[Malware] warez-server via servu opgezet * - Privacy en beveiliging

donderdag 26 augustus 2004 00:32

Acties:

Topicstarter

Heeeej daar,

Ik heb zojuist naar aanleiding van gebrek aan schijfruimte gevonden dat iemand van buitenaf mijn compu gebruikt als warez (DVD) server. Er staat voor zo'n kleine 20 Gig

aan DVD's in sneaky verborgen mapjes.

Ik kan natuurlijk alles verwijderen en mn compu afsporen naar wormen, maar ik wil eigenlijk wel weten of ik er misschien achter kan komen wie er misbruik van mij maakt en hem even terugpakken.

Verder vraag ik mij af hoe ik me echt goed kan beschermen tegen deze onzin, want ik zit al achter een dikke firewall en draai Norton antivirus 2004. Zijn er betere programma's, want norton houdt werkelijk geen ene zak tegen (het is niet de eerste keer dat ik met een worm zit).

In ieder geval bedankt!

.

donderdag 26 augustus 2004 00:34

Acties:

Verwijderd

Welk OS draai je?

Windows, Linux ??

Apache, IIS, Ftp Server ?

meld ff wat voor servers je precies zelf draait, meestal wordt er ingebroken op een bepaalde service die je draait.

btw. Staan er leuke films tussen?

[ Voor 18% gewijzigd door Verwijderd op 26-08-2004 00:34 ]

donderdag 26 augustus 2004 00:34

Acties:

nautaonline

Zone Alarm installeren? kijk eens wat die er van zegt.

offtopic:
Wat voor dvd's?

donderdag 26 augustus 2004 00:35

Acties:

Verwijderd

In welke map staan de dvd's? Al gekeken naar de config van de ftp server of dergelijk?

donderdag 26 augustus 2004 00:36

Acties:

bigfoot1942

als virusscanner kan ik je Kaspersky Antivirus adviseren.
en ook erg toepasselijk: Kaspersky Anti-Hacker

[ Voor 29% gewijzigd door bigfoot1942 op 26-08-2004 00:38 ]

donderdag 26 augustus 2004 00:37

Acties:

Wolfboy

ubi dubium ibi libertas

ik verwacht dat het serv-u is (wordt meestal gebruikt bij dit soort dingen)
en ik heb weinig hoop dat je hem kan terugpakken, als je pc zo slecht beveiligt is dat hij er in kan komen hoe wil je hem dan pakken

ik zou er iig niet op rekenen

Blog [Stackoverflow] [LinkedIn]

donderdag 26 augustus 2004 00:38

Acties:

kamstra

ipso iure

post eens een log van je FTP?

Huh..?? Neuh...bedankt | Qui habet aures audiendi audiat

donderdag 26 augustus 2004 00:41

Acties:

Pietert

There is no spoon

reken inderdaad op serv-u als ftpserver die geinstalleerd staat.
Maak gewoon een map aan met de naam "YOUR IP IS BEING LOGGED. GREETINGS BY SYSADMIN" en ze zullen je verder wel met rust laten. Kijk welke poorten de serv-u warez server gebruikt en sniff deze en gooi ze dicht. Door de poort dicht te gooien kan degene die remote de server beheert ook niet meer inloggen...
Delete de boel en herinstalleer (ivm backdoors) en neem een fatsoenlijke firewall en dito virusscanner.

In het vervolg kan je met een programma als DU-meter en Netlimiter het bandbreedteverkeer in de gaten houden.
Tik eens netstat -n in een dosvenster en zie welke ip's er verbinding hebben met je box en op welke poort...

[ Voor 59% gewijzigd door Pietert op 26-08-2004 00:48 ]

donderdag 26 augustus 2004 00:42

Acties:

bigfoot1942

en wanneer hij geconnect is kan je natuurlijk via netstat -a (of een minder spartaans tooltje hiervoor) zijn ip-adres achterhalen...
je moet dan niet per definitie een ftp-client pakken, dat kan een "relatief" onschuldig persoon zijn.. pak liever de persoon die met de shell verbonden is.

donderdag 26 augustus 2004 00:45

Acties:

Verwijderd

run ook geen remote software die niet geregistreerd is, soms is het paswoord dan simpelweg trial waardoor je scherm overgenomen word, denk aan port 4000..
gebruik anders eff fport.exe om te kijken welke rare poorten openstaan

donderdag 26 augustus 2004 00:48

Acties:

Wolfboy

ubi dubium ibi libertas

bigfoot1942 schreef op 26 augustus 2004 @ 00:42:
en wanneer hij geconnect is kan je natuurlijk via netstat -a (of een minder spartaans tooltje hiervoor) zijn ip-adres achterhalen...

^{tcpstat werkt wel}

en idd wel opletten dat je niet de verkeerde pakt, de clients die alleen een dvdtje plukken moet je niet pakken (heeft ook geen zin want die doen toch niets en dat kan elke idioot zijn)
het gaat vooral om de gast die je gehackt heeft, staat er misschien bij de mapjes nog een nick van iemand?
meestal laten ze wel een soort van naam achter dat het hun eigendom is namelijk

Blog [Stackoverflow] [LinkedIn]

donderdag 26 augustus 2004 00:50

Acties:

Pietert

There is no spoon

Jah inderdaad ik ben wel benieuwd "wie het is... Post eens een (DOS, dir > dir.txt ) uittrekseltje van de directories die er staan

gebruik trouwens netstat -na voor de lijst met verbonden IP's

[ Voor 24% gewijzigd door Pietert op 26-08-2004 00:54 ]

donderdag 26 augustus 2004 12:45

Acties:

Da Weef

Topicstarter

Haaaai

Ik ben inderdaad gehackt via serv-u heb ik gevonden in een van de bestandjes die op mn compu stonden. Echter natuurlijk is er niet meer te achterhalen wie het geweest is, want alles is buiten mijn log omgegaan (uitgeschakeld). Ik kan inderdaad wachten tot er iemand inlogd, maar dan is er een grote kans dat ik enkel een gebruiker pak.

Ik ga binnenkort gewoon maar eens lekker opruimen en daarna alle software-matige tips die ik net kreeg gebruiken. $_/-\o_$

Voor de nieuwsgierigen heb ik nog wel wat screenshots gemaakt van de mappen. Alle mappen en bestanden waren als 'besturingssysteembestand' verborgen en stonden op de harde schijf met de meeste ruimte en minste gebruik.

Ik zal nog even hard nadenken of ik serv-u nog wel ga gebruiken...

In ieder geval bedankt

.

donderdag 26 augustus 2004 13:07

Acties:

Wolfboy

ubi dubium ibi libertas

ze hebben het niet echt netjes opgezet iig

enne je draait op dit moment ioFTPD zie ik, dus ik zou eens kijken of firedaemon of ioftpd draait
1 van die twee zou er moeten zijn

[ Voor 5% gewijzigd door Wolfboy op 26-08-2004 13:10 ]

Blog [Stackoverflow] [LinkedIn]

donderdag 26 augustus 2004 13:16

Acties:

cutter

Wannabe i7 fanboy

Ik zou fijn een format C: toepassen. Dit systeem is niet meer te vertrouwen.

donderdag 26 augustus 2004 13:18

Acties:

My-life

cutter schreef op 26 augustus 2004 @ 13:16:
Ik zou fijn een format C: toepassen. Dit systeem is niet meer te vertrouwen.

Daar gaat het ook niet over. Het is de sport de '" hacker" te achterhalen

.

offtopic:
Ik zou het gewoon laten draaien. Je kopieëerd de films die je wilt hebben gewoon en de rest gooi je weg. Maby zet "hij/zij" er wel weer nieuwe op

donderdag 26 augustus 2004 13:26

Acties:

Da Weef

Topicstarter

Hmmmm ik bedenk mij ineens dat ik anderhalve maand geleden met fport wat illegaal poortgebruik had gevonden en eraf heb gegooid. Alle bestanden die op mijn schijf staan zijn van die tijd, dus ik denk dat ik toen de server al gedwarsboomd heb. Ik heb nu pas de bestanden gevonden denk ik... -zucht-

Hoe dan ook is een flinke schoonmaakbeurt geen slecht idee....

.

donderdag 26 augustus 2004 13:29

Acties:

Verwijderd

Er zijn meestal nog wel één of meerdere backdoors geïnstalleerd op zulke machine - al dan niet met rootkit functionality - voor het geval de zooi ontdekt mocht worden/meer controle.

Een bak zoals deze is idd totaal niet meer te vertrouwen.
Heb je al een AV scan gedaan met een AV/AT die goed is qua backdoordetectie/riskware?

Misschien verstandig om verdachte files naar AV vendors te submitten.

Titel wat aangepast.

donderdag 26 augustus 2004 13:29

Acties:

cutter

Wannabe i7 fanboy

Op welke snelheid up/down zit je eigenlijk

donderdag 26 augustus 2004 15:08

Acties:

Da Weef

Topicstarter

Ik ga dus sowieso een verse windows install doen volgende week, dus dat komt wel goed. Zeker met alle zachte waren die mij in dit topic zijn aanbevolen...

Verder had ik ook wel wat bandbreedte om te laten stelen... Ik zit op een universiteitsnet met een heeeeeele dikke breedband van 100 mbit.

[ Voor 15% gewijzigd door Da Weef op 26-08-2004 15:09 ]

.

donderdag 26 augustus 2004 15:33

Acties:

cutter

Wannabe i7 fanboy

Als je toch die verse install gaat doen, mail ff met cutter@tweakers.net heb een vraagje aan je.

donderdag 26 augustus 2004 15:36

Acties:

wildhagen

Blablabla

My-life schreef op 26 augustus 2004 @ 13:18:
[...]

Daar gaat het ook niet over. Het is de sport de '" hacker" te achterhalen .

Tsja, dat is bijna onbegonnen werk, want dikke kans dat zijn bak gehacked is via een andere bak die óók gehacked is

offtopic:
Ik zou het gewoon laten draaien. Je kopieëerd de films die je wilt hebben gewoon en de rest gooi je weg. Maby zet "hij/zij" er wel weer nieuwe op

Tsja, dan ben jij ook illegaal bezig, want via jouw aansluiting word illegale software verspreid. En aangezien jij (of iig degene op wiens naam het abonnement staat) verantwoordelijk is voor de aansluiting...

Staat BREIN of een andere organisatie opeens op je stoep

[ Voor 3% gewijzigd door wildhagen op 26-08-2004 15:36 ]

Virussen? Scan ze hier!

vrijdag 27 augustus 2004 19:00

Acties:

Verwijderd

Als brein dan op je stoep staat kun je gewoon zeggen dat je er niks van wist. Dat kan trouwens ook als je zelf een warez-servertje opbouwt. Wat die hackers van tegenwoordig kunnen

...

vrijdag 27 augustus 2004 19:17

Acties:

wildhagen

Blablabla

Verwijderd schreef op 27 augustus 2004 @ 19:00:
Als brein dan op je stoep staat kun je gewoon zeggen dat je er niks van wist.

Ja, alleen maakt dat niet uit. Het gebeurt op jouw verbinding, en jij bent verantwoordelijk voor wat er op die verbinding gebeurd. Dat staat ook in de algemene voorwaarden van de meeste (zo niet alle) ISP's.

Anders kan iedereen die een warez-server host wel zeggen 'ik wist van niks'. Zo werkt het nu eenmaal niet en eigenlijk gelukkig maar

Virussen? Scan ze hier!