|
| forsøg påhacking eller ? Fra : Carsten Andersen |
Dato : 01-06-03 11:27 |
|
Hej
Jeg har haft en række forsøg på (ifølge norton Internet security 2002)
indtrængning på min computer. Et par ip'er forsøger at ligge
backdoors/trojans ind på computeren. Er der noget sted det er muligt at slå
op hvem der har haft de pågældende ip'er ?
Hvad er jeres erfaring med sådanne alarm-meddelelser ? Er det alvorligt som
norton fortæller mig ? skal jeg melde det til politiet (hvor seriøst tager
de det) ? Risikerer man at få endevendt sin internetfærden hvis man melder
det, eller ?
På forhånd tak !
mvh
Carsten
| |
NuN (01-06-2003)
| Kommentar Fra : NuN |
Dato : 01-06-03 11:37 |
|
Carsten Andersen wrote:
> Hej
>
> Jeg har haft en række forsøg på (ifølge norton Internet security 2002)
> indtrængning på min computer. Et par ip'er forsøger at ligge
> backdoors/trojans ind på computeren. Er der noget sted det er muligt
> at slå op hvem der har haft de pågældende ip'er ?
>
> Hvad er jeres erfaring med sådanne alarm-meddelelser ? Er det
> alvorligt som norton fortæller mig ? skal jeg melde det til politiet
> (hvor seriøst tager de det) ? Risikerer man at få endevendt sin
> internetfærden hvis man melder det, eller ?
>
> På forhånd tak !
>
> mvh
>
> Carsten
Hej........Mange attacks er "false reports"! Husk det........
Politiet kan ikke göre en skid..da internet er just internationellt
(INTERnet)
Et godt sted at begynde eller informere sig er http://www.dshield.org/
Med Vänlig Hälsning
NuN
p.s. sry abt my pathetic danish lingo
| |
Thomas Corell (01-06-2003)
| Kommentar Fra : Thomas Corell |
Dato : 01-06-03 13:26 |
|
NuN wrote:
>
> Hej........Mange attacks er "false reports"! Husk det........
Yep.
> Politiet kan ikke göre en skid..da internet er just internationellt
> (INTERnet)
Der tager du så fejl. Men det skal være alvorlige sager, før de går
udover landets grænser.
--
Don't waste space
| |
NuN (02-06-2003)
| Kommentar Fra : NuN |
Dato : 02-06-03 11:10 |
|
Thomas Corell wrote:
> NuN wrote:
>>
>> Hej........Mange attacks er "false reports"! Husk det........
>
> Yep.
>
>> Politiet kan ikke göre en skid..da internet er just internationellt
>> (INTERnet)
>
> Der tager du så fejl. Men det skal være alvorlige sager, før de går
> udover landets grænser.
Eneste gang man har lavet en "sammenkörning" mellem abbonenter i
Skandinavien, er da man er ude efter pädofiler (Norsk politi spurgte Svensk
politi, som sedvanligt), og det er jo helt ok.....
Detaljer som DoS gider de ikke..Det er ALT for stort...umuligt at
sammenköre...(skurken har ofte "dynamisk"(hehe) ip).
Feks SPAM.....man ved vem det er, man ved hvor de bor etc etc....men der er
masser af juridiske spörgsmål her.(internationel ret, og USA skider vel i DK
I er kun marikinkorva (russisk=nyttige idioter, en der ikke ved at han
udnyttes)[feks Irak, men det skal nok väre i et andet forum]. Rent tekniskt
kan jeg sige at efter at have läst en rapport af en svensk proffesor..att
90% af alt spam + DoS og lignende vil väre väk om 5 år...men för det bliver
det MEGET VÄRRE!! 98% af din mail kommer til at väre spam....smuk fremtid
eh....folk kommer til at blive så trätte af det at de vil kräve
lovändringer. Og dermed give politiet mere magt...(og derfor forminske vores
demokratiske vurderinger....)
Med Venlig Hilsen
NuN
P.S. Undskyld min dårlige dansk, I´m really trying :)
| |
Thomas Corell (02-06-2003)
| Kommentar Fra : Thomas Corell |
Dato : 02-06-03 11:35 |
|
NuN wrote:
>
> Feks SPAM.....man ved vem det er, man ved hvor de bor etc etc....men der er
> masser af juridiske spörgsmål her.(internationel ret, og USA skider vel i DK
Fonn er lige dømt i Danmark, og AFAIR sendte de reklamerne fra en Norsk
opkobling.
--
Don't waste space
| |
Hans Joergensen (06-06-2003)
| Kommentar Fra : Hans Joergensen |
Dato : 06-06-03 17:25 |
|
Thomas Corell wrote:
> Der tager du så fejl. Men det skal være alvorlige sager, før de går
> udover landets grænser.
Jah, og da de er så langsomme vil alle logs formodentlig ikke findes
mere hos den udenlandske udbyder ....
Det er nok langt fra alle lande der gider gemme logfiler i fx. det
1½ år det tog før sagen blev taget op, sidst jeg anmeldte et
forsøg på at hacke en af mine maskiner... behøver jeg sige at jeg
ikke har gidet at anmelde noget som helst siden ?
// Hans
--
Fantastiske pandekager: http://www.ph33r.dk/pancakes.shtml
UNIX Admin søger arbejde, http://nathue.dk/?page=cv
| |
Jacob Atzen (01-06-2003)
| Kommentar Fra : Jacob Atzen |
Dato : 01-06-03 12:51 |
|
"Carsten Andersen" <**elgcda@get2net.dk***> writes:
> Jeg har haft en række forsøg på (ifølge norton Internet security 2002)
> indtrængning på min computer. Et par ip'er forsøger at ligge
> backdoors/trojans ind på computeren. Er der noget sted det er muligt at slå
> op hvem der har haft de pågældende ip'er ?
>
> Hvad er jeres erfaring med sådanne alarm-meddelelser ? Er det alvorligt som
> norton fortæller mig ? skal jeg melde det til politiet (hvor seriøst tager
> de det) ? Risikerer man at få endevendt sin internetfærden hvis man melder
> det, eller ?
Du kan starte med at læse lidt i OSS'en:
< http://a.area51.dk/sikkerhed/>
Især dette og det følgende afsnit:
< http://a.area51.dk/sikkerhed/hjemme_net#fwbesked>
--
Med venlig hilsen
- Jacob Atzen
| |
Kent Friis (01-06-2003)
| Kommentar Fra : Kent Friis |
Dato : 01-06-03 12:59 |
|
Den Sun, 1 Jun 2003 12:27:29 +0200 skrev Carsten Andersen:
> Hej
>
>Jeg har haft en række forsøg på (ifølge norton Internet security 2002)
>indtrængning på min computer. Et par ip'er forsøger at ligge
>backdoors/trojans ind på computeren.
Hvordan kan de gøre det?
Mon ikke nærmere at din "firewall" forsøger at gøre dig opmærksom på at
nogen har checket om du har en trojan?
Det sker tit, og hvis bare du ikke har installeret en trojan, så gør
det overhovedet ingen skade. Iøvrigt er der ingen garanti for at det
rent faktisk er nogen der leder efter en trojan, det kan også være et
andet program der tilfældigvis bruger samme port. Hver port har et
nummer, og de fleste porte er til fri afbenyttelse. De porte trojans
benytter er ikke nogen af de porte der er reserverede til et bestemt
formål (hvem ville dog også acceptere at reservere en port til den
slags?), så derfor benytter de nogen af dem der står til fri
afbenyttelse. Fx. benytter en brygtet trojan port 12345, men jeg har
et netværks-overvågnings-program der også benytter port 12345.
> Hvad er jeres erfaring med sådanne alarm-meddelelser ? Er det alvorligt som
>norton fortæller mig ?
Nej, den fortæller kun når den har blokeret, og der derfor ikke er sket
noget. Hvis der var nogen der havde sneget sig forbi uden at den havde
opdaget det, ville du ikke få nogen besked. Det bedste er bare at slå
de beskeder fra, deres primære formål er markedsføring - "bare se hvor
farligt det er at være på nettet, nu har NIS lige blokeret 100 angrebs-
forsøg, som windows ellers ville have blokeret".
>skal jeg melde det til politiet (hvor seriøst tager de det) ?
Nej, lad hellere være med det. Der har før været tilfælde hvor de har
taget den slags meget alvorligt, uden at vide hvad de havde med at
gøre, og uskyldige har fået konfiskeret deres computer i månedsvis.
Mvh
Kent
--
At køre i en stor Mercedes eller BMW viser ikke at man har mange penge.
Det viser blot at man er tysker.
| |
Kasper Pedersen (01-06-2003)
| Kommentar Fra : Kasper Pedersen |
Dato : 01-06-03 14:27 |
|
"Kent Friis" <leeloo@phreaker.net> wrote in message
news:bbcpqp$7sq$1@sunsite.dk...
> Den Sun, 1 Jun 2003 12:27:29 +0200 skrev Carsten Andersen:
> > Hej
> >
> >Jeg har haft en række forsøg på (ifølge norton Internet security
2002)
> >indtrængning på min computer. Et par ip'er forsøger at ligge
> >backdoors/trojans ind på computeren.
...
> >skal jeg melde det til politiet (hvor seriøst tager de det) ?
>
> Nej, lad hellere være med det. Der har før været tilfælde hvor de har
> taget den slags meget alvorligt, uden at vide hvad de havde med at
> gøre, og uskyldige har fået konfiskeret deres computer i månedsvis.
Jeg havde en sjov/grim oplevelse i den retning. Jeg sad en dag og
kiggede firmaets firewall log igennem; Normalt er 'trojanerportene' (som
også bruges til legale formål) bare støj, men denne dag var der ganske
mange med afsender fra wanadoo.fr, og med en TTL der så for høj ud. Jeg
kan ikke huske det nøjagtigt, men jeg mener vi havde 11 hops til den
adresse, og TTL var 248, hvilket betød at afsenderen ikke sad mere end 7
hops fra mig.
Med andre ord, en eller anden sendte pakker med falsk afsenderadresse.
Hvis denne havde været lidt mindre dum og justeret TTL, så havde jeg
aldrig opdaget det.
Jeg skrev en lille note til wanadoo abuse, da jeg kunne forestille mig
at der var andre der fik falske pakker med samme fromfield, bare for at
være flink og gøre opmærksom på hvad der foregik.
Svaret: Jo, de havde fået mange klager, og havde lukket vedkommendes
dsl, så mit problem var løst.
huh?
Dagen efter prøvede jeg med en fax, og det gik noget bedre.
Konklusion: der er mindst een clueless person hos wanadoo.fr abuse, og
pakker med falsk afsender er et udmærket værktøj når man vil bringe en
uskyldig person i fedtefadet.
Og mht. 'muligvis-trojaner'-pakker, og såmænd også fulde connects med
efterfølgende kommandoer, så er der lige det problem, at dem der gør i
den slags efter al sandsynlighed ikke bruger deres egen maskine til at
scanne efter andre sårbare maskiner, nej hvorfor skulle man udsætte sig
selv for den risiko når man har fundet den første slave?
Desværre har dk politi ikke midlerne til at få fat i de folk de egentlig
skulle have fat i. Og det gælder både forbrydere og medarbejdere.
/Kasper
| |
Thomas Corell (01-06-2003)
| Kommentar Fra : Thomas Corell |
Dato : 01-06-03 14:36 |
|
Kasper Pedersen wrote:
>
> Jeg havde en sjov/grim oplevelse i den retning. Jeg sad en dag og
> kiggede firmaets firewall log igennem; Normalt er 'trojanerportene' (som
> også bruges til legale formål) bare støj, men denne dag var der ganske
> mange med afsender fra wanadoo.fr, og med en TTL der så for høj ud. Jeg
> kan ikke huske det nøjagtigt, men jeg mener vi havde 11 hops til den
> adresse, og TTL var 248, hvilket betød at afsenderen ikke sad mere end 7
> hops fra mig.
> Med andre ord, en eller anden sendte pakker med falsk afsenderadresse.
> Hvis denne havde været lidt mindre dum og justeret TTL, så havde jeg
> aldrig opdaget det.
Du går fejlagtigt ud far at route'n til dig == med routen til
afsenderen.
Det kan da godt tænkes at routen fra afsender til dig har 7 hop's, og
returrouten har 11 hops.
--
Don't waste space
| |
Kasper Pedersen (01-06-2003)
| Kommentar Fra : Kasper Pedersen |
Dato : 01-06-03 18:36 |
|
"Thomas Corell" <intheNOSPAMnews@corell.dk> wrote in message
news:slrnbdk0a2.smk.intheNOSPAMnews@mail.corell.dk...
>
> Du går fejlagtigt ud far at route'n til dig == med routen til
> afsenderen.
Jeg er udmærket klar over at ruten den ene vej sjældent er lig med ruten
den anden vej.
De 11 hops var ikke baseret på en traceroute fra mig til 'afsender'.
/Kasper
| |
|
|