/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
En lille virushistorie
Fra : Carsten Overgaard


Dato : 21-08-03 06:59

Igår ved 11 tiden begynder vores anti-virus at meddele at Welchia er banen
inden for murene (Læs: LAN). Vores servere angribes og de afviser virusen,
da de selvfølgelig har et opdateret anti-virus program installeret.

Forhistorien er at vi for uger siden havde fået flere varsler om at der er
noget i gære fra et firma, vi betaler beskyttelsespenge til for at få
varsler i god tid. Derfor havde vi selvfølgelig patchet og ekstraordinært
havde vi spærret portene i vores firewall. Vi havde sendt samme anbefalinger
ud til de LAN vi har VPN tunnel til.

(Vores virksomhed er opdelt i to forsvarzoner, som styrer antivirus forsvar
selvstændig uden kommunikation med hinanden: FADC og VADC.) I princippet kan
den anden zone godt patche anderledes end os, da vi ikke ved hvordan de
patcher. Derfor kunne vi i teorien godt være angrebet af den anden zone.

Da vi ved at vi har patchet og vi har blokeret de porte, som virusen bruger
for at komme ind udefra, disabler vi alle VPN-tunneler for at slås med
problemet her. VADC informeres og de cutter forbindelsen fra deres side.
Angrebene fortsætter og trafikken er nu så voldsom, da brugerne for besked
på at logge af for at vi kan slås alene, men samtidig for de besked på at
holde maskinerne tændte, så vi kan lukke dem kontrolleret ned og spore
angriberen.

Da vi går ind i vores DHCP manager for at se hvilke maskiner, der har lease
finder vi pludselig en maskine på vores LAN, som ikke kendes af os.

Efter et kvarter lokaliserer vi så synderen. En af vores trykmaskiner, som
er computerstyret, har teknikkerbesøg. Teknikkeren plugger sin bærbar PC ind
i trykmaskinen. Trykmaskinen fungerer åbenbart som en router, da den også
har netkort til vores LAN. PC'en har XP med en anti-virus, som var opdateret
pr. 1. august. Ud med den bærbare og nettet falder til ro.

Klokken er nu ca. 12 og vi gendanner forbindelsen med VADC, åbner
tunnelerne, informerer brugerne om at de må gå på, kører manuel check på
hele serverparken bare for helbreddets skyld og sætter os ned for at skrive
nogle nye kapitler ned i firmaets sikkerhedspolitik.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm



 
 
Kasper Dupont (21-08-2003)
Kommentar
Fra : Kasper Dupont


Dato : 21-08-03 08:39

Carsten Overgaard wrote:
>
> Efter et kvarter lokaliserer vi så synderen. En af vores trykmaskiner, som
> er computerstyret, har teknikkerbesøg. Teknikkeren plugger sin bærbar PC ind
> i trykmaskinen. Trykmaskinen fungerer åbenbart som en router, da den også
> har netkort til vores LAN. PC'en har XP med en anti-virus, som var opdateret
> pr. 1. august. Ud med den bærbare og nettet falder til ro.
>
> Klokken er nu ca. 12 og vi gendanner forbindelsen med VADC, åbner
> tunnelerne, informerer brugerne om at de må gå på, kører manuel check på
> hele serverparken bare for helbreddets skyld og sætter os ned for at skrive
> nogle nye kapitler ned i firmaets sikkerhedspolitik.

Firmaet, der har leveret trykmaskinen og sendt trykkeren
(er det samme firma) burde gøre det samme.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Christian E. Lysel (21-08-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 21-08-03 08:59

En virus historie hører til i dk.edb.sikkerhed.virus!

In article <2dZ0b.5$IX6.4@news.get2net.dk>, Carsten Overgaard wrote:
> selvstændig uden kommunikation med hinanden: FADC og VADC.) I princippet kan

http://www.formula.dk/ og http://vivild.com/

> Da vi ved at vi har patchet og vi har blokeret de porte, som virusen bruger
> for at komme ind udefra, disabler vi alle VPN-tunneler for at slås med
> problemet her. VADC informeres og de cutter forbindelsen fra deres side.

Jeg ville nok havde læst firewallens log igennem, for at se hvor pakkerne
kom fra.

> Efter et kvarter lokaliserer vi så synderen. En af vores trykmaskiner, som
> er computerstyret, har teknikkerbesøg. Teknikkeren plugger sin bærbar PC ind
> i trykmaskinen. Trykmaskinen fungerer åbenbart som en router, da den også

Hvis hvis bærbaren har fået en adresse via DHCP, har den fungeret som mere end
en router.

> nogle nye kapitler ned i firmaets sikkerhedspolitik.

Har i noget omkring vidensdeling af Jeres internet oplysninger?


Jep (22-08-2003)
Kommentar
Fra : Jep


Dato : 22-08-03 07:14



Hvad er facts på den Trykmaskine??

Der er jo store multifunktionsmaskiner (kopi + printer) på vej til
større kontorer. LAN kablede enheder. Er det en Canon, HP eller ....
??



On Thu, 21 Aug 2003 07:59:26 +0200, "Carsten Overgaard"
<info@carstenovergaard.dk> wrote:

>Igår ved 11 tiden begynder vores anti-virus at meddele at Welchia er banen
(cut
>er computerstyret, har teknikkerbesøg. Teknikkeren plugger sin bærbar PC ind
>i trykmaskinen. Trykmaskinen fungerer åbenbart som en router, da den også
>har netkort til vores LAN. PC'en har XP med en anti-virus, som var opdateret
>pr. 1. august. Ud med den bærbare og nettet falder til ro.
>





Carsten Overgaard (24-08-2003)
Kommentar
Fra : Carsten Overgaard


Dato : 24-08-03 08:04

En 20 meter lang Heidelberg sag.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm




Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste