---

Nogle har fået adgang til min ftp-server, Serv-U.

Opsætning:
ADSL, direkte i netkort i PC
Windows XP Professional (alle SP/updates OK)
Windows XP's egen firewall
Norton Antivirus 2003 (opdateret)

Alle brugerkonti er fjernet fra Serv-U og nogle nye oprettet. Den ene
af dem, med navnet "freek" har administrator-rettigheder med
home-directory i C:\

Jeg benytter Windows XP firewall (som jeg har fundet tilstrækkeligt
til hjemmebrug). ALLE tilgængelig opdateringer til min Windows XP
Professional er hentet og installeret.

Jeg kan ikke se noget i Serv-U's log, der kan tyde på ubudne gæster.

Lige nu frygter jeg vel mest at der ligger en trojansk hest og gemmer
sig et eller andet sted, som min Norton Antivirus ikke kan finde....

En ren-røv-at-trutte-i-PC er overvejet, men kan de komme ind nu, kan
de igen.

Er Serv-U ikke sikkert nok, eller er det anden form for
sikkerhedsforanstaltning jeg skal kigge efter (router/HW firewall).

Nogle bud på, hvorledes de er kommet ind?

Jeg ved ikke hvad jeg skal gøre for at afhjælpe det sker igen...


mvh /Snedker

PS: Jeg har naturligvis stoppet min ftp-server.
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

Den Tue, 10 Aug 2004 16:19:34 +0200 skrev Morten Snedker:
> Nogle har fået adgang til min ftp-server, Serv-U.
>
> Alle brugerkonti er fjernet fra Serv-U og nogle nye oprettet. Den ene
> af dem, med navnet "freek" har administrator-rettigheder med
> home-directory i C:\

Yikes

> Jeg kan ikke se noget i Serv-U's log, der kan tyde på ubudne gæster.

Hvorfra ved du at set er Serv-U der er problemet?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 10 Aug 2004 15:54:58 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Den Tue, 10 Aug 2004 16:19:34 +0200 skrev Morten Snedker:
>> Nogle har fået adgang til min ftp-server, Serv-U.
>>
>> Alle brugerkonti er fjernet fra Serv-U og nogle nye oprettet. Den ene
>> af dem, med navnet "freek" har administrator-rettigheder med
>> home-directory i C:\
>
>Yikes

Som om det ikke var nok: når jeg af-installerer, genstarter, og igen
installerer, så fjernes det domain/brugere jeg lige har oprettet, den
oprettet et domain ved navn HOME og tilføjer en række brugere.

Så jeg finder mit Ghost-image frem af gemmeren...

/Snedker
---
http://dbconsult.dk

---

On Tue, 10 Aug 2004 20:28:56 +0200, Morten Snedker wrote:

> Så jeg finder mit Ghost-image frem af gemmeren...

Er du sikker paa det ikke indeholder en komprimitteret udgave af dit
system?

--
Christian Jørgensen | There is no spoon!
http://www.razor.dk |

---

On Wed, 11 Aug 2004 08:49:11 +0200, Christian Joergensen
<mail@razor.dk> wrote:

>On Tue, 10 Aug 2004 20:28:56 +0200, Morten Snedker wrote:
>
>> Så jeg finder mit Ghost-image frem af gemmeren...
>
>Er du sikker paa det ikke indeholder en komprimitteret udgave af dit
>system?

Det kommer jo an på definitionen af kompromitteret. Det er en version
bestående af Win XP SP1 + alle opdateringer pr. 15/6-04. Og intet
andet.

Jeg har dog et lignende image fra samme dag, men med min Office-pakke,
SQL-server + diverse andre programmer jeg benytter...

Jeg har fået mange fine svar, men er ikke blevet klogere. Jeg er
interesseret i at vide, hvad jeg skal gøre for at det ikke sker igen.

Men det er jo ikke sikkert, at svaret er ligetil...jeg tænker at det
nok ender med, at jeg skal bruge en vis mængde tid på at sætte mig ind
i emnet. Det er jo åbenbart ikke til "bare" at være en ordinær bruger
af en PC.

Er spændt på at se hvor mange af denne type problemer der løses med XP
SP2...

mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

Morten Snedker <mortenatdbconsultdotdk> wrote:
> Jeg har f?et mange fine svar, men er ikke blevet klogere. Jeg er
> interesseret i at vide, hvad jeg skal g?re for at det ikke sker igen.

Vi ved jo ikke helt pr?cist hvad der er sket, s? det er sv?rt at
forhindre.

> Men det er jo ikke sikkert, at svaret er ligetil...jeg t?nker at det
> nok ender med, at jeg skal bruge en vis m?ngde tid p? at s?tte mig ind
> i emnet. Det er jo ?benbart ikke til "bare" at v?re en ordin?r bruger
> af en PC.

Jeg vil p?st?, at enhver der har 2 database produkter og en FTP server
installere p? deres PC, langt fra er en ordin?r bruger af en PC.

Den slags b?r k?re p? en dedikeret maskine, hvad enten det er til
udvikling, test eller produktion. Det er min f?rste bekymring i denne
sag.

Min anden bekymring er, at du har l?st OSS'en, men stadigt tror at en
firewall kan g?re dig "sikker" mod vilk?rlige sikkerhedsfejl i server
software som tilsyneladende kan tilg?s direkte fra internettet. Kan du
hj?lpe mig med at forst? hvordan du har f?et det indtryk?

> Er sp?ndt p? at se hvor mange af denne type problemer der l?ses med XP
> SP2...

Sikkert ingen af dem, is?r ikke hvis forbryderen kom ind gennem Serv-U.
Er du sikker p?, at forbryderen ikke kom ind p? anden m?de, og
simpelthen har installeret sin egen version af Serv-U - det er ret
popul?rt blandt kiddies der har brug for opbevaringsplads til film og
spil.

M?ske han slet ikke har set, at du havde Serv-U installeret!

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On Wed, 11 Aug 2004 10:01:02 +0200, Alex Holst <a@mongers.org> wrote:


>Jeg vil p?st?, at enhver der har 2 database produkter og en FTP server
>installere p? deres PC, langt fra er en ordin?r bruger af en PC.

Okie, det var også lidt firkantet...

>Den slags b?r k?re p? en dedikeret maskine, hvad enten det er til
>udvikling, test eller produktion. Det er min f?rste bekymring i denne
>sag.

Fair nok. Nu begynder det at ligne noget, som jeg kan bruge til noget.
Lad os antage at jeg køber mig en PC mere og installerer mine
database-servere på denne...hva' så?

Jeg er klar over at dette område mere eller mindre er en videnskab,
men bær over med mig. Følger jeg Tjenester.pdf i en vis udstrækning,
men sørger for at holde porten til eksemplevis MS-SQL åben?

>Min anden bekymring er, at du har l?st OSS'en, men stadigt tror at en
>firewall kan g?re dig "sikker" mod vilk?rlige sikkerhedsfejl i server
>software som tilsyneladende kan tilg?s direkte fra internettet. Kan du
>hj?lpe mig med at forst? hvordan du har f?et det indtryk?

Det indtryk har jeg ikke fået, men har sandsynligvis ikke forklaret
mig godt nok: jeg ridsede blot muligheder op, uagtet om jeg kunne
bruge dem eller ej. OSS'en giver mig nogle fingerpeg og guidelines,
men jeg ved stadig ikke hvad jeg _praktisk_ skal gøre, for at sikre
mig bedre.

Tjenester.pdf er det eneste håndgribelige jeg finder frem til. Men som
før nævnt benytter jeg både ICQ, Messenger, TeamSpeak, NetTime,
MS-SQL, mySQL og flere andre. Hvis det er et dårligt mix, eller nogle
af dem absolut no-no, så jeg er åben for forslag.

>Sikkert ingen af dem, is?r ikke hvis forbryderen kom ind gennem Serv-U.
>Er du sikker p?, at forbryderen ikke kom ind p? anden m?de, og
>simpelthen har installeret sin egen version af Serv-U - det er ret
>popul?rt blandt kiddies der har brug for opbevaringsplads til film og
>spil.

Som også nævnt i tidligere indlæg, så er jeg _overhovedet_ ikke sikker
på, hvor/hvordan de er kommet ind. Jeg kan blot konstatere at
opsætningen af Serv-U er ændret væsentligt.

>M?ske han slet ikke har set, at du havde Serv-U installeret!

Muligt...beats me !?


mvh /Snedker

PS: Er det din eller min egen skyld, at jeg ikke kan læse dine æøå?
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

Morten Snedker skriblede:

> PS: Er det din eller min egen skyld, at jeg ikke kan læse
> dine æøå?

Det er ikke din skyld, det har jeg også.

Headeren fra Alex indeholder ingen info
om hverken karaktersæt eller mail prg.





--
/Gevaldi

---

Morten Snedker wrote:

> Nogle har fået adgang til min ftp-server, Serv-U.

<snip>

> Er Serv-U ikke sikkert nok, eller er det anden form for
> sikkerhedsforanstaltning jeg skal kigge efter (router/HW firewall).

Som Kent Friis også er inde på, behøver det ikke at være Serv-U der er
problemet, men en Google-søgning afslører en del sikkerhedshuller i
Serv-U gennem tiden.

Overvej desuden, hvis problemet vitterligt er Serv-U, hvor meget gavn en
firewall vil gøre. Du er jo alligevel nødt til at give adgang til
FTP-serveren ude fra nettet, og så er du jo lige vidt.

Mine råd, i vilkårlig rækkefølge.

Følg Thomas G. Madsens vejledning til at lukke porte på Windows XP.
http://home18.inet.tele.dk/madsen/winxp/Tjenester.pdf

Hold Windows opdateret (gør du allerede).

Læs OSSen. Især følgende afsnit:

http://sikkerhed-faq.dk/servere#indbrud

Derefter:

http://sikkerhed-faq.dk/servere

Og til sidst resten af OSSen.

Geninstallér Windows XP. Husk at formattere først. Jeg ved ikke om
eventuelle trojanere bliver slettet ved en "oven-i"-installation, men det
er bedst at være sikker. Så får du også tid til at spise noget chokolade
mens formatteringen er i gang.

Læs lidt mere om Serv-U, læg især mærke til rapporter om sikkerhedsfejl.
Det hedder "vulnerability" på engelsk (ja ja, ikke ifølge en ordbog, men
på nettet gør det).

Vælg eventuelt et anderledes mærke af FTP-server, hvis din læsning giver
anledning til bekymring.

Spis lidt mere chokolade.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Christian Andersen skriblede:

> Som Kent Friis også er inde på, behøver det ikke at være
> Serv-U der er problemet, men en Google-søgning afslører
> en del sikkerhedshuller i Serv-U gennem tiden.

> Vælg eventuelt et anderledes mærke af FTP-server, hvis
> din læsning giver anledning til bekymring.

Bulletproof kan anbefales.
Jeg har nu haft min kørende i tre år uden angreb.





--
/Gevaldi

---

Gevaldi wrote:
> Christian Andersen skriblede:
>
>> Som Kent Friis også er inde på, behøver det ikke at være
>> Serv-U der er problemet, men en Google-søgning afslører
>> en del sikkerhedshuller i Serv-U gennem tiden.
>
>> Vælg eventuelt et anderledes mærke af FTP-server, hvis
>> din læsning giver anledning til bekymring.
>
> Bulletproof kan anbefales.
> Jeg har nu haft min kørende i tre år uden angreb.

Jeg kan sige det samme om Serv-U. Jeg har den kørende flere steder, nu snart
på 4. år, og der har ikke været noget som helst undervejs, selv om der er
blevet prøvet lidt af hvert.

Jeg tror ikke at Serv-U er det primære problem, men da nogen har overskrevet
..ini filerne er den blevet kompromitteret.

Hans

---

In article <2nsfprF439k7U1@uni-berlin.de>, Gevaldi wrote:
>
> Christian Andersen skriblede:
>
>> Som Kent Friis også er inde på, behøver det ikke at være
>> Serv-U der er problemet, men en Google-søgning afslører
>> en del sikkerhedshuller i Serv-U gennem tiden.
>
>> Vælg eventuelt et anderledes mærke af FTP-server, hvis
>> din læsning giver anledning til bekymring.
>
> Bulletproof kan anbefales.
> Jeg har nu haft min kørende i tre år uden angreb.

Jeg vil anbefale i stedet at anvende en fornuftig FTP
server. Det er sådan en der kræver cygwin1.dll for at køre :)
Der er flere muligheder. Men et godt alternativ kunne være
sftp (del af SSH pakken).

--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
SIPPhone: 1-747.NOT.BYYI (668.2994) - Free Internet Phone

---

Den Tue, 10 Aug 2004 21:57:15 +0000 (UTC) skrev Povl H. Pedersen:
> In article <2nsfprF439k7U1@uni-berlin.de>, Gevaldi wrote:
>>
>> Christian Andersen skriblede:
>>
>>> Som Kent Friis også er inde på, behøver det ikke at være
>>> Serv-U der er problemet, men en Google-søgning afslører
>>> en del sikkerhedshuller i Serv-U gennem tiden.
>>
>>> Vælg eventuelt et anderledes mærke af FTP-server, hvis
>>> din læsning giver anledning til bekymring.
>>
>> Bulletproof kan anbefales.
>> Jeg har nu haft min kørende i tre år uden angreb.
>
> Jeg vil anbefale i stedet at anvende en fornuftig FTP
> server. Det er sådan en der kræver cygwin1.dll for at køre :)

Og dermed få både unix-FTP-programmers svagheder og Windows' svagheder
- ja, har man ikke svagheder nok i forvejen, er det klart en mulighed.

Faktisk er det før sket at unix-folk har anbefalet Windows til netop
FTP-server, fordi en stor del af unix FTP-servere blot er en simpel
shell med integrerede filoverførsler. Det er derfor man finder
/var/ftproot/bin/ls og lignende. Og er man allerede så tæt på en
shell-adgang, skal der ikke ret meget til før man har fuld shell-
adgang.

> Der er flere muligheder. Men et godt alternativ kunne være
> sftp (del af SSH pakken).

SFTP er ikke en ftp-server. Det er en sftp-server. De har ikke ret meget
tilfælles, og de bruger ikke samme protokol, så man kan godt glemme alt
om at få en vilkårlig FTP-klient til at snakke med en SFTP-server.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> wrote:

>Faktisk er det før sket at unix-folk har anbefalet Windows til netop
>FTP-server, fordi en stor del af unix FTP-servere blot er en simpel
>shell med integrerede filoverførsler. Det er derfor man finder
>/var/ftproot/bin/ls og lignende.

Nej, det er fordi disse servere bruger ls til at lave
directorylistninger med og kører chroot. Et program bliver ikke til
en shell bare fordi det bruger et eksternt program som ls til at
udføre noget af sin funktionalitet.

>Og er man allerede så tæt på en
>shell-adgang, skal der ikke ret meget til før man har fuld shell-
>adgang.

Når man er i et chroot-fængsel og uprivilegeret og i et program som
ikke på nogen måde er en shell selvom det tilfældigvis kan finde på at
bruge ls, så skal der altså meget til før man har noget der kan kaldes
fuld shell-adgang.

Men i øvrigt foretrækker jeg da også nyere ftp-implementationer som
typisk har indbygget ls og (af andre årsager) er sikrere. Men det er
ikke fordi jeg tror at der er nogen sikkerhedsmæssig ulempe ved den
eksterne ls.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Den Thu, 12 Aug 2004 00:46:11 +0200 skrev Jesper Dybdal:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>>Faktisk er det før sket at unix-folk har anbefalet Windows til netop
>>FTP-server, fordi en stor del af unix FTP-servere blot er en simpel
>>shell med integrerede filoverførsler. Det er derfor man finder
>>/var/ftproot/bin/ls og lignende.
>
> Nej, det er fordi disse servere bruger ls til at lave
> directorylistninger med

Præcis som shell'en gør det.

> og kører chroot. Et program bliver ikke til
> en shell bare fordi det bruger et eksternt program som ls til at
> udføre noget af sin funktionalitet.

Den modtager kommandoer, og udfører eksterne programmer afhængig af
hvilken kommando den får. Det er ikke en /bin/sh, men det er stadig
tæt på at høre under shells. Og der skal ikke ændres mange bits i
rettighederne på ls, før det er muligt at lave "put sh ls".

Du har naturligvis ret i at chroot hjælper en del, forudsat det er
implementeret korrekt (herunder at ftp-serveren ikke kører som
root for at åbne port 21).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> wrote:

>Den Thu, 12 Aug 2004 00:46:11 +0200 skrev Jesper Dybdal:
>> Kent Friis <nospam@nospam.invalid> wrote:
>>
>>>Faktisk er det før sket at unix-folk har anbefalet Windows til netop
>>>FTP-server, fordi en stor del af unix FTP-servere blot er en simpel
>>>shell med integrerede filoverførsler. Det er derfor man finder
>>>/var/ftproot/bin/ls og lignende.
>>
>> Nej, det er fordi disse servere bruger ls til at lave
>> directorylistninger med
>
>Præcis som shell'en gør det.
>
>> og kører chroot. Et program bliver ikke til
>> en shell bare fordi det bruger et eksternt program som ls til at
>> udføre noget af sin funktionalitet.
>
>Den modtager kommandoer, og udfører eksterne programmer afhængig af
>hvilken kommando den får.

De ftp-servere jeg har kendt, udfører (i hvert fald i en nogenlunde
normal konfiguration) ikke nogen som helst eksterne kommandoer udover
netop "ls".

>Det er ikke en /bin/sh, men det er stadig
>tæt på at høre under shells.

Det synes jeg ikke.

>Og der skal ikke ændres mange bits i
>rettighederne på ls, før det er muligt at lave "put sh ls".

Det har du ganske ret i. Men et system hvor systemfiler kan skrives
af hvem som helst, har nu oftest problemer uanset hvilken ftp-server
det bruger.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Den Fri, 13 Aug 2004 00:07:29 +0200 skrev Jesper Dybdal:
> Kent Friis <nospam@nospam.invalid> wrote:
>
> De ftp-servere jeg har kendt, udfører (i hvert fald i en nogenlunde
> normal konfiguration) ikke nogen som helst eksterne kommandoer udover
> netop "ls".

Jeg mindes at der var flere - men det er også snart mange år siden jeg
droppede ftp.

>>Og der skal ikke ændres mange bits i
>>rettighederne på ls, før det er muligt at lave "put sh ls".
>
> Det har du ganske ret i. Men et system hvor systemfiler kan skrives
> af hvem som helst, har nu oftest problemer uanset hvilken ftp-server
> det bruger.

Problemet (udover rettighederne) er at ls ligger inde i ftp-directoriet,
og det derfor er muligt at overskrive den. En ftp-server der ikke
kalder eksterne programmer vil ikke have det problem.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On Tue, 10 Aug 2004 17:06:50 +0000 (UTC), Christian Andersen
<5oyh8a102@sneakemail.com> wrote:

>Morten Snedker wrote:
>
>> Nogle har fået adgang til min ftp-server, Serv-U.
>
><snip>
>
>> Er Serv-U ikke sikkert nok, eller er det anden form for
>> sikkerhedsforanstaltning jeg skal kigge efter (router/HW firewall).
>
>Som Kent Friis også er inde på, behøver det ikke at være Serv-U der er
>problemet, men en Google-søgning afslører en del sikkerhedshuller i
>Serv-U gennem tiden.

Jeg ved som heller ikke om Serv-U er problemet.

Det er blot i Serv-U jeg kan konstatere, at alle konti er slettet og
nogle nye oprettet...med administratorrettigheder og home-dir i C:\.
Og så er det jo jeg bliver lidt paranoid.

Norton/Panda/AVG antivirus finder intet. Der lader heller ikke til at
være øget trafik på min ADSL.

Jeg har læst OSS'en - også før mit indlæg. Jeg har også tidligere
kigget i pdf'en, men mener at der for mig er så mange undtagelser det
ikke vil være nyttigt.

Jeg _benytter_ nu en gang MSN og ICQ. Jeg har åbnet for
fjernskrivebord som jeg bruger hyppigt (port 3389), MS-SQL, mySQL og
FTP. Øvrige tjenester (såsom web o.l) har jeg de-aktiveret.

Jeg har en Ghost-profil liggende, så jeg kan som snildt være hurtigt
up'n'running igen.

Men det piner mig jo at jeg ikke ved hvordan det er sket !? Og uanset
om jeg benytter min Ghost eller clean install, hvordan ved jeg så, at
det ikke sker igen i næste uge?

Er Serv-U problemet, så finder jeg et altertativ eller en patch. Er
det fordi XP's firewall sux, så finder jeg jeg et alternativ...etc.

Problemet er, at jeg ikke aner hvordan det er sket. :-\

mvh /Snedker
---
http://dbconsult.dk

---

Morten Snedker wrote:

> Jeg har åbnet for fjernskrivebord som jeg bruger hyppigt (port 3389)

Hmm. Det lyder som et oplagt sted at komme ind. Er du sikker på at
sikkerheden omkring den funktion er stram nok? Du har ikke tilfældigvis
en administrator konto på maskinen med et blankt eller læt-at-gætte
password?

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
496620796F752063616E207265616420746869732C00
796F7527726520746F6F206765656B2E00

---

On 10 Aug 2004 18:14:15 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:

>Morten Snedker wrote:
>
>> Jeg har åbnet for fjernskrivebord som jeg bruger hyppigt (port 3389)
>
>Hmm. Det lyder som et oplagt sted at komme ind. Er du sikker på at
>sikkerheden omkring den funktion er stram nok? Du har ikke tilfældigvis
>en administrator konto på maskinen med et blankt eller læt-at-gætte
>password?

Nej, 10 karakterer incl. specialtegn...
---
http://dbconsult.dk

---

Morten Snedker wrote:
> On 10 Aug 2004 18:14:15 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:
>
>> Morten Snedker wrote:
>>
>>> Jeg har åbnet for fjernskrivebord som jeg bruger hyppigt (port 3389)
>>
>> Hmm. Det lyder som et oplagt sted at komme ind. Er du sikker på at
>> sikkerheden omkring den funktion er stram nok? Du har ikke
>> tilfældigvis en administrator konto på maskinen med et blankt eller
>> læt-at-gætte password?
>
> Nej, 10 karakterer incl. specialtegn...
> ---
Hvad siger en Netstat -an når du har brugt maskinen et par timer med de
programmer du har gang i?

Hans

---

On Tue, 10 Aug 2004 20:49:21 +0200, "Hans" <email@kvik.org.invalid>
wrote:

>Hvad siger en Netstat -an når du har brugt maskinen et par timer med de
>programmer du har gang i?

Jeg er som nævnt læst Tjenester.pdf, men har ikke rodet med det. Mest
fordi jeg ikke har så meget forstand på det - hvad jeg måske burde få.
Og dels fordi jeg er afhængig af at have MS-SQL, mySQL og flere andre
tjenester kørende.

Hvorom alting er, så er er min netstat på
http://dbconsult.dk/ms/netstat.txt.


BTW: når jeg nu kan se, at der er fobindelse til 64.12.30.236, og jeg
samtidig kan se det er AOL...hvordan finder jeg så ud af, hvilket
program der har etableret forbindelsen?

mvh /Snedker
---
http://dbconsult.dk

---

Morten Snedker wrote:

> BTW: når jeg nu kan se, at der er fobindelse til 64.12.30.236, og jeg
> samtidig kan se det er AOL...hvordan finder jeg så ud af, hvilket
> program der har etableret forbindelsen?

Det er næsten helt sikkert ICQ, men:

netstat -ano i en DOS-prompt.

Herved får du en PID (Process ID). Derefter starter du joblisten og
checker.

> mvh /Snedker
> ---
> http://dbconsult.dk

Er du ikke konsulent? Til 750,- i timen, burde du vel egentlig vide den
slags?

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

On Wed, 11 Aug 2004 05:41:33 +0000 (UTC), Christian Andersen
<5oyh8a102@sneakemail.com> wrote:

>netstat -ano i en DOS-prompt.
>Herved får du en PID (Process ID). Derefter starter du joblisten og
>checker.

Tak

>Er du ikke konsulent? Til 750,- i timen, burde du vel egentlig vide den
>slags?

Nu er det vel ikke uvæsentligt hvilket fagområde jeg er konsulent
indenfor. Og jeg er så altså konsulent indenfor databaser, ikke
net-sikkerhed. Hos mine kunder er det samarbejdspartnere, som ta'r sig
af den del - ud fra devisen "skomager, bliv ved din læst". Så svaret
er: nej.


mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

Morten Snedker wrote:

>> Er du ikke konsulent? Til 750,- i timen, burde du vel egentlig vide den
>> slags?

> Nu er det vel ikke uvæsentligt hvilket fagområde jeg er konsulent
> indenfor. Og jeg er så altså konsulent indenfor databaser, ikke
> net-sikkerhed.

Fair nok. Du er da sikkert også kompetent og alt muligt. Jeg mener bare
at når "man" tager penge for sin computerviden (indenfor et eller andet
felt), bør man vide "så meget som muligt" om det operativsystem man
beskæftiger sig med. Det bidrager alt sammen til det samlede "cluelevel"
for personen. Jeg ville i hvert fald have et problem med en MS-konsulent
der ikke vidste hvad en DOS-prompt var. Ikke at du ikke ved det, men jeg
snakker generelt.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

On Wed, 11 Aug 2004 08:40:35 +0000 (UTC), Christian Andersen
<5oyh8a102@sneakemail.com> wrote:


>Fair nok. Du er da sikkert også kompetent og alt muligt. Jeg mener bare
>at når "man" tager penge for sin computerviden (indenfor et eller andet
>felt), bør man vide "så meget som muligt" om det operativsystem man
>beskæftiger sig med.

Hvad er "så meget som muligt?". Ved jeg ikke nok, taget i betragtning
at jeg lever af vb/vba-programmering og af at kunne MS-SQL?

Eller skal jeg være netværks-specialist der kan redegøre for diverse
protokollers virkemåde, netværkssikkerhed på højt plan etc, før jeg
ved "nok" om det operativsystem, jeg arbejder med?

Jeg mener nu nok nærmere, at det er det firma, som har installeret
netværk hos mine kunder, der bør vide noget. Mit problem ligger på min
egen PC og affekterer kun mig.

Nej, Jeg synes du er way off. BTW, ovenstående er retoriske spørgsmål.

EOD herfra, hvad angår denne del af tråden.


mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

Morten Snedker skrev:

> Jeg mener nu nok nærmere, at det er det firma, som har
> installeret netværk hos mine kunder, der bør vide noget.

Interessant hønen og ægget problematik:

Hvis netværket opsættes først, hvordan skal netværksfolkene kun-
ne tage hensyn til dine database og sikre dem? (de kender sand-
synligvis ikke engang til at der kommer databaseservere på net-
værket der ikke i sig selv er sikret)

> Mit problem ligger på min egen PC og affekterer kun mig.

Bortset fra, hvis din databaseserver bruges som springbræt til
at komme videre.

---

On Wed, 11 Aug 2004 23:25:23 +0200, "Peder Vendelbo Mikkelsen"
<pedervm@myrealbox.com> wrote:


>> Jeg mener nu nok nærmere, at det er det firma, som har
>> installeret netværk hos mine kunder, der bør vide noget.

>Hvis netværket opsættes først, hvordan skal netværksfolkene kun-
>ne tage hensyn til dine database og sikre dem? (de kender sand-
>synligvis ikke engang til at der kommer databaseservere på net-
>værket der ikke i sig selv er sikret)

De bliver naturligvis kontaktet, når noget nyt installeres, der har
indvirkning på netærket. Det er jo netop "samarbejds-" partnere.

>> Mit problem ligger på min egen PC og affekterer kun mig.

>Bortset fra, hvis din databaseserver bruges som springbræt til
>at komme videre.

Data på min databaseserver bruges kun af mig, så umiddelbart burde det
ikke være noget problem. Men som nævnt, og som mine indlæg vel
afspejler, så er jeg ikke superbruger på området - men vil gerne lære.

Men du har naturligvis en pointe, som jeg skal være opmærksom på.

mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

Morten Snedker wrote:

>>Bortset fra, hvis din databaseserver bruges som springbræt til
>>at komme videre.
>
> Data på min databaseserver bruges kun af mig, så umiddelbart burde det
> ikke være noget problem. Men som nævnt, og som mine indlæg vel
> afspejler, så er jeg ikke superbruger på området - men vil gerne lære.

Jeg tror ikke at du forstod denne helt. Hvis der er nogen som får
kontrol med din database server, så får de måske mulighed for at
fjernstyrer den. Herfra kan de så prøve at få kontrol med andre
computere på netværket eller andre maskiner på Internettet. Så bliver du
lige pludselig listet som "hacker", fordi en eller anden maskine hos dig
bliver brugt til at angribe andre systemer med.

--
Anders Lund - anders@andersonline.dk

---

On Thu, 12 Aug 2004 10:34:11 +0200, Anders Lund
<anders@andersonline.dk> wrote:


>Jeg tror ikke at du forstod denne helt. Hvis der er nogen som får
>kontrol med din database server, så får de måske mulighed for at
>fjernstyrer den. Herfra kan de så prøve at få kontrol med andre
>computere på netværket eller andre maskiner på Internettet. Så bliver du
>lige pludselig listet som "hacker", fordi en eller anden maskine hos dig
>bliver brugt til at angribe andre systemer med.

Det er muligt jeg er fat-svag: hvis jeg benytter MS-SQL, og i øvrigt
sørger for alle SP's og updates - hva' skal jeg så gøre mere?

Jeg forstår fint alle pointerne. Jeg få alverdens forslag til, hvad
der kan være galt. Men jeg få ingen løsningsforslag...er det fordi der
ingen er - eller gi'r formuleringen af mit spørgsmål ingen mening, i
forhold til netværks-sikkerhed?

mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

On Thu, 12 Aug 2004 15:48:13 +0200, Morten Snedker wrote:

> Jeg forstår fint alle pointerne. Jeg få alverdens forslag til, hvad der
> kan være galt. Men jeg få ingen løsningsforslag...er det fordi der
> ingen er - eller gi'r formuleringen af mit spørgsmål ingen mening, i
> forhold til netværks-sikkerhed?

Mon ikke, det handler om, at du skal sørge for, at dine databasesystemer
ikke kan kontaktes udefra? Du nævnte på et tidspunkt MySQL; den kan
sættes til kun at lytte på din lokale netværksport
(loopback-interface/"localhost"); sig til, hvis du skal have hjælp
hertil. MSSQL kan vist ikke instrueres til kun at lytte på udvalgte
netværksinterfaces, så dér skal du benytte noget pakkefiltrering (fx.
dit operativsystems indbyggede faciliteter dertil), således at fx. kun
127.0.0.1 må kontakte MSSQL's port.

Når det er på plads, kan du evt. give selektiv ekstern adgang. Helst ved
brug af en eller anden for for vpn-system. I mangel af vpn, må du benytte
pakkefiltrering til kun at give adgang for specifikke IP-adresser.

Idéen er, at databasesystemernes indbyggede adgangskontrol ikke er nok:
Hvis der findes sikkerhedsfejl (typisk "buffer overflows") i den del af
dine applikationer, der lytter på netværket, der tager imod
netværksforbindelser, kan applikationernes password-systemer være
ligegyldige.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Morten Snedker wrote:

> Det er muligt jeg er fat-svag: hvis jeg benytter MS-SQL, og i øvrigt
> sørger for alle SP's og updates - hva' skal jeg så gøre mere?

Sørg for at ingen andre end dig kan komme til at bruge serveren.

Så kort kan det siges... :)

Du får større sikkerhed ved at forhindre "hackere" i at de overhovedet
kan komme i forbindelse med din server. Det er også derfor man har
spurgt om det er nødvendigt at du har disse service til at stå åbne for
hele Internettet.

Hvis det er krittisk for dig at du kan bruge den over Internettet skulle
du måske kigge på VPN tunneler eller andre lignende muligheder for at få
en sikker adgang til serveren.

Ellers skulle du måske gøre som det blev forslået et sted, nemlig at
tage din database med på en bærbar ud til kunderne.

--
Anders Lund - anders@andersonline.dk

---

Morten Snedker skrev:

> Men jeg få ingen løsningsforslag...er det fordi der ingen er
> - eller gi'r formuleringen af mit spørgsmål ingen mening,
> i forhold til netværks-sikkerhed?

Tjoh, for det meste er det ret svært at kunne give et udtømmende
svar, som du direkte kan bruge til noget, med mindre man kender
din opsætning i detaljer.

Første gang jeg ser en server jeg ikke selv har sat op, bruger
jeg nok mindst 30 minutter med at navigere rundt for at finde
ud af hvordan den er sat op (og imens slår jeg diverse unytti-
ge ting fra, som jeg ud fra det initielle oplæg ikke mener at
serveren har brug for).

Hvis jeg skulle dokumentere hvad jeg gør, mens jeg lærer ser-
veren at kende, kan det nok nemt komme til at fylde 20-30 A4-
sider (og mere hvis der skal argumenteres for hvorfor og med
henvisninger til relevante skriblerier på world wild web).

---

"Christian Andersen" wrote

> Fair nok. Du er da sikkert også kompetent og alt muligt. Jeg mener
bare
> at når "man" tager penge for sin computerviden (indenfor et eller
andet
> felt), bør man vide "så meget som muligt" om det operativsystem man
> beskæftiger sig med.

Du vil vel så helst have een konsulent der ved en del om alting snarere
end een der ved alting om en del?
Bare det at sætte sig ind i rdbms på højt niveau er en livsgerning

Jeg vil faktisk hellere have en konsulent der har nogle spidskompetancer
og derudover ved hvornår man skal spørge andre med spidskompetancer uden
for sit eget område

- Peter

---

Peter Lykkegaard wrote:

> Du vil vel så helst have een konsulent der ved en del om alting snarere
> end een der ved alting om en del?

Jeg vil have en konsulent med "clue". Jeg kan ikke give en præcis
definition af "clue", men jeg ved det når jeg ser det.

> Bare det at sætte sig ind i rdbms på højt niveau er en livsgerning

Jeg tvivler ikke på det. Alt respekt for det.

> Jeg vil faktisk hellere have en konsulent der har nogle spidskompetancer
> og derudover ved hvornår man skal spørge andre med spidskompetancer uden
> for sit eget område

Ja da. "Clue" er blandt andet at vide hvad man ikke ved og vide hvor man
skal spørge efter det.

Hmmm? Det var egentlig også det Morten gjorde ...

Ok, jeg skylder Morten en undskyldning.

Undskyld, Morten. Det var ikke lige så heldigt af mig. Jeg giver en
kvajebajer næste gang du er i Århus.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Morten Snedker skrev:

> Nu er det vel ikke uvæsentligt hvilket fagområde jeg er
> konsulent indenfor.

Jo. Sikkerhed er ikke et tillægsprodukt, det er en indbygget
del, uanset hvilket it-område du har med at gøre (du har nok
hørt om "sikkerhed i dybden"?).

> Og jeg er så altså konsulent indenfor databaser,

Må jeg være så fræk at spørge: hvorfor har du behov for at have
din databaser åbne ud til internettet?

---

On Wed, 11 Aug 2004 23:21:23 +0200, "Peder Vendelbo Mikkelsen"
<pedervm@myrealbox.com> wrote:

>> Nu er det vel ikke uvæsentligt hvilket fagområde jeg er
>> konsulent indenfor.
>
>Jo. Sikkerhed er ikke et tillægsprodukt, det er en indbygget
>del, uanset hvilket it-område du har med at gøre (du har nok
>hørt om "sikkerhed i dybden"?).

Jeg er principielt enig med dig. Men der er nu en gang kun 24 timer i
døgnet, og jeg kan ikke nå at lære det hele. Derfor vælger jeg benytte
mig af samarbejdspartnere, som ved mere om netværkssikkerhed end jeg
selv. Jeg har aldrig oplevet, at mine kunder er blevet hacket. Men jeg
har så (heldigvis) heller ikke ansvaret derfor.

>Må jeg være så fræk at spørge: hvorfor har du behov for at have
>din databaser åbne ud til internettet?

Det må du da!
Normalvis har jeg lukket for port 1433, hvor SQL-server kører. For
normalvis har jeg ikke behov for at kunne tilgå mine data udefra. Jeg
plejer at åbne den manuelt, når jeg ved at jeg har brug at kunne tilgå
data.

Dette sker at jeg fra applikationer "ude af huset" har brug for at
kunne koble op mod mine "egne" data i testsammenhænge.

mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

Morten Snedker wrote:

> On Wed, 11 Aug 2004 23:21:23 +0200, "Peder Vendelbo Mikkelsen"
> <pedervm@myrealbox.com> wrote:
>
>>Må jeg være så fræk at spørge: hvorfor har du behov for at have
>>din databaser åbne ud til internettet?
>
> Det må du da!
> Normalvis har jeg lukket for port 1433, hvor SQL-server kører. For
> normalvis har jeg ikke behov for at kunne tilgå mine data udefra. Jeg
> plejer at åbne den manuelt, når jeg ved at jeg har brug at kunne tilgå
> data.
>
> Dette sker at jeg fra applikationer "ude af huset" har brug for at
> kunne koble op mod mine "egne" data i testsammenhænge.

Der er flere muligheder:

1) medbring dit database setup paa en laptop og koble denne paa kundens
netvaerk. Du skal naturligvis vaere sikker paa, at denne laptop aldrig
inficeres med noget som helst. Jeg vil anbefale at lukke alle services
og kun tilgaa den lokalt fra "konsolen" - saa kan du manuelt starte det
database produkt du har brug for hver gang du booter.

Den eneste udgaaende forbindelser den laptop nogensinde boer lave, er
for at hente sikkerhedsopdateringer til databaser produkterne.

2) Lad dit database setup koere paa dit eget netvaerk og tilgaa det
udefra, men benyt en authentication gateway (noget i stil med authpf fra
OpenBSD) til at lukke af for resten af verdenen. Naar du har logget ind
i din authentication gateway, faar den IP adresse du kommer fra, lov til
at aabne TCP/UDP forbindelser til dine databaser. Naar du logger ud,
fjernes firewall regelsaettet igen.


Hvad bruger du FTP serveren til?


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On Thu, 12 Aug 2004 12:51:12 +0200, Alex Holst <a@mongers.org> wrote:


>1) medbring dit database setup paa en laptop og koble denne paa kundens
>netvaerk. Du skal naturligvis vaere sikker paa, at denne laptop aldrig
>inficeres med noget som helst.

Allerede der knækker filmen vel...er du "sikker på", du aldrig bliver
inficeret...eller allerede er det?

> Jeg vil anbefale at lukke alle services
>og kun tilgaa den lokalt fra "konsolen" - saa kan du manuelt starte det
>database produkt du har brug for hver gang du booter.

Jeg har pt. ADSL direkte i netkortet, der sidder på min eneste PC. Er
det noget bæ? Konsol-only er ikke en option...jeg bruger jo pc'en til
alverdens andre formål...bør jeg have en mere?

>2) Lad dit database setup koere paa dit eget netvaerk og tilgaa det
>udefra, men benyt en authentication gateway (noget i stil med authpf fra
>OpenBSD) til at lukke af for resten af verdenen. Naar du har logget ind
>i din authentication gateway, faar den IP adresse du kommer fra, lov til
>at aabne TCP/UDP forbindelser til dine databaser. Naar du logger ud,
>fjernes firewall regelsaettet igen.

Tak for input. Det er noteret og med i alle mine andre overvejelser
omkring en løsning. Fandme om jeg vil hackes og bores igen...


>Hvad bruger du FTP serveren til?
Det er hurtigt og bekvemt, når jeg er ude hos kunder. Fejlretter jeg
hos kunden, kan jeg hurtigt smide det hos mig selv. Og har jeg glemt
noget er det ligeledes nemt og bekvemt lige at hente.

FTP er ikke et must, men en bekvemmelighed som jeg vil være ked af at
undvære. Men en alternativ og mere sikker FTP-løsning end Serv-U er
jeg åben over for.


mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

Morten Snedker wrote:

> FTP er ikke et must, men en bekvemmelighed som jeg vil være ked af at
> undvære. Men en alternativ og mere sikker FTP-løsning end Serv-U er
> jeg åben over for.

Prøv evt. at kigge på Filezilla ( http://filezilla.sourceforge.net/ ).
Jeg er ikke bekendt med at der skulle være nogle sikkerhedshuller i
Filezilla[0], og det fungerer fremragende.


[0]: Det er Secunia heller ikke: "Secunia currently has 0 Secunia
advisories affecting FileZilla 2.x.", og jeg kan ikke finde noget på
SecurityFocus siden version 0.7.1 (2002).

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
496620796F752063616E207265616420746869732C00
796F7527726520746F6F206765656B2E00

---

On 12 Aug 2004 14:37:54 GMT, "Niels Callesøe" <pfy@nntp.dk> wrote:

>Prøv evt. at kigge på Filezilla ( http://filezilla.sourceforge.net/ ).
>Jeg er ikke bekendt med at der skulle være nogle sikkerhedshuller i
>Filezilla[0], og det fungerer fremragende.

Alternativt kunne man finde sig en ekstern leverandør, fx købe et
billigt webhotel et sted, hvis det bare handler om at have en mindre
håndfuld filer liggende.

Hvis man ikke regner med at bruge tid på at tjekke for opdateringer
til ens serversoftware, kan det give god mening at købe sig til
servicen - også selvom man bruger Filezilla :)

--
- Peter Brodersen
php -r 'print floor(8.2-0.2);'
perl -le 'print 5-4.9;'

---

I indlægget <r9tmh09hhqq74cpm9l28es755tplus275m@4ax.com> skrev Morten Snedker:
> On Thu, 12 Aug 2004 12:51:12 +0200, Alex Holst <a@mongers.org> wrote:
>
>
>>1) medbring dit database setup paa en laptop og koble denne paa kundens
>>netvaerk. Du skal naturligvis vaere sikker paa, at denne laptop aldrig
>>inficeres med noget som helst.
>
> Allerede der knækker filmen vel...er du "sikker på", du aldrig bliver
> inficeret...eller allerede er det?
>
>> Jeg vil anbefale at lukke alle services
>>og kun tilgaa den lokalt fra "konsolen" - saa kan du manuelt starte det
>>database produkt du har brug for hver gang du booter.
>
> Jeg har pt. ADSL direkte i netkortet, der sidder på min eneste PC. Er
> det noget bæ? Konsol-only er ikke en option...jeg bruger jo pc'en til
> alverdens andre formål...bør jeg have en mere?
>
>>2) Lad dit database setup koere paa dit eget netvaerk og tilgaa det
>>udefra, men benyt en authentication gateway (noget i stil med authpf fra
>>OpenBSD) til at lukke af for resten af verdenen. Naar du har logget ind
>>i din authentication gateway, faar den IP adresse du kommer fra, lov til
>>at aabne TCP/UDP forbindelser til dine databaser. Naar du logger ud,
>>fjernes firewall regelsaettet igen.
>
> Tak for input. Det er noteret og med i alle mine andre overvejelser
> omkring en løsning. Fandme om jeg vil hackes og bores igen...


En dedikeret maskine er al tid at fortrække. Prøv at kigge på noget
vpn så kan du sætte serverene til kun at lytte på det lokale interface.

Martin

--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel routere.

---

Morten Snedker wrote:

> On Thu, 12 Aug 2004 12:51:12 +0200, Alex Holst <a@mongers.org> wrote:
>>1) medbring dit database setup paa en laptop og koble denne paa kundens
>>netvaerk. Du skal naturligvis vaere sikker paa, at denne laptop aldrig
>>inficeres med noget som helst.
>
> Allerede der knækker filmen vel...er du "sikker på", du aldrig bliver
> inficeret...eller allerede er det?

Er det et spoergsmaal til mig? I saa fald, ja.

Der skal en hel bestemt opfoersel til for at blive inficeret. Den
udviser jeg ikke, og undgaar derfor inficering.

> Jeg har pt. ADSL direkte i netkortet, der sidder på min eneste PC. Er
> det noget bæ? Konsol-only er ikke en option...jeg bruger jo pc'en til
> alverdens andre formål...bør jeg have en mere?

Det vil jeg bestemt mene. Du kan undgaa mange problemer ved ikke at
koere servere paa din arbejds PC.

Alternativt kan du koebe VMWare og lade dine database produkter koere
deri, men jeg ved ikke om det ville vaere ulideligt at arbejde med. Jeg
kan heller ikke huske om man skal have ekstra OS licenser hvis man vil
koere en Windows i en VMWare.

>>Hvad bruger du FTP serveren til?
>
> Det er hurtigt og bekvemt, når jeg er ude hos kunder. Fejlretter jeg
> hos kunden, kan jeg hurtigt smide det hos mig selv. Og har jeg glemt
> noget er det ligeledes nemt og bekvemt lige at hente.

Hvad henter du? Jeg fisker efter, om det ville vaere praktisk for dig at
koebe et webhotel hos en anstaendighed hostingvirksomhed. Saa er du fri
for at patche din ftp server.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst skrev:

> Jeg kan heller ikke huske om man skal have ekstra OS licenser
> hvis man vil koere en Windows i en VMWare.

Morten kan gøre det ekstremt billigt, ved at købe en af MSDN
licenserne. Hvis det kun drejer sig om OS, kan han købe denne
og køre lige så mange samtidige udgaver han lyster:

http://www.ravenholm.dk/ProductDescription/ProductDescription.asp?ProductDescriptionID=799

Bemærk at MSDN ikke kan købes af private, men det burde ikke
være noget problem for Morten da han har sit eget firma (hvis
han kan leve op til partner-aftalerne, kan han få endnu bedre
priser via Action Pack-priserne).

Microsoft Partner-programmet beskrives i detaljer her:

http://www.microsoft.com/danmark/partner/

---

Morten Snedker skrev:

> Allerede der knækker filmen vel...er du "sikker på", du aldrig
> bliver inficeret...eller allerede er det?

Jeg er sikker på at blive inficeret, når jeg selv gør det med
vilje. Jeg gør det af og til med vilje, for at vide hvordan en
inficeret maskine opfører sig.

Det ovennævnte kan godt virke arrogant, men er ikke ment sådan.

Hvordan det?

Jeg har sat mine maskiner ordentlig op, stort set på samme måde
som Madsen beskriver i hans vejledning, og primært ved at kende
samtlige processer som kører på mine maskiner (Tjek din joblis-
te, søg på programnavnene, tjek hvad programmerne påstår at være
og hvor de påstår at komme fra, forsøg at verificere f.eks. med
Google og dokumentationen). Hold et vågent øje med programmer
som er i stand til at opdatere sig selv.

Hvis jeg har behov for at teste nye og ukendte programmer, sker
det på en sekundær maskine, eller oftere og oftere i en virtuel
maskine (VMWare eller Virtual Server / Virtual PC), jeg hurtigt
kan regenerere til en kendt opsætning.

> Jeg har pt. ADSL direkte i netkortet,

Alene ved at opsætte NAT/ PAT, f.eks. ved hjælp af en router,
mellem din maskine og internettet har du vundet en del ekstra
sikkerhed (med mindre routeren er opsat til at videresende al
trafik til din maskine, den skal kun sende den trafik du vil
have til din maskine).

> Er det noget bæ?

Ja.

> Konsol-only er ikke en option...jeg bruger jo pc'en til alver-
> dens andre formål...bør jeg have en mere?

Hvis din pc er forholdsvis moderne, skulle der ikke være noget
i vejen for at kunne trække et par virtuelle maskiner med bil-
ligt software (se tidligere produktnavne).

På den anden side set, så købte jeg en 2.2 Ghz Celeron med 1 GB
RAM og 120 GB harddisk for 2200,- kr,- brugt, i sidste uge (i
den relevante markedsgruppe). Kommercielt software til at vir-
tualisere ligger ca. i samme prisleje.

---

On Wed, 11 Aug 2004 05:41:33 +0000, Christian Andersen wrote:

> Er du ikke konsulent? Til 750,- i timen, burde du vel egentlig vide den
> slags?

Det er altså fesent, hvis man ikke kan tillade sig at stille et
spørgsmål i en diskussionsgruppe, fordi man lever af it. - Så undlad
venligst at angribe folk på den måde.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin wrote:

>> Er du ikke konsulent? Til 750,- i timen, burde du vel egentlig vide den
>> slags?

> Det er altså fesent, hvis man ikke kan tillade sig at stille et
> spørgsmål i en diskussionsgruppe, fordi man lever af it. - Så undlad
> venligst at angribe folk på den måde.

Jeg påpeger bare et tilsyneladende misforhold imellem at Morten tager
penge for sin computerviden og samtidig stiller et ret basalt spørgsmål.
Viden om netstat er ikke livsnødvendigt når man er konsulent på
databaseløsninger, nej, men alligevel ville jeg stille spørgsmålstegn ved
en MS-konsulent der ikke vidste den slags, uanset hvad han var konsulent
i.

Du er velkommen til at være uenig, men det er altså min mening. Desuden
skal du ikke igen fortælle mig hvad jeg skal og ikke skal gøre. Og ja, jeg
er klar over det ironiske i at jeg kritiserer dig for at fortælle mig hvad
jeg skal gøre, mens jeg kritiserer dig for at fortælle mig hvad jeg skal
gøre.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Christian Andersen skriblede:

> Jeg påpeger bare et tilsyneladende misforhold imellem at
> Morten tager penge for sin computerviden og samtidig
> stiller et ret basalt spørgsmål. Viden om netstat er ikke
> livsnødvendigt når man er konsulent på databaseløsninger,
> nej, men alligevel ville jeg stille spørgsmålstegn ved en
> MS-konsulent der ikke vidste den slags, uanset hvad han
> var konsulent i.

Det vå være skjønt at være så klog
og ufejlbarlig som dig, det er så bare
synd du har dit ubehøvlede væsen
i mod dig.





--
/Gevaldi

---

Gevaldi wrote:

>> Jeg påpeger bare et tilsyneladende misforhold imellem at
>> Morten tager penge for sin computerviden og samtidig
>> stiller et ret basalt spørgsmål. Viden om netstat er ikke
>> livsnødvendigt når man er konsulent på databaseløsninger,
>> nej, men alligevel ville jeg stille spørgsmålstegn ved en
>> MS-konsulent der ikke vidste den slags, uanset hvad han
>> var konsulent i.

> Det vå være skjønt at være så klog
> og ufejlbarlig som dig,

Hvis jeg betaler for en ydelse vil jeg sikre mig at personen der udfører
ydelsen, er så kompetent som mulig.

Dit hippie-pis med at "alle skal have en chance. Bare de _prøver_ er
det godt nok! Vi skal jo ikke udelukke nogen, det er udansk!" kan du
smutte til Femø med.

> det er så bare
> synd du har dit ubehøvlede væsen
> i mod dig.

Åh nej. Kom jeg til at støde dine følelser? Det må du da virkelig meget
undskylde. Er der noget jeg kan gøre for dig? Vil du have en kop te?

FUT: dk.snak.mudderkastning

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Christian Andersen skriblede:

> Hvis jeg betaler for en ydelse vil jeg sikre mig at
> personen der udfører ydelsen, er så kompetent som mulig.

Ja, og da Morten er ekspert udi MsAccess
så er det da en selvfølge at han ved alt om
netværk og sikkerhed.


> Dit hippie-pis med at "alle skal have en chance. Bare de
> _prøver_ er det godt nok! Vi skal jo ikke udelukke nogen,
> det er udansk!" kan du smutte til Femø med.


Er du ikke bare lidt underlig i knolden
eller er det svampe du tygger.

> Åh nej. Kom jeg til at støde dine følelser? Det må du da
> virkelig meget undskylde. Er der noget jeg kan gøre for
> dig? Vil du have en kop te?

Jeg vil ikke have din te, kunne være den var
lavet på dine svampe.

> FUT: dk.snak.mudderkastning

Ja det kan du jo så gøre hr. bedrevidende.



--
/Gevaldi

---

Gevaldi wrote:

>> Hvis jeg betaler for en ydelse vil jeg sikre mig at
>> personen der udfører ydelsen, er så kompetent som mulig.

> Ja, og da Morten er ekspert udi MsAccess
> så er det da en selvfølge at han ved alt om
> netværk og sikkerhed.

Har jeg sagt det? Nej, det har jeg ikke. Det ovenstående kaldes et
stråmandsargument og bruges som oftest af personer der enten ikke har
evnerne til at debattere fornuftigt eller ikke har argumenterne i orden.

>> FUT: dk.snak.mudderkastning

> Ja det kan du jo så gøre hr. bedrevidende.

Hvor er du bare sjov. Først undlader du at følge min FUT, selvom dit
indlæg var on-topic i .mudderkastning, og derefter forventer du at jeg
følger _din_ FUT?

Glem det.

X-FUT: dk.admin.netikette

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

Den Tue, 10 Aug 2004 20:07:30 +0200 skrev Morten Snedker:
> On Tue, 10 Aug 2004 17:06:50 +0000 (UTC), Christian Andersen
> <5oyh8a102@sneakemail.com> wrote:
>
>>Morten Snedker wrote:
>>
>>> Nogle har fået adgang til min ftp-server, Serv-U.
>>
>><snip>
>>
>>> Er Serv-U ikke sikkert nok, eller er det anden form for
>>> sikkerhedsforanstaltning jeg skal kigge efter (router/HW firewall).
>>
>>Som Kent Friis også er inde på, behøver det ikke at være Serv-U der er
>>problemet, men en Google-søgning afslører en del sikkerhedshuller i
>>Serv-U gennem tiden.
>
> Jeg ved som heller ikke om Serv-U er problemet.
>
> Det er blot i Serv-U jeg kan konstatere, at alle konti er slettet og
> nogle nye oprettet...med administratorrettigheder og home-dir i C:\.
> Og så er det jo jeg bliver lidt paranoid.

Det var ikke særlig præcist forklaret i det oprindelige indlæg, jeg
forstod det som at *du* havde slettet alle default-brugere, og oprettet
nogle andre, så folk netop ikke kunne bruge default-brugerne til at
komme ind på maskinen.

> Jeg _benytter_ nu en gang MSN og ICQ. Jeg har åbnet for
> fjernskrivebord som jeg bruger hyppigt (port 3389), MS-SQL, mySQL og
> FTP. Øvrige tjenester (såsom web o.l) har jeg de-aktiveret.

Jeg ville nok gætte på en af SQL'erne. De er ikke lavet til at være
åbne for hele verden.

> Er Serv-U problemet, så finder jeg et altertativ eller en patch. Er
> det fordi XP's firewall sux, så finder jeg jeg et alternativ...etc.

Og igen, den firewall hjælper dig ikke en pind, hvis resten af systemet
er sat sikkert op. For de ting der skal lytte på nettet skal firewall'en
alligevel tillade, for at de virker.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Morten Snedker skrev:

> Nogle har fået adgang til min ftp-server, Serv-U.

> Opsætning:
> ADSL, direkte i netkort i PC
> Windows XP Professional (alle SP/updates OK)

Står det noget interessant i eventvwr.msc?
(med den adgang vedkommende har fået, er interessant indhold jo
nok slettet, men man kan aldrig vide om du har været ude for en
script-kiddie der ikke kender til loggen)

Hvis der er noget interessant, så sørg for at eksportere indhol-
det til et sikkert lagersted, så du i ro og mag kan studere det
nærmere.

> Alle brugerkonti er fjernet fra Serv-U og nogle nye oprettet.

Havde du dårlige eller manglende filrettigheder på kataloget
hvori Serv-U ligger i?

Se om du kan lure noget info med FirstOnScene.vbs, og udskift
din systemdisk med en ren installation mens du undersøger hvad
der er sket:

http://bmonday.com/articles/975.aspx

Værktøjet er meget ungt, det er annonceret første gang den 1.
august 2004, så forvent ikke at der springer en dialogboks op
med fejlen. FirstOnScene anvender en række kendte frit tilgænge-
lige værktøjer til at fange forskellige oplysninger og samler
dem f.eks. på et netværksshare, til efterfølgende uddybende
undersøgelse.

Her er andre forskellige værktøjer og guider til at lure på en
maskine efter den er blevet brudt ind i:

http://www.first.org/docs/guides/

---

Det er sikkert ikke selve din Serv-U der er problemet.

Ini-filen (deamon.exe) fra en registreret version af Serve-U blir oftest
brugt til at lave Stros - en form for ftp-servere hvor vedkommende der
oploader filerne bestemmer User/Password til serveren. Den slags servere
blir som oftes brugt til warez (illegale kopier af musik,film,mm). Den
nemmeste måde jeg kender til at få lagt den slags serv-u filer på andres
maskiner er ved at scanne efter sårbare websider og den vej få adgang til at
uploade de filer man har brug for til at lave den slags server.

Hvis du har noget hjemmeside kørende på din maskine gætter jeg på det er den
vej de er kommet ind. Men som regel ligger de filer gemt et sted hvor man
ikke umiddelbart vil lede, noget alla: windows/system32/bla-bla-bla....

Håber mit indlæg gav lidt mening q


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.736 / Virus Database: 490 - Release Date: 09-08-2004

---

On Wed, 11 Aug 2004 10:21:31 +0200, "Ib Rene Cairo" <no@mail.com>
wrote:


>Ini-filen (deamon.exe) fra en registreret version af Serve-U blir oftest
>brugt til at lave Stros - en form for ftp-servere hvor vedkommende der
>oploader filerne bestemmer User/Password til serveren.

Det som jeg ikke kan forstå er:

Jeg af-installerer Serv-U og genstarter PC'en. Dernæst installerer jeg
programmet igen. Hvis jeg IKKE opretter domæne, brugere etc, men blot
starter serveren, så sker følgende helt automatisk:
www.dbconsult.dk/ms/servu.jpg

Så jeg antager, at der ligger et eller andet et eller andet sted. Men
det er noget som som 3 forskellige antivirus-programmer ikke finder.

Jeg også forsøgt med et nyt download fra serv-u.com - det samme sker.
Så der er altså noget på min PC som inficerer Serv-U, men kan ikke
finde ud af, hvad det er. Hvordan finder jeg ud af det? Kan nogen
blive kloge af mine processer?

mvh /Snedker
---
http://dbconsult.dk

---

On Wed, 11 Aug 2004 21:18:32 +0200, Morten Snedker
<mortenatdbconsultdotdk> wrote:

> Jeg af-installerer Serv-U og genstarter PC'en. Dernæst installerer jeg
> programmet igen. Hvis jeg IKKE opretter domæne, brugere etc, men blot
> starter serveren, så sker følgende helt automatisk:
> www.dbconsult.dk/ms/servu.jpg

Sandsynligvis sker der det, at Serv-U ikke fjerner registry
entries, når det afinstalleres, og de er der derfor stadig, når
det installeres igen.

-A

---

Morten Snedker wrote:

> Så jeg antager, at der ligger et eller andet et eller andet sted. Men
> det er noget som som 3 forskellige antivirus-programmer ikke finder.

Hvilke processer kører der på din maskine, når det sker?

--
Anders Lund - anders@andersonline.dk

---

On Wed, 11 Aug 2004 21:35:04 +0200, Anders Lund
<anders@andersonline.dk> wrote:


>Hvilke processer kører der på din maskine, når det sker?

www.dbconsult.dk/ms/snap_pre_start.jpg inden jeg starter serveren,
www.dbconsult.dk/ms/snap_efter:start.jpg, efter jeg har startet den.

ServUDeamon.exe er den eneste forskel. Om nogle af de øvrige processer
har en indflydelse, har jeg svært ved at vurdere.


mvh /snedker
---
http://dbconsult.dk

---

Morten Snedker wrote:
> www.dbconsult.dk/ms/snap_pre_start.jpg inden jeg starter serveren,
> www.dbconsult.dk/ms/snap_efter:start.jpg, efter jeg har startet den.

Der er 2 programmer som minder om Serv-U, som er startet op inden du
starter Serv-U, nemlig "SERVUT~1.exe" og "SERVUA~1.EXE". Jeg kan ikke se
om det er noget snavs, men det er i hvert fald ikke noget jeg er tryg
med lige nu. :)

--
Anders Lund - anders@andersonline.dk

---

On Wed, 11 Aug 2004 21:18:32 +0200, Morten Snedker wrote:

> Jeg af-installerer Serv-U og genstarter PC'en. Dernæst installerer jeg
> programmet igen. Hvis jeg IKKE opretter domæne, brugere etc, men blot
> starter serveren, så sker følgende helt automatisk:
> www.dbconsult.dk/ms/servu.jpg

Der ligger vel nogle gamle konfigurations-indstillinger et eller andet
sted i dit registry.

Eller også ligger der virkelig stadig noget snask på maskinen. At et
antivirus program ikke finder noget, siger efter min mening intet. Dels er
intet detektionssoftware ufejlbarligt, dels lyder det ikke som om, at du
kører malware-detektion fra en "ren" installation[1]. Hvis antivirus
køres på en maskine, som man ikke kan stole på, kan man heller ikke
stole på antivirus' resultater (der er simpelthen for mange snedige
måder, hvorpå rootkit-lignende software kan gemme sig på).

I dit sted ville jeg ikke tøve med at
1) Tage backup af de _data_ (ikke programmer), du ønsker at
gemme.
2) Formattere disken(e).
3) Reinstallere systemet og barbere ned på unødige services,
jvf. bl.a. Thomas' guide. Bemærk fra guiden, at netstat er et
vigtigt værktøj at kunne beherske.
4) Putte systemet på nettet og opdatere software.
5) Installere nødvendig ekstrasoftware, såsom dit
database-software. Sørg for, at det ikke lytter på offentligt
tilgængelige porte; hvis software'en ikke kan instrueres heri, må du
ty til noget pakkefiltrering på de(n) pågældende port(e). Hold evt.
maskinen frakoblet netværk, mens du sørger for, at software'en ikke
lytter på offentligt tilgængelige interfaces. Husk også at opdatere
ekstrasoftware'en.
6) Genetablere de data, du gemte i punkt 1.

Endelig ville jeg -- bl.a. i lyset af, at ingen oplagt indgangsport for
misbruget er kendt -- skifte til anden software, hvor alternativer findes.
Det kunne fx. gælde browser, postprogram eller ftp-software.

Ja, det tager sikkert en hulens tid, men uden reinstallationen vil du
sandsynligvis aldrig rigtig kunne stole på installationen igen, fordi du
hele tiden vil have en mistanke om, at det måske aldrig blev helt renset.
Sådan ville jeg i hvertfald have det (og jeg ville have vanskeligt ved at
forsvare en sådan situation overfor kunder og andre, hvortil jeg har
fjern-adgang).

I øvrigt: Hvis du til daglig logger ind på maskinen med en account, der
har administrator-rettigheder, så prøv, om mindre kan gøre det;
dvs. forsøg at indarbejde en arbejdsform, hvor du kun arbejder med
administrator-rettigheder, når isolerede, systemadministrative procedurer
(såsom software-installation) skal gennemføres.


Note 1: Fx. ved at boot'e på en LiveCD og køre antivirus dérfra,
således at du ikke eksekverer noget kode fra det tvivlsomme system.
LiveCDs findes både i Linux, BSD og Windows-afarter. Hvis du ikke kan
skabe dig en troværdig LiveCD, kan du evt. hive din(e) harddisk(e) over
i en ren maskine, hvor du så scanner med up-to-date
malware-detektionssoftware.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin skrev:

> I dit sted ville jeg ikke tøve med at
> 1) Tage backup af de _data_ (ikke programmer), du ønsker at
> gemme.

Jeg er ikke uenig, men vil blot nævne at med de database-servere
han kører, er der mulighed for at gemme scripts i databasen og
dermed få "infektionen" igen (jeg ved ikke nok til at vide om
scriptsene kan autoafvikles eller på anden måde afvikles uden
Morten lægger mærke til det).

Efter en ren installation kunne Morten prøve at opsætte Osiris:
http://osiris.shmoo.com/, hvis han har tid, og forsøge at finde
ud af hvad "de" kommer efter og gør på maskinen.

---

On Wed, 11 Aug 2004 23:40:10 +0200, "Peder Vendelbo Mikkelsen"
<pedervm@myrealbox.com> wrote:

>> I dit sted ville jeg ikke tøve med at
>> 1) Tage backup af de _data_ (ikke programmer), du ønsker at
>> gemme.

>Jeg er ikke uenig, men vil blot nævne at med de database-servere
>han kører, er der mulighed for at gemme scripts i databasen og
>dermed få "infektionen" igen (jeg ved ikke nok til at vide om
>scriptsene kan autoafvikles eller på anden måde afvikles uden
>Morten lægger mærke til det).

Som nævnt andetsteds i min tråd (efter dit indlæg, dog), så kører mine
database-servere normalvis ikke, men bliver startet manuelt.

>Efter en ren installation kunne Morten prøve at opsætte Osiris:
>http://osiris.shmoo.com/, hvis han har tid, og forsøge at finde
>ud af hvad "de" kommer efter og gør på maskinen.

Tak for tippet. Jeg ved heller ikke om jeg har tid, men da jeg ikke
gider al det p*s igenm så gi'r jeg linket en chance. I weekenden
følger jeg dog Jeres forslag og gi'r maskinen ren røv at trutte i.

I øvrigt har jeg da lært af mit problem, at svarene til mine spørgsmål
ikke er sort/hvide, og at jeg ikke kan få mig en absolut løsning, og
at svaret til spørgsmålet "hva' gør jeg", er mangfoldigt.

mvh /Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

Morten Snedker wrote:
> I øvrigt har jeg da lært af mit problem, at svarene til mine spørgsmål
> ikke er sort/hvide, og at jeg ikke kan få mig en absolut løsning, og
> at svaret til spørgsmålet "hva' gør jeg", er mangfoldigt.

Wow. Den lader vi lige staa lidt, til glaede for andre deltagere i gruppen.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Den Wed, 11 Aug 2004 23:40:10 +0200 skrev Peder Vendelbo Mikkelsen:
> Troels Arvin skrev:
>
>> I dit sted ville jeg ikke tøve med at
>> 1) Tage backup af de _data_ (ikke programmer), du ønsker at
>> gemme.
>
> Jeg er ikke uenig, men vil blot nævne at med de database-servere
> han kører, er der mulighed for at gemme scripts i databasen og
> dermed få "infektionen" igen (jeg ved ikke nok til at vide om
> scriptsene kan autoafvikles eller på anden måde afvikles uden
> Morten lægger mærke til det).

Ellers er der jo altid

exec xp_cmdshell 'dir c:\windows'



Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev:

> skrev Peder Vendelbo Mikkelsen:
>> med de database-servere han kører, er der mulighed for at
>> gemme scripts i databasen og> dermed få "infektionen" igen
>> (jeg ved ikke nok til at vide om scriptsene kan autoafvikles
>> eller på anden måde afvikles uden Morten lægger mærke til
>> det).

> Ellers er der jo altid

> exec xp_cmdshell 'dir c:\windows'

Og så er ringen efterhånden sluttet ved hvilke rettigheder som
Morten normalt afvikler databaserne under, hvis han anvender en
priviligeret konto (f.eks. en ubegrænset administrator-konto) er
det ikke så sjovt.

>:

Hvis ikke du bruger briller, så ved jeg ikke hvad den smiley
står for.

---

Den Sat, 14 Aug 2004 03:54:40 +0200 skrev Peder Vendelbo Mikkelsen:
> Kent Friis skrev:
>
>> skrev Peder Vendelbo Mikkelsen:
>>> med de database-servere han kører, er der mulighed for at
>>> gemme scripts i databasen og> dermed få "infektionen" igen
>>> (jeg ved ikke nok til at vide om scriptsene kan autoafvikles
>>> eller på anden måde afvikles uden Morten lægger mærke til
>>> det).
>
>> Ellers er der jo altid
>
>> exec xp_cmdshell 'dir c:\windows'
>
> Og så er ringen efterhånden sluttet ved hvilke rettigheder som
> Morten normalt afvikler databaserne under, hvis han anvender en
> priviligeret konto (f.eks. en ubegrænset administrator-konto) er
> det ikke så sjovt.

Lige da jeg havde skrevet det kom jeg til at tænke på Valus... De burde
være glade for at det var shutdown kommandoen der blev leget med, og
ikke xp_cmdshell.

>>:
>
> Hvis ikke du bruger briller, så ved jeg ikke hvad den smiley
> står for.

Keyboard error, press F1 to continue.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/