|
| Mystisk Program beder om oplysninger fra i~ Fra : Esben Skov Pedersen |
Dato : 13-01-02 17:29 |
|
Her på det seneste har jeg bemærket noget underligt på min win xp pro
maskine. Et program beder om oplysninger fra irc.dal.net Jeg har chekket
for virus med en opdateret McAfee og jeg har installeret zonealarm. Og jeg
har stadigvæk ikke fundet synderen. Jeg har endda chekket mit system med
Ad-aware 5.62 Jeg regner med at det er form for trojan kan der være noget
om det?
Af programmer jeg ellers kører: Apache 1.3.22 (test server) php, mysql,
winamp, hamster, icq samt Kazaa.
Hvad kan jeg gøre for at finde hvad det er der foregår. Efter jeg har
installeret Zonealarm, blokkerer den dog for trafikken, men den vil stadig
have lov til at ringe op.
--
Med venlig hilsen Esben
for svar over email fjern _slet_
| |
Finn Bindeballe (13-01-2002)
| Kommentar Fra : Finn Bindeballe |
Dato : 13-01-02 18:14 |
|
hejsa der
hvordan har du lige konstateret det ???
og hvad siger 'netstat /an'???
/finn
Esben Skov Pedersen wrote:
> Her på det seneste har jeg bemærket noget underligt på min win xp pro
> maskine. Et program beder om oplysninger fra irc.dal.net Jeg har chekket
> for virus med en opdateret McAfee og jeg har installeret zonealarm. Og jeg
> har stadigvæk ikke fundet synderen. Jeg har endda chekket mit system med
> Ad-aware 5.62 Jeg regner med at det er form for trojan kan der være noget
> om det?
>
> Af programmer jeg ellers kører: Apache 1.3.22 (test server) php, mysql,
> winamp, hamster, icq samt Kazaa.
>
> Hvad kan jeg gøre for at finde hvad det er der foregår. Efter jeg har
> installeret Zonealarm, blokkerer den dog for trafikken, men den vil stadig
> have lov til at ringe op.
>
> --
> Med venlig hilsen Esben
> for svar over email fjern _slet_
| |
Esben Skov Pedersen (13-01-2002)
| Kommentar Fra : Esben Skov Pedersen |
Dato : 13-01-02 19:21 |
|
Finn Bindeballe <FinnB@post6.tele.dk> wrote in
news:3C41C052.CD251C7@post6.tele.dk:
> hejsa der
>
> hvordan har du lige konstateret det ???
Winxp kommer og spørger om den skal ringe op tin internettet. Fordi et
program har bedt om det (den skriver ikke hvilket program)
> og hvad siger 'netstat /an'???
Aktive forbindelser
Proto Lokal adresse Fjernadresse Status
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1068 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1075 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 0.0.0.0:6667 0.0.0.0:0 LISTENING
TCP 127.0.0.1:119 0.0.0.0:0 LISTENING
TCP 127.0.0.1:119 127.0.0.1:1068 ESTABLISHED
TCP 127.0.0.1:1068 127.0.0.1:119 ESTABLISHED
TCP 212.54.89.116:113 64.154.61.232:1404 TIME_WAIT
TCP 212.54.89.116:1075 64.154.61.232:6668 ESTABLISHED
TCP 212.54.90.52:113 202.188.117.222:3022 TIME_WAIT
TCP 212.54.90.52:113 203.121.68.219:3453 TIME_WAIT
TCP 212.54.90.52:113 203.121.68.219:3622 TIME_WAIT
TCP 212.54.90.52:1055 212.54.64.134:119 TIME_WAIT
TCP 212.54.90.52:1056 212.54.64.135:119 TIME_WAIT
TCP 212.54.90.52:1059 212.54.64.134:119 TIME_WAIT
TCP 212.54.90.52:1060 212.54.64.134:119 TIME_WAIT
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1026 *:*
UDP 0.0.0.0:1048 *:*
UDP 0.0.0.0:1049 *:*
UDP 0.0.0.0:1053 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1073 *:*
UDP 127.0.0.1:1900 *:*
UDP 212.54.89.116:68 *:*
UDP 212.54.89.116:123 *:*
UDP 212.54.89.116:1072 *:*
UDP 212.54.89.116:1900 *:*
--
Med venlig hilsen Esben
for svar over email fjern _slet_
| |
Christian E. Lysel (13-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-01-02 19:40 |
|
Esben Skov Pedersen wrote:
> Aktive forbindelser
>
> Proto Lokal adresse Fjernadresse Status
> TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1029 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1068 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:1075 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
> TCP 0.0.0.0:6667 0.0.0.0:0 LISTENING
> UDP 0.0.0.0:135 *:*
> UDP 0.0.0.0:445 *:*
> UDP 0.0.0.0:500 *:*
> UDP 0.0.0.0:1026 *:*
> UDP 0.0.0.0:1048 *:*
> UDP 0.0.0.0:1049 *:*
> UDP 0.0.0.0:1053 *:*
> UDP 212.54.89.116:68 *:*
> UDP 212.54.89.116:123 *:*
> UDP 212.54.89.116:1072 *:*
> UDP 212.54.89.116:1900 *:*
Ovenstående er porte du skal være opmærksomme på, og de kan slåes op på:
http://www.snort.org/ports.html.
5000 og 6667 gør mig bekymret.
Men ud over det, har du styr på hvad du bruger ovenstående porte til?
Hvis du ikke har styr på ovenstående, kan du i teorien have 21 huller i
din installation, der hver for sig kan intrudere flere huller.
| |
Sune (13-01-2002)
| Kommentar Fra : Sune |
Dato : 13-01-02 19:56 |
|
On Sun, 13 Jan 2002 19:39:36 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:
>5000 og 6667 gør mig bekymret.
5000 er XPs Plug & Play port.
Snort.org må ikke være særligt godt opdateret.
Mvh
Sune
| |
Christian E. Lysel (13-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 13-01-02 23:57 |
|
Sune wrote:
>>5000 og 6667 gør mig bekymret.
> 5000 er XPs Plug & Play port.
>
> Snort.org må ikke være særligt godt opdateret.
Eller også er Microsoft ikke særlig godt opdateret, IANA siger på
http://www.iana.org/assignments/port-numbers siger:
commplex-main
5000/tcp
commplex-main
5000/udp
| |
Esben Skov Pedersen (13-01-2002)
| Kommentar Fra : Esben Skov Pedersen |
Dato : 13-01-02 23:46 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
news:3C41D468.9040501@example.net:
> Ovenstående er porte du skal være opmærksomme på, og de kan slåes op på:
>
> http://www.snort.org/ports.html.
>
> 5000 og 6667 gør mig bekymret.
>
> Men ud over det, har du styr på hvad du bruger ovenstående porte til?
Overhovedet ikke bortset fra oprt 80 (apache) Derudover kører hamster også
på port 119. Burde den ikke stå på listen?
--
Med venlig hilsen Esben
for svar over email fjern _slet_
| |
Christian E. Lysel (14-01-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 14-01-02 00:02 |
|
Esben Skov Pedersen wrote:
>>Men ud over det, har du styr på hvad du bruger ovenstående porte til?
>>
>
> Overhovedet ikke bortset fra oprt 80 (apache) Derudover kører hamster også
> på port 119. Burde den ikke stå på listen?
Hvis du er bange for programmer der automatisk forbinder sig til
Internet, bør du først have styr på hvad du brugere dine porte til.
Jeg kan ikke gennemskue hvad du brugere alle dine porte til, kun nogle
af dem.
Kan jeg evt. prøve at lave en netværks auditering af din maskine?
Hvor mange IP adresser har du forresten (212.54.89.116 og 212.54.90.52)?
Du sender dine indlæg fra 212.54.89.116, men har en række session på
212.54.90.52, men det er vist afsluttet sessioner, hmmm tyder på du ikke
har fast ip.
| |
Esben Skov Pedersen (14-01-2002)
| Kommentar Fra : Esben Skov Pedersen |
Dato : 14-01-02 17:14 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in
news:3C4211CA.9080208@example.net:
> Hvis du er bange for programmer der automatisk forbinder sig til
> Internet, bør du først have styr på hvad du brugere dine porte til.
>
> Jeg kan ikke gennemskue hvad du brugere alle dine porte til, kun nogle
> af dem.
Det kan jeg heller ikke. Jeg regner med at det er windows xp, som har en
hel del at gøre med det. Måske en xp bruger kunne sige hvor mange, som
findes en frisk installation!
> Kan jeg evt. prøve at lave en netværks auditering af din maskine?
Hmm. Har det noget formål. Jeg har nemlig kun isdn.
> Hvor mange IP adresser har du forresten (212.54.89.116 og
> 212.54.90.52)?
>
> Du sender dine indlæg fra 212.54.89.116, men har en række session på
> 212.54.90.52, men det er vist afsluttet sessioner, hmmm tyder på du
> ikke har fast ip.
Korrekt isdn
--
Med venlig hilsen Esben
for svar over email fjern _slet_
| |
Asbjorn Hojmark (14-01-2002)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 14-01-02 01:10 |
|
On Sun, 13 Jan 2002 19:39:36 +0100, "Christian E. Lysel"
<chlyshoswmdatapunktumcom@example.net> wrote:
> 5000 og 6667 gør mig bekymret.
Er TCP/5000 ikke Universal Plug-and-Play?
TCP/6667 lyder som en IRC-server.
-A
--
http://www.hojmark.org/
| |
Christian Andersen (14-01-2002)
| Kommentar Fra : Christian Andersen |
Dato : 14-01-02 01:18 |
|
Asbjorn Hojmark wrote:
>On Sun, 13 Jan 2002 19:39:36 +0100, "Christian E. Lysel"
><chlyshoswmdatapunktumcom@example.net> wrote:
>
>> 5000 og 6667 gør mig bekymret.
>
>Er TCP/5000 ikke Universal Plug-and-Play?
>TCP/6667 lyder som en IRC-server.
>
>-A
--
"...in Spain!"
| |
Niels Callesøe (13-01-2002)
| Kommentar Fra : Niels Callesøe |
Dato : 13-01-02 20:11 |
|
Esben Skov Pedersen wrote:
> Her på det seneste har jeg bemærket noget underligt på min win xp
> pro maskine. Et program beder om oplysninger fra irc.dal.net
[snip]
> Af programmer jeg ellers kører: Apache 1.3.22 (test server) php,
> mysql, winamp, hamster, icq samt Kazaa.
Er du sikker på, at du ikke har en IRC klient (mIRC, pIRC,
el. a.) installeret/kørende på maskinen? Mit helt umiddelbare gæt er,
at der er installeret software på din maskine der kører ved opstart og
forsøger at forbinde til IRC.
Har du *ikke* installeret en "rigtig" IRC klient, kan der muligvis være
grund til let bekymring da der eventuelt kan være tale om en "zombie"
(en art trojan) der forsøger at forbinde til en IRC kanal hvorfra den
kan fjernstyres. Den type programmer spredes ofte via
fildelingsprogrammer som Kazaa, hvilket styrker mistanken.
Jeg vil foreslå at du finder et godt program til at scanne for trojans
og sikrer dig at ovenstående ikke er tilfældet. Jeg ved at der findes
et på www.anti-trojan.net, men jeg ved ikke om man kan stole på det.
Kan andre eventuelt nævne en trojan-scanner som de har tillid til?
--
Niels Callesøe - nørd light
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
| |
Esben Skov Pedersen (13-01-2002)
| Kommentar Fra : Esben Skov Pedersen |
Dato : 13-01-02 23:46 |
|
"Niels Callesøe" <pfy@nntp.dk> wrote in news:Xns9195CAEAF55F0k5j6h4jk3@
193.88.15.213:
> Esben Skov Pedersen wrote:
>
>> Her på det seneste har jeg bemærket noget underligt på min win xp pro
>> maskine. Et program beder om oplysninger fra irc.dal.net
> [snip]
>> Af programmer jeg ellers kører: Apache 1.3.22 (test server) php,
>> mysql, winamp, hamster, icq samt Kazaa.
>
> Er du sikker på, at du ikke har en IRC klient (mIRC, pIRC,
> el. a.) installeret/kørende på maskinen? Mit helt umiddelbare gæt er,
> at der er installeret software på din maskine der kører ved opstart og
> forsøger at forbinde til IRC.
Hmm. Jeg har godtnok installeret Mirc, men den kører ikke.
> Har du *ikke* installeret en "rigtig" IRC klient, kan der muligvis være
> grund til let bekymring da der eventuelt kan være tale om en "zombie"
> (en art trojan) der forsøger at forbinde til en IRC kanal hvorfra den
> kan fjernstyres. Den type programmer spredes ofte via
> fildelingsprogrammer som Kazaa, hvilket styrker mistanken.
Det var også noget i den retning jeg havde i tankerne. Hvordan kan Kazaa
have noget med det gøre. Jeg henter sjældent programmer. Kan den finde på
at hente noget, som man ikke ber den om?
> Jeg vil foreslå at du finder et godt program til at scanne for trojans
> og sikrer dig at ovenstående ikke er tilfældet. Jeg ved at der findes
> et på www.anti-trojan.net, men jeg ved ikke om man kan stole på det.
Ok. Det vil jeg prøve.
--
Med venlig hilsen Esben
for svar over email fjern _slet_
| |
Niels Callesøe (14-01-2002)
| Kommentar Fra : Niels Callesøe |
Dato : 14-01-02 01:04 |
|
Esben Skov Pedersen wrote:
> Det var også noget i den retning jeg havde i tankerne. Hvordan kan
> Kazaa have noget med det gøre. Jeg henter sjældent programmer. Kan
> den finde på at hente noget, som man ikke ber den om?
Jeg skal gerne indrømme, at det ved jeg ikke med sikkerhed. Jeg *tror*
det egentlig ikke - altså om Kazaa "selv" kunne finde på at downloade
noget du ikke har bedt den om, men Kazaa (og lignende programmer) er
absolut ikke på listen over software jeg stoler på.
Det eneste jeg ved med sikkerhed er, at mange klager over at have fået
diverse trojans, virusser og andet indenfor gennem programmer de har
downloadet fra den type netværk. Måske fordi de, der har "uheldige"
interesser nemt kan gemme sig i mængden af mennesker der "blot" vil
udveksle diverse (ofte ulovlige) programmer. Netop fordi anonymiteten i
sådanne netværk er høj, er de meget udsatte for personer med skumle
bagtanker. Når du henter noget via for eksempel Kazaa, kan du aldrig
rigtig være sikker på at programmet/filen ikke er modificeret eller
inficeret med noget du ikke havde bedt om.
Derudover har der været mindst et eksempel på vidt distribuerede
versioner af den type program[1], der har været modificeret med en
bagdør som tillod fuld adgang til brugerens maskine.
[1]: Jeg kan dog ikke umiddelbart huske hvilket
--
Niels Callesøe - nørd light
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
| |
Kim Schulz (14-01-2002)
| Kommentar Fra : Kim Schulz |
Dato : 14-01-02 13:11 |
|
On Sun, 13 Jan 2002 22:46:13 GMT
Esben Skov Pedersen <phreak@_slet_12move.dk> wrote:
> "Niels Callesøe" <pfy@nntp.dk> wrote in
> news:Xns9195CAEAF55F0k5j6h4jk3@ 193.88.15.213:
>
> > Esben Skov Pedersen wrote:
> >
> >> Her på det seneste har jeg bemærket noget underligt på min win xp
> >> pro maskine. Et program beder om oplysninger fra irc.dal.net
> > [snip]
> >> Af programmer jeg ellers kører: Apache 1.3.22 (test server) php,
> >> mysql, winamp, hamster, icq samt Kazaa.
> >
> > Er du sikker på, at du ikke har en IRC klient (mIRC, pIRC,
> > el. a.) installeret/kørende på maskinen? Mit helt umiddelbare gæt
> > er, at der er installeret software på din maskine der kører ved
> > opstart og forsøger at forbinde til IRC.
>
> Hmm. Jeg har godtnok installeret Mirc, men den kører ikke.
hvis du har været på irc eller på anden måde har fået en af de senere
orme, så har de det ofte med at sprede sig via IRC...eller rettere de
connecter til en kanal på et eller andet netværk så man kan se at endnu
en computer er inficeret (nogen har så noget remote styring i sig også).
Jeg kunne godt forestille mig at det var mirc der bliver startet og gemt
så man ikke kan se det.
MVH
Kim schulz
--
[ http://www.schulz.dk - En nørds bekendelser! ]
[ Seneste artikel: ]
[ Network neighbourhood - nu til linux vha. et simpelt script ]
| |
Esben Skov Pedersen (14-01-2002)
| Kommentar Fra : Esben Skov Pedersen |
Dato : 14-01-02 17:14 |
|
Kim Schulz <kim@schulz.dk> wrote in
news:20020114131039.2d108c4a.kim@schulz.dk:
> hvis du har været på irc eller på anden måde har fået en af de senere
> orme, så har de det ofte med at sprede sig via IRC...eller rettere de
> connecter til en kanal på et eller andet netværk så man kan se at endnu
> en computer er inficeret (nogen har så noget remote styring i sig også).
> Jeg kunne godt forestille mig at det var mirc der bliver startet og gemt
> så man ikke kan se det.
Nu har jeg afinstalleret Mirc. Hvis problemet fortsætter ender det nok med en
reinstall
--
Med venlig hilsen Esben
for svar over email fjern _slet_
| |
|
|