Hotmail gehackt, wat te doen? - Privacy en beveiliging

maandag 19 december 2011 17:40

Acties:

Topicstarter

Afgelopen vrijdag kreeg ik ineens tientallen mailtjes binnen waarin stond dat een e-mail die ik verstuurd zou hebben niet was aangekomen. Meteen gingen bij mij de alarmbellen rinkelen en heb ik mijn wachtwoord veranderd en in Paypal de koppeling met mijn rekening verwijderd. Overigens klik ik nooit op spamberichten en download ik al helemaal de bijlages niet. Vandaag kreeg ik op mijn telefoon echter een melding dat de verbinding met Hotmail was verbroken. Op de computer probeerde ik toen in te loggen, maar ik kreeg van Microsoft de melding dat ze het vermoeden hadden dat mijn account gehackt was. Was dus ook zo, maar ik dacht dat ik dat al had opgelost door vrijdag mijn wachtwoord te veranderen. Ik heb dus nogmaals mijn wachtwoord veranderd, en heb mijn secundaire e-mailadres van een Hotmail naar een Gmail gewijzigd. Ook heb ik alle vertrouwde PC's verwijderd. Toen ik dat gedaan had kreeg ik van Google Chrome de volgende melding: http://i43.tinypic.com/n6f6mo.png Aangezien ik dual-boot met twee versies van Windows 8 heb ik meteen de laptop herstart naar de andere installatie om nogmaals mijn wachtwoord te veranderen. Nu zit ik in mijn tweede installatie en krijg wéér hetzelfde scherm in Google Chrome. Ik weet nu dus niet echt wat ik nog kan doen. Iemand tips?

maandag 19 december 2011 17:46

Acties:

Biersteker

Zit je in een studentenhuis of zo? Dit gebeurt namelijk ook als iemand in je netwerk, al het verkeer laat rerouten.
Doe voor de grap even in een dos schermpje:

code:

1	arp -a> C:\output.txt

Daar zie je dan je gateway staan, in het output.txt bestand. (bijvoorbeeld 192.168.0.1), met daarachter een mac adres. Log dan even in op je router, en bekijk daar het bijbehorende mac adres. (bij wireless het mac adress van je wireless antenne, en bij bedraad, het mac adres van je LAN port.) Als dit niet overeenkomt, moet je even kijken van welke pc dat mac adres af komt.

Kijk ook even in je hostfile of daar geen gekke veranderingen zijn gemaakt.

Originally, a hacker was someone who makes furniture with an axe.

maandag 19 december 2011 17:53

Acties:

Japperrrr

Topicstarter

code:

Interface: 192.168.1.5 --- 0xd
  Internet Address      Physical Address      Type
  192.168.1.1           e0-91-f5-a6-69-4c     dynamic   
  192.168.1.14          00-1b-b1-0f-58-43     dynamic   
  192.168.1.255         ff-ff-ff-ff-ff-ff     static    
  224.0.0.22            01-00-5e-00-00-16     static    
  224.0.0.251           01-00-5e-00-00-fb     static    
  224.0.0.252           01-00-5e-00-00-fc     static    
  224.0.0.253           01-00-5e-00-00-fd     static    
  239.255.255.250       01-00-5e-7f-ff-fa     static    
  255.255.255.255       ff-ff-ff-ff-ff-ff     static

In de router(Netgear WNDR3700) staat bij aangesloten apparaten helemaal niets. Volgens de router is er dus geen computer of ander apparaat aangesloten.

code:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#   127.0.0.1       localhost
#   ::1             localhost

Ik zit niet in een studentenhuis, maar woon samen met mijn vader in een huis in relatief dunbevolkt gebied. Er zijn hooguit 5 andere huizen waar ze mijn draadloos netwerk zouden kunnen ontvangen.

[ Voor 5% gewijzigd door Japperrrr op 19-12-2011 17:55 ]

maandag 19 december 2011 17:55

Acties:

mach2

Heb de WNDR3700 zelf ook, staat bij mij ook niks. Even de stroom eraf en er weer op verhielp dit bij mij, maar na een tijdje staat er weer niks. Is volgens mij een bug ofzo want alles werkt verder wel.

Hallo

maandag 19 december 2011 17:56

Acties:

Biersteker

code:

1	192.168.1.1 e0-91-f5-a6-69-4c dynamic

Dit is je router. Vaak staat onderop je router ook een stickertje, met de mac adressen van de wlan/lan porten erop. Controleer of dat klopt.
Net even een vendor check op je mac adres gedaan, en dat lijkt wel degelijk op een netgear macadres.
Dus waarschijnlijk is je netwerk verbinding wel op orde. Op dit moment.

code:

1	192.168.1.14 00-1b-b1-0f-58-43 dynamic

Is ook een pc die in je netwerk zit.

[ Voor 21% gewijzigd door Biersteker op 19-12-2011 17:59 ]

Originally, a hacker was someone who makes furniture with an axe.

maandag 19 december 2011 18:05

Acties:

Japperrrr

Topicstarter

Ik heb even de beveiligingscode veranderd en nu krijg ik dit te zien:

code:

Interface: 192.168.1.5 --- 0xd
  Internet Address      Physical Address      Type
  192.168.1.1           e0-91-f5-a6-69-4c     dynamic   
  192.168.1.255         ff-ff-ff-ff-ff-ff     static    
  224.0.0.22            01-00-5e-00-00-16     static    
  224.0.0.251           01-00-5e-00-00-fb     static    
  224.0.0.252           01-00-5e-00-00-fc     static    
  224.0.0.253           01-00-5e-00-00-fd     static    
  239.255.255.250       01-00-5e-7f-ff-fa     static    
  255.255.255.255       ff-ff-ff-ff-ff-ff     static

Die andere computer/apparaat is nu in ieder geval weg.

maandag 19 december 2011 18:10

Acties:

Biersteker

Dat andere apparaat was er niet een van jouw? telefoon, andere pc, nas etc.? Je kan ook je arp cache clearen met:

code:

1	netsh interface ip delete arpcache

Originally, a hacker was someone who makes furniture with an axe.

maandag 19 december 2011 18:15

Acties:

Japperrrr

Topicstarter

Biersteker schreef op maandag 19 december 2011 @ 18:10:
Dat andere apparaat was er niet een van jouw? telefoon, andere pc, nas etc.? Je kan ook je arp cache clearen met:
code:
1
netsh interface ip delete arpcache

Denk niet dat die van mij was, nee. Behalve mijn laptop is de Samsung Blu-ray speler het enige andere apparaat wat aan staat en met het netwerk zou kunnen verbinden, ware het niet dat die momenteel op AUX staat en dus geen verbinding met internet heeft. Telefoon is niet verbonden met Wi-Fi.

maandag 19 december 2011 18:21

Acties:

RonaldMones

Heb je niet toevallig spyware op je PC staan?

Probeer anders eens te scannen met Malware bytes of Combfix

maandag 19 december 2011 18:26

Acties:

Japperrrr

Topicstarter

RonaldMones schreef op maandag 19 december 2011 @ 18:21:
Heb je niet toevallig spyware op je PC staan?

Probeer anders eens te scannen met Malware bytes of Combfix

Dacht ik ook al aan. Vandaar dat ik G-Data vrijdagmiddag al heb gedownload en laten scannen. Resultaat was één besmetting, die door G-Data is verwijderd. Maar voor de zekerheid flap ik er toch even een verse Windows 8 overheen

maandag 19 december 2011 18:27

Acties:

Verwijderd

Vandaag kreeg ik op mijn telefoon echter ? hmm gebruik jij die telefoon wel eens op een wifi netwerk dat gewoon open staat voor iedereen? veel paswoorden worden daar mee prima gelogd. door een computer met linux die vrolijk mee luistert naar alle pakketjes en alles netjes verzameld!

als ik jou was zou ik eens gaan dual booten met linux of OSX dat is veel veiliger.

Tevens op je PC gewoon werken met gebruikers en niet inloggen als admin beheerder die alles zo maar mag doen. kan best zijn dat jij niet de gene bent maar je pa die door een of ander linkje te pakken .

tevens hoeft het jouw account niet te zijn gehack er zijn zat programma's die op de achter grond bij een ander meedraaien en email adressen verzamelen en dat een email sturen uit iemand anders naam dat is dan toevallig jou naam niet de gene die besmet is. en enige manier om daar achter te komen is de header van de mail na kijken. ik heb het vroeger ook wel eens gehad bla bla ik zou mail sturen maar ik was het niet het was een of andere domme doos die besmet was met het virus ik draaide osx en dat is gewoon veilig.

maandag 19 december 2011 18:29

Acties:

Biersteker

code:

1	192.168.1.14 00-1b-b1-0f-58-43 WistronN Wistron Neweb Corp.

Dit is zeer waarschijnlijk je Blueray speler. Dus daar ligt het ook niet aan.

Originally, a hacker was someone who makes furniture with an axe.

maandag 19 december 2011 20:12

Acties:

Japperrrr

Topicstarter

Eerst maar eens even mijn torrents voltooien en dan een schone installatie erop. Ook al lijkt het nu weg; ik wil toch net die extra zekerheid

maandag 19 december 2011 20:16

Acties:

Mavamaarten

Omdat het kan!

Japperrrr schreef op maandag 19 december 2011 @ 20:12:
torrents

Daar zit waarschijnlijk de boosdoener

Normaal gezien als je je wachtwoord wijzigt hebben ze niet meteen wéér je pass. Fresh install eroverheen en in het vervolg grijze dingen (keygens, cracks,...) deftig scannen

Android developer & dürüm-liefhebber

maandag 19 december 2011 20:48

Acties:

Japperrrr

Topicstarter

Mavamaarten schreef op maandag 19 december 2011 @ 20:16:
[...]

Daar zit waarschijnlijk de boosdoener
Normaal gezien als je je wachtwoord wijzigt hebben ze niet meteen wéér je pass. Fresh install eroverheen en in het vervolg grijze dingen (keygens, cracks,...) deftig scannen

Zijn toch vooral series, films en muziek. Met het downloaden van software pas ik altijd wel op, maar meestal valt uit het lezen van de reacties op bijvoorbeeld TPB al genoeg af te leiden.

Overigens is dit mijn eerste virus sinds jaren. Kan me niet herinneren wanneer de laatste keer was..

[ Voor 9% gewijzigd door Japperrrr op 19-12-2011 20:48 ]

dinsdag 20 december 2011 13:48

Acties:

Thralas

Toch nog even inhaken.

Biersteker schreef op maandag 19 december 2011 @ 17:46:
Zit je in een studentenhuis of zo? Dit gebeurt namelijk ook als iemand in je netwerk, al het verkeer laat rerouten.

Beetje snel van stapel gelopen.^* De URL van het screenshot van TS resolved naar een host die inderdaad niet geldig is voor het betreffende domein, maar met het certificaat zelf is niets mis.

The certificate is only valid for the following names:
*.mail.live.com , *.hotmail.com , hotmail.com , hotmail.msn.com , hotmail.co.jp , hotmail.co.uk , hotmail.live.com , www.hotmail.msn.com , mail.live.com , people.live.com , contacts.live.com

De vraag is eerder, hoe kom je aan die URL (history?) ? Browse eens gewoon naar mail.live.com.

* Gezien het relatief grote aantal gevallen waarin 1) user error of 2) een virusbesmetting van de machine de oorzaak is van dergelijke meldingen, en de onwaarschijnlijkheid van een MITM op een gemiddeld netwerk (lees: thuisnetwerk), lijkt me dat nou niet de juiste volgorde van onderzoeken

dinsdag 20 december 2011 18:13

Acties:

Japperrrr

Topicstarter

Thralas schreef op dinsdag 20 december 2011 @ 13:48:
Toch nog even inhaken.

[...]

Beetje snel van stapel gelopen.^* De URL van het screenshot van TS resolved naar een host die inderdaad niet geldig is voor het betreffende domein, maar met het certificaat zelf is niets mis.

[...]

De vraag is eerder, hoe kom je aan die URL (history?) ? Browse eens gewoon naar mail.live.com.

* Gezien het relatief grote aantal gevallen waarin 1) user error of 2) een virusbesmetting van de machine de oorzaak is van dergelijke meldingen, en de onwaarschijnlijkheid van een MITM op een gemiddeld netwerk (lees: thuisnetwerk), lijkt me dat nou niet de juiste volgorde van onderzoeken

Die url kreeg ik als ik naar hotmail.com ging of vanuit hotmail.com ergens op klikte. De ene keer werkte het wel gewoon, de andere keer kreeg ik die melding. Gisteravond heb ik Windows 8 opnieuw geïnstalleerd, mijn wachtwoord nogmaals veranderd en de sleutel van het netwerk veranderd. Nu lijkt het wel te zijn opgelost.