Gehacked

pskill en pslist werken meestal wel.

Niet. Je systeem is nu compromised, wat betekent dat je niet weet wat er allemaal nog meer aan backdoors/kernel modules/whatever op draait, kans dat als je dit proces afschiet er binnen notime weer een andere FTP-server opstaat die zich misschien beter verbergt. Enige remedie: Alle documenten die erop staan backuppen, harde schijf formatteren, Windows vers installeren.

Ow, btw, groeten doen enzo is overbodig, zie de FAQs daarvoor.

[ Voor 9% gewijzigd door Sprite_tm op 22-09-2003 09:20 ]

Sprite_tm schreef op 22 september 2003 @ 09:19:
Alle documenten die erop staan backuppen, harde schijf formatteren, Windows vers installeren.

En patchen !

Ik raad je aan het Systeem fijn te gaan formateren en intern te gaan onderzoeken hoe het mogelijk is dat men op een workstation binnen jou bedrijf zo'n programma kan installeren.

* mutsje denkt dat er nog het nodige bijgeschaafd moet worden aan de security binnen de TS zijn bedrijf.

Of al het inkomend verkeer gaan loggen zodat je achter de "hacker" zijn ip komt en daar dan een melding van maken bij zijn provider. Die ips kunnen ook in de ini file (kan gerenamed zijn) van ServU staan.

Daar komt ie nog maar een keer:
http://www.cert.org/tech_...IX-system_compromise.html

Lekker zeg, succes met oplossen....

Maarre blijkbaar dus niet alle werkstations gepatched/geupdated etc?

Signs schreef op 22 September 2003 @ 09:20:
Sh*t...er zijn zelfs veel meer systemen gehacked...dit wordt een drukke dag

Hoe krijgt men dat klaar op een bedrijf?

Hoop dat dit een goede les is en dat er nu wel aandacht aan goede beveiliging wordt besteed.

is het niet crsrr.exe?
Die staat bij mij in m'n system32 map en is de client server runtime process (heeft ook high priority)

[ Voor 6% gewijzigd door SiGNe op 22-09-2003 09:24 ]

Hmmmmm, hebben die mensen niet allemaal een intern IP dan?
Dat wil je namelijk wel

Zoek eens op "DWRCS" mochten het NT-machines zijn. Hiermee (Dameware Utilities inclusief Remote control, dus de naam zegt het al) kan de hacker alles doen wat hij wilt. Van processen starten en stoppen, services installeren en verwijderen tot de PC rebooten enz.
Succes er mee!

Backup terug zetten of Formatteren die handel en zorgen dat jullie beter beveiligd zijn! Hoop voor jullie dat er niet al te veel kwetsbare info op staat...

Utils

Fport
fport reports all open TCP/IP and UDP ports and maps them to the owning application.
This is the same information you would see using the 'netstat -an' command, but it also
maps those ports to running processes with the PID, process name and path. Fport can be
used to quickly identify unknown open ports and their associated applications.

Strings
Gebruik als: strings crss.exe
Als het goed is zie je dan welk programme het echt is.

Succes

SiGNe schreef op 22 September 2003 @ 09:23:
is het niet crsrr.exe?
Die staat bij mij in m'n system32 map en is de client server runtime process (heeft ook high priority)

Nee, vond het verdacht en heb eens gekeken op 2k en xp bak, niets gevonden..
Als het geen typo is, is het toch wel een verdachte file.

Kun je de file eventueel submitten?

misschien is het wel een klein bedrijfje met maar 5 computers en IS er helemaal geen systeembeheerder......

gladiool schreef op 22 September 2003 @ 09:32:
misschien is het wel een klein bedrijfje met maar 5 computers en IS er helemaal geen systeembeheerder......

Aan de andere kant, wat moet een klein bedrijf met 5 PC's dan met een snelle 10mbit connectie of wat dan ook?

SiGNe schreef op 22 September 2003 @ 09:23:
is het niet crsrr.exe?
Die staat bij mij in m'n system32 map en is de client server runtime process (heeft ook high priority)

Als je een beetje slim nadenkt als hacker zijnde dan ga je die files natuurlijk windows namen geven en niet Ditismijngehackteftpserver.exe

...

Ik denk dat de TS er nu wel uitkomt en aangezien dit nu weer erg offtopic gaat allemaal gaat dit topic ook op slot.

@TS:
Even alle stappen:
- bekijk eventueel waardoor je in deze situatie bent gekomen.
- probeer nog of je in safe-mode wat kunt oplossen.
- anders een verse installatie en let daarna goed op security