[xp]help, wordt ik gehackt ? - Internet en hosting

donderdag 10 juli 2003 10:25

Acties:

Verwijderd

Topicstarter

Ok laat een ding duidelijk zijn, ik had eerst nog GEEN firewall.

Eergisteren zat ik achter mijn pc toen ik een virus melding van norton 2003 kreeg, Hij had het volgende virus gevonden: w32.spybot.worm.

Na nader onderzoek bleek deze in een gedeelde map netwerkmap te staan. Norton heeft deze worm goed verwijderd (althans dat zegt norton). Ik vond dit een beetje scary dus ik heb norton personal firewall 2003 geinstalleerd.

Ik heb normaal voor mijn werk een irc kanaal open (24 uur per dag). Echter toen ik vanochtend weer wakker werdt, was dat kanaal gesloten en het uitroep tekentje van norton knipperde dat er iets gebeurt was, echter de firewall kan niet geopend worden. Verder was msn en icq ook compleet uitgelogt en ik kon niet meer opnieuw inloggen. Alles wat ik kon doen was mijn pc opnieuw opstarten

.

Ik heb mijn pc grondig gescant op virussen en spyware, dat bleek allemaal in orde.

Hier een plaatje van de intrusion detection:

Afbeeldingslocatie: http://yardcure.netfirms.com/pics/got/intrusion.jpg

Afbeeldingslocatie: http://yardcure.netfirms.com/pics/got/intrusion.jpg

Ik weet het ff niet meer mede tweakers, wordt ik idd gehackt ? ik kan meer info geven uit de firewall maar weet niet precies wat.

donderdag 10 juli 2003 10:28

Acties:

Verwijderd

Misschien dat je met dat irc gebeuren wat ingesteld hebt wat Norton ziet als intrusion

Ik neem aan dat er een verbinding met jou pc word gemaakt.
Als je na kan kijken in logs o.i.d. kijk eens na welke ip's er zijn van de mensen die op je irc komen (als ik het niet verkeerd begrijp).

Als dat je ip's zijn die Norton geeft dan weet je hoe het zit

donderdag 10 juli 2003 10:32

Acties:

Mr.B

Volgensmij is het nog steeds zo dat je je firewall moet 'uitleggen' welke programma's acces tot internet mogen hebben. Als je dit nog niet gedaan hebt, zou ik dat eerst proberen. Misschien zijn het mensen die tegen je proberen te praten op msn/icq of is het een .whois op mirc.

Gelukkig is mijn router m'n firewall, zodat ik zelf niet die vervelende software hoef te installeren.

Maakt soms wel eens een foto ...

donderdag 10 juli 2003 10:33

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 10 juli 2003 @ 10:28:
Misschien dat je met dat irc gebeuren wat ingesteld hebt wat Norton ziet als intrusion

Ik neem aan dat er een verbinding met jou pc word gemaakt.
Als je na kan kijken in logs o.i.d. kijk eens na welke ip's er zijn van de mensen die op je irc komen (als ik het niet verkeerd begrijp).

Als dat je ip's zijn die Norton geeft dan weet je hoe het zit

nee die ip's komen niet overeen, hier nog een picje:

Afbeeldingslocatie: http://yardcure.netfirms.com/pics/got/vreemd.jpg

Je ziet dus dat er staat user dit user dat, maar ik heb helemaal geen toestemming gegeven

Volgensmij is het nog steeds zo dat je je firewall moet 'uitleggen' welke programma's acces tot internet mogen hebben. Als je dit nog niet gedaan hebt, zou ik dat eerst proberen.

Ja dat heb ik gedaan, ik heb duidelijke regels voor alles.

[ Voor 22% gewijzigd door Verwijderd op 10-07-2003 10:39 ]

donderdag 10 juli 2003 10:41

Acties:

Kaastosti

Vrolijkheid alom!

"Default Block Back Orifice"... heb je back orifice geinstallerd? Het lijkt erop dat er inderdaad een trojan in je systeem zit, aangezien die user gewoon commando's kan geven.

Een vergissing is menselijk, maar om er echt een puinhoop van te maken heb je een computer nodig.

donderdag 10 juli 2003 10:42

Acties:

Verwijderd

Zoals ik het plaatje opmaakt is er iemand geweest die met SubSeven (amateuristisch klut programmatje) jou wil hacken.

Maak je geen zorgen met NPF. Deze blokt SubSeven.

[ Voor 27% gewijzigd door Verwijderd op 10-07-2003 10:47 ]

donderdag 10 juli 2003 10:42

Acties:

Verwijderd

Topicstarter

Kaastosti schreef op 10 July 2003 @ 10:41:
"Default Block Back Orifice"... heb je back orifice geinstallerd? Het lijkt erop dat er inderdaad een trojan in je systeem zit, aangezien die user gewoon commando's kan geven.

Ik heb al tig keer gescant met norton maar die vind helemaal niks meer

Maak je geen zorgen met NPF. Deze blokt SubSeven.

Ik maak me wel zorgen, want icq/msn/irc zijn weg als ik wakker wordt en norton firewall start niet meer op (hij draait wel volgens mij, maar kom niet meer in het security center)

[ Voor 29% gewijzigd door Verwijderd op 10-07-2003 10:45 ]

donderdag 10 juli 2003 10:49

Acties:

Verwijderd

Hmm, het ip wat ik compleet uit jou image kan halen (62.216.219.xxx) heeft heel wat porten openstaan (ik hoop niet dat het jou ip is?) (check dit plaatje eens.)

Als je NAV en NPF allebei hebt geinstalleerd met updates en al en de trojan komt nog door is er denk ik maar een makkelijke oplossing: Re-install

[ Voor 18% gewijzigd door Verwijderd op 10-07-2003 10:54 ]

donderdag 10 juli 2003 10:53

Acties:

Freek

Je plaatstje willen niet of ze staan op een trage server.

donderdag 10 juli 2003 10:59

Acties:

Verwijderd

thacow schreef op 10 July 2003 @ 10:53:
Je plaatstje willen niet of ze staan op een trage server.

Of jou ATARI kan het niet aan

donderdag 10 juli 2003 11:09

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 10 juli 2003 @ 10:49:
Hmm, het ip wat ik compleet uit jou image kan halen (62.216.219.xxx) heeft heel wat porten openstaan (ik hoop niet dat het jou ip is?) (check dit plaatje eens.)

Als je NAV en NPF allebei hebt geinstalleerd met updates en al en de trojan komt nog door is er denk ik maar een makkelijke oplossing: Re-install

Nee dat is gelukig niet mijn ip

. In eerste instantie hoop ik dat ik met een beetje tweaken en sleutelen het euvel kan verhelpen natuurlijk

Ik zal eens gaan scannen met online viruscanners kijken of die WEL iets kunnen vinden.

donderdag 10 juli 2003 11:10

Acties:

blackd

Verwijderd schreef op 10 July 2003 @ 10:25:
Hier een plaatje van de intrusion detection:

[afbeelding]

Invalid TCP port, zal wel een portscanner met IP spoof zijn.

Verwijderd schreef op 10 July 2003 @ 10:33:
hier nog een picje:

[afbeelding]

Portscans op je back orifice poort.. worden default geblokt, zit namelijk een voorgedefinieerde regel in je firewall.

Je ziet dus dat er staat user dit user dat, maar ik heb helemaal geen toestemming gegeven

Auto permit?

Verwijderd schreef op 10 July 2003 @ 10:49:
Hmm, het ip wat ik compleet uit jou image kan halen (62.216.219.xxx) heeft heel wat porten openstaan (ik hoop niet dat het jou ip is?) (check dit plaatje eens.)

Check 81.218.x.x die heeft al ze netbios gewoon openstaan

.

[ Voor 22% gewijzigd door blackd op 10-07-2003 11:19 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 10 juli 2003 11:15

Acties:

Verwijderd

Topicstarter

Invalid TCP port, zal wel een portscanner met IP spoof zijn.

is dit eng ?

Auto permit?

Klopt

, heb ik nu uitgezet

donderdag 10 juli 2003 11:18

Acties:

blackd

Verwijderd schreef op 10 July 2003 @ 11:15:
is dit eng ?

http://www.securityfocus.com/infocus/1674

Ow wacht, het gaat om een invalid TCP port, niet zozeer een IP dus. Weet je misschien welke poort ? Kun je meer details over een van de incidenten opvragen?

[ Voor 35% gewijzigd door blackd op 10-07-2003 11:19 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 10 juli 2003 11:24

Acties:

Verwijderd

Topicstarter

blackd schreef op 10 July 2003 @ 11:18:
[...]

http://www.securityfocus.com/infocus/1674

Ow wacht, het gaat om een invalid TCP port, niet zozeer een IP dus. Weet je misschien welke poort ? Kun je meer details over een van de incidenten opvragen?

hier meer info:

Afbeeldingslocatie: http://yardcure.netfirms.com/pics/got/1.jpg

Afbeeldingslocatie: http://yardcure.netfirms.com/pics/got/2.jpg

Dit ip zie ik dus meerdere malen
heb je hier iets aan ? dank zover

[edit] trend micro online scan heeft al 1 virus gevonden

, norton vond die dus niet

, meer info volgt als deze scan klaar is.

(JAVA_bytverify.a)

[ Voor 14% gewijzigd door Verwijderd op 10-07-2003 11:28 ]

donderdag 10 juli 2003 11:32

Acties:

blackd

Bekijk dit eens;
http://www.google.com/sea...start=0&ie=utf-8&oe=utf-8

Met google kon ik vinden:

AnalogX Proxy is a simple to configure proxy server capable of offering proxies for
Web (port 6588)

Ze zoeken dus open proxies om spam te versturen.
Klik ook eens op die link om meer info te krijgen bij Symantec Security Response

Je kunt zien van wie het IP adres is wat je heeft geprobeerd te scannen, via ARIN of RIPE. Als je op ARIN zoekt, kom je op het volgende uit:
http://ws.arin.net/cgi-bi...ut=!%20NET-64-216-220-0-1
Daar staat een abuse mailadres, daar kun je je klacht neerleggen over dit incident. Zij zullen hopelijk maatregelen treffen en de persoon die dit IP adres had inlichten.
Het is wel een dialup, dus de kans dat er wat tegen gebeurt is klein.

Maar dit was slechts 1 IP adres... de anderen zul je op overeenkomstige wijze moeten uitzoeken.

Verwijderd schreef op 10 July 2003 @ 11:24:
[edit] trend micro online scan heeft al 1 virus gevonden , norton vond die dus niet , meer info volgt als deze scan klaar is. (JAVA_bytverify.a)

http://www.trendmicro.com...sp?VName=JAVA_BYTVERIFY.A
Wees er zeker van dat je volledig up to date bent qua patches, en zorg dat je de nieuwste Java VM van Microsoft hebt, indien je die uberhaupt hebt geinstalleerd.

[ Voor 89% gewijzigd door blackd op 10-07-2003 11:38 ]

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 10 juli 2003 11:41

Acties:

Verwijderd

Topicstarter

Bedankt voor je reply, helaas heb ik van dit soort zaken weinig kaas gegeten. Ik zal me er eens in gaan verdiepen. Maar het is dus duidelijk lijkt me nu dat er iets aan de hand is. Dit vond ik op de norton site :

Invalid TCP Source Port
Severity: Low

This attack poses a minor threat. Corrective action may not be possible or is not required.

Attack Category: Suspicious Activity

Anomalous network conditions or traffic patterns. A suspicious activity signature, for example, might detect two systems with identical IP addresses, a condition that indicates an attempted IP spoofing attack.

Description

This attack signature detects packets with a TCP source port of 0. 0 is an invalid value for the TCP source port and must not be used.

Attackers sometime send TCP packets with a source port of 0 as a means of fingerprinting/profiling your operating system.

False Positive

None.

Helaas zegt me dit (nog) niet zo veel, ik zal even die sites met die google links gaan lezen

Hopelijk als dit virus zo verwijderd is is het probleem over ?. iig txs zover

edit: nee ik heb geen ms virtual machine erop staan

edit2: ok ik zal windows update eens erover heen gooien zometeen.

[ Voor 8% gewijzigd door Verwijderd op 10-07-2003 11:45 ]

donderdag 10 juli 2003 11:50

Acties:

blackd

Verwijderd schreef op 10 July 2003 @ 11:41:
Hopelijk als dit virus zo verwijderd is is het probleem over ?. iig txs zover

Nee, dit heeft niets met dat virus te maken (wat eigenlijk een Java Applet is, wat bepaalde code kan uitvoeren indien je de MS Java Virtual machine erop hebt staan, althans, een oude versie).

De host die jou 'aanvalt' heeft waarschijnlijk een trojan of iets dergelijks op zijn PC staan wat bepaalde IP ranges afzoekt naar open proxies, die de spammers dan kunnen gebruiken. Dit soort portscans zijn helaas veelvoorkomend.
Je kunt er niet zo veel aan doen, behalve abuse indienen en wachten totdat ze het oppikken. Natuurlijk kan jij in je firewall dit IP of alles op deze poort blokkeren, dan heb je verder weinig last van deze portscans.

Ik denk dat het nuttig is om even te inventariseren welke poorten je vanaf buiten naar binnen open moet hebben staan. Heb je bijvoorbeeld een webserver draaien, dan moet je poort 80 openzetten. Indien je deze lijst hebt gemaakt, kun je een rule (of een set van rules) maken die alle poorten dicht gooit, behalve die lijst die je net hebt gemaakt.

Ik ken de verdere opties van jouw firewall niet, en ik gebruik thuis een heel ander type firewall (iptables, op een Linux machine) die met een voorgedefinieerde set van regels werkt, in plaats van een regel maken per 'request' (wat jij eerst op 'auto permit' had staan.

Misschien dat iemand anders die meer ervaring heeft met zulke firewalls (ook wel application gateways firewalls genoemd) meer tips kan geven omtrend het maken van rules.

edit: nee ik heb geen ms virtual machine erop staan

Oke.

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

donderdag 10 juli 2003 12:03

Acties:

Grolsch

Verwijderd schreef op 10 July 2003 @ 11:24:
[...]

hier meer info:

[afbeelding]
[afbeelding]

Dit ip zie ik dus meerdere malen
heb je hier iets aan ? dank zover

[edit] trend micro online scan heeft al 1 virus gevonden , norton vond die dus niet , meer info volgt als deze scan klaar is. (JAVA_bytverify.a)

offtopic:
welke website gebruik je om dat zo op te zoeken?

PVOUPUT - 13.400WP - Twente

donderdag 10 juli 2003 12:08

Acties:

Verwijderd

Topicstarter

Ik gebruikte deze website ervoor: http://housecall.antivirus.com/housecall/start_corp.asp.

@blackd

Bedankt dit is zeer duidelijk voor me. Ik zal een abuse indienen tegen hem/haar.Volgens de norton security check zijn al mijn poorten nu iig stealth.

Ok me sys is nu (hopelijk) helemaal virusvrij moet nog wel even wat dingen terug aanpassen, draai ernaa windows update, en hopelijk is me sysje vannacht weer veilig

. Zoniet horen jullie van mij

txs !!!

vrijdag 11 juli 2003 10:03

Acties:

Verwijderd

Topicstarter

Just for the record: Na het verwijderen van het virus, het blocken van de ip -adressen en het updaten van windows, is me pc nu veilig de nacht doorgekomen. Kheb ook alle ip's bij de abuse adressen aangemeld. Txs !!!

Kheb wel nog een paar intrusions gehad maar die heeft npf netjes tegengehouden