---

Vi har haft den sjældne ære, at have haft besøg af en hacker, der har lagt
tonsvis af MP3 filer på vores server.

Hullet i vores router er nu lukket, MP3 filerne fjernet, men mappestrukturen
kan vi ikke fjerne fra serveren. Ikke en gang administrator kan fjerne dem
eller "take ownership".

Findes der et værktøj der kan løse dette problem?...vi bruger
MS-Smallbusiness 4.5 (NT 4.0 server) med NFTS.

Roden i hackerens filstruktur starter med en mappe kaldet "IAMS2" (I am S2),
der sikkkert er en slags signatur, måske dette kan hjælpe til at anbefale et
værktøj.

Carsten

---

Hej Carsten Witt

Har du prøvet RegCleaner - A tool to clean up and control Windows'
registry.
den finder som nr 2 på listen på denne side
http://www.vtoy.fi/jv16/shtml/software.shtml

Den kan du slette softvare etc med "Nice tool"

Prøv også Cut og paste til papirkurven den duer nogle gange når slet
ikke virker

--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"

---

Qualiman wrote:
> Har du prøvet RegCleaner - A tool to clean up and control Windows'
> registry.

Hvad har det helt præcist med filsystemet at gøre ?

// Hans
--
UNIX Admin søger arbejde, http://nathue.dk/?page=cv

---

Hej Hans Joergensen

Det er min erfaring at der ofte følger software med som låser filerne
Regcleaner kan give dig et overblik over evt. programmer med mulighed
for at slette dem. Derfor er den nævnt

På samme Side ligger der et nyere dansk program jv16 Power Tool som er
udbygget i forhold til Regcleaner.

--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"

---

On Thu, 08 May 2003 22:29:01 +0200, Qualiman wrote:

> Det er min erfaring at der ofte følger software med som låser filerne
> Regcleaner kan give dig et overblik over evt. programmer med mulighed
> for at slette dem. Derfor er den nævnt

Hermed antager du vel, at de programmer, som angriberen har installeret,
opfører sig pænt, og opdaterer listen over installerede programmer i
registreringsdatabasen? Det er der ingen grund til at tro er tilfældet.

--
Morten Bakkedal
http://www.bakkeland.dk/

---

On Thu, 8 May 2003 21:35:23 +0200, "Carsten Witt"
<do.not.reply@this.adress.com> wrote:

>Findes der et værktøj der kan løse dette problem?...vi bruger
>MS-Smallbusiness 4.5 (NT 4.0 server) med NFTS.

Hmm, ikke sikker, men hvis du flytter disken over i en anden maskine.


--

/Dan MOrtensen
Svar ikke pr. mail, da din mailserver vil blive blacklisted
listme@listme.dsbl.org
Don't use my email - your mail server will be blacklisted.

---

In article <b9ebht$16gf$1@news.cybercity.dk>, Carsten Witt wrote:
> Findes der et værktøj der kan løse dette problem?...vi bruger
> MS-Smallbusiness 4.5 (NT 4.0 server) med NFTS.

Reinstallere din maskine og lær af dine fejl.

---

Christian E. Lysel wrote:


>
> Reinstallere din maskine og lær af dine fejl.

Det var sgu da et super godt råd, et Carsten kan bruge meget til. Du burde
have din helt egen NG. "dk.brok" eller "dk.kedermig"

---

"Hans" <hans@no-spam.dk> skrev i en meddelelse
news:9dJua.56053$y3.3955675@news010.worldonline.dk...
> Christian E. Lysel wrote:
> >
> > Reinstallere din maskine og lær af dine fejl.
>
> Det var sgu da et super godt råd, et Carsten kan bruge meget til. Du
burde
> have din helt egen NG. "dk.brok" eller "dk.kedermig"

Ikke desto mindre er det nok det mest fornuftige råd - at Christian så
vælger at gøre det kort er så en anden ting....og ja, det er et råd
Carsten kan bruge til meget og han bør efter min mening også følge det.

--

Stig Meyer Jensen
stig@mine_3_initialer.dk

---

Hans wrote:
>
> Christian E. Lysel wrote:
>
> >
> > Reinstallere din maskine og lær af dine fejl.
>
> Det var sgu da et super godt råd, et Carsten kan bruge meget til. Du burde
> have din helt egen NG. "dk.brok" eller "dk.kedermig"

Jeg ser ingen brok i Christians indlæg. Tværtimod er der et
enkelt råd. Et kort og godt råd, som i øvrigt er det eneste
fornuftige at gøre i situationen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

"Hans" <hans@no-spam.dk> skrev i en meddelelse
news:9dJua.56053$y3.3955675@news010.worldonline.dk...
> Christian E. Lysel wrote:
> >
> > Reinstallere din maskine og lær af dine fejl.
>
> Det var sgu da et super godt råd, et Carsten kan bruge meget til. Du burde
> have din helt egen NG. "dk.brok" eller "dk.kedermig"

Hvor vil du hen med din sarkasme?

Reinstallation er det eneste fornuftige når først serveren er kompromiteret,
der er ingen der ved hvad der er installeret af bagdøre m.m. på den.

/Brian

---

Brian R. Jensen skrev:

>Hvor vil du hen med din sarkasme?

>Reinstallation er det eneste fornuftige når først serveren er kompromiteret,
>der er ingen der ved hvad der er installeret af bagdøre m.m. på den.

Der er nu kommet fire opfølgende gentagelser af at reinstallation
er en god idé. Sarkasmen og de efterfølgende svar kunne have være
sparet hvis Christian havde givet en kort forklaring på hvorfor
det er smart.

Hvor mange af jer ville reinstallere hele jeres system hvis en
ukendt person sendte jer en mail om at det var en god idé i en
given situation?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" <nospamfor@lundhansen.dk> skrev i en meddelelse
news:ajmnbvc26bbnib6pam40a0i0t19t6d2t20@news.stofanet.dk...

> Der er nu kommet fire opfølgende gentagelser af at reinstallation
> er en god idé. Sarkasmen og de efterfølgende svar kunne have være
> sparet hvis Christian havde givet en kort forklaring på hvorfor
> det er smart.

Helt enig

> Hvor mange af jer ville reinstallere hele jeres system hvis en
> ukendt person sendte jer en mail om at det var en god idé i en
> given situation?

Jeg ville, men jeg forstår din pointe og netop derfor er det vel vigtigt at
vi er flere der giver Christian "ret" i anbefalingen.

Bemærk dog at det ikke var spørgeren der reagerede sarkastisk på Christian
indlæg, derfor spørger jeg hvad det er han vil med sarkasmen - simpelthen
fordi jeg ikke forstår hans ærinde.

/Brian

---

Bertel Lund Hansen wrote:
>
> Hvor mange af jer ville reinstallere hele jeres system hvis en
> ukendt person sendte jer en mail om at det var en god idé i en
> given situation?

Jeg ville ikke reinstallere mit system fordi nogen sagde, det
ville være en god idé. Jeg ville til gengæld reinstallere, hvis
jeg havde mistanke om et indbrud. Eller blot restore en backup.
Det er dog aldrig sket for mig. (Jeg har en gang haft mistanken,
men den viste sig at være ubegrundet. Jeg endte nu alligvel med
at restore en backup, men det var fordi harddisken døde dagen
efter.)

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

Hans <hans@no-spam.dk> writes:

>> Reinstallere din maskine og lær af dine fejl.
>
> Det var sgu da et super godt råd, et Carsten kan bruge meget til. Du burde
> have din helt egen NG. "dk.brok" eller "dk.kedermig"

Har man haft crackere på besøg er det det eneste fornuftige at gøre
når man er færdig med at undersøge tilfældet. Det er *umuligt* at
sikre at der ikk eer bagdøre på maskinen på anden måde.


Crackede maskiner skal reinstalleres, det er grundregl nummer et i
oprydning efter crackerbesøg.

--
Peter Makholm | First you fall in love with Antarctica, and then it
peter@makholm.net | breaks your heart
http://hacking.dk | -- Antarctica

---

Carsten Witt skrev:

> Vi har haft den sjældne ære, at have haft besøg af en
> hacker, der har lagt tonsvis af MP3 filer på vores server.

> Hullet i vores router er nu lukket, MP3 filerne fjernet, men
> mappestrukturen kan vi ikke fjerne fra serveren. Ikke en
> gang administrator kan fjerne dem eller "take ownership".

Problemet er sandsynligvis at der er lavet at hav af under-
kataloger. Når man når en hvis grænse på hvor langt et fil-/
katalog-navn kan være, det er vistnok lidt over 1024 tegn,
stejler stifinder og giver ikke mulighed for at gøre noget ved
kataloget.

For det meste kan problemet løses ved at omdøbe katalogerne,
så langt ned i strukturen det kan lade sig gøre.

Muligvis er det nødvendigt at smide en harddisk i som er
FAT16-partitioneret (lange fil- og katalog-navne bliver så
automatisk forkortet) og flytte over-kataloget med alt indhold
derover.

Muligvis er det nødvendigt at anvende mv-kommandoen fra en
kommandoprompt for at gøre det (jeg kan ikke helt huske det,
det er et stykke tid siden jeg sidst har haft behov for at
gøre det)

Når i har fået flyttet og eventuelt valideret data til et an-
det sted, kan i geninstallere serveren fra bunden af (det er
hurtigst at gøre det med et slipstreamet [1] installations-
medie, det er beskrevet i readme.txt i diverse servicepacks
til NT4 hvordan man gør).

[1] Slipstreamet, betyder blot at de originale filer i en in-
stallation er udskiftet med nyere versioner fra Service packs-
ene. Læs eventuelt om det på nogle af de links som google fin-
der:

<URL: http://www.google.com/search?sourceid=navclient&hl=da&ie=UTF-8&oe=UTF-8&q=slipstreaming+nt4 >

Overvej at anmelde sagen til Cert og Politiet, da der mangler
dokumentation (til hjælp for andre) og retssager på sikker-
hedsområdet:

<URL: https://www.cert.dk/anmeldelsesblanket/ >

På Certs webside er samlet en række gode råd og artikler.

---

Tak for dit fyldestgørende forslag.

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> skrev i en meddelelse
news:b9f44g.ac.1@kommunalbastards.org...

> Problemet er sandsynligvis at der er lavet at hav af under-
> kataloger. Når man når en hvis grænse på hvor langt et fil-/
> katalog-navn kan være, det er vistnok lidt over 1024 tegn,
> stejler stifinder og giver ikke mulighed for at gøre noget ved
> kataloget.
> For det meste kan problemet løses ved at omdøbe katalogerne,
> så langt ned i strukturen det kan lade sig gøre.

......vi har fået fjernet de utallige undermappere ,bortset fra rodmappen og
2-3 underniveauer, der dog ikke kan hverken slettes, flyttes eller omdøbes.


> Overvej at anmelde sagen til Cert og Politiet, da der mangler
> dokumentation (til hjælp for andre) og retssager på sikker-
> hedsområdet:

....det har vi gjort for lang tiden siden, men der var ikke den store
feedback eller hjælp der.


hilsen
Carsten

---

"Carsten Witt" <do.not.reply@this.adress.com> wrote in message
news:b9ebht$16gf$1@news.cybercity.dk...
> Vi har haft den sjældne ære, at have haft besøg af en hacker, der har lagt
> tonsvis af MP3 filer på vores server.
>
> Hullet i vores router er nu lukket, MP3 filerne fjernet, men
mappestrukturen
> kan vi ikke fjerne fra serveren. Ikke en gang administrator kan fjerne dem
> eller "take ownership".

Boot i safemode med en commandprompt - I får dem IKKE fjernet inde fra
GUIen!

Det samme har jeg oplevet, da jeg åbnede for en test FTP server for at se om
der var nogen, der fandt den. Det var der - 7 dage efter lå der 4 Gbyte film
og MP3 *GG*


/Lars

---

*LOL*

>Det samme har jeg oplevet, da jeg åbnede for en test FTP server for at se om
>der var nogen, der fandt den. Det var der - 7 dage efter lå der 4 Gbyte film
>og MP3 *GG*

Hvorfor bruge timer på KaaZaa og mx på at downloade filer med ukurant
indhold.. opsæt en ftp server i stedet og vent... så kommer de af sig
selv

Kristian

---

Hejsa..

Hvis hackeren har brugt "Reserved File Names" på filer (såsom PRN*, LPT*
osv), kan de ikke slettes uden videre....

Flg. procedure kan bruges:
http://support.microsoft.com/default.aspx?scid=kb;en-us;120716

/Rubeck

"Carsten Witt" <do.not.reply@this.adress.com> wrote in message
news:b9ebht$16gf$1@news.cybercity.dk...
> Vi har haft den sjældne ære, at have haft besøg af en hacker, der har lagt
> tonsvis af MP3 filer på vores server.
>
> Hullet i vores router er nu lukket, MP3 filerne fjernet, men
mappestrukturen
> kan vi ikke fjerne fra serveren. Ikke en gang administrator kan fjerne dem
> eller "take ownership".
>
> Findes der et værktøj der kan løse dette problem?...vi bruger
> MS-Smallbusiness 4.5 (NT 4.0 server) med NFTS.
>
> Roden i hackerens filstruktur starter med en mappe kaldet "IAMS2" (I am
S2),
> der sikkkert er en slags signatur, måske dette kan hjælpe til at anbefale
et
> værktøj.
>
> Carsten
>
>

---

Kim Rubeck Jensen wrote:
> Hvis hackeren har brugt "Reserved File Names" på filer (såsom PRN*, LPT*
> osv), kan de ikke slettes uden videre....

Jeg vil godt nok gerne lige brokke mig over at bruge ordet 'hacker'
her, da det må formodes at der har kørt en fuldkommen åben
ftpservice på den omtalte maskine. Og i så fald er der ikke tale
om at hacke.

At udnytte en totalt åben ftpserver kan godt nok ikke betegnes som
andet end .. jah.. udnyttelse.

// Hans
--
http://www.dkfritidmotorcykel.dk/?id=43

---

Hans Joergensen skrev:

>At udnytte en totalt åben ftpserver kan godt nok ikke betegnes som
>andet end .. jah.. udnyttelse.

Hvis man efterlader et uudsletteligt indtryk ... øh, mappesystem,
så er det rimeligt at bruge ordet "hacker".

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:
> Hvis man efterlader et uudsletteligt indtryk ... øh, mappesystem,
> så er det rimeligt at bruge ordet "hacker".

Det synes jeg ikke ... :)
Kan vi møde med 'pirat' ? (da det jo bedre betegner hvad der er
foregået)

// Hans
--
ringdingelingdingdingdingdingringelingeding

---

"Carsten Witt" <do.not.reply@this.adress.com> skrev
> Vi har haft den sjældne ære, at have haft besøg af en hacker, der har lagt
> tonsvis af MP3 filer på vores server.
>
> Hullet i vores router er nu lukket, MP3 filerne fjernet, men
mappestrukturen
> kan vi ikke fjerne fra serveren. Ikke en gang administrator kan fjerne dem
> eller "take ownership".

Problemet er måske, at der ligger filer eller kataloger med attribut for
'skjult fil' i kataloget og jeres OS er sat op til ikke at vise skjulte
filer.

Åbn et dosprompt-vindue, gå ind i det famøse katalog med kommandoen "cd
iams2", inde i kataloget skriver du kommandoen "attrib -h *.*".
Efterfølgende vil en "dir"-kommando afsløre, om der er filer eller
kataloger, du ikke kunne se tidligere.
Filer kan nu fjernes med kommandoen "del *.*"
Tomme kataloger kan fjernes med kommandoen "rd katalognavn"
Skift til underkataloger kan ske ved kommandoen "cd katalognavn"
Skift baglæns til overordnet katalog sker ved kommandoen "cd.."

Disse operationer kan også bruges, hvis maskinen er startet op i "beskyttet
tilstand/protected mode" kun i DOS-mode.
Det kan være omstændeligt, men det virker som regel.

Efterfølgende vil et besøg på www.spybot.com kunne fortælle, om der er
noget, som stadig ligger og lurer.

--
Med venlig hilsen
Erik Ginnerskov
http://www.hjemmesideskolen.dk - http://www.html-faq.dk
http://hjem.get2net.dk/sorgin

---

"Erik Ginnerskov" <egin@SPAMKILLoncable.dk> writes:

> Efterfølgende vil et besøg på www.spybot.com kunne fortælle, om der er
> noget, som stadig ligger og lurer.

Uanset hvilket toll man bruger til at undersøge sin maskine vil man
aldrig kunne sikre sig at den ikke stadigvæk er sårbar. Den eneste
måde at er reinstallere og sikre den ordenligt når man har fundet ud
af hvorfor den er blevet cracket.

--
Peter Makholm | I congratulate you. Happy goldfish bowl to you, to
peter@makholm.net | me, to everyone, and may each of you fry in hell
http://hacking.dk | forever
| -- The Dead Past

---

"Peter Makholm" <peter@makholm.net> skrev
> "Erik Ginnerskov" <egin@SPAMKILLoncable.dk> writes:
>
> > Efterfølgende vil et besøg på www.spybot.com kunne fortælle, om der er
> > noget, som stadig ligger og lurer.
>
> Uanset hvilket toll man bruger til at undersøge sin maskine vil man
> aldrig kunne sikre sig at den ikke stadigvæk er sårbar. Den eneste
> måde at er reinstallere og sikre den ordenligt når man har fundet ud
> af hvorfor den er blevet cracket.

Problemet er bare, at en reinstallering af serversoftwaren ikke er nok, hvis
det kommer dertil. Der skal ske en total sletning af hele harddisken og
reinstallering også af OS, så hvis man kan undgå at gå så langt ....

--
Med venlig hilsen
Erik Ginnerskov
http://www.hjemmesideskolen.dk - http://www.html-faq.dk
http://hjem.get2net.dk/sorgin

---

Erik Ginnerskov wrote:
>
> Problemet er bare, at en reinstallering af serversoftwaren ikke er nok, hvis
> det kommer dertil. Der skal ske en total sletning af hele harddisken og
> reinstallering også af OS,

Det er korrekt.

> så hvis man kan undgå at gå så langt ....

Det kan man ikke.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
for(_=52;_;(_%5)||(_/=5),(_%5)&&(_-=2))putchar(_);

---

On Fri, 09 May 2003 15:03:33 +0200, Peter Makholm <peter@makholm.net>
wrote:

>"Erik Ginnerskov" <egin@SPAMKILLoncable.dk> writes:
>
>> Efterfølgende vil et besøg på www.spybot.com kunne fortælle, om der er
>> noget, som stadig ligger og lurer.
>
>Uanset hvilket toll man bruger til at undersøge sin maskine vil man
>aldrig kunne sikre sig at den ikke stadigvæk er sårbar. Den eneste
>måde at er reinstallere og sikre den ordenligt når man har fundet ud
>af hvorfor den er blevet cracket.
Enig, og reinstallering er at slette alt fra disken(e) og starte fra
bunden af.
Det tager tid, og kan koste mange penge, men det er eneste vej. Ingen
kan med sikkerhed fortælle dig at alt fra "besøget" er fjernet.
Jeg gentager "ingen kan garanterer at de kan fjerne alt
virus/spyware/backdoors/osv" Derfor er den eneste kur, slet alt
"gæsten" har haft adgan til, og geninstaller.
Jeg kan godt se at det er surt hvis man har betalt for at få
installeret serveren, og også har betalt formuer for at få installeret
SW på samme + konfigurering.

Hvis man har et backup-system kunne det måske være en løsning, hvis
man er i stand til at lave en komplet restore

/Hans.

---

hej carsten.
har du set nede i regedit, eller prøvet ad-adware 6.0
mvh. jan poulsen