|
| Lukke sikkerhedshul efter hacking Fra : deepbluesky |
Dato : 25-04-06 17:01 |
|
Hej NG.
Når ens pc er blevet hacket, og det er anmeldt til Politiets it-afdeling,
hvordan lukker man sikkerhedshullet efter hackeren, så vedkommende ikke blot
fortsat kan tappe ens oplysninger, mails, osv?
/JAF
| |
Christian E. Lysel (25-04-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 25-04-06 17:14 |
|
On Tue, 2006-04-25 at 18:01 +0200, deepbluesky wrote:
> Hej NG.
> Når ens pc er blevet hacket, og det er anmeldt til Politiets it-afdeling,
> hvordan lukker man sikkerhedshullet efter hackeren, så vedkommende ikke blot
Du skal lukke det oprindelig hul og de bagdøre der efterfølgende er
åbnet, evt. ændringer af angriberen bør også rettes tilbage.
Hvis du har en backup så brug den, ellers lær at du skal have en
backup :)
Da du ikke er mere specifik, gætter jeg på du ikke ved hvad angrebet er,
ej hvad der er sket. Mit bedste råd i en sådan situation er at finde en
der kan hjælpe dig med at få den viden, eller blot at reinstallere
maskinen...kik evt. på http://sikkerhed-faq.dk/ og specielt på
http://home18.inet.tele.dk/madsen/winxp/Tjenester_SP2.pdf hvis du køre
med XP service pack 2.
Husk at ændre alle passwords, og hvis der har været adgang til andre
systemmer, informere disses systemadministratorer.
> fortsat kan tappe ens oplysninger, mails, osv?
Hentede politiet den ikke som bevismatriale?
| |
deepbluesky (25-04-2006)
| Kommentar Fra : deepbluesky |
Dato : 25-04-06 18:00 |
|
Christian E. Lysel wrote:
> Hvis du har en backup så brug den, ellers lær at du skal have > en backup
> :)
Jeg har en backup, som jeg installerede kort efter hackingen. Men jeg
modtager spammails fra hele verden, som begyndte med en spammail fra Chile.
Jeg henvendte mig til udbyders spammailadresse, men fik en personlig mail
tilbage med indledningen: "Hello Enrico..."
Det skete den 11. marts, men Politiet afviste anmeldelsen i første omgang,
fordi jeg ikke havde systemloggen. Den var slået til, men hackingen har
slettet alt mellem den 8/4 og den 20/4! Derefter gik jeg ind på FBI's site,
hvor man kan anmelde systematisk spam. Derefter stoppede spamstrømmen i 3-4
dage, men begyndte så igen. Men da jeg efterfølgende anmeldte det anden gang
på grundlag af en ghostlog til Politiets it-afdeling, holdt strømmen af
spammails op(!) Det har fået mig til at tro, at hackeren(erne) kan tjekke
mine mails, selv om jeg har kørt en ren ghost.
> Husk at ændre alle passwords, og hvis der har været adgang > til andre
> systemmer, informere disses systemadministratorer.
Det vil jeg gøre.
>> fortsat kan tappe ens oplysninger, mails, osv?
> Hentede politiet den ikke som bevismatriale?
De har ikke bedt om noget endnu, men undersøger sikkert først TDCs
server(e).
Tak for henvisningerne.
/JAF
| |
Johnny Rose Carlsen (25-04-2006)
| Kommentar Fra : Johnny Rose Carlsen |
Dato : 25-04-06 17:16 |
|
"deepbluesky" <freshair@mail.dk> wrote:
> N_r ens pc er blevet hacket, og det er anmeldt til Politiets
> it-afdeling, hvordan lukker man sikkerhedshullet efter hackeren, s_
> vedkommende ikke blot fortsat kan tappe ens oplysninger, mails, osv?
Det sikreste er at re-installerer maskinen. Det er et kæmpe arbejde at
skulle sikre sig at hackeren ikke har efterladt noget som kan give ham
adgang igen.
Held og lykke med det,
- Johnny Carlsen
| |
deepbluesky (25-04-2006)
| Kommentar Fra : deepbluesky |
Dato : 25-04-06 18:07 |
|
Johnny Rose Carlsen wrote:
> Det sikreste er at re-installerer maskinen. Det er et > kæmpe arbejde at
> skulle sikre sig at hackeren ikke > har efterladt noget som kan give ham
> adgang igen.
Det kan blive enden på det.
> Held og lykke med det,
Tak for opmuntringen.
/JAF
| |
Uffe S. Callesen (25-04-2006)
| Kommentar Fra : Uffe S. Callesen |
Dato : 25-04-06 19:08 |
|
deepbluesky wrote:
>> Det sikreste er at re-installerer maskinen. Det er et > kæmpe arbejde at
>> skulle sikre sig at hackeren ikke > har efterladt noget som kan give ham
>> adgang igen.
Jeg kan anbefale dig at se nærmere på Tripwire - den ville have været
guld værd for dig nu :)
| |
Allan Olesen (25-04-2006)
| Kommentar Fra : Allan Olesen |
Dato : 25-04-06 22:57 |
|
Uffe S. Callesen wrote:
> Jeg kan anbefale dig at se nærmere på Tripwire - den ville have været
> guld værd for dig nu :)
Hvordan forholder tripwire sig til ændringer i registreringsdatabasen?
Den er jo sjældent uændret i mange sekunder ad gangen.
Man kan vel bevare en ganske høj grad af infektion, eller i hvert fald
efterlade en åbning for en ny infektion, hvis man placerer de "rette"
entries i registreringsdatabasen?
--
Allan Olesen
| |
Klaus Ellegaard (25-04-2006)
| Kommentar Fra : Klaus Ellegaard |
Dato : 25-04-06 22:59 |
|
Allan Olesen <usenet.02.2006.allan@spamcheck.dk> writes:
>Hvordan forholder tripwire sig til ændringer i registreringsdatabasen?
>Den er jo sjældent uændret i mange sekunder ad gangen.
Relevante filer ændrer sig kun ved patchning eller systemarbejde.
>Man kan vel bevare en ganske høj grad af infektion, eller i hvert fald
>efterlade en åbning for en ny infektion, hvis man placerer de "rette"
>entries i registreringsdatabasen?
Ja, derfor er basen på et read-only-medie (en cd, floppy, SD-kort
eller tilsvarende).
Og ja, det er besværligt. Men hvem har sagt, at det skal være let?
Mvh.
Klaus.
| |
Allan Olesen (26-04-2006)
| Kommentar Fra : Allan Olesen |
Dato : 26-04-06 07:29 |
|
Klaus Ellegaard wrote:
> Allan Olesen <usenet.02.2006.allan@spamcheck.dk> writes:
>>Hvordan forholder tripwire sig til ændringer i registreringsdatabasen?
>>Den er jo sjældent uændret i mange sekunder ad gangen.
>
> Relevante filer ændrer sig kun ved patchning eller systemarbejde.
Jeg aner ikke, om vi taler forbi hinanden lige nu. Består
registreringsdatabasen i Windows (for vi taler vel om Windows?) af flere
separate filer, og er der i givet fald en klar adskillelse af de filer,
som har dynamisk indhold, og de filer, som har sårbart indhold?
For vi er vel enige om, at registreringsdatabasen indeholder dynamisk
indhold? Hvis jeg ikke husker forkert, er f.eks. gyldighedsperioden for
en ip-lease fra en dhcp-server registreret i registreringsdatabasen.
>>Man kan vel bevare en ganske høj grad af infektion, eller i hvert fald
>>efterlade en åbning for en ny infektion, hvis man placerer de "rette"
>>entries i registreringsdatabasen?
> Ja, derfor er basen på et read-only-medie (en cd, floppy, SD-kort
> eller tilsvarende).
Igen, taler vi om den samme registreringsdatabase?
--
Allan Olesen
| |
Klaus Ellegaard (26-04-2006)
| Kommentar Fra : Klaus Ellegaard |
Dato : 26-04-06 07:45 |
|
Allan Olesen <usenet.02.2006.allan@spamcheck.dk> writes:
>Jeg aner ikke, om vi taler forbi hinanden lige nu. Består
>registreringsdatabasen i Windows (for vi taler vel om Windows?) af flere
>separate filer, og er der i givet fald en klar adskillelse af de filer,
>som har dynamisk indhold, og de filer, som har sårbart indhold?
Oh... tripwire har også sin egen database med CRC på filer.
Det var den, jeg havde gang i. Sorry.
Mvh.
Klaus.
| |
deepbluesky (26-04-2006)
| Kommentar Fra : deepbluesky |
Dato : 26-04-06 21:02 |
|
Uffe S. Callesen wrote:
>> Det sikreste er at re-installerer maskinen. Det er et > kæmpe arbejde at
>> skulle sikre sig at hackeren ikke > har >> >> efterladt noget som kan
>> give ham adgang igen.
> Jeg kan anbefale dig at se nærmere på Tripwire - den ville have > været
> guld værd for dig nu :)
Den er installeret. Tak for tippet.
/JAF
| |
|
|