---

Godaften,

Jeg tag hjemmefra i går til middag ome da jeg ville have kontakt med min
server ved morgentid i dag skulle dette ikke lade sig gøre.
Jeg kontakte jeg tog hjem og opdagde det min server var slukket ?.
Simpelthen ingen strøm på den. Jeg er 500 % sikker på at den var tændt da
heg tog hjemmefra da jeg aldrig slukker den.

Jeg gik nu logfilerne igennem med opdagde at loggen for i går den 20 februar
var tom?. Indholdet var simpelthen slettet og jeg brugte serveren indtil
middag i går og derfor var det logget i den. Jeg har kørte diverse
sikkerheds test på serveren og hullerne er lappet og en online scanning ved
Symantec gjorde kun opmærksom på at min IP adresse var offentlig at jeg
kørte web og ftp server men ikke andet...ingen "farlige" huller.

Virus, CodeRed, Nimda osv er der intet af men jeg kan ikke forstå hvad der
er sket ?

Hvorfor slukkede min server midt i det hele og hvorfor er min log fil fra
den 20 . februar ikke indholde når jeg brugte den indtal onsdag middag hvor
aktiviten var registereret.

En sidste ting da jeg gik adgangs kontierne igennem var det tilføjet 3 styk
som bestod af en del tal alle tildelt Administrator rettigheden og disse tal
har jeg med sikkerhed ikke tilføjet.

Jeg kan ikke finde nogen ændringer af filer, dokumenter mv. men jeg vil nu
gerne være helt sikker på at dette ikke gentager sig men hvordan kan jeg
gøre dette ?. Firewallen havde ikke registereret nogt op andre porte eller
aktiviterer med mækelige programmer.

Alt er opdateret med nyeste hotfix m.v.samt service packs.

Hvad nu?

Skal jeg trykke format C: og genindlæse al skidtet fra en back up der er 12
dage gammel men i den ville "hullet" jo også være men en evt. bagdør ikke
men hvordan finder jeg "hullet" og hvad skal jeg kigge efter af
mærkeværkelige ting og filer på computeren lige p.t.?

Desperate hilsner
Finn Jensen

---

"Finn Jensen" <lazystyle@tdcadsl.dk> skrev i en meddelelse
news:3c756421$0$89084$edfadb0f@dspool01.news.tele.dk...

> Jeg gik nu logfilerne igennem med opdagde at loggen for i går den 20
februar
> var tom?. Indholdet var simpelthen slettet og jeg brugte serveren indtil
> middag i går og derfor var det logget i den. Jeg har kørte diverse
> sikkerheds test på serveren og hullerne er lappet og en online scanning
ved
> Symantec gjorde kun opmærksom på at min IP adresse var offentlig at jeg
> kørte web og ftp server men ikke andet...ingen "farlige" huller.

Jeg skal lige tilføje at logfilerne er .txt filer og alle kan åbnes via.
feks. NotePad men gør jeg dette med loggen fra den 20. februar er det intet
indhold men åbnes den et et andet probram f.eks. WordPad så fremgår det en
masse firkanter ?. Det samme gør sig gældende for loggen for min FTP server
fra 20, februar


--
Venligst
Finn Jensen

---

"Finn Jensen" <lazystyle@tdcadsl.dk> wrote in message
news:3c756421$0$89084$edfadb0f@dspool01.news.tele.dk...

> Jeg gik nu logfilerne igennem med opdagde at loggen for i går den 20
februar
> var tom?.

> Hvorfor slukkede min server midt i det hele og hvorfor er min log fil fra
> den 20 . februar ikke indholde når jeg brugte den indtal onsdag middag
hvor
> aktiviten var registereret.

Du er blevet hacket af en script kiddie, der ikke har været dygtig nok til
at kunne slette sine spor i log filen, så han har slettet hele indholdet! Og
sandsynligvis gået i panik og har slukket for serveren.


> En sidste ting da jeg gik adgangs kontierne igennem var det tilføjet 3
styk
> som bestod af en del tal alle tildelt Administrator rettigheden og disse
tal
> har jeg med sikkerhed ikke tilføjet.

Noget der er blevet tilføjet af din ubudne gæsts værktøj!

> Jeg kan ikke finde nogen ændringer af filer, dokumenter mv. men jeg vil nu
> gerne være helt sikker på at dette ikke gentager sig men hvordan kan jeg
> gøre dette ?. Firewallen havde ikke registereret nogt op andre porte eller
> aktiviterer med mækelige programmer.

Mærkeligt...

> Alt er opdateret med nyeste hotfix m.v.samt service packs.
>
> Hvad nu?
>
> Skal jeg trykke format C: og genindlæse al skidtet fra en back up der er
12
> dage gammel

JA! også starte forfra med hotfixes og patches.

> Desperate hilsner
> Finn Jensen
>
>
>

---

"Tom Madsen" <tom.madsen@chicks.dk> skrev i en meddelelse
news:3c758b8b$0$256$edfadb0f@dspool01.news.tele.dk...

> Du er blevet hacket af en script kiddie, der ikke har været dygtig nok til
> at kunne slette sine spor i log filen, så han har slettet hele indholdet!
Og
> sandsynligvis gået i panik og har slukket for serveren.

Jeg takker for svarende og går strakt igang med arbejdet.
Alle logfilerne er gemt og abuse er kontaktet.


--
Venligst
Finn Jensen

---

> En sidste ting da jeg gik adgangs kontierne igennem var det tilføjet 3 styk
> som bestod af en del tal alle tildelt Administrator rettigheden og disse tal
> har jeg med sikkerhed ikke tilføjet.


Hvilket OS kører du, det ser ud til at det er windows nt 3.51/4.0,
windows 2000 eller windows xp?


> Hvad nu?
>
> Skal jeg trykke format C: og genindlæse al skidtet fra en back up der er 12
> dage gammel men i den ville "hullet" jo også være men en evt. bagdør ikke
> men hvordan finder jeg "hullet" og hvad skal jeg kigge efter af
> mærkeværkelige ting og filer på computeren lige p.t.?


Kan du reetablere backupen fra et par floppydisketter, og evt. kun kører
en compare?

Problemet er at så længe du brugere det installeret OS til at søge efter
spor, kan du ikke være sikker på det du ser er rigtigt. Du bør boote fra
et sikkert medie, du ved der ikke har været indbrud på.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote:

>Problemet er at så længe du brugere det installeret OS til at søge efter
>spor, kan du ikke være sikker på det du ser er rigtigt. Du bør boote fra
>et sikkert medie, du ved der ikke har været indbrud på.

Findes der egentlig Windows-bootdisketter eller CD'er, der kan læse
NTFS (som jeg antager, at Finn bruger)?

Eller skal man omvejen over f.eks. en bootbar Linux-CD for at kunne
læse disken?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Allan Olesen" wrote

> Findes der egentlig Windows-bootdisketter eller CD'er, der kan læse
> NTFS (som jeg antager, at Finn bruger)?

> Eller skal man omvejen over f.eks. en bootbar Linux-CD for at kunne
> læse disken?

Jeg har ikke prøvet, men det skulle ikke være nødvendigt:

<URL: http://support.microsoft.com/directory/article.asp?ID=KB;EN-US;Q305595& >

Med venlig hilsen

Peder

---

Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> "Allan Olesen" wrote
>
>> Findes der egentlig Windows-bootdisketter eller CD'er, der kan læse
>> NTFS (som jeg antager, at Finn bruger)?
>
>> Eller skal man omvejen over f.eks. en bootbar Linux-CD for at kunne
>> læse disken?
>
> Jeg har ikke prøvet, men det skulle ikke være nødvendigt:
>
><URL: http://support.microsoft.com/directory/article.asp?ID=KB;EN-US;Q305595& >

Jeg havde brug for dette for nyligt da NTLDR paa mit system begik
selvmord; desvaerre kunne jeg med min XP CD ikke faa adgang til mit NTFS
drev. Naar CDen booter spoerges efter administrator passwordet i et lamt
forsoeg paa at forhindre uvedkommende adgang. SAMen som CDen forsoeger
at laese var beskadiget saaledes adminstrator passwordet ikke kunne
bekraeftes, hvilket betoed at jeg maatte omformattere hele disken. Min
eneste sikkerhedskopi af min Palm pilot forsvandt dermed.

Dette password stopper i oevrigt ikke onde mennesker da de blot har en
CD (eller en anden maskine) som ikke spoerger efter dette password inden
den booter faerdigt.

Latterligt.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Jeg havde brug for dette for nyligt da NTLDR paa mit system begik
> selvmord; desvaerre kunne jeg med min XP CD ikke faa adgang til mit NTFS
> drev. Naar CDen booter spoerges efter administrator passwordet i et lamt
> forsoeg paa at forhindre uvedkommende adgang. SAMen som CDen forsoeger
> at laese var beskadiget saaledes adminstrator passwordet ikke kunne
> bekraeftes, hvilket betoed at jeg maatte omformattere hele disken. Min
> eneste sikkerhedskopi af min Palm pilot forsvandt dermed.


Damn, hvis du have spurgt i denne nyhedsgruppe, kunne vi have reddet dig:

http://www.sysinternals.com/ntw2k/freeware/NTFSDOS.shtml

:)

Ellers har Linux og support for NTFS i read-mode


> Dette password stopper i oevrigt ikke onde mennesker da de blot har en
> CD (eller en anden maskine) som ikke spoerger efter dette password inden
> den booter faerdigt.


Der findes en linux distro til dette :)

---

"Alex Holst" wrote

> Jeg havde brug for dette for nyligt da NTLDR paa mit system begik
> selvmord;

Så ville denne artikel måske kunne havet hjulpet dig:

<URL: http://www.xxcopy.com/xxcopy33.htm >

Ellers kan man altid finde noget på bootdisk.com.

> Naar CDen booter spoerges efter administrator passwordet i et lamt
> forsoeg paa at forhindre uvedkommende adgang. SAMen som CDen
> forsoeger at laese var beskadiget saaledes adminstrator passwordet
> ikke kunne bekraeftes, hvilket betoed at jeg maatte omformattere hele
> disken.

Surt, xxcopy-artiklen giver et løsningsforslag til fremtiden.

Det gør denne MS-KB artikel også:

<URL: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q305478 >

Med venlig hilsen

Peder

---

Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> "Alex Holst" wrote
>> Naar CDen booter spoerges efter administrator passwordet i et lamt
>> forsoeg paa at forhindre uvedkommende adgang. SAMen som CDen
>> forsoeger at laese var beskadiget saaledes adminstrator passwordet
>> ikke kunne bekraeftes, hvilket betoed at jeg maatte omformattere hele
>> disken.
>
> Surt, xxcopy-artiklen giver et løsningsforslag til fremtiden.
>
> Det gør denne MS-KB artikel også:
>
><URL: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q305478 >

Ja, det er et perfekt eksempel paa hvordan falsk sikkerhed kun skader
brugeren. Jeg var godt klar over, at med lidt mere tid og andet udstyr
til min raadighed kunne jeg have omgaaet password beskyttelsen. Jeg
brugte lidt tid paa at lede efter loesninger men fandt ikke noget
brugbart. Min situation blev ikke lettere af, at der ikke er et
floppydrev i den paagaeldende maskine, og var under tidspres da jeg
havde brug for at systemet var 100% funktionelt med det samme.

Min klage gaar mest paa, at Microsoft's CD giver brugeren indtryk af
hoej sikkerhed da der tilsyneladende ikke engang kan bootes fra et
alternativt medie uden at kende administrator kodeordet; jeg fandt
adskellige MS-KB artikler som forstaerkede dette fejlagtige faktum. Som
disse artikler viser, er det i virkeligheden er det trivielt for enhver
med en ekstra maskine eller det rigtige bootmedie at omgaa denne
"sikkerhed."

Derfor gentager jeg: komplet latterligt.

Men du og Christian skal have tak for I gad finde de URLs. Jeg maa
hellere faa skrevet om hvordan man let tager en sikkerhedskopi af
Windows maskiner :)

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Min klage gaar mest paa, at Microsoft's CD giver brugeren indtryk af
> hoej sikkerhed da der tilsyneladende ikke engang kan bootes fra et
> alternativt medie uden at kende administrator kodeordet; jeg fandt
> adskellige MS-KB artikler som forstaerkede dette fejlagtige faktum. Som
> disse artikler viser, er det i virkeligheden er det trivielt for enhver
> med en ekstra maskine eller det rigtige bootmedie at omgaa denne
> "sikkerhed."


Det værste bliver når de så hænger fx linux ud som et hacker værktøj,
hvis eneste formål er at ødelægge al den gode sikkerhed Microsoft nu har
lagt i deres produkter.

Det bedste man kan gører når man læser MS-KB, er at tænke selv :)

> Men du og Christian skal have tak for I gad finde de URLs. Jeg maa


Det er altid rart at kunne læses NTFS fra dos og windows98, når nu
Microsoft ikke gider at supportere deres egne ting.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C78CAF7.70609@example.net

> Det værste bliver når de så hænger fx linux ud som et hacker værktøj,
> hvis eneste formål er at ødelægge al den gode sikkerhed Microsoft nu har
> lagt i deres produkter.

Ja det er lidt sørgeligt

> Det er altid rart at kunne læses NTFS fra dos og windows98, når nu
> Microsoft ikke gider at supportere deres egne ting.

Det kan man jo ikke NTFS er jo sikkert :)

---

Alex Holst <a@area51.dk> wrote in
news:slrna7fqkj.em9.a@C-Tower.Area51.DK:

> Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
>> "Allan Olesen" wrote
>>
>>> Findes der egentlig Windows-bootdisketter eller CD'er, der kan læse
>>> NTFS (som jeg antager, at Finn bruger)?
>>
>>> Eller skal man omvejen over f.eks. en bootbar Linux-CD for at kunne
>>> læse disken?
>>
>> Jeg har ikke prøvet, men det skulle ikke være nødvendigt:
>>
>><URL:
>>http://support.microsoft.com/directory/article.asp?ID=KB;EN-US;Q305595&
>>>
>
> Jeg havde brug for dette for nyligt da NTLDR paa mit system begik
> selvmord; desvaerre kunne jeg med min XP CD ikke faa adgang til mit
> NTFS drev. Naar CDen booter spoerges efter administrator passwordet i
> et lamt forsoeg paa at forhindre uvedkommende adgang. SAMen som CDen
> forsoeger at laese var beskadiget saaledes adminstrator passwordet
> ikke kunne bekraeftes, hvilket betoed at jeg maatte omformattere hele
> disken. Min eneste sikkerhedskopi af min Palm pilot forsvandt dermed.
>
> Dette password stopper i oevrigt ikke onde mennesker da de blot har en
> CD (eller en anden maskine) som ikke spoerger efter dette password
> inden den booter faerdigt.
>
> Latterligt.
>

Hvis man har en times tid til det :

boot fra install cd'en
indtaller nt/w2k i en anden folder ende den foreslåede (\WINNT), lad os
sige \NTRESCUE
ved install overskrives ntldr, ntdetect.com. Der _tilføjes_ det nye os
til boot.ini.

efter endt installation bootes det nye os
man tracker logon.scr ned i den oprindelige installation, tager en kopi
af den og overskriver originalen med cmd.exe, retter i boot.ini og
rebooter til den oprindelige installation, og venter på logon-
screensaveren, der nu er en cmd.
Hvem ejer den proces?
efter at have sat sit administrator-password (net help user) kopierer man
sin backup af logon.scr tilbage i logon.scr.

--
//Jacob Gaarde
//Dont reply to my (aparent) e-mail address. Instead Use
//e-mail : gaarde <at> mailme <dot> dk