/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Lukke sikkerhedshul efter hacking
Fra : deepbluesky


Dato : 25-04-06 17:01

Hej NG.
Når ens pc er blevet hacket, og det er anmeldt til Politiets it-afdeling,
hvordan lukker man sikkerhedshullet efter hackeren, så vedkommende ikke blot
fortsat kan tappe ens oplysninger, mails, osv?

/JAF



 
 
Christian E. Lysel (25-04-2006)
Kommentar
Fra : Christian E. Lysel


Dato : 25-04-06 17:14

On Tue, 2006-04-25 at 18:01 +0200, deepbluesky wrote:
> Hej NG.
> Når ens pc er blevet hacket, og det er anmeldt til Politiets it-afdeling,
> hvordan lukker man sikkerhedshullet efter hackeren, så vedkommende ikke blot

Du skal lukke det oprindelig hul og de bagdøre der efterfølgende er
åbnet, evt. ændringer af angriberen bør også rettes tilbage.

Hvis du har en backup så brug den, ellers lær at du skal have en
backup :)

Da du ikke er mere specifik, gætter jeg på du ikke ved hvad angrebet er,
ej hvad der er sket. Mit bedste råd i en sådan situation er at finde en
der kan hjælpe dig med at få den viden, eller blot at reinstallere
maskinen...kik evt. på http://sikkerhed-faq.dk/ og specielt på
http://home18.inet.tele.dk/madsen/winxp/Tjenester_SP2.pdf hvis du køre
med XP service pack 2.

Husk at ændre alle passwords, og hvis der har været adgang til andre
systemmer, informere disses systemadministratorer.

> fortsat kan tappe ens oplysninger, mails, osv?

Hentede politiet den ikke som bevismatriale?




deepbluesky (25-04-2006)
Kommentar
Fra : deepbluesky


Dato : 25-04-06 18:00

Christian E. Lysel wrote:

> Hvis du har en backup så brug den, ellers lær at du skal have > en backup
> :)

Jeg har en backup, som jeg installerede kort efter hackingen. Men jeg
modtager spammails fra hele verden, som begyndte med en spammail fra Chile.
Jeg henvendte mig til udbyders spammailadresse, men fik en personlig mail
tilbage med indledningen: "Hello Enrico..."

Det skete den 11. marts, men Politiet afviste anmeldelsen i første omgang,
fordi jeg ikke havde systemloggen. Den var slået til, men hackingen har
slettet alt mellem den 8/4 og den 20/4! Derefter gik jeg ind på FBI's site,
hvor man kan anmelde systematisk spam. Derefter stoppede spamstrømmen i 3-4
dage, men begyndte så igen. Men da jeg efterfølgende anmeldte det anden gang
på grundlag af en ghostlog til Politiets it-afdeling, holdt strømmen af
spammails op(!) Det har fået mig til at tro, at hackeren(erne) kan tjekke
mine mails, selv om jeg har kørt en ren ghost.

> Husk at ændre alle passwords, og hvis der har været adgang > til andre
> systemmer, informere disses systemadministratorer.

Det vil jeg gøre.

>> fortsat kan tappe ens oplysninger, mails, osv?

> Hentede politiet den ikke som bevismatriale?

De har ikke bedt om noget endnu, men undersøger sikkert først TDCs
server(e).

Tak for henvisningerne.

/JAF



Johnny Rose Carlsen (25-04-2006)
Kommentar
Fra : Johnny Rose Carlsen


Dato : 25-04-06 17:16

"deepbluesky" <freshair@mail.dk> wrote:
> N_r ens pc er blevet hacket, og det er anmeldt til Politiets
> it-afdeling, hvordan lukker man sikkerhedshullet efter hackeren, s_
> vedkommende ikke blot fortsat kan tappe ens oplysninger, mails, osv?

Det sikreste er at re-installerer maskinen. Det er et kæmpe arbejde at
skulle sikre sig at hackeren ikke har efterladt noget som kan give ham
adgang igen.

Held og lykke med det,
- Johnny Carlsen

deepbluesky (25-04-2006)
Kommentar
Fra : deepbluesky


Dato : 25-04-06 18:07

Johnny Rose Carlsen wrote:

> Det sikreste er at re-installerer maskinen. Det er et > kæmpe arbejde at
> skulle sikre sig at hackeren ikke > har efterladt noget som kan give ham
> adgang igen.

Det kan blive enden på det.

> Held og lykke med det,

Tak for opmuntringen.

/JAF




Uffe S. Callesen (25-04-2006)
Kommentar
Fra : Uffe S. Callesen


Dato : 25-04-06 19:08

deepbluesky wrote:
>> Det sikreste er at re-installerer maskinen. Det er et > kæmpe arbejde at
>> skulle sikre sig at hackeren ikke > har efterladt noget som kan give ham
>> adgang igen.


Jeg kan anbefale dig at se nærmere på Tripwire - den ville have været
guld værd for dig nu :)

Allan Olesen (25-04-2006)
Kommentar
Fra : Allan Olesen


Dato : 25-04-06 22:57

Uffe S. Callesen wrote:
> Jeg kan anbefale dig at se nærmere på Tripwire - den ville have været
> guld værd for dig nu :)

Hvordan forholder tripwire sig til ændringer i registreringsdatabasen?
Den er jo sjældent uændret i mange sekunder ad gangen.

Man kan vel bevare en ganske høj grad af infektion, eller i hvert fald
efterlade en åbning for en ny infektion, hvis man placerer de "rette"
entries i registreringsdatabasen?

--
Allan Olesen

Klaus Ellegaard (25-04-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 25-04-06 22:59

Allan Olesen <usenet.02.2006.allan@spamcheck.dk> writes:

>Hvordan forholder tripwire sig til ændringer i registreringsdatabasen?
>Den er jo sjældent uændret i mange sekunder ad gangen.

Relevante filer ændrer sig kun ved patchning eller systemarbejde.

>Man kan vel bevare en ganske høj grad af infektion, eller i hvert fald
>efterlade en åbning for en ny infektion, hvis man placerer de "rette"
>entries i registreringsdatabasen?

Ja, derfor er basen på et read-only-medie (en cd, floppy, SD-kort
eller tilsvarende).

Og ja, det er besværligt. Men hvem har sagt, at det skal være let?

Mvh.
   Klaus.

Allan Olesen (26-04-2006)
Kommentar
Fra : Allan Olesen


Dato : 26-04-06 07:29

Klaus Ellegaard wrote:
> Allan Olesen <usenet.02.2006.allan@spamcheck.dk> writes:
>>Hvordan forholder tripwire sig til ændringer i registreringsdatabasen?
>>Den er jo sjældent uændret i mange sekunder ad gangen.
>
> Relevante filer ændrer sig kun ved patchning eller systemarbejde.

Jeg aner ikke, om vi taler forbi hinanden lige nu. Består
registreringsdatabasen i Windows (for vi taler vel om Windows?) af flere
separate filer, og er der i givet fald en klar adskillelse af de filer,
som har dynamisk indhold, og de filer, som har sårbart indhold?

For vi er vel enige om, at registreringsdatabasen indeholder dynamisk
indhold? Hvis jeg ikke husker forkert, er f.eks. gyldighedsperioden for
en ip-lease fra en dhcp-server registreret i registreringsdatabasen.

>>Man kan vel bevare en ganske høj grad af infektion, eller i hvert fald
>>efterlade en åbning for en ny infektion, hvis man placerer de "rette"
>>entries i registreringsdatabasen?

> Ja, derfor er basen på et read-only-medie (en cd, floppy, SD-kort
> eller tilsvarende).

Igen, taler vi om den samme registreringsdatabase?

--
Allan Olesen

Klaus Ellegaard (26-04-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 26-04-06 07:45

Allan Olesen <usenet.02.2006.allan@spamcheck.dk> writes:

>Jeg aner ikke, om vi taler forbi hinanden lige nu. Består
>registreringsdatabasen i Windows (for vi taler vel om Windows?) af flere
>separate filer, og er der i givet fald en klar adskillelse af de filer,
>som har dynamisk indhold, og de filer, som har sårbart indhold?

Oh... tripwire har også sin egen database med CRC på filer.
Det var den, jeg havde gang i. Sorry.

Mvh.
   Klaus.

deepbluesky (26-04-2006)
Kommentar
Fra : deepbluesky


Dato : 26-04-06 21:02

Uffe S. Callesen wrote:

>> Det sikreste er at re-installerer maskinen. Det er et > kæmpe arbejde at
>> skulle sikre sig at hackeren ikke > har >> >> efterladt noget som kan
>> give ham adgang igen.

> Jeg kan anbefale dig at se nærmere på Tripwire - den ville have > været
> guld værd for dig nu :)

Den er installeret. Tak for tippet.

/JAF



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste