Kandu.dk - Hacket ?


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Hacket ?
Fra : Ole Vandborg Rasmuss~

Dato : 19-02-03 20:31

Hej gruppe

Jeg kører en lille server herhjemme med win2k_server og IIS. I dag fangede
min Norton en virus (efter genstart!) Virus lå i tre filer - alle hed *.ins.
Bagefter lagde jeg mærke til at der kørte et lille program i et "nedlukket"
vindue - programmet hedder "nCHK Network Tools Monitor", og ved at vælge
logon under menu logger den op til "xxc.sinisternetwork.net".

Er jeg blevet hacket, eller er det "bare Norten der laver lidt "fis" ??

Mvh

Ole Rasmussen

Povl H. Pedersen (20-02-2003)

Kommentar
Fra : Povl H. Pedersen

Dato : 20-02-03 20:38

In article <3e53e456$0$144$edfadb0f@dtext01.news.tele.dk>, Ole Vandborg Rasmussen wrote:
> Hej gruppe
>
> Jeg kører en lille server herhjemme med win2k_server og IIS. I dag fangede
> min Norton en virus (efter genstart!) Virus lå i tre filer - alle hed *.ins.
> Bagefter lagde jeg mærke til at der kørte et lille program i et "nedlukket"
> vindue - programmet hedder "nCHK Network Tools Monitor", og ved at vælge
> logon under menu logger den op til "xxc.sinisternetwork.net".
>
> Er jeg blevet hacket, eller er det "bare Norten der laver lidt "fis" ??

Mit bedste bud er at du er blevet hacket. I dit sted ville jeg
omformatere maskinen, smide alle opdateringer på, køre IIS Lockdown,
smide URLscan på, og så lægge web-snasket ind fra en ældre backup.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Ole Vandborg Rasmuss~ (21-02-2003)

Kommentar
Fra : Ole Vandborg Rasmuss~

Dato : 21-02-03 06:56

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> skrev i en
meddelelse news:slrnb5abla.13k.povlhp@povl-h-pedersens-computer.local...
> In article <3e53e456$0$144$edfadb0f@dtext01.news.tele.dk>, Ole Vandborg
Rasmussen wrote:
> Mit bedste bud er at du er blevet hacket. I dit sted ville jeg
> omformatere maskinen, smide alle opdateringer på, køre IIS Lockdown,
> smide URLscan på, og så lægge web-snasket ind fra en ældre backup.

Øv.... På'en igen.... (Maskinen blev formateret sidste fredag Sur

)

Men tak for hjælpen Glad

Mvh
Ole

Peder Vendelbo Mikke~ (21-02-2003)

Kommentar
Fra : Peder Vendelbo Mikke~

Dato : 21-02-03 22:11

Ole skrev:

> "Povl H. Pedersen" skrev
>> Mit bedste bud er at du er blevet hacket. I dit sted ville jeg
>> omformatere maskinen, smide alle opdateringer på, køre IIS
>> Lockdown, smide URLscan på, og så lægge web-snasket ind fra en ældre
>> backup.

> Øv.... På'en igen.... (Maskinen blev formateret sidste fredag Sur

)

Start eventuelt med at læse Microsofts anbefalinger til hvad de mener
du bør gøre, hvis du frygter at der er blevet brudt ind i maskinen:

<URL: http://microsoft.com/technet/security/tools/tools/detect.asp >

Når du har besluttet at starte fra bunden, så følg de relevante check-
lists og almindelig sund skepsis:

<URL: http://microsoft.com/technet/security/tools/tools.asp >

Når din webside er oppe at køre igen og det hele virker som det skal,
er det en god ide igen at køre Microsoft Base Line Security Analyzer
(for at tjekke at du ikke har lavet sikkerhedsfejl under opsætning):

<URL: http://microsoft.com/technet/security/tools/tools/detect.asp >

SANS har en pæn stor samling dokumenter om samme emne:

<URL: http://rr.sans.org >

Nicolas Duchastel de~ (06-03-2003)

Kommentar
Fra : Nicolas Duchastel de~

Dato : 06-03-03 04:26

Sorry, i dont speak danish!

I have a similar problem (i think?):

Who is trying to hack into my system!!!
What is this nchknmt.exe!!

its connecting to athen122.server4free.de; on port 8888!!!
its a trojan running on my pc; but what is it doing? and who installed
it? i.e. what application? (e.g. seem like an popup add thing).

list of connections as reported by "Active Port" (btw, great
tool!!!!):

nchknmt.exe   1136   0.0.0.0   3191         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1136   0.0.0.0   113         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1136   0.0.0.0   58721         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1504   192.168.0.100   3315   217.172.180.122   8888   SYN_SENT   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1504   0.0.0.0   113         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1504   0.0.0.0   58721         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe

Any ideas on what this is???

p.s. i understand english, french or spanish' if you could translate
your last post in any of these; that would be great.

Thank you,

Nicolas

"Ole Vandborg Rasmussen" <ole@vandborgnet.dk> wrote in message news:<3e53e456$0$144$edfadb0f@dtext01.news.tele.dk>...
> Hej gruppe
>
> Jeg kører en lille server herhjemme med win2k_server og IIS. I dag fangede
> min Norton en virus (efter genstart!) Virus lå i tre filer - alle hed *.ins.
> Bagefter lagde jeg mærke til at der kørte et lille program i et "nedlukket"
> vindue - programmet hedder "nCHK Network Tools Monitor", og ved at vælge
> logon under menu logger den op til "xxc.sinisternetwork.net".
>
> Er jeg blevet hacket, eller er det "bare Norten der laver lidt "fis" ??
>
> Mvh
>
> Ole Rasmussen

Søg

Reklame

Statistik

Spørgsmål :	177548
Tips :	31968
Nyheder :	719565
Indlæg :	6408803
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste