Ben DDOS client!

Cyb schreef op 22 June 2003 @ 03:52:
Virusscanners zien het iig niet, want het is te nieuw daarvoor.
Firewalls zou kunnen, maar die zien vaak SVCHOST als een veilig intern process.

En denk nog eens 1 stapje terug. Hoe komt een executable op de computer terecht? Dat moet dan volgens mij een user actie of security vulnerability geweest zijn.

Indien het een user actie is geweest, had een betere rechtenstructuur wellicht geholpen, of heropvoeding van de user. Wat heeft een user immers te zoeken in c:\windows\system32?

Indien het een security vulnerability is (en daarmee bedoel ik eigenlijk een aanval van buitenaf) dan staan er bepaalde poorten open naar buiten. Deze zijn normaliter afgesloten door een firewall.

Cyb schreef op 22 June 2003 @ 04:03:
Elk programma kan gemakkelijk een executable ergens neer droppen, aangezien het niet als virus herkend wordt.
Geen useractie, want ik ben de enigste achter deze pc.

dat ga je niet serieus menen

BackSlash32 schreef op 22 juni 2003 @ 04:06:
[...]



dat ga je niet serieus menen

Inderdaad: Enige > Eniger > Enigste? Hoe kan een user ooit eniger of enigste achter een pc zijn?

Maar even voor Cyb; uiteraard kan niet zomaar elk programma een executable op je pc gooien; dan zou het nut van een virusscanner ietwat klein zijn. Update je je definities wel regelmatig?

En voor de rest van de grapjassen; wees blij dat Cyb deze trojan heeft gevonden en op wil ruimen. Er zijn meer dan genoeg mensen die niets doorhebben van zo'n ding; en daarmee het internet helemaal leegDDOSsen. Dus help hem gewoon in plaats van die 'grapjes' <-- Dit is geen grapje

[ Voor 31% gewijzigd door Spider.007 op 22-06-2003 10:10 ]

Elk programma kan gemakkelijk een executable ergens neer droppen, aangezien het niet als virus herkend wordt. Geen useractie, want ik ben de enigste achter deze pc.

Hmm... wat klopt hier niet... Je gebruikt volgens je sig WinXP Pro SP1. Ik neem dan aan dat je niet als administrator inlogt en dus niet zomaar inderdaad alle executables overal toegang laat geven.....?

[ Voor 26% gewijzigd door Eegee op 22-06-2003 10:15 ]

Eegee: meen je bovenstaande bewering serieus?
Dan ben je volgens mij niet van deze wereld...

Cyb schreef op 22 June 2003 @ 02:16:
Daarna ff met een hexeditor bekeken en zag "IRC undernet.org# listsoffury XSubhuman Solutio". Zegt me al genoeg, ik heb een BACKDOOR op mijn PC die gebruikt wordt op te DDOSen!!!

Vergeet dan ook niet even Undernet te waarschuwen (http://www.undernet.org/user-com/documents/aup.html) zodat ze het channel kunnen verwijderen.

_{GoT deed 't gisteravond niet meer, dus post ik 't nu maar}

Cyb schreef op 22 June 2003 @ 04:03:
Elk programma kan gemakkelijk een executable ergens neer droppen,
aangezien het niet als virus herkend wordt.

Nee. Ik noem juist rechtenstructuur om dit soort ongein te voorkomen. NTFS
ring a bell? Normale users geen write rechten in system32? Dan had
je dit (en vele andere virussen / trojans, want hier gaan een heleboel
virussen zitten) kunnen voorkomen.

Geen useractie, want ik ben de enigste achter deze pc.

Vind je het erg dat ik dat een kromme redenering vind?

En de aanval is niet van buitenaf, maar van binnenuit. De connectie
gaat naar buiten, er zijn dus geen listen porten. Maar een IRC connectie
naar een normale IRC server, door een voor een firewall vaak gezien als
normaal process. Alleen dat dat process IRC doet is opvallend en dat zou
idd ingesteld kunnen worden in een personal firewall.

Ja, de connectie van de trojan gaat naar buiten. Maar hoe komt de trojan
erop? Misschien door een TFTP server die actief is op jouw computer?
Misschien via een ander stuk software waar een bug in zit zodat er een
uploadmogelijkheid is? Of misschien gewoon gepacked in een ander stuk
software wat je via mail / P2P / download binnen gekregen hebt. En dan
komen we weer terug op user actie. Vandaar dat ik dat een kromme
redenering vond.

Maargoed, dat je deze trojan hebt is allemaal heel evil, zorg dat je er snel af komt en leer er van, dat dit soort dingen niet meer hoeft voor te komen.

Spider.007 schreef op 22 juni 2003 @ 10:02:
Maar even voor Cyb; uiteraard kan niet zomaar elk programma een executable op je pc gooien; dan zou het nut van een virusscanner ietwat klein zijn. Update je je definities wel regelmatig?

Zoals door de TS al aangegeven is deze trojan niet herkend door antivirussoftware. Een mooi voorbeeld om te zien dat een virusscanner een achterafoplossing is, en er in veel gevallen meer beveiliging nodig is dat alleen een virusscanner.

Dus, voor de volgende keer:
Hoe zien jouw beveilingsmaatregelen eruit?
Wat is nou de perfecte firewall voor home users?

Cyb schreef op 22 June 2003 @ 13:08:
dus begin niet meteen met topics te gooien.

Goed, ik zal nog eens tips geven.

er zijn ook nog steeds backdoors die niet door virusscanners gevonden worden
en mensen die firewalls instaleren en er geen verstand van hebben

deze 2 programmas zijn dus geen oplossing voor dit soort problemen

het probleem ligt bij jezelf omdat je zelf een file hebt geopent die niet koosjer was

ik hab dat ook gehad,
ging mijn pctje ff 7 uren lang @ 11mb/s pompen tot de router, du meter gaf 700GB upload aan


maaruuh die irc trojan zal wel niet enige zijn
kijk een in je system(32)/spool /dllcache en op datum gesorteerd
ik had een ddos client service irc server en demonFTP verborgen installed
grote kans dat et ook bij jou is?

Cyb schreef op 22 juni 2003 @ 14:46:
pffff..... je weet van geen enkel programma 100% wat het doet, tenzij je het zelf geschreven of gedebugged hebt.

Klopt, daar heb je helemaal gelijk in.
Dat verwacht en vraagt ook niemand hier van je als je goed leest

Ik ga niet elke programma wat ik open, helemaal debuggen!

Daarom is het wel zo handig om in ieder geval wel te weten wat je opent (herkomst, betrouwbaarheid enzo)

Misschien heb jij wel wat aan MSNGSCB dan

Ben hier gewoon gekomen om mijn verhaal te vertellen. Niet om hier constant afgebekt te worden!

duude, take a chill-pill
Je bent je verhaal toch kwijt nu?

[edit]

Heb ook de bron gevonden, maar weet nog niet precies hoe het is gedaan.
Ik had via Kazaa of DC++ Sonic Solutions Scenarist v2.6 gedownload.

heb je toch echt zelf dus een minder fris filetje binnen gehaald.

[ Voor 33% gewijzigd door alt-92 op 22-06-2003 15:37 ]

GrittyKitty schreef op 22 June 2003 @ 02:39:
klink als trojan. Misschien zelf een backdoor trojan.

download eens een trojan scanner (cleaner/anti trojan/etc) & laat hem updaten & scannen.
Beniuwd wat je krijg....

Trojan ziet je virus scanner zeker niet altijd! is gewoon moeilijk te herkennen.

Verder vind ik het maar raar dat je uoload 50 kb is i.p.v 16 wat maximaal mogelijk zou zijn met jou abbo.
(installeer anders winddos opnieuw )

[ Voor 7% gewijzigd door Verwijderd op 22-06-2003 17:17 ]

Cyb schreef op 22 June 2003 @ 15:23:
Heb ook de bron gevonden, maar weet nog niet precies hoe het is gedaan.
Ik had via Kazaa of DC++ Sonic Solutions Scenarist v2.6 gedownload. Ik trof net de volgende files aan:
-c:\windows\temp$01.exe, 55kb, welke precies dezelfde datum en inhoud heeft als het irc trojan.
-c:\windows\temp#01.exe, 13mb, welke precies dezelfde datum heeft als het irc trojan en uitgepakt precies dezelfde inhoud heeft als Scenarist, alleen heb ik die file nooit daar neer gezet.

klinkt als een standaard dropper, vreemd want de meeste droppers worden wel herkend door een virusscanner

oja, dit soort ddos botjes maken idd gebruik van udp of icmp (maar daar was je zelf ook al achter)

het leukste vind ik altijd om een packetsniffer te instaleren, en dan te kijken wat voor verkeer er allemaal word gegenereerd door zon "irc backdoor"

je ziet precies welke server, welk channel (met pass) en welke commands ie krijgt...
op die manier kun jij ook dat channel joinen en even een woordje met de eigenaar houden....

[ Voor 25% gewijzigd door Jimbolino op 22-06-2003 18:21 ]

http://www.trojanscan.com/trojanscan/trojanscan.htm

Cyb schreef op 22 June 2003 @ 17:27:
Het was geen TCP, maar UDP
[...]
Het zal waarschijnlijk niet met die snelheid het doel bereiken, dat is afhankelijk van o.a. Chello.

UDP is connectionless dus loopt lekker keihard te broadcasten.
dat het uiteindelijk door een 16KB up trechter heengaat naar buiten is idd punt 2.

Tja, veel mensen, gebruiken nou eenmaal Kazaa etc daarvoor

Billen, brand, blaren enzo

dit waren mijn files
ik heb toen alles in een zipfile geflikkerd:

[ Voor 6% gewijzigd door ThaHandy op 07-09-2015 00:46 ]

blackd schreef op 22 juni 2003 @ 03:55:
[...]

Indien het een user actie is geweest, had een betere rechtenstructuur wellicht geholpen, of heropvoeding van de user. Wat heeft een user immers te zoeken in c:\windows\system32?

Als je een bestand leuk van internet haalt, bijvoorbeeld een jpgtje dat in een email staat, kan daar een script in staan dat een trojan etc. op je HDD kan plaatsen. Het maakt niet uit waar het virus/trojan/whatever scriptding staat, het kan altijd iets in c:\windows\x plaatsen. Beetje nadenken is ook nooit mis. Virussen worden heus niet met de hand door gebruikers naar de goede windows mappen gesleept ofzo.

GambitRS schreef op 22 juni 2003 @ 19:04:
het kan altijd iets in c:\windows\x plaatsen.

Niet waar.
NTFS rechten kunnen dit voorkomen.

Misschien kan een programma als Pestpatrol iets voor je doen?

Maar, als het inderdaad zoiets is als ThaHandy had én Pestpatrol of een dergelijk programma kan het niet verwijderen, lijkt me een format geen slechte oplossing.

ik heb een noob vraagje, een vriend van mij heeft een gelijkaardig probleem... maar hoe kun je zien naar welk ip adres deze upload gaat?

eborn schreef op 22 juni 2003 @ 19:10:
[...]
Tuurlijk, alles is wel te voorkomen. Maar die doet dit nou echt? Ervaren gebruiker misschien, maar mensen die al lang blij zijn dat ze met Windows kunnen werken zullen echt geen extra beveiligingen gaan instellen. En laat dat nou ook net het publiek zijn wat over het algemeen last heeft van dit soort programma's

Dat beveiligen moeten zij ook niet doen. Dat moet voor hun gedaan worden. En iedereen kan vatbaar zijn voor dit soort programma's. In het dagelijks leven kom ik vaak zat klanten tegen die ook kazaa hebben geinstalleerd, daar komt die meuk ook vandaan.

Ik bedoel, ik weet het niet eens zeker, maar ik ben volgens mij ook altijd ingelogd op een account die administrator rechten heeft op deze machine.

Dat vind ik dus een slechte zaak. Aan de andere kant biedt Windows nauwelijks de mogelijkheid om snel te switchen tussen een user of administrator account.

Is dat sowieso niet standaard? Als je Windows XP bij de installatie extra users laat aanmaken zijn dat toch allemaal standaard administrators?

En dat maakt het een goede zaak? Ik denk van niet.

En hoeveel procent van de Linux beheerders logt nou niet standaard in onder root?

Ik weet het niet, vertel het me maar.

Ik doe het zelf ook 9 van de 10 keer. En tuurlijk, het is hardstikke gevaarlijk als je problemen krijgt, maar het is nou eenmaal sneller dan steeds tussen accounts wisselen.

Dat is dan jouw verantwoordelijkheid. Het is wat mij betreft heel simpel: kan je ermee omgaan om als root / administrator te werken, ga je gang. Maar ga dan niet mekkeren dat je systeem vern**kt is. Er is gewoon wat tegen te doen namelijk.

En de meeste mensen zijn nou eenmaal lui.

En dat is dus het grootste probleem. Luiheid.

Verwijderd schreef op 22 juni 2003 @ 19:16:
ik heb een noob vraagje, een vriend van mij heeft een gelijkaardig probleem... maar hoe kun je zien naar welk ip adres deze upload gaat?

netstat -an als de upload actief is. Dan zie je alle connecties van / naar jouw PC.

[ Voor 9% gewijzigd door blackd op 22-06-2003 19:23 ]

Ik vermoed dus dat ik hier ook het slachtoffer van ben.
Morgen weet ik het 'zeker'.
Deze middag al merkte ik plots op mijn DU meter en mijn Telemter dat ik uploads creëerd van 500kB/s+ wat nogal enorm hoog is, en zeker aangezien het feit dat:
a) Ik op smallband zit
b) Ik standaard maar een upload van 15kB/s aankan..

In nog geen minuut tijd, enkele seconden zelfs, zat ik aan een upload van 1.2Gig..

Prettig is anders, normaal zou ik morgen terug op breedband komen, maar door dit 'fenomeen' kan het wel nog een maandje duren.

Is er enige manier waarbij ik kan zien, wat dit is. Virusscan zegt niks, Adaware enzo ook niks..
Kan ik misschien (in het geval dat ik dit nogmaal tegenkom) via een progje of via dos ofzo, zien welke ip dit doet, of wat precies dit veroorzaakt?

Als ik concrete bewijzen heb kan ik abuse mailen naar mijn provider en voorkom ik dus dat ik langer op smallband kom te staan.
Ik zou enkel graag weten, hoe ik dit check, en wat ik er eventueel tegen kan doen.
Uit dit topic blijkt dat bijna gene, of praktisch geen scanner dit kan zien. Hoe weet ik het dan of het wel dit is?
Ik heb namelijk geen Kazaa of andere share programma's en irc stond ni aan.

Bij voorbaat dank.

Heb je het bestand nog waar dat irc.undernet.org in voorkomt en als je die nog hebt, zou je dat es naar me kunnen mailen?

Ben benieuwd welk kanaal dat is zodat ik een van de irc-ops van undernet kan inschakelen

blackd schreef op 22 June 2003 @ 19:23:
Dat beveiligen moeten zij ook niet doen. Dat moet voor hun gedaan worden. En iedereen kan vatbaar zijn voor dit soort programma's. In het dagelijks leven kom ik vaak zat klanten tegen die ook kazaa hebben geinstalleerd, daar komt die meuk ook vandaan.

Je weet net zo goed als ik, dat de meeste systemen kant en klaar, inclusief geinstalleerde software, worden gekocht.
En geef toe, die verkopers doen écht geen moeite om wat voor bescherming of tweak ook op deze pc's uit te voeren.
Vooropgesteld, dat ze zouden weten hoe ze dat moeten doen

Is dat de taak van de verkoper dan?

Nee, dat is de taak van de eindgebruiker.

Je mag ook de openbare weg niet op zonder rijbewijs, ook al mag je wel een auto kopen.

Via die netstat -an kan ik enkele connecties zien die 'Established' zijn.
Maar daaruit kan ik tog niet halen wie het nou zou veroorzaken?

daar heb je IPs van.
Die kun je tracen/whois'en bijvoorbeeld.

Verwijderd schreef op 22 juni 2003 @ 19:29:
Je weet net zo goed als ik, dat de meeste systemen kant en klaar, inclusief geinstalleerde software, worden gekocht.
En geef toe, die verkopers doen écht geen moeite om wat voor bescherming of tweak ook op deze pc's uit te voeren.
Vooropgesteld, dat ze zouden weten hoe ze dat moeten doen

Ja, daar heb je gelijk in. PC inleveren dan maar. Of iemand inhuren of meer leren ofzo.
Of nee, wat dacht je van een OS dat secure by default is. Dat zou nog eens een uitkomst zijn.

* blackd heeft deze discussie al te vaak gevoerd eigenlijk.

Verwijderd schreef op 22 June 2003 @ 19:33:
Via die netstat -an kan ik enkele connecties zien die 'Established' zijn.
Maar daaruit kan ik tog niet halen wie het nou zou veroorzaken?

Je weet waarschijnlijk welke processen er op je sys draaien, welke poorten daarbij horen en welke er dus niet horen, je kan dan de ip's checken, je kan ook nog zonder -n doen dan krijg je hostnames...

[ Voor 27% gewijzigd door blackd op 22-06-2003 19:38 ]

Ja, duh
Zo ver ben ik ook al hoor
Tzit em enkel dat ik toch niet kan weten wie het is..
Nu heb ik er bvb 10
Hoe weet ik wie van die 10 het is
Niet toch?

BackSlash32 schreef op 22 June 2003 @ 19:33:
Is dat de taak van de verkoper dan?

Nee, dat is de taak van de eindgebruiker.

Je mag ook de openbare weg niet op zonder rijbewijs, ook al mag je wel een auto kopen.

Ben ik met je eens. Dat is ook niet hun verantwoordelijkheid.
Ik wil er alleen maar mee zeggen, dat gigantische veel pc's onbeschermd zijn en dat opent de weg voor dit soort acties.

Helaas is er geen foolproof beschermings-systeem om je tegen dit soort dingen te beschermen. Wás dat er maar.

Dat grapje aan het begin (brain) is eigenlijk een van de hoofdoorzaken, waardoor de zwakheden in een systeem kunnen worden misbruikt.

Verwijderd schreef op 22 juni 2003 @ 19:40:
Ja, duh
Zo ver ben ik ook al hoor
Tzit em enkel dat ik toch niet kan weten wie het is..
Nu heb ik er bvb 10
Hoe weet ik wie van die 10 het is
Niet toch?

Check of er een verbinding naar remote poort 6667 is, poort voor IRC Zolang je zelf niet op IRC zit hoort die er NIET in voor te komen

En het DDoS-sen zelf komt niet in Netstat voor, aangezien dat dus idd meestal UDP en ICMP is En dat zijn geen verbindingen..

[ Voor 83% gewijzigd door Osiris op 22-06-2003 19:44 . Reden: Toch maar ff (goed) kwoten ]

Verwijderd schreef op 22 June 2003 @ 19:42:
Helaas is er geen foolproof beschermings-systeem om je tegen dit soort dingen te beschermen. Wás dat er maar.

We gaan met z'n allen (als Windows gebruiker) wel steeds meer die kant op. Attachements die niet geopend mogen worden, OK klikken voordat je een file kan downloaden in IE, de mogelijkheid om met permissies te werken op een thuiscomputer.

Maarja, net wat je zegt. Als /dev/brain mist, dan klikken ze snel op Yes en daar zit weer een dialler / trojan etc.

sWORDs schreef op 22 juni 2003 @ 19:47:
[...]


Ervaren gebruiker... En waar zitten we hier dan? www.beginnersweb.nl ?

Gelukkig niet, dan zouden we het geen van allen kunnen volgen

Osiris schreef op 22 June 2003 @ 19:43:
[...]

Check of er een verbinding naar remote poort 6667 is, poort voor IRC Zolang je zelf niet op IRC zit hoort die er NIET in voor te komen

En het DDoS-sen zelf komt niet in Netstat voor, aangezien dat dus idd meestal UDP en ICMP is En dat zijn geen verbindingen..

als je alles afsluit moeten er gewoon GEEN verbindingen zijn... irc kan nl ook over een andere poort...

en eindelijk iemand die snapt wat netstat wel en niet weergeeft

Ik ben het slachtoffer sWORDs
en Osiris die poort komt er niet in voor

Oh. Installeer eens een firewall.

_{* blackd was overigens in de war met topic over een ftp server}

[ Voor 58% gewijzigd door blackd op 22-06-2003 19:55 ]

Ik zet geen firewalls meer op me pc..
Vroeger had ik Norton Firewall gedoe, en daarvoor nog wat andere uitgeprobeerd en het komt er op neer dat de me pc nog meer verziekt en zeker niet hielp.
Nog geen maand nadat ik een firewall installeerde, gelijk welke mocht ik formatten omdat de pc omzeep was..

Ik zou enkel graag weten, hoe ik dit check, en wat ik er eventueel tegen kan doen

Ik zet geen firewalls meer op me pc..

Je spreekt jezelf tegen...

Als je er wat tegen wilt doen, installeer je een firewall. Dan weet je wat je uitgaande verkeer is, dat je tegen moet houden. Zolang dat niet gebeurt en je hebt de DDoS client niet afgesloten, blijf je dus anderen DDoSsen naar de wil van degene die je DDoS client bestuurt.

Verwijderd schreef op 22 juni 2003 @ 19:54:
Ik ben het slachtoffer sWORDs
en Osiris die poort komt er niet in voor

Niet het slachtoffer van de ddos aanval. En dus heb je niets aan de ip's van netstat, dit zijn jouw slachtoffers.

eborn schreef op 22 June 2003 @ 19:10:
[...]
En hoeveel procent van de Linux beheerders logt nou niet standaard in onder root?
[...]

Ik ken er geen enkele.

Aan de TS:
Ik vind het trouwens wel een beetje lam. Je gaat eoa warez proggeltje via kazaa (dus hoogstwaarschijnlijk van een onbekende) downloaden, installeert het zomaar, en vertelt dat vrolijk dat je niet alles gaat debuggen of onderzoeken omdat je daar geen zin in hebt.

Een aantal maatregelen, waarvan elke dit soort dingetjes kan voorkomen zouden zijn:
- koop je software bij de officiele dealer
- log niet als admin in
- zorg dat je permissies goed staan

Volgens mij ben je het zelf schuld, en omdat jij met zo'n lamme attitude meent dat dit voor jou allemaal niet nodig is worden DDoS attacks op anderen pas mogelijk gemaakt. Naar mijn mening draag je de verantwoordelijkheid zelf. En roep dan niet meteen als iemand kritiek op jou oefent, of simpelweg het probleem analyseert (Waarom je tenslotte ook vroeg) dat je je niet wilt laten afbekken, en dat je ook niet even zelf wat topics met tips wilt gaan lezen.

Ga nog eens alle reacties goed doorlopen, en behartig de gegeven tips. Zo voorkom je dit soort dingen misschien in de toekomst en je hebt tenminste ervan geleerd.

M.a.w. gebruik /dev/brain.

Voor de rest: nofi.

Even vlug reply'n. Op die screenshort heb je psexec en zo staan. Dat is een programma om op afstand op een 2k/xp pc een proces te starten. En iroffer is een bot. En die keer dat je upload zo hoog was, was iemand van jou aan het downloaden. Jij was helemaal geen DDoS client, jij was gewoon XDCC bot.

Lees hier eens na : http://www.astalavista.co...rc/misc/IRC_XDCC_BOTS.txt

Ya welcome

eborn schreef op 22 juni 2003 @ 20:37:
[...]
Tijd voor een poll. Hoeveel van de Tweakers met bijv. Windows XP logt standaard in met een account die geen administrator rechten heeft. Ik kan me vergissen, maar mijn gevoel zegt dat zelfs op het forum van de 'experts van Nederland' een groot aantal mensen tot bovenstaande groep valt Zoniet, dan trek ik al mijn woorden terug en krijg je een virtuele krat bier of frisdrank

kom maar op met die krat . ik installeer alles wat ik wil onder Administrator en ga vervolgens verder onder een eigen user account

eborn schreef op 22 juni 2003 @ 20:37:
[...]
Tijd voor een poll. Hoeveel van de Tweakers met bijv. Windows XP logt standaard in met een account die geen administrator rechten heeft. Ik kan me vergissen, maar mijn gevoel zegt dat zelfs op het forum van de 'experts van Nederland' een groot aantal mensen tot bovenstaande groep valt Zoniet, dan trek ik al mijn woorden terug en krijg je een virtuele krat bier of frisdrank

* Osiris ...

Ik ga niet voor elke verandering aan m'n hardware oid uitloggen en inloggen als admin hoor 't Is gewoon mijn eigen stommiteit als dr iets mis gaat.. Gelukkig ken ik net stat en geeft DUMeter wel aan als er iets fouts bezig gaat

eborn schreef op 22 juni 2003 @ 20:33:
Maar de gemiddelde gebruiker zal ook amper weten wat voor ellende je met de standaard KaZaa in huis haalt. Het is natuurlijk onmogelijk om elke keer als iemand een programma van het Internet haalt een 'expert' binnen te halen. Misschien zou het moeten gebeuren, maar het gebeurt gewoon niet.

Heb je gelijk in. Vandaar dat ik een 'computer-rijbewijs' best een puik plan vind.

Dat veranderd niets aan de zaak. Maar het geeft wel direct weer aan waarom het zo vaak gebeurd. Jij weet dat het beter is om als administrator in te loggen, ik weet dat ook. Maar een gemiddelde gebruiker weet niet eens wat een administrator is. Dat zal overigens ook wel de reden zijn geweest om default tijdens de WinXP installatie administrators aan te laten maken.

Vandaar dat ik ook in een paar topics loop te verkondigen dat je niet als admin moet werken, maarja, dat is weer niet handig, moeten de users steeds switchen etc. Dan komt het 'luiheids-aspect' weer om de hoek kijken en ik ben het met je eens dat je dat niet 1-2-3 verandert.

Ik weet het ook niet, maar het zullen er heel veel zijn.

Een sysadmin met clue weet wel dat je beter als user kan inloggen en dan kan su'en naar root. Inloggen onder SSH als root wordt vaak zelfs verboden.

Verwijderd schreef op 22 juni 2003 @ 20:00:
Ik zet geen firewalls meer op me pc..
Vroeger had ik Norton Firewall gedoe, en daarvoor nog wat andere uitgeprobeerd en het komt er op neer dat de me pc nog meer verziekt en zeker niet hielp.
Nog geen maand nadat ik een firewall installeerde, gelijk welke mocht ik formatten omdat de pc omzeep was..

Dan zou ik wel eens willen weten hoe je je systeem dan om zeep helpt. Je hebt misschien te strenge rules gemaakt, maar dan is een format toch niet nodig?

eborn schreef op 22 juni 2003 @ 20:37:
Tijd voor een poll. Hoeveel van de Tweakers met bijv. Windows XP logt standaard in met een account die geen administrator rechten heeft. Ik kan me vergissen, maar mijn gevoel zegt dat zelfs op het forum van de 'experts van Nederland' een groot aantal mensen tot bovenstaande groep valt Zoniet, dan trek ik al mijn woorden terug en krijg je een virtuele krat bier of frisdrank

Ik dacht dat hier mensen zaten met verstand van zake, dus zo erg zou ik het niet vinden als er veel mensen als admin inloggen, als je er maar mee om kan gaan.

[ Voor 16% gewijzigd door blackd op 22-06-2003 20:48 ]

ThaHandy schreef op 22 June 2003 @ 18:28:
dit waren mijn files
ik heb toen alles in een zipfile geflikkerd:
[afbeelding]
[afbeelding]
[afbeelding]
[afbeelding]

Ff zien...
kewl, je pc is xdcc bot geweest, hmm, wel geavanceerde rootkit deze, zo te zien, een reboot progsel, eleet.exe zal wel een eigen gemaakt install progsel zijn zo te zien.
ff een hint, open die servudaemon.ini eens, als je geluk hebt staat er in welk board/user op board het gedaan heb, ze claimen graag dingen die ze gedaan hebben.
pass die aliases.ini eens, dat is een mIRC file, waarscheinlijk met commando reeksen erin (die je vanaf localhost kan doen met mIRC)
hmm, volgens de dingen in \dir\*.* ziet het eruit als een eigengemaakte hackpack die met behulp van normale standaard progsels beter is gemaakt. Firedaemon is een programma om dingen als service te laten lopen. Die remote.ini in die dir is waarscheinlijk weer een IRC file, hierin staan als het goed is de commando's die in het kanaal op IRC getikt moeten worden en wat de reactie hierop is van jou computer.
ident.exe zegt me dat je een eigen ident server hebt gedraait, met een beetje geluk heb je er nog ergens logs van met daarin de ident, misschien staat daar een group of kanaal bij.
Hmm, het aantal progsels die andere progsels local of remote moeten starten laat zien dat ze, of n00bs/scriptkiddies zijn of dat jou bak gebruikt is voor het hacken van andere machines (logischer).

Dus ik zou zeggen dat die hackkit misschien wat uit de kluiten is gewassen, maar best wel een aardige is zo te zien...
Meer kan ik er via de bestandsnamen niet over zeggen zover ik weet

Eegee schreef op 22 juni 2003 @ 11:07:
[...]

Ik denk dat je me verkeerd begrijpt... Of juist heel goed ei'k Mijn opmerking was retorisch bedoeld ja. Ik denk dat Cyb waarschijnlijk als administrator was ingelogd of iig met administrator rechten, waardoor die trojan z'n werk kon doen. Onder een gewoon gebruikersaccount zou het niet gewerkt hebben, want dan klopt je beveiliging niet als dat wel zou werken.

Wat blackd zegt in z'n eerste 2 alinea's, benadruk ik dus. Zo duidelijk ?

Ja, wij begrijpen elkaar, en mijn bewering dat je volgens mij niet van deze wereld bent (niet persoonlijk opvatten aub...) vind ik nog steeds terecht.

Het zit namelijk zo: 95-99% van de gebruikers van XP weet niet dat je users aan kan maken. Laat staan dat ze die accounts om veiligheidsredenen beperkte rechten kunnen geven. Het gros van de mensen (waaronder ikzelf) logt in op een pc met admin-rights. Zij hebben die pc om programma's te draaien, te internetten, te emailen, spelletjes te spelen enzovoort. Voor de functionaliteit dus.
Zij hebben die pc niet om tijd te verdrijven met onderzoeken wat dat ding allemaal kan, hoe het werkt, waar het fout kan gaan en hoe je (beveiligings)problemen kunt voorkomen en op kunt lossen.
Sterker nog, als je al iemand zo'n gebruiksersaccountje geeft en hij wil bv. Nero installeren, dan kan hij dat niet eens. En daar was die pc wèl voor gekocht...

Dus als jij beweert dat je aanneemt dat een willekeurige persoon NIET als admin inlogt (maar als user met beperkte rechten) denk ik dat jij niet van deze wereld bent... (nogmaals: niet persoonlijk bedoeld)

Tja, je komt nooit op rare sites, en ineens staat er zo'n ding op je PC, dat kan vaak maar een paar dingen betekenen:

- Je hebt je C$ share nog aanstaan, die moet je altijd unsharen als je niet in een bedrijfsnetwerk zit waar dat voor gebruikt wordt om remote dingen te installeren
- Je remote registry service staat aan, daarmee kunnen ze remote troep in je registry gooien
- Je Administrator password is te simpel (lees: niet ingevuld )
- Je bent noodzakelijke patches van de windows update site vergeten

zetje01 schreef op 22 June 2003 @ 21:08:
[...] een uitleg.

Okee, ik begrijp 't. kDacht ook al wel dat je zo iets bedoelde. 't Is helaas zo ja. Is weer zoiets waar eigenlijk de meerderheid van de wereld het beter, laten we zeggen... 'op een andere manier' zou moeten doen. Maar goed, ieder heeft z'n reden om als admin in te loggen.
Men zou misschien (weer?) wat meer moeten opkijken tegen (als in 1. ontzag voelen voor) het admin account, dat je dan 'speciaal' bent als je daaronder bezig bent en dat je dus niet zo gauw daaronder inlogt als je niets speciaals hoeft te doen. Ik keek iig voor mezelf wel op tegen het 'root' account toen ik aan linux begon.

Icheb schreef op 22 juni 2003 @ 21:01:
[...]


Ff zien...
kewl, je pc is xdcc bot geweest, hmm, wel geavanceerde rootkit deze, zo te zien, een reboot progsel, eleet.exe zal wel een eigen gemaakt install progsel zijn zo te zien.
ff een hint, open die servudaemon.ini eens, als je geluk hebt staat er in welk board/user op board het gedaan heb, ze claimen graag dingen die ze gedaan hebben.
pass die aliases.ini eens, dat is een mIRC file, waarscheinlijk met commando reeksen erin (die je vanaf localhost kan doen met mIRC)
hmm, volgens de dingen in \dir\*.* ziet het eruit als een eigengemaakte hackpack die met behulp van normale standaard progsels beter is gemaakt. Firedaemon is een programma om dingen als service te laten lopen. Die remote.ini in die dir is waarscheinlijk weer een IRC file, hierin staan als het goed is de commando's die in het kanaal op IRC getikt moeten worden en wat de reactie hierop is van jou computer.
ident.exe zegt me dat je een eigen ident server hebt gedraait, met een beetje geluk heb je er nog ergens logs van met daarin de ident, misschien staat daar een group of kanaal bij.
Hmm, het aantal progsels die andere progsels local of remote moeten starten laat zien dat ze, of n00bs/scriptkiddies zijn of dat jou bak gebruikt is voor het hacken van andere machines (logischer).

Dus ik zou zeggen dat die hackkit misschien wat uit de kluiten is gewassen, maar best wel een aardige is zo te zien...
Meer kan ik er via de bestandsnamen niet over zeggen zover ik weet

van de meeste files wist ik ook wel wat wat deed
eleet -> need servudaemon.ini (servu ftp server dus

mijn pc heeft al een complete format gehad (was ook wel nodig btw ) dit was in maart

die bijde ini files krijg ik een NAV irc trojan pop (zal we leen ailais zijn waar NAV op reageert)
14mb is die zip btw *uguh*
wat i allemaal heeft gedaan kan me niet schelen.. zolang i maar niet gekeylogged heeft (heb niets kunnen vonden er over (prog en log))

[ Voor 8% gewijzigd door ThaHandy op 22-06-2003 21:32 ]

Ja, duh
Zo ver ben ik ook al hoor
Tzit em enkel dat ik toch niet kan weten wie het is..
Nu heb ik er bvb 10
Hoe weet ik wie van die 10 het is
Niet toch?


-> als je tracert herken je toch plaatsen die er niet moeten zijn (vb de antillen als je op een binnenlandse site zit...)
-> er zijn ook progjes die het visueel weergeven hoe je packet gaat over de wereld


Een standaarfirewalletje als zonealarm doet al wonderen omdat die vraagt of een process toegang krijgt tot Inet en svchost heeft nu niet direct Inet nodig

-> @ TS: thx voor melden, je maakt ons bewust van een mogelijk erge security lek!
-> @ Administrator freaks: bij xp home (ja mijn laptop heeft dat nu eenmaal) is het oftewel admin oftewel beperkte rechten... dus dan ga ik toch voor admin!
Zelfs mijn win2k3 server is nu als admin ingelogd gewoon voor de handigheid, ik kijk wel uit wat ik installeer. En net zoals de ts kan ook ik wel eens iets voorhebben maarja wie niet?

Geloof dat dit stuk van jouw text op mij van toepassing is

Verwijderd schreef op 22 June 2003 @ 21:33:
-> @ Administrator freaks: bij xp home (ja mijn laptop heeft dat nu eenmaal) is het oftewel admin oftewel beperkte rechten... dus dan ga ik toch voor admin!
Zelfs mijn win2k3 server is nu als admin ingelogd gewoon voor de handigheid, ik kijk wel uit wat ik installeer. En net zoals de ts kan ook ik wel eens iets voorhebben maarja wie niet?

Daar kies je dan toch zelf voor

Ik neem aan dat je het security-wise gecastreerde XP Home bedoelt itt Pro?

[ Voor 11% gewijzigd door alt-92 op 22-06-2003 21:46 ]

blackd schreef op 22 juni 2003 @ 20:46:
Heb je gelijk in. Vandaar dat ik een 'computer-rijbewijs' best een puik plan vind.

Het plan is leuk. De haalbaarheid iets minder denk ik In ieder geval niet op de manier waarop alles nu gestructureerd is. Misschien in de toekomst, als computers een nog belangrijkere rol in onze samenleving hebben gekregen. Net als met de auto eigenlijk.

Vandaar dat ik ook in een paar topics loop te verkondigen dat je niet als admin moet werken, maarja, dat is weer niet handig, moeten de users steeds switchen etc. Dan komt het 'luiheids-aspect' weer om de hoek kijken en ik ben het met je eens dat je dat niet 1-2-3 verandert.

Eigenlijk zou een tijdelijke 'su' optie onder Windows dan misschien de beste oplossing zijn. Zodat je in ieder geval niet òf al je programma's hoeft af te sluiten òf met een machine loopt te werken waarbij alles dubbel in het geheugen staat.

Een sysadmin met clue weet wel dat je beter als user kan inloggen en dan kan su'en naar root. Inloggen onder SSH als root wordt vaak zelfs verboden.

De standaardconfig verbiedt het. Gelukkig is het maar één regeltje in de config file Maar idd, ik ben ook lui. Ik log liever direct in als root dan dat ik moet gaan su'en vanaf een andere user. Met het aantal keren dat ik inlog op een dag zou ik er bijna RSI van krijgen anders

Ik dacht dat hier mensen zaten met verstand van zake, dus zo erg zou ik het niet vinden als er veel mensen als admin inloggen, als je er maar mee om kan gaan.

Daar heb je gelijk in. Maar aan de andere kant, een vergissing is menselijk en met de troep die tegenwoordig op het Internet wordt aangeboden ben je zelfs als 'expert' niet altijd je leven meer veilig.

eborn schreef op 22 juni 2003 @ 21:46:
Eigenlijk zou een tijdelijke 'su' optie onder Windows dan misschien de beste oplossing zijn. Zodat je in ieder geval niet òf al je programma's hoeft af te sluiten òf met een machine loopt te werken waarbij alles dubbel in het geheugen staat.

Runas kan dat wel een beetje nabootsen.

Verwijderd schreef op 22 juni 2003 @ 21:55:

offtopic:
Ik wou wwp ff draaien onder win2k3 met runas in compatibility mode van xp -> NIETS

Wat is wwp?

Worms World Party?

Ik heb dit topic tot het begin van pagina 3 gelezen.

Veel userpc's zijn behoorlijk kwetsbaar, omdat ze geen of zwakke passwords hebben. Ip ranges worden vaak op port 139 (netbios) gescand, de results van een dergelijke scan worden met een soort 'dictionary hacker' nagelopen op kwetsbare useraccounts. Ik heb bij veel kennisen gemerkt dat ze (in windows xp) een blanco admin pass hadden Natuurlijk meteen op deze fout gewezen en laten veranderen, want dat is vragen voor problemen.

Iemand kan makkelijk inloggen, ftp daemon droppen, executen, en zodoende via die ftp serv makkelijk laten ddos'en ofzo.

Let dus ook op zwakke passwords...:)

In dat geval kan ik me er alles bij voorstellen dat het niet werkt. Games op een Server OS. .

Cyb schreef op 22 June 2003 @ 22:15:
Ik weet niet of adminusers of normale user veel uit maakt in mijn geval.

In combinatie met NTFS rechten wel.
Zoals ik al een aantal keer aangaf in dit topic, heeft een normale user geen schrijfrechten in de system32 dir.
Let wel op dat een FAT32 -> NTFS conversie er niet voor zorgt dat je rechten goed staan. Daar zijn weer andere tools voor.

Ok het was System32, maar stel dat daarvoor gewoon my documents ofzo was gebruikt met een normale users..... dan kan het toch nog steeds?

My Documents, denk je niet dat dat opvalt?
Meeste virussen pakken volgens mij de Windows dir. Daar valt het niet op.

blackd schreef op 22 juni 2003 @ 21:48:
Runas kan dat wel een beetje nabootsen.

Ah, ken ik niet. Weer wat geleerd

Cyb schreef op 22 June 2003 @ 22:49:
Maar als je nou eens recycled bin, ergens diep in je Windows standaard temp dir, ergens in je temperary Internet files, tussen een oud programma dat persee schrijfrechten in een bepaalde folder nodig heeft, dan valt het heel wat minder op als het mogelijk is om het daar te zetten?

Zou theoretisch kunnen. In de praktijk gebeurt het weinig blijkbaar.

blackd schreef op 23 juni 2003 @ 00:10:
[...]

Zou theoretisch kunnen. In de praktijk gebeurt het weinig blijkbaar.

lol, denk jij, heb es een hele pubstro in c:\recycled gevonden
winnt\fonts is ook een leuke locatie, als je er met explorer naartoe gaat zie je alleen de fonts, niet de mappen die er staan

En als we het toch over recycle bins hebben: vorig jaar waren er diverse virusjes die daar ook in gingen zitten

Jimbolino schreef op 23 June 2003 @ 00:44:
lol, denk jij, heb es een hele pubstro in c:\recycled gevonden
winnt\fonts is ook een leuke locatie, als je er met explorer naartoe gaat zie je alleen de fonts, niet de mappen die er staan

Je zou toch denken dat 'men' de prullenbak wel regelmatig leegt ?
Maar ik kom nu voornamelijk virussen in de windows dir tegen .
Hmm, Yaha gaat zowel in Windows als in Recycled zitten:
http://www.sophos.com/virusinfo/analyses/w32yahae.html

Even de huidige meest actieve virussen:
http://www.virusalert.nl/?show=virus&id=498 -> windows\system
http://www.virusalert.nl/?show=virus&id=493 -> windows
http://www.virusalert.nl/?show=virus&id=505 -> windows
http://www.virusalert.nl/?show=virus&id=510 -> windows\system
http://www.virusalert.nl/?show=virus&id=507 -> windows\startmenu\opstart of in user profile, eindelijk een slimme

Our automated system has performed an extensive analysis on the file(s)
that you have submitted and found no evidence of malicious code. If you
have additional evidence to suggest that a malicious program still resides
in the file that was submitted to us, please contact Symantec Technical
Support for assistance.

-> Misschien denkt hij dat het ongevaarlijk is omdat het eigenlijk gewoon een irc progje is dat door jou geïnstalleerd lijkt...

blackd schreef op 22 June 2003 @ 19:23:
[...]Dat vind ik dus een slechte zaak. Aan de andere kant biedt Windows nauwelijks de mogelijkheid om snel te switchen tussen een user of administrator account.[...]

Pardon? Wel eens van "Run As" gehoord?

blackd schreef op 23 June 2003 @ 13:49:
[...]Geloof van wel.

Excuus; zover was ik nog niet met 't lezen

[ Voor 24% gewijzigd door Brahiewahiewa op 23-06-2003 13:51 ]

Brahiewahiewa schreef op 23 June 2003 @ 13:42:
Pardon? Wel eens van "Run As" gehoord?

blackd schreef op 22 juni 2003 @ 21:48:
Runas kan dat wel een beetje nabootsen.

Geloof van wel.
Edit:

Brahiewahiewa schreef op 23 June 2003 @ 13:42:
Excuus; zover was ik nog niet met 't lezen

Np .
Alleen vind ik Run As veel minder handig dan iets als 'su' onder een GNU/Linux systeem. Vandaar dat ik 'nauwelijks' zeg .

[ Voor 34% gewijzigd door blackd op 23-06-2003 14:05 ]

blackd schreef op 23 June 2003 @ 13:49:
[...]Alleen vind ik Run As veel minder handig dan iets als 'su' onder een GNU/Linux systeem. Vandaar dat ik 'nauwelijks' zeg .

Dacht dat er in de "Services for Unix" een SU.EXE voor Windows zat...

heb hem ook op mijn pc staan!!
gister eens Imesh geinstalleerd want ik kon iets niet met kazaa vinden. Nou imesh installeerde gelijk allemaal spyware mee

ad-aware en norton zijn hem niet..

Chieltje Ik heb Imesh wel zonder spy en adaware voor je.
Wat is je mail adres.

Probeer Sophos antivirus: www.sophos.com
Die vindt het virus wel. Heb er laatst bij een klant ook mee te maken gehad maar de naam weet ik zo niet meer.

Ik weet wat het is, wel eens gehoord van scriptkiddies die dmv een blank nt pass of een simpel guessable pass met een n00b proggie aka dameware in jou pc komt.

Vaak zetten die lui er een ftp server op: serv-u, er zijn veel filenames voor deze ftp server. Een vaak vorkomende is idd svchost.exe, ze hebben dan dus execute rechten over jouw pc. Ze kunnen alles installen etc etc. Als je meer info nodig hebt Ik hoop dat ik je hiermee hebt geholpen. Gooi iig die goddamn port 139 dicht!!!

ey Cyb tik is in net stop serv-u.... kijk is wat er dan komt te staan mits je geen eigen servu draait

Wat ik me afvraag... Hoe kan het opeens bij mensen die normaal uploaden met 16kb/sec dat het in dit topic opeens gaat met 500kb/sec + ? Hoe is dat mogelijk?

Verwijderd schreef op 23 June 2003 @ 16:35:
Wat ik me afvraag... Hoe kan het opeens bij mensen die normaal uploaden met 16kb/sec dat het in dit topic opeens gaat met 500kb/sec + ? Hoe is dat mogelijk?

Dat kan ook niet Er wordt alleen aan 500kb/s aan UDP pakketjes verstuurd. Je modem laat gewoon maar maximaal 16kb/s door (of wat je upload dan ook precies is)