[XP] Gehacked of backdoor?*

Start windows op en ga eens in veilige modus en kijk of de administrator account een wachtwoord heeft. Is dit niet het geval(of is dit nog steeds jouw wachtwoord) log dan in, ga naar uitvoeren => typ: control userpasswords2 en geef het een nieuw wachtwoord

Je kunt eens met een boot cd (ultimate boot cd/hiren/linux variant) wel het eea proberen. Echter zou ik, indien je daadwerkelijk gehackt bent toch een nieuwe install doen. Wat heb je aan beveiliging? (firewall, router met firewall, anti-virus), is het geen nasty spyware? Maw iets concreter.

Als je idd gehackt bent kun je aangifte doen, in hoeverre er iets mee gedaan word weet ik niet, ligt er ook aan hoe hard je kunt maken dat diegene het is geweest.

Edit: misterdoom, dat is ook een goede

[ Voor 6% gewijzigd door asfaloth_arwen op 02-07-2008 11:38 ]

Je kunt natuurlijk je gehackte pc zonder netwerkverbinding opstarten in veilige modus met je administrator account (bestaat die nog wel?).

Jij denkt dat een hacker radmin geeinstalleerd heeft bij jou??? Ga eerst maar eens kijken of er iemand bij jou in de buurt een geintje met je aan het uithalen is.

Start eens in save mode op en/of log eens in als admin.

En verder, ik kan waarschijnlijk aan het ip adres komen waarvan verbinding gemaakt wordt met mijn computer. Kan ik hier nog iets mee? Aangifte doen ofzo?

Kijk eens in de router als je die gebruikt of in je logboeken
Je kan iig met ERD commander je Windows wachtwoord aanpassen zonder in Windows te moeten werken

In veilige modus via de admin account? Grote kans dat daar inmiddels ook een wachtwoord op zit.
Anders even de Offline NT Password & Registry Editor gebruiken. Werkt perfect.

Overigens, als iemand op deze manier op je PC is gekomen moet je toch serieus eens na gaan denken over betere beveiliging. Verder zou ik de huidige installatie (mocht je weer toegang hebben) niet meer gebruiken (lees: format). Wie weet wat voor keyloggers en dergelijke verborgen staan op je PC.

EDIT: Grr, reply typen...even wat anders tussendoor doen voor submit en dan al 10x dezelfde antwoorden lezen.

[ Voor 10% gewijzigd door The Realone op 02-07-2008 11:42 ]

Waarom open je hier een topic en niet in Beveiliging & Virussen wat een logischer plek zou zijn?

[WOS] >> [BV]

[ Voor 6% gewijzigd door alt-92 op 02-07-2008 12:15 ]

Heb je überhaupt een firewall draaien?

DaNiEl KuNsT schreef op woensdag 02 juli 2008 @ 13:06:


Verder, ik heb geen router hier staan omdat die alleen mn internet verbinding staat te knijpen (100mbit verbinding werkt niet met 20mbit wan van de meeste routers).


Verder gebruik ik geen virus / spyware scanner. Ik let altijd goed op wat ik download en waar vandaan (met onder andere site advisor). Verder hebben vrienden ook geen toegang tot m'n computer.

Kortom je hebt totaal geen beveiliging. Het valt me nog mee dat het al niet eerder fout is gegaan...

Hoe lang draai je al op deze manier?

DaNiEl KuNsT schreef op woensdag 02 juli 2008 @ 13:06:
Verder, ik heb geen router hier staan omdat die alleen mn internet verbinding staat te knijpen (100mbit verbinding werkt niet met 20mbit wan van de meeste routers).

Dit snap ik niet helemaal

Maargoed, kans is groot geweest dat ze dagenlang je porten hebben gecheckt, ergens toch via via binnen zijn gekomen. Zeker als je Xampp niet goed dichtgooi (die draait mysql, apache, ftp en nog iets) zonder ook maar iets van beveiliging is het gewoon erom vragen.

Hebben jullie een draadloos netwerk en hebben alle pc-accounts een wachtwoord?

Verwijderd schreef op woensdag 02 juli 2008 @ 13:25:
[...]


Kortom je hebt totaal geen beveiliging. Het valt me nog mee dat het al niet eerder fout is gegaan...

Hoe lang draai je al op deze manier?

Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Denk iemand gewoon een geintje probeerd uit te halen met hem...

Owja, nog 1 ding.

Gooi een wachtwoord op je admin account!

Anders kun je net zo goed ook je useraccounts zonder password laten.

Mektheb schreef op woensdag 02 juli 2008 @ 13:30:
[...]


Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Denk iemand gewoon een geintje probeerd uit te halen met hem...

Mischien heel raar, maar als je er zo overdenkt. Wat komen mensen hier dan doen als je het (schijnbaar) niet nodig hebt.

Mektheb schreef op woensdag 02 juli 2008 @ 13:30:
[...]


Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Denk iemand gewoon een geintje probeerd uit te halen met hem...

Jij hebt dus geen router geen firewall en draaid geen virus prog's? Bij jou gaat het dus goed, maar de ts weet duidelijk dus niet wat hij doet....

Mektheb schreef op woensdag 02 juli 2008 @ 13:30:
[...]


Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Denk iemand gewoon een geintje probeerd uit te halen met hem...

Ik denk dat een hacker met hem een grappie maakt omdat ie geen Firewall heeft.

Verwijderd schreef op woensdag 02 juli 2008 @ 13:33:
[...]


Jij hebt dus geen router geen firewall en draaid geen virus prog's? Bij jou gaat het dus goed, maar de ts weet duidelijk dus niet wat hij doet....

Standaard heeft je router een firewall , en draai inderdaad geen norton of iets wat er op lijkt het is inderdaad maar dat je weet wat je doet, als je bv als normale gebruiker geen raare site's of programma's zoals limewire etc gebruikt is er 90% niks aan de hand...

Maar ik reageerde even op deze manier omdat het leek "je zei iemand die niks gebruikt is niet helemaal lekker "
Verder bedoelde ik er niks mee , denk dat de TS zelf het beste weet sinds wanneer er wat op ze pc is gekomen en dat hij er nu van geleerd heeft op te letten of dat er iemand loopt te "ouwehoeren"

Waarom zou het een grap zijn? Menig backdoor gebruikt een r_admin principe om meer of betere controle te krijgen en je PC in te zetten voor meerdere dooleinden. (ddos, spam, etc).

Helemaal beveliging vrij werken, eigen keuze. Maar daarbij merk ik altijd op, als je niet weet dat het kapot is, hoe kan je het dan vinden?

SinergyX schreef op woensdag 02 juli 2008 @ 13:36:
Waarom zou het een grap zijn? Menig backdoor gebruikt een r_admin principe om meer of betere controle te krijgen en je PC in te zetten voor meerdere dooleinden. (ddos, spam, etc).

Helemaal beveliging vrij werken, eigen keuze. Maar daarbij merk ik altijd op, als je niet weet dat het kapot is, hoe kan je het dan vinden?

Dat ben ik wel met je eens , maar als menig "gebruiker" weet je toch wel wat wel op je pc draaid en wat niet...

Zoals ik kijk dus regelmatig wat me Services aant doen zijn, wat voor mapjes er zijn gekomen in me Programfiles windows , application data etc...

Kortom tuurlijk kan je wat "spam" over het hoofd zien maar dat je pc word overgenomen heb je denk ik wel door teminste hoop ik wel anders ben ik wel de sjaak

The Realone schreef op woensdag 02 juli 2008 @ 13:31:
Owja, nog 1 ding.

Gooi een wachtwoord op je admin account!

Anders kun je net zo goed ook je useraccounts zonder password laten.

Ehm..

Nee, dat is sinds SP2 een misvatting.

Een Local Administrator account zonder password is in een standaard configuratie niet over het netwerk te gebruiken/benaderen.

Maar als je de voordeur wijd open laat staan en geen enkele standaard beveiligingsmaatregel in acht neemt is dat eigenlijk het laatste waar je je druk over moet maken.

Mijn advies :

Nuke & Rebuild.

Oftewel: alles wipen en opnieuw volledig installeren.
En dit keer wel je verantwoordelijkheid nemen tegenover andere Internet gebruikers en je PC beveiligen.

Misschien een paar domme tips:
edit: maar die kan je wrs al om 7jaar te overleven zonder firewall enzo
- zet netbios over tcp/ip _uit_
- client for microsoft netwerks _uit_
- dat ding voor delen van mappen en printers _uit_

op de netwerkconnectie die je gebruikt voor internet-connectie.
Dat voorkomt al veel "script-kiddie-exploits".
(ik draait zelfs voor de interne connectie' geen van dit allen, en het zijn windows-pc's... enkel tcp/ip draait, file-sharing gaat via ftp-software en/of usb-sticks, slechts eenmaal last gehad van een exploit maar toen had ik mysql nog fout geconfigureerd - poort ook opengesteld voor externe ip's ipv enkel localhost, dankzij exploit waren ze zo binnen (ik had ook een ;oeilijk wachtwoord, maar daar gingen ze zo over door die exploit): zet je poorten voor mysql enzo dicht voor buiten als enkel je eigen site erop moet: 80 open voor buiten, rest dicht ?)


vaak zitten 'de hackers' in hetzelfde subent. scriptkiddies die een tooltje gebruiken en eens uitproberen op hun eigen internet-connectie en zo de buurman (ofzo) hacken omdat die nog netbios draait.
(en mits men allebei in hetzelfde subnet zit, zit er geen router tussen de systemen en kan men dus perfect misbruik maken van zulke flaters)

ps: kijk je systeemlogs na wanneer die account is aangemaakt en ev. vanwaaruit, die informatie kan je dan weer gebruiken mocht je klacht willen gaan indienen.

pps: en je titel kan ook 'en' zijn hoor een backdoor waarlangs je gehackt bent ...

[ Voor 15% gewijzigd door soulrider op 02-07-2008 13:51 ]

In dit geval is opnieuw beginnen en nu wel fatsoenlijk beveiligen ook imho verstandig.

Mektheb schreef op woensdag 02 juli 2008 @ 13:30:
Al 5 jaar en heb nog nooit me pc hoeven te fixe door zulke dingen, kortom who needs it if you know what you are doing

Punt is dus dat bijna iedereen die dat roept niet weet wat 'ie doet

Aangifte lijkt me niet helpen. Ten eerste omdat dit nu niet meteen spannend genoeg lijkt om de tijd van de politie mee te verdoen - als je al in contact komt met iemand die er voldoende verstand van heeft, en vooral omdat je woord me geen bewijs lijkt en de PC zo te horen niet zodanig was ingericht dat je goede logs hebt achtergelaten.

Het routerverhaal snap ik ook niet helemaal, maar dat lijkt me hier niet relevant (behalve dan natuurlijk het gegeven dat er geen NAT zit tussen de grote boze buitenwereld en je PC). Hoeft allemaal niet, maar houd er wel rekening mee. Idd oa bij open poorten / services.
Edit: ah, de prijs is het probleem. Dat snap ik

[ Voor 7% gewijzigd door F_J_K op 02-07-2008 14:20 ]

Dus wat doe je: je zet er een firewall die alleen communicatie met het IP-adres van de printservers toestaan

XAMPP is zeker niet inherent onveilig. Wel kan je het erg onveilig inrichten en beheren (incl updates).

Image: Ghost oid vanaf bootable CD/USB/oid is het makkelijkst.

[ Voor 5% gewijzigd door F_J_K op 02-07-2008 17:09 ]

Met de tips van mij en die hierboven wordt een volgende inbreuk wel voorkomen wrs.

je kan ook op je gedeelte mappen spelen met rechten
(leesrechten op alles voor iedereen, maar slechts 1 map om te uploaden ?)

en xampp hoeft op zich niet onveilig te zijn. je moet als beheerder enkel 'erbij blijven' tijdens configuratie en gebruik.
waarom mysql openzetten voor iedereen als enkel je lokale php-site ermee moet kunnen communiceren of een file-server vanaf ip x.x.x.x ... (bv),
met apache ook: draai die onder een eigen gebruiker die enkel leesrechten heeft op de bestanden die nodig zijn voor de website's. meer heeft die niet nodig dus meer moet je hem ook niet geven. en zo zijn er nog enkel tips die vindbaar en bruikbaar zijn.

maw: je voorkomt een exploit ten eerste door een veilige configuratie, ten tweede door opvolging van nieuws over exploits en updates. (het kan net zo goed via een php-script zijn dat je draait op je xampp dat ze binnen zijn geraakt in je windows-gebruikers-beheer: maw: apache en/of je php-parser draait onder beheerders-account ipv limited-account.)

DaNiEl KuNsT schreef op woensdag 02 juli 2008 @ 16:49:
2 mappen met films en muziek echter wel. Deze moeten ook gedeeld blijven, daar draait het hele netwerk hier op..

En dan verbaasd zijn dat je er toch een RAT op krijgt?
Hmm.
Ik denk dat je tot nu toe gewoon mazzel hebt gehad dat het niet eerder fout is gegaan eerlijk gezegd

Je hebt op een publiek netwerk (campusnet is gewoon een hostile omgeving, net als de rest van Internet) filesharing aanstaan.

Dan heb ik als Evil Bob gewoon een aanvalshoek. Zo lastig is dat toch niet te begrijpen?

DaNiEl KuNsT schreef op woensdag 02 juli 2008 @ 13:44:
Dat weet ik zeker wel. Ik draai al 7 jaar zo, zonder iets!

Je weet toch bij een standard XP install de 'hulp van buitenaf' default AAN staat ?

Dat aanstaan hebben en rechtstreeks op een netwerk hangen... Er moet er maar 1tje zijn die zo slim is van de meest voor de hand liggende opties eens te proberen

Hier een site waar je snelheden Wanpoorten kan zien van routers:

http://www.smallnetbuilde...ion,com_chart/Itemid,189/

Aangifte doen heeft erg weinig zin lijkt mij, vanwege de redenen die F_J_K al noemt, en ook omdat je de schijf inmiddels al weer hebt gebruikt (zonder eerst een bit-image te maken)

+ dat je niet aan je eigen veroordeling mee hoeft te werken (je helpt mee met verspreiden van auteursrechtelijk beschermd materiaal - weet je zeker dat je hiervan aangifte wil doen? )

Heeft XAMMP ook niet een FTP server aan boord? Misschien dat je via die weg gehackt bent.