|
|
 | dialers og netværk
Fra : PJM |
Dato : 17-04-03 14:11 |
|
Har netop hos et firma fundet en fil i en mappe, der hedder dialers -med et
navn, der indikerer, at man kan se spændende ting, hvis man aktiverer den.
Filen er sidst ændret kort før jul. Den pågældende PC er tilkoblet et lille
netværk med en server og firmaet anvender ISDN til sin Internetforbindelse.
For nyligt dukkede en regning på et enormt beløb op fra udbyderen -enorm er
faktisk underdrevet. Så nu melder spørgsmålet sig, om der kan være en
sammenhæng -altså om en dialer på en lokal PC kan ændre netværkets
opkaldsforbindelse, så man måske siden jul har anvendt internettet via et
nummer på Bahamas? I så fald bliver det vist MEGETvarmt i den kommende tid.
mvh
pjm
| |
 Martin Schultz (17-04-2003)
| Kommentar
Fra : Martin Schultz |
Dato : 17-04-03 14:32 |
|
"PJM" <doink@hotmail.com> writes:
> Har netop hos et firma fundet en fil i en mappe, der hedder dialers -med et
> navn, der indikerer, at man kan se spændende ting, hvis man aktiverer den.
> Filen er sidst ændret kort før jul. Den pågældende PC er tilkoblet et lille
> netværk med en server og firmaet anvender ISDN til sin Internetforbindelse.
> For nyligt dukkede en regning på et enormt beløb op fra udbyderen -enorm er
> faktisk underdrevet. Så nu melder spørgsmålet sig, om der kan være en
> sammenhæng -altså om en dialer på en lokal PC kan ændre netværkets
> opkaldsforbindelse, så man måske siden jul har anvendt internettet via et
> nummer på Bahamas? I så fald bliver det vist MEGETvarmt i den kommende tid.
Jeg har endnu ikke se dialers der kunne ændre login på en ISDN router
men det kan da ikke udelukkes.
Det har ikke været mulighed for dialeren at ringe ud via en DUN forbindese
lokalt på PCen?
Martin
--
Besøg http://adsltips.crunzh.com for guider
til ADSL og opsætning af CISCO router.
| |
Kent Friis (17-04-2003)
| Kommentar
Fra : Kent Friis |
Dato : 17-04-03 14:38 |
|
Den 17 Apr 2003 15:32:11 +0200 skrev Martin Schultz:
>"PJM" <doink@hotmail.com> writes:
>
>> Har netop hos et firma fundet en fil i en mappe, der hedder dialers -med et
>> navn, der indikerer, at man kan se spændende ting, hvis man aktiverer den.
>> Filen er sidst ændret kort før jul. Den pågældende PC er tilkoblet et lille
>> netværk med en server og firmaet anvender ISDN til sin Internetforbindelse.
>> For nyligt dukkede en regning på et enormt beløb op fra udbyderen -enorm er
>> faktisk underdrevet. Så nu melder spørgsmålet sig, om der kan være en
>> sammenhæng -altså om en dialer på en lokal PC kan ændre netværkets
>> opkaldsforbindelse, så man måske siden jul har anvendt internettet via et
>> nummer på Bahamas? I så fald bliver det vist MEGETvarmt i den kommende tid.
>
>Jeg har endnu ikke se dialers der kunne ændre login på en ISDN router
>men det kan da ikke udelukkes.
Der står faktisk ikke noget om router i indlægget, så hvis der er tale
om et almindeligt ISDN-kort, og programmet findes på den maskine kortet
sidder i, så er det meget sandsynligt.
En anden ting er at det var en stor regning fra ISP'en. Medmindre han
har skrevet forkert, og der skulle stå teleselskabet, så er der nok
ikke blevet ændret på hvilket nummer der kaldes op til, da fx.
CyberCity ikke ser opkald til et 900-nummer på Bahamas.
Mvh
Kent
--
Exception 0E in module IFSMGR.VXD
Press control-alt-delete to reboot
| |
 PJM (17-04-2003)
| Kommentar
Fra : PJM |
Dato : 17-04-03 14:57 |
|
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:b7mamu$b8q$1@sunsite.dk...
> >Jeg har endnu ikke se dialers der kunne ændre login på en ISDN router
> >men det kan da ikke udelukkes.
>
> Der står faktisk ikke noget om router i indlægget, så hvis der er tale
> om et almindeligt ISDN-kort, og programmet findes på den maskine kortet
> sidder i, så er det meget sandsynligt.
Der ER tale om en ISDN-router.
> En anden ting er at det var en stor regning fra ISP'en. Medmindre han
> har skrevet forkert, og der skulle stå teleselskabet, så er der nok
> ikke blevet ændret på hvilket nummer der kaldes op til, da fx.
> CyberCity ikke ser opkald til et 900-nummer på Bahamas.
Jeg er ikke sikker på, hvordan det fungerer. Men de ringer vistnok op til et
nummer hos Tiscali -der ligger deres domæne.
Der er muligvis heller ingen sammenhæng -og jeg ved ikke engang om der er
tale om en dialer, der er aktiveret. Kun at exe-filen ligger i en mappe ved
navn dialers, som ikke findes på en identisk PC på netværket. Og at filens
navn indikerer noget, man kan forvente at finde på pornosider. Og så lige
den der regning -uhauha!
mvh
pjm
| |
PJM (17-04-2003)
| Kommentar
Fra : PJM |
Dato : 17-04-03 14:59 |
|
"PJM" <doink@hotmail.com> skrev i en meddelelse
news:b7mbr7$k0n$1@sunsite.dk...
Regningen kom faktisk fra Tiscal.
mvh
pjm
| |
Kent Friis (17-04-2003)
| Kommentar
Fra : Kent Friis |
Dato : 17-04-03 15:22 |
|
Den Thu, 17 Apr 2003 15:59:07 +0200 skrev PJM:
>
>"PJM" <doink@hotmail.com> skrev i en meddelelse
>news:b7mbr7$k0n$1@sunsite.dk...
>
>Regningen kom faktisk fra Tiscal.
Ok, der er så den mulighed at dial'eren har forsøgt at ringe op, og
ikke har opdaget at det ikke virkede[1]. Hvis den så har fortsat med
at pinge for at holde forbindelsen åben, og det er gået via den normale
internet-forbindelse, så har routeren ikke fået en chance for at
logge af igen.
Men det kan naturligvis også være noget andet der står og genererer
trafik, windows selv er faktisk ofte set som synder i det spil
(SMB, port 139-139), endda så ofte at flere ISDN-routere kommer med
port 137-139 blokeret som default. Eller en af maskinerne kunne være
inficeret med Code Red eller en af de andre orme.
Jeg ville sætte masser af logging på, enten direkte på routeren, eller
en maskine med en sniffer før routeren, så man kan se hvilken trafik
routeren modtager.
Mvh
Kent
[1] Fx hvis den bruger "on error resume next"
--
Motion: andet ord for "ondt i fødderne".
| |
PJM (17-04-2003)
| Kommentar
Fra : PJM |
Dato : 17-04-03 15:42 |
|
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:b7mdaa$t71$1@sunsite.dk...
> Ok, der er så den mulighed at dial'eren har forsøgt at ringe op, og
> ikke har opdaget at det ikke virkede[1]. Hvis den så har fortsat med
> at pinge for at holde forbindelsen åben, og det er gået via den normale
> internet-forbindelse, så har routeren ikke fået en chance for at
> logge af igen.
Vil en fiks lille sluk/tænd -manøvre mon klare det?
> Men det kan naturligvis også være noget andet der står og genererer
> trafik, windows selv er faktisk ofte set som synder i det spil
> (SMB, port 139-139), endda så ofte at flere ISDN-routere kommer med
> port 137-139 blokeret som default. Eller en af maskinerne kunne være
> inficeret med Code Red eller en af de andre orme.
>
> Jeg ville sætte masser af logging på, enten direkte på routeren, eller
> en maskine med en sniffer før routeren, så man kan se hvilken trafik
> routeren modtager.
Jeg er slet ikke sikker på, at firmaet bliver glad for det, du skriver her.
Faktisk var min opgave hos firmaet at få den pågældende PC til at spille
igen efter angreb fra Klez. FixKlez fra Symantec klarede opgaven og det var
helt tilfældigt, at jeg søgte efter og opdagede den omtalte fil -netop efter
at have hørt om kæmperegningen. Jeg er ikke selv "langhåret" nok til at
følge op på dine bud og råd og vil derfor lige sende dem et skriv om at
tilkalde en af slagsen -i håb om at de ikke har taget for meget ved lære af
de gamle grækere  . Men måske er der bare tale om endnu en
fejlregning......
mvh
pjm
| |
Kent Friis (17-04-2003)
| Kommentar
Fra : Kent Friis |
Dato : 17-04-03 20:04 |
|
Den Thu, 17 Apr 2003 16:42:16 +0200 skrev PJM:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:b7mdaa$t71$1@sunsite.dk...
>
>> Ok, der er så den mulighed at dial'eren har forsøgt at ringe op, og
>> ikke har opdaget at det ikke virkede[1]. Hvis den så har fortsat med
>> at pinge for at holde forbindelsen åben, og det er gået via den normale
>> internet-forbindelse, så har routeren ikke fået en chance for at
>> logge af igen.
>
>Vil en fiks lille sluk/tænd -manøvre mon klare det?
Nej, hvis der kører et program der holder forbindelsen åben, skal
programmet stoppes. Da den slags programmer typisk er udviklet til
(at tage r*ven på) almindelige hjemmebrugere, er programmet temmelig
sikkert også forberedt på at PC'en bliver slukket, og sørger for at
blive startet op igen.
Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"
| |
PJM (18-04-2003)
| Kommentar
Fra : PJM |
Dato : 18-04-03 09:16 |
|
"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:b7mtr7$7bc$1@sunsite.dk...
> >Vil en fiks lille sluk/tænd -manøvre mon klare det?
>
> Nej, hvis der kører et program der holder forbindelsen åben, skal
> programmet stoppes. Da den slags programmer typisk er udviklet til
> (at tage r*ven på) almindelige hjemmebrugere, er programmet temmelig
> sikkert også forberedt på at PC'en bliver slukket, og sørger for at
> blive startet op igen.
Det var nu en total nedlukning af netværket og routeren, jeg tænkte på -men
dit svar gælder nok også for det. Så jeg har skrevet og foreslået, at de
snarest får en "langhåret" til at gå hele systemet igennem. Og lidt om, hvad
jeg generelt mener om deres holdning til sikker surf.....
mvh
pjm
| |
Kent Friis (18-04-2003)
| Kommentar
Fra : Kent Friis |
Dato : 18-04-03 09:22 |
|
Den Fri, 18 Apr 2003 10:15:41 +0200 skrev PJM:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:b7mtr7$7bc$1@sunsite.dk...
>
>> >Vil en fiks lille sluk/tænd -manøvre mon klare det?
>>
>> Nej, hvis der kører et program der holder forbindelsen åben, skal
>> programmet stoppes. Da den slags programmer typisk er udviklet til
>> (at tage r*ven på) almindelige hjemmebrugere, er programmet temmelig
>> sikkert også forberedt på at PC'en bliver slukket, og sørger for at
>> blive startet op igen.
>
>Det var nu en total nedlukning af netværket og routeren, jeg tænkte på
Hvis problemet er et program der kører på en PC og skaber trafik, så
vil det ikke hjælpe at slukke for alt muligt andet, heriblandt
routeren. Routeren vil jo bare ringe op igen lige så snart den er
startet op, og ser trafikken til nettet.
Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug
| |
F.Larsen (18-04-2003)
| Kommentar
Fra : F.Larsen |
Dato : 18-04-03 22:32 |
|
"PJM" <doink@hotmail.com> wrote in message news:b7oc6f$k11$1@sunsite.dk...
> Det var nu en total nedlukning af netværket og routeren, jeg tænkte
på -men
> dit svar gælder nok også for det. Så jeg har skrevet og foreslået, at de
> snarest får en "langhåret" til at gå hele systemet igennem. Og lidt om,
hvad
> jeg generelt mener om deres holdning til sikker surf.....
Du bør måske for god ordens skyld også tjekke for spyware som har det med at
skal på nettet hele tiden.
--
Flemming
http://home.cbkn.dk/Spyware/
http://home.cbkn.dk/Spam/
| |
PJM (17-04-2003)
| Kommentar
Fra : PJM |
Dato : 17-04-03 16:27 |
|
"Martin Schultz" <di020172@NO.SPAM.diku.dk> skrev i en meddelelse
news:rdnel41jllw.fsf@brok.diku.dk...
> Det har ikke været mulighed for dialeren at ringe ud via en DUN forbindese
> lokalt på PCen?
Øh, hvad er en DUN forbindelse?
mvh
pjm
| |
PJM (17-04-2003)
| Kommentar
Fra : PJM |
Dato : 17-04-03 16:57 |
|
"Martin Schultz" <di020172@NO.SPAM.diku.dk> skrev i en meddelelse
news:rdnel41jllw.fsf@brok.diku.dk...
> Det har ikke været mulighed for dialeren at ringe ud via en DUN forbindese
> lokalt på PCen?
Glem bare mit dumme spørgsmål længere nede i tråden.
DUN=Dial-Up-Networking -altså noget med at ringe op via modem. Den
pågældende PC har aldrig haft noget sådant -men der er vist 3 bærbare, der
alle er konfigureret til at kunne ringe op via mobiltelefon. Måske skal
synderen til regningen findes et helt andet sted end den PC, der var
inficeret med Klez? Puha -sikke et oprydningsarbejde, de står overfor.
mvh
pjm
| |
Martin Schultz (18-04-2003)
| Kommentar
Fra : Martin Schultz |
Dato : 18-04-03 12:40 |
|
"PJM" <doink@hotmail.com> writes:
> "Martin Schultz" <di020172@NO.SPAM.diku.dk> skrev i en meddelelse
> news:rdnel41jllw.fsf@brok.diku.dk...
>
> > Det har ikke været mulighed for dialeren at ringe ud via en DUN forbindese
> > lokalt på PCen?
>
> Glem bare mit dumme spørgsmål længere nede i tråden.
> DUN=Dial-Up-Networking -altså noget med at ringe op via modem.
Ja. Men den kan godt aktive en IDSN router ved at lave et opkaldsforsøg.
>Den
> pågældende PC har aldrig haft noget sådant -men der er vist 3 bærbare, der
> alle er konfigureret til at kunne ringe op via mobiltelefon. Måske skal
> synderen til regningen findes et helt andet sted end den PC, der var
> inficeret med Klez? Puha -sikke et oprydningsarbejde, de står overfor.
Måske
Martin
--
Besøg http://adsltips.crunzh.com for guider
til ADSL og opsætning af CISCO router.
| |
Alex Holst (17-04-2003)
| Kommentar
Fra : Alex Holst |
Dato : 17-04-03 14:27 |
|
PJM <doink@hotmail.com> wrote:
> Har netop hos et firma fundet en fil i en mappe, der hedder dialers -med et
> navn, der indikerer, at man kan se spændende ting, hvis man aktiverer den.
> Filen er sidst ændret kort før jul. Den pågældende PC er tilkoblet et lille
> netværk med en server og firmaet anvender ISDN til sin Internetforbindelse.
> For nyligt dukkede en regning på et enormt beløb op fra udbyderen -enorm er
> faktisk underdrevet. Så nu melder spørgsmålet sig, om der kan være en
> sammenhæng -altså om en dialer på en lokal PC kan ændre netværkets
> opkaldsforbindelse, så man måske siden jul har anvendt internettet via et
> nummer på Bahamas?
Det lyder meget muligt. Det er sket for utallige andre mennesker der
heller ikke har vaeret tilstraekkeligt paapasselige ved brug af deres PC
paa nettet. Der er f.eks. dette tilfaelde:
http://www.cw.dk/default.asp?Mode=2&ArticleID=18507
Eller denne:
http://www.cw.dk/default.asp?Mode=2&ArticleID=16737
"Undgaa dyr downloading" hos Forbrugerraadet:
http://www.fbr.dk/raad/forbruger/alle/raad005/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
|
|