoBoDy) and i've banned
(12:34:26) (NoBoDy) him
(12:34:28) (NoBoDy) from
(12:34:30) (NoBoDy) my staff
(12:34:37) (NoBoDy) i've telled
(12:34:39) (NoBoDy) the question
(12:34:41) (NoBoDy) to my staff
(12:34:45) (NoBoDy) and no one
(12:34:51) (NoBoDy) will touch you
(12:34:52) (NoBoDy) again
(12:34:59) (Millenium|186) ok fine... tell me one thing
(12:35:02) (Millenium|186) how'd you get in
(12:35:03) (NoBoDy) more than this i can't do
(12:35:08) (NoBoDy) ok
(12:35:13) (NoBoDy) i thank
(12:35:14) (NoBoDy) you
(12:35:19) (NoBoDy) for this question
(12:35:23) (NoBoDy) sò
(12:35:25) (NoBoDy) so
(12:35:31) (NoBoDy) no one will enter
(12:35:34) (NoBoDy) more on your pc
(12:35:35) (Millenium|186) yeah
(12:35:40) (NoBoDy) tou have to do
(12:35:47) (NoBoDy) updage
(12:35:48) (NoBoDy) update
(12:35:59) (NoBoDy) of your windows
(12:36:06) (NoBoDy) because winnt\2000
(12:36:08) (NoBoDy) have a big
(12:36:10) (NoBoDy) bug
(12:36:27) (Millenium|186) i see
(12:36:38) (NoBoDy) it would be
(12:36:40) (NoBoDy) sufficient
(12:36:45) (NoBoDy) but you can
(12:36:47) (NoBoDy) also
(12:36:47) (NoBoDy) install
(12:36:49) (NoBoDy) Kaspersky
(12:36:50) (NoBoDy) antivirus
(12:36:57) (NoBoDy) and kaspersky anti hacker
(12:36:59) (NoBoDy) that rox
(12:37:37) (NoBoDy) i've read
(12:37:40) (NoBoDy) the site
(12:37:40) (Millenium|186) which exploit did you use
(12:38:01) (NoBoDy) uhm
(12:38:04) (NoBoDy) one moment
(12:38:05) (NoBoDy) i ask
(12:38:07) (NoBoDy) to my staff
(12:38:15) (NoBoDy) what that lamer
(12:38:18) (NoBoDy) has used
(12:38:23) (Millenium|186) kk
(12:38:53) (NoBoDy) he scanned you ip
(12:39:01) (NoBoDy) with an nt scanner
(12:39:08) (NoBoDy) and found you account
(12:39:13) (NoBoDy) administrator / null
(12:39:21) (NoBoDy) sò u could change
(12:39:28) (NoBoDy) the user name
(12:39:31) (NoBoDy) and pass
(12:39:40) (NoBoDy) to be more protect
(12:39:44) (NoBoDy) but i repeat
(12:39:47) (NoBoDy) that
(12:39:51) (NoBoDy) no one of my staff
(12:39:57) (NoBoDy) will touch you again
(12:40:28) (Millenium|186) ok... have fun hacking other people then
(12:40:40) (NoBoDy) nah
(12:40:46) (NoBoDy) we don't do
(12:40:51) (NoBoDy) damage
(12:40:55) (NoBoDy) but there
(12:40:55) (NoBoDy) are
(12:40:58) (NoBoDy) lamers inside
(12:41:02) (NoBoDy) they arent hacker
(12:41:10) (NoBoDy) i ask you to forgive
(12:41:11) (NoBoDy) my staff
(12:41:18) (NoBoDy) that lamer
(12:41:27) (NoBoDy) is permanently
(12:41:28) (NoBoDy) banne
(12:41:29) (NoBoDy) banned
(12:41:31) (NoBoDy) from here
(12:41:50) (NoBoDy) i'm sorry 5 the data lost
(12:41:54) (NoBoDy) i'm sorry 4 the data lost
(12:41:58) (NoBoDy) i've read
(12:41:59) (NoBoDy) it
(12:42:00) (NoBoDy) on the site
(12:42:49) (NoBoDy) please change nick
Session Close: Mon Jul 11 12:43:52 2005

[ Voor 3% gewijzigd door Verwijderd op 11-07-2005 12:45 ]

maandag 11 juli 2005 12:53

Acties:

DeMoN

Pastafari

Verwijderd schreef op maandag 11 juli 2005 @ 12:44:
Net een gesprek met je hacker (of leider van de groep) gehad op IRC:

--irc log--

Lol, sorry voor deze nutteloze post van mij maar wat een lamers

maandag 11 juli 2005 12:57

Acties:

Speedsmile

Topicstarter

Verwijderd schreef op maandag 11 juli 2005 @ 12:44:
Net een gesprek met je hacker (of leider van de groep) gehad op IRC:

Session Start: Mon Jul 11 12:27:09 2005
Session Ident: NoBoDy.............

Ha ha da's inderdaad leuk om te lezen (if it ain't the master hacker

), maar als ik het dus goed snap was er daar een user die mij gehacked heeft, welke later gebanned is van dit channel?
En hoe moet ik dit interpreteren:

(12:41:54) (NoBoDy) i'm sorry 4 the data lost
(12:41:58) (NoBoDy) i've read
(12:41:59) (NoBoDy) it
(12:42:00) (NoBoDy) on the site
(12:42:49) (NoBoDy) please change nick

Lezen ze hier mee ofzo?
Nogmaals hartelijk dank voor jullie hulp!!!!!!!!!!!

[ Voor 6% gewijzigd door Speedsmile op 11-07-2005 12:58 ]

If good's on the left, then I'm sticking to the right.

maandag 11 juli 2005 13:00

Acties:

DeMoN

Pastafari

Speedsmile schreef op maandag 11 juli 2005 @ 12:57:
[...]

maar als ik het dus goed snap was er daar een user die mij gehacked heeft, welke later gebanned is van dit channel?

Uit de channel iig ja. En waarschijlijk dus uit de 'hackersgroep' van hun.

En hoe moet ik dit interpreteren:

(12:41:54) (NoBoDy) i'm sorry 4 the data lost
(12:41:58) (NoBoDy) i've read
(12:41:59) (NoBoDy) it
(12:42:00) (NoBoDy) on the site
(12:42:49) (NoBoDy) please change nick

Lezen ze hier mee ofzo?

Het lijkt erop alsof ze dus een community zijn en alles met elkaar delen.
Dus waarschijnlijk hebben ze een (besloten) site waarop ze zetten welke PC's ze hebben gecracked en wat ze ermee hebben gedaan.

[ Voor 3% gewijzigd door DeMoN op 11-07-2005 13:00 ]

maandag 11 juli 2005 13:05

Acties:

Verwijderd

en ze wouden dus dat ik me nick veranderde omdat andere users me dan zouden verwarren met een 'echte' bot die bestanden aanbiedt

dinsdag 12 juli 2005 19:41

Acties:

frickY

@Danielson
Asjeblieft zeg..

Firedeamon is niets meer dan een mogelijkheid om elke willekeurige applicatie als service te laten opstarten. DPC gebruikt dit bijvoorbeeld ook om sommige koetjes in de achtergrond te laten draaien, en er zijn nog veel meer nuttige toepassingen voor te verzinnen.

Als ik de symptomen zo zie, en de chat-log bekijk, is dit gewoon een vriendloze tiener (10 tot 16jr) welke met een standaard trojan-programma je computer heeft overgenomen.
De meeste trojans loggen tegenwoordig in in een IRC kanaal om te laten weten dat ze online zijn. Iedereen met toegang tot dat IRC kanaal kan vervolgens misbruik maken van je computer.

Denk dat je in een nabij verleden gewoon eens een trojan hebt binnen gehaald.
Installeer als firewall ZoneAlarm, en als virusscanner AVG Anti Virus (beide gratis). Dat natuurlijk wel na n versie instal

woensdag 13 juli 2005 00:07

Acties:

DeMoN

Pastafari

frickY schreef op dinsdag 12 juli 2005 @ 19:41:
Als ik de symptomen zo zie, en de chat-log bekijk, is dit gewoon een vriendloze tiener (10 tot 16jr) welke met een standaard trojan-programma je computer heeft overgenomen.
De meeste trojans loggen tegenwoordig in in een IRC kanaal om te laten weten dat ze online zijn. Iedereen met toegang tot dat IRC kanaal kan vervolgens misbruik maken van je computer.

Het boeit verder niet onwijs hoe het is gekomen maar uit de chatlog is wel op te maken dat het dmv een netbios scanner is gedaan icm automatisch veel voorkomende password checker.
In dit geval dus administrator:administrator

woensdag 13 juli 2005 00:26

Acties:

Zwelgje

mensen.. das toch geen hacken

dit is gewoon scriptkiddie werk, door op een zielige manier (tools van 3rden) een scan te doen naar weak passwords

als dat hacken is

A wise man's life is based around fuck you

woensdag 13 juli 2005 09:52

Acties:

cutter

Wannabe i7 fanboy

Boeiend verhaal...

http://www.microsoft.com/.../tools/mbsa2/default.mspx deze tool is erg goed om een quickscan te doen.
En ik zou inderdaad het internetverkeer laten regelen door een router/modem, dan ben je minder afhankelijk van kwetsbaarheden op je eigen computer.

woensdag 13 juli 2005 10:57

Acties:

BlackLight

@TS: nog een advies: om programma's te testen icm. met een firewall, voeg dan wat logging regels toe (als dat mogelijk is) zodat je kan zien wat er tegengehouden wordt. Je hoeft dan niet alle poorten open te zetten om te kijken of een programma dan wel werkt. In de logging rules kun je dan zien welke poorten en protocols het programma gebruikt zodat je die kunt toestaan in je firewall (indien gewenst).

zaterdag 16 juli 2005 13:23

Acties:

Verwijderd

Of simple administrators who put password to just the PC with Windows NT much ce they are little... this is one of these... therefore nn we complain for PC unsecure if the first one that if it tries to them are the admin! TRANSLATE LABELFISH

NL4 [from #millenum]

zaterdag 16 juli 2005 13:38

Acties:

Verwijderd

(ORIGINAL POST) ITALIAN

Di amministratori che mettono password al proprio pc con windows nt molto semplici ce ne sono pochi... questo è uno di questi... quindi nn lamentiamoci per pc unsecure se il primo che se le cerca è l'admin!

By NL4 [#millenium]

zaterdag 16 juli 2005 13:43

Acties:

pasta

Ondertitel

offtopic:
NL4: This is a Dutch forum, could you please continue the conversation in Dutch? We welcome you to our forums though. I also would like to point out the Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/tweakers/images/icons/edit.gif

Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/tweakers/images/icons/edit.gif

-button. If you are the last to reply in a thread for the last 24 hours, you need to edit the post if you want to add some additional information.

Signature

zaterdag 16 juli 2005 14:36

Acties:

vso

tja...

je kan alle data terug krijgen op je PC er zijn (recovery tools) programma's voor

daarnaast als je alles terug hebt lijkt het me handig om belangrijke persoonlijke data altijd te backuppen.

dit is IMHO script kiddie werk.
schade beperken is die pc niet meer op internet hangen. (of alle belangrijke data op externe HD plaatsen)

Tja vanalles

zaterdag 16 juli 2005 15:31

Acties:

Verwijderd

Op de vraag hoe dit kon gebeuren: deze link lijkt me niet echt legaal

hier staat het uitgelegd

Goed dat je dit snel is opgevallen .. anders was je datalimiet binnen no-time met de noorderzon vertrokken

[ Voor 20% gewijzigd door pasta op 16-07-2005 16:18 ]

zaterdag 16 juli 2005 17:31

Acties:

Victor

Aangezien de meeste exploits gebruik maken van de poorten 135, 137, 138, 139 en 445 is het misschien handig om te zorgen dat deze altijd dicht blijven. De handigste manier om dit te doen is door middel van IPSec (zit in Windows 2000, XP en 2003). Ik heb hiervoor alvast een kant en klare policy gemaakt die je alleen maar hoeft te importeren en in te schakelen om alle toegang tot die poorten te blokkeren.

1) Download de policies en pak de policy met je taal naar keuze (beschrijvingen in nederlands en engels) uit naar bijvoorbeeld je bureaublad
2) Ga naar Start > Run > secpol.msc en druk op enter
3) Klik met je rechtermuisknop op IP Security Polices on Local Computer (of IP-beveiligingsbeleid op Lokale computer) en kies via All tasks voor Import Policies. (of Alle taken > Beleidsregels importeren)
4) Kies het uitgepakte IPSec bestand en importeer het
5) Klik met je rechtermuisknop op de Instant Security policy en klik op Assign (of Toewijzen)

De eerdere genoemde poorten zitten nu dicht voor al het verkeer dat niet van de PC zelf afkomt. Let wel op dat hierdoor bijvoorbeeld zaken als Windows File Sharing e.d. ook niet meer werken! Je kunt nu dus je firewall uitschakelen zonder dat deze poorten ook direct open komen te staan. Iets wat wel zo veilig is als je zaken aan het testen bent o.i.d.

Je hebt hier nu je PC al "gehacked" is natuurlijk vrij weinig meer aan, maar misschien handig om het bij je volgende Windows installatie mee te nemen

Succes

zondag 17 juli 2005 01:59

Acties:

Verwijderd

Ja het beroerde is dat je het niet hoeft te scannen, kijk die jongen zit schijnbaar in een team en team zit vaak goed in elkaar qua skills. Er zijn bepaalde poorten op jou pc open waarop je kan rooten.

Met een simpele radmin backdoor en het uploaden van pwdump2 of deregelijke heeft je team met een aantal gigjes aan rainbowtablets aardig snel pasjes achterhaald.Ook zijn de volgende bestanden kenbaar:

KILL.EXE - om runnende prosessen te stoppen
MSServ.exe - zal wel zijn servu zijn
NETCAT.EXE - netcat backdoortje dus alsnog xs op jou pc
PSINFO.EXE - info van je pc like: uptime/os/hd space/prosessor etc
PSLIST.EXE - mja nog wat info om een beetje overzicht te krijgen
CMD.EXE - om gewoon beetje te kunnen prutsen in command promt
DeLeLoG.bat - zal wel software zijn om je standaard logs te delten van je firewall of av
WGET.EXE - backdoortje

Ik denk dat je ook even een freeware tool moet gaan usen zoals fport.exe

gratis te downloaden van www.sysinternals.com

ga dan naar start>typ: cmd [enter]>cd - ga naar path waar je die tool heb staan>fport.exe >a.txt en bekijk even die txt met welke poorten er op dat moment runnen. En post die gewoon weer hier zodat we nog ff kunnen loeren of ze je nog rooten.

Mja en dat deleten is gewoon lame gedoe, kijk als je hacked sja mol dan niets van anderen want dan ben je gewoon triest.

zondag 17 juli 2005 03:15

Acties:

Acid_Burn

uhuh

over die chatdump.. die gozer chat wel heel irritantdoor achter elke paar woorden een enter te geven.

Glass Eye Photography | Zelfbouw wireless fightstick | Mijn puzzel site

zondag 17 juli 2005 08:24

Acties:

sorted.bits

Acid_Burn schreef op zondag 17 juli 2005 @ 03:15:
over die chatdump.. die gozer chat wel heel irritantdoor achter elke paar woorden een enter te geven.

Dat zijn wel de stoerste he.. die zo chatten.

Zijn "staff" yeah right, klinkt als een 11 jarig jochie. In een FXP scene had die echt nog geen staff gehad *denk ik*. Verder is het bij pubbers ook het geval dat ze geen data wissen (alleen die van zichzelf), tenminste ik heb nog nooit gehoord dat ze dat deden.

zondag 17 juli 2005 09:15

Acties:

Borromini

Mislukt misantroop

Verwijderd schreef op zaterdag 16 juli 2005 @ 13:38:
(ORIGINAL POST) ITALIAN

Di amministratori che mettono password al proprio pc con windows nt molto semplici ce ne sono pochi... questo è uno di questi... quindi nn lamentiamoci per pc unsecure se il primo che se le cerca è l'admin!

By NL4 [#millenium]

In het nederlands: Er zijn weinig beheerders die op hun Windows NT computer erg simpele paswoorden zetten... Dit is er een van... Dus laten we niet klagen over onbeveiligde pc's als de eerste die erom vraagt [te worden gehackt] de beheerder is!

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zondag 17 juli 2005 09:17

Acties:

Verwijderd

Niets installeren/verplaatsen op je schijf en eerst dit doen:

http://www.recovermyfiles.com/
http://recover.sourceforge.net/linux/recover/
http://www.active-undelete.com/
http://www.microsoft.com/...oddocs/en-us/recover.mspx
http://www.unistal.com/

Als je teveel gaat verplaatsen/installeren kan het wel eens mogelijk zijn dat je te weinig kan recoveren.
Nog veel plezier met het recoveren.

(((
Dit zou een groot deel aan de schade moeten beperken
Verder raad ik je aan je PC te beveiligen en Windows Update te doen (veel mensen doen dit niet)
)))

zondag 17 juli 2005 11:00

Acties:

cutter

Wannabe i7 fanboy

Borromini schreef op zondag 17 juli 2005 @ 09:15:
[...]

In het nederlands: Er zijn weinig beheerders die op hun Windows NT computer erg simpele paswoorden zetten... Dit is er een van... Dus laten we niet klagen over onbeveiligde pc's als de eerste die erom vraagt [te worden gehackt] de beheerder is!

Tsja.. 99% van de NL bevolkng is beheerder, zonder dat ze daar erg in hebben. En tijdens het installeren van windows kun je zonder prolemen je Administrator wachtwoord leeg laten.... dan kun je daar als MS weer zware eisen aan stellen, maar dan heb je weer al die mensen die wachtwoorden gaan vergeten....

zondag 17 juli 2005 18:13

Acties:

DeMoN

Pastafari

Hier moet ik even op reageren..

Verwijderd schreef op zondag 17 juli 2005 @ 01:59:
Ja het beroerde is dat je het niet hoeft te scannen, kijk die jongen zit schijnbaar in een team en team zit vaak goed in elkaar qua skills. Er zijn bepaalde poorten op jou pc open waarop je kan rooten.

Een Windows PC kan je niet rooten

NETCAT.EXE - netcat backdoortje dus alsnog xs op jou pc

Is gewoon een tool om poorten voor verschillende connecties mee open te zetten. Een echte backdoor is het niet te noemen. Zit standaard in veel linux distro's

WGET.EXE - backdoortje

wget is geen backdoor. Ook een bijna default unix-based tool.
Wordt gewoon gebruikt om bestanden van andere servers mee te downloaden.

Ik denk dat je ook even een freeware tool moet gaan usen zoals fport.exe

gratis te downloaden van www.sysinternals.com

ga dan naar start>typ: cmd [enter]>cd - ga naar path waar je die tool heb staan>fport.exe >a.txt en bekijk even die txt met welke poorten er op dat moment runnen. En post die gewoon weer hier zodat we nog ff kunnen loeren of ze je nog rooten.

Ik weet niet precies wat fport doet. Maar je hebt het over runnende poorten

Het zijn de programma's services die een poort open zetten naar de buitenwereld.
Om dus te kijken welke poort er open staat heb je al genoeg aan de standaard tools in Windows.
In dit geval zou je netstat -an > openpoorten.txt kunnen doen en je hebt ook alle open poorten in een txt staan.

Mja en dat deleten is gewoon lame gedoe, kijk als je hacked sja mol dan niets van anderen want dan ben je gewoon triest.

"Lame gedoe"" en files deleten op anders mans machine zonder toestemming is zeker geen hacken..
Dit was gewoon een scriptkiddie met weinig 'skills'.

zondag 17 juli 2005 18:20

Acties:

elevator

Officieel moto fan :)

DeMoN schreef op zondag 17 juli 2005 @ 18:13:
Is gewoon een tool om poorten voor verschillende connecties mee open te zetten. Een echte backdoor is het niet te noemen. Zit standaard in veel linux distro's

Het kent echter wel de listening mode die je aan een process (bv. cmd.exe) kan koppelen wat het bv. gekoppeld met firedaemon je de mogelijkheid geeft een cmd shell te hebben die 'SYSTEM' access heeft.

Niet alles wat een hackertool is is ook ooit zo bedoeld

Om dus te kijken welke poort er open staat heb je al genoeg aan de standaard tools in Windows.
In dit geval zou je netstat -an > openpoorten.txt kunnen doen en je hebt ook alle open poorten in een txt staan.

Klopt - in recentere Windows kan je hier ook nog netstat -ano van maken waarmee je het PID krijgt van openstaande poorten, in nog recentere versies kan je 'netstat -anb' gebruiken waarmee je de executablenaam krijgt

maandag 18 juli 2005 17:12

Acties:

Verwijderd

cutter schreef op zondag 17 juli 2005 @ 11:00:
[...]Tsja.. 99% van de NL bevolkng is beheerder, zonder dat ze daar erg in hebben. En tijdens het installeren van windows kun je zonder prolemen je Administrator wachtwoord leeg laten.... dan kun je daar als MS weer zware eisen aan stellen, maar dan heb je weer al die mensen die wachtwoorden gaan vergeten....

de TS had z'n adminaccount beter wachtwoordloos gelaten, dan was ie niet gehackt geweest.

maandag 18 juli 2005 17:34

Acties:

Verwijderd

Euhm hoezo schade beperken? Ik zou de i-net verbinding eruit halen en backups maken waar het nog mogelijk is (eventueel nog uitzoeken hoe het gebeurd kan zijn).

Dan een totale format (alle schijven) en alles weer opnieuw erop zetten.

Pagina: 1

Reageer