---

Hej NG

Vi er blevet angrebet af en hacker på mit arbejde og nu ligger der
Firedeamon på næsten alle vore PC'er. Vi er blevet fortalt at vi skal
opdatere windows med det sidste nye inden for patches og
sikkerhedsopdateringer og det skulle lukke hullet. Men hvordan for man
firedeamon fjernet. Jeg for en fejlmeddelse hver gang jeg starter min PC.
Det er ret irrerende.

På forhånd tak

Jesper

---

Jesper og Anne <invalid@hotmail.com> wrote:
> Hej NG
>
> Vi er blevet angrebet af en hacker på mit arbejde og nu ligger der
> Firedeamon på næsten alle vore PC'er. Vi er blevet fortalt at vi skal
> opdatere windows med det sidste nye inden for patches og
> sikkerhedsopdateringer og det skulle lukke hullet. Men hvordan for man
> firedeamon fjernet. Jeg for en fejlmeddelse hver gang jeg starter min PC.
> Det er ret irrerende.

Geninstaller PC'en og patch den fuldt op foer den kobles tilbage paa et
aabent netvaerk. Det er den eneste maade at 'komme sig' 100% efter et
indbrud.

http://www.cert.org/tech_tips/win-UNIX-system_compromise.html

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

> Geninstaller PC'en og patch den fuldt op foer den kobles tilbage paa et
> aabent netvaerk. Det er den eneste maade at 'komme sig' 100% efter et
> indbrud.

Ja, det tænkte jeg nok. Men det kommer jo til at tage en rum tid, så gad
vide om det er besværet værd.

Tak for svaret ellers.

---

Jesper og Anne wrote in <news:bgp448$jbu$1@sunsite.dk>:

>> Geninstaller PC'en og patch den fuldt op foer den kobles tilbage
>> paa et aabent netvaerk. Det er den eneste maade at 'komme sig'
>> 100% efter et indbrud.
>
> Ja, det tænkte jeg nok. Men det kommer jo til at tage en rum tid,
> så gad vide om det er besværet værd.

Det kan KUN være besværet værd. Som det er idag, har andre mennesker jo
direkte adgang til jeres data (i hvert fald har I ikke nogen mulighed
for at være sikre på at de ikke har).

Skal I have geninstalleret mange windows-maskiner, findes der flere
muligheder for at autmagisere det så I ikke behøver geninstallere
alting i hånden (RIS, sysprep, etc). Hvis du spørger i en af windows-
grupperne er der sikkert hjælp at hente.

Ellers burde en konslu.. en knosu.. en konssull.. en af dem med slips
kunne klare det på et par timer.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det! http://www.spamcon.org/legalfund/

---

"Jesper og Anne" <invalid@hotmail.com> skrev i en meddelelse
news:bgp448$jbu$1@sunsite.dk
>> Geninstaller PC'en og patch den fuldt op foer den kobles tilbage paa
>> et aabent netvaerk. Det er den eneste maade at 'komme sig' 100%
>> efter et indbrud.
>
> Ja, det tænkte jeg nok. Men det kommer jo til at tage en rum tid, så
> gad vide om det er besværet værd.

Hvis I har opdateringerne lokalt vil det sikker gå lidt hurtigere, de kan
hentes her:
http://www.it-service.sdu.dk/vis.php?side=84

Så er det vel "bare" at starte opdateringerne, derefter er der dog stadig
nogle enkelte huller, som kan klares med Windows Update, og sikkert nogle
som ikke er kendte

Husk at du eks. til Win2000 kun behøver SP4, da den bare er en "opdateret"
SP3

--
mvh Søren Nielsen
http://www.soerennielsen.dk/akvarie/
Jeg bruger ikke min hotmail, så skriv ikke til den

---

> Hvis I har opdateringerne lokalt vil det sikker gå lidt hurtigere, de kan
> hentes her:
> http://www.it-service.sdu.dk/vis.php?side=84
>
> Så er det vel "bare" at starte opdateringerne, derefter er der dog stadig
> nogle enkelte huller, som kan klares med Windows Update, og sikkert nogle
> som ikke er kendte
>
> Husk at du eks. til Win2000 kun behøver SP4, da den bare er en "opdateret"
> SP3

Vi har opdateret windows med SP4 + alt det andet. Skulle systemet så være
rimeligt sikkert igen? Så er problemet bare de fejlmeddelser jeg får fra
Firedeamon. Men de er måske til at leve med.

Tak for hjælpen

---

Den Wed, 6 Aug 2003 20:01:21 +0200 skrev Jesper og Anne:
>> Hvis I har opdateringerne lokalt vil det sikker gå lidt hurtigere, de kan
>> hentes her:
>> http://www.it-service.sdu.dk/vis.php?side=84
>>
>> Så er det vel "bare" at starte opdateringerne, derefter er der dog stadig
>> nogle enkelte huller, som kan klares med Windows Update, og sikkert nogle
>> som ikke er kendte
>>
>> Husk at du eks. til Win2000 kun behøver SP4, da den bare er en "opdateret"
>> SP3
>
>Vi har opdateret windows med SP4 + alt det andet. Skulle systemet så være
>rimeligt sikkert igen? Så er problemet bare de fejlmeddelser jeg får fra
>Firedeamon. Men de er måske til at leve med.

Nej, så længe du ikke har geninstalleret efter angrebet, er intet
sikkert.

Mvh
Kent
--
At køre i en stor Mercedes eller BMW viser ikke at man har mange penge.
Det viser blot at man er tysker.

---

"Jesper og Anne" <invalid@hotmail.com> skrev i en meddelelse
news:bgrfph$dhd$1@sunsite.dk...
> > Hvis I har opdateringerne lokalt vil det sikker gå lidt hurtigere, de
kan
> > hentes her:
> > http://www.it-service.sdu.dk/vis.php?side=84
> >
> > Så er det vel "bare" at starte opdateringerne, derefter er der dog
stadig
> > nogle enkelte huller, som kan klares med Windows Update, og sikkert
nogle
> > som ikke er kendte
> >
> > Husk at du eks. til Win2000 kun behøver SP4, da den bare er en
"opdateret"
> > SP3
>
> Vi har opdateret windows med SP4 + alt det andet. Skulle systemet så være
> rimeligt sikkert igen? Så er problemet bare de fejlmeddelser jeg får fra
> Firedeamon. Men de er måske til at leve med.

Det ord du missede i denne tråd var : geninstallation. Don't ask - just do
it! :)

--

Stig Meyer Jensen
stig@mine_3_initialer.dk

---

"Stig Meyer Jensen" <stig@mine_3_initialer.dk> writes:

> Det ord du missede i denne tråd var : geninstallation. Don't ask - just do
> it! :)

Selvfølgelig må han da spørge. Svaret er meget enkelt: Hvis du ikke
har geninstalleret kan du patche alt det du gider, men når nogen har
værte på maskinen har du i princippet ingen idé om hvad der ligger
der. Der kan ligge et sovende program der vågner i overmorgen og
sender alle jeres fortrolige dokumenter ud til hvorsomhelst på
internettet. Eller det kan åbne en port så vedkommende der har været
inde kan få adgang til alt på maskinen. Eller det kan formattere
harddisken når du mindst venter det. Eller... Jeg har sikkert ikke
engang kunne finde på worst-case scenario.

Patches og firewalls og antivirusprogrammer hjælper intet. Der er tale
om et program der ligger lokalt på maskinen og ser helt legalt ud for
disse ting.

Derfor er der ingen vej udenom: Geninstallér! Det kan godt være det er
dyrt og tidskrævende, men det er den eneste vej.

Hilsen
Kåre


--
Kaare Fiedler Christiansen fiedler@daimi.au.dk

2b|~2b == -1

---

"Kaare Fiedler Christiansen" <fiedler@daimi.au.dk> skrev i en meddelelse
news:xkpk79otpxy.fsf@horse06.daimi.au.dk...
> "Stig Meyer Jensen" <stig@mine_3_initialer.dk> writes:
>
> > Det ord du missede i denne tråd var : geninstallation. Don't ask - just
do
> > it! :)
>
> Selvfølgelig må han da spørge.

Ja selvfølgelig - klodset brug af catchphrase fra min side :)

Og tak fordi du gave ham det lange svar :D

--

Stig Meyer Jensen
stig@mine_3_initialer.dk

---

Jesper og Anne skrev:

> Vi er blevet angrebet af en hacker på mit arbejde og nu ligger der
> Firedeamon på næsten alle vore PC'er.

Firedeamon er et program der gør det muligt at starte et Win32-program
eller script som en service, læs mere om det her:

<URL: http://www.firedaemon.com/ >

Programmet er ikke i sig selv ondsindet.

I vil sandsynligvis finde programmer lignende dem der er nævnt i ana-
lysen af dette rootkit:

<URL: http://www.gainesville2600.org/stuff/rootkit_analysis.htm >

Overvej at rapportere hændelsen til www.cert.dk, de vil anbefale samme
løsning som resten af gruppen (reinstallation), men vil måske bede om
lov til at få adgang til en af maskinerne (for at opsamle oplysninger
om indbruddet og hvilke værktøjer der blev anvendt etc.) og vil kunne
vejlede jer hvad i bør gøre i fremtiden for at undgå lignende situa-
tioner.