---

Mine websites har haft besøg af hackere, og min webhost er ret sikker
på, ud fra en analyse af logs etc., at hackeren har skaffet sig
informationerne fra min lokale PC. Denne er beskyttet af McAfee Internet
Security, og en nylig totalscan har frikendt PC'en. Ligeledes har en
webscan med Trend Micros Housecall intet fundet.

Men som min webhost siger, så kan det jo meget vel være en ukendt virus,
og hans råd er derfor at geninstallere XP fra scratch :( Men det er nu
ikke i høj kurs hos mig. Dels fordi der lige er to andre maskiner på
netværket der så skal have samme tur, og dels fordi jeg tager datafiler
med fra den gamle PC, så jeg risikerer jo bare at det fortsætter efter
re-installation af XP.

Derfor, er der nogen muligheder for at overvåge PC'en? Jeg tænker på et
program der kan holde øje med mistænkelig adfærd, eller alternativt et
program der scanner på en anden måde end McAfee / Housecall?

---

"Rainman" <rainman@rainman.dk> skrev i en meddelelse

> Derfor, er der nogen muligheder for at overvåge PC'en? Jeg tænker på et
> program der kan holde øje med mistænkelig adfærd

http://www.snapfiles.com/reviews/threatfire/cyberhawk.html

http://www.download.com/SnoopFree-Privacy-Shield/3000-2092_4-10164700.html?tag=lst-0-1

> alternativt et program der scanner på en anden måde end McAfee /
> Housecall?

http://www.snapfiles.com/reviews/Super-Anti-Spyware/SuperAntiSpyware.html

http://www.snapfiles.com/reviews/drweb-cureit/cureit.html

John

---

On Mon, 2008-02-25 at 18:08 +0100, John wrote:
[en bunke links til software]

Problemet kan være noget så simpelt, som folk køre remote desktop fra
hans PC ... intet af ovenstående vil opdage det.

---

On Mon, 2008-02-25 at 17:50 +0100, Rainman wrote:
> Mine websites har haft besøg af hackere, og min webhost er ret sikker
> på, ud fra en analyse af logs etc., at hackeren har skaffet sig

Hvorfor er de sikre på det?

Har du fået en kopi af dem, og siger de dig noget?

> informationerne fra min lokale PC. Denne er beskyttet af McAfee Internet
> Security, og en nylig totalscan har frikendt PC'en. Ligeledes har en
> webscan med Trend Micros Housecall intet fundet.

Hvis angrebet er målrettet nok, kan der gå laang tid før nogen inkludere
det i deres signatur database.

> Men som min webhost siger, så kan det jo meget vel være en ukendt virus,
> og hans råd er derfor at geninstallere XP fra scratch :( Men det er nu
> ikke i høj kurs hos mig. Dels fordi der lige er to andre maskiner på
> netværket der så skal have samme tur, og dels fordi jeg tager datafiler
> med fra den gamle PC, så jeg risikerer jo bare at det fortsætter efter
> re-installation af XP.

Med den antagelse er der jo intet at gøre!

Hvilken type data drejer det sig om?

> Derfor, er der nogen muligheder for at overvåge PC'en? Jeg tænker på et
> program der kan holde øje med mistænkelig adfærd, eller alternativt et
> program der scanner på en anden måde end McAfee / Housecall?

Du bør lære af dine fejl ... overvej backup af dine maskine, så de nemt
kan reetableres.

---

Christian E. Lysel wrote:
> On Mon, 2008-02-25 at 17:50 +0100, Rainman wrote:
>> Mine websites har haft besøg af hackere, og min webhost er ret sikker
>> på, ud fra en analyse af logs etc., at hackeren har skaffet sig
>
> Hvorfor er de sikre på det?
>
> Har du fået en kopi af dem, og siger de dig noget?
Nej, men de kan se at det er en indonesisk ip-adresse som via shell har
været inde på min server. De har ikke haft root access, men
tilsyneladende været inde i administratorprogrammer på alle sites. Ingen
skade så vidt jeg kan se ud over at der i alle public_html roots var
plantet en exe-fil med trojaner i, samt et php passwordscanne program på
en af siterne. Disse er nu fjernet igen, og ud fra sammenligning med
backup's tyder intet på at de har rodet med andet. Men exeprogrammet
formoder jeg var tiltænkt at skulle plante sig på mine kunders PC'ere,
uden jeg dog ved hvordan det evt. kunne gøres.
>
>> informationerne fra min lokale PC. Denne er beskyttet af McAfee Internet
>> Security, og en nylig totalscan har frikendt PC'en. Ligeledes har en
>> webscan med Trend Micros Housecall intet fundet.
>
> Hvis angrebet er målrettet nok, kan der gå laang tid før nogen inkludere
> det i deres signatur database.
>
>> Men som min webhost siger, så kan det jo meget vel være en ukendt virus,
>> og hans råd er derfor at geninstallere XP fra scratch :( Men det er nu
>> ikke i høj kurs hos mig. Dels fordi der lige er to andre maskiner på
>> netværket der så skal have samme tur, og dels fordi jeg tager datafiler
>> med fra den gamle PC, så jeg risikerer jo bare at det fortsætter efter
>> re-installation af XP.
>
> Med den antagelse er der jo intet at gøre!
>
> Hvilken type data drejer det sig om?
Jeg har ingen problemer med at miste data og har selv en lokal og en
remote sikkerhedskopi af alle data foruden at webhosten også har backups
af data og programmer.

Min bekymring går dog mest på om slynglerne via en keylogger kunne
aflure de nye passwords jeg idag har lagt på mine adminfoldere og mine
cpanel programmer. Har installeret Threatfire med højeste
sikkerhedsniveau således at jeg bliver prompet om enhver tænkelig
aktivitet (inkl. remote desktop), så hvis der er en trojaner skal den
nok vise sig. Eneste mistænkelige so far er noget kaldet "CBT Hook" som
jeg lige har puttet i karantæne.

>
>> Derfor, er der nogen muligheder for at overvåge PC'en? Jeg tænker på et
>> program der kan holde øje med mistænkelig adfærd, eller alternativt et
>> program der scanner på en anden måde end McAfee / Housecall?
>
> Du bør lære af dine fejl ... overvej backup af dine maskine, så de nemt
> kan reetableres.
Og det har jeg som sagt. Har dog hørt at det kan være noget besværligt
at slippe af med en trojaner selv med en komplet re-installation af
operativstystemet :(
>
>

---

Rainman wrote:

> Christian E. Lysel wrote:
>> Hvorfor er de sikre på det?
>>
>> Har du fået en kopi af dem, og siger de dig noget?
>
> Nej, men de kan se at det er en indonesisk ip-adresse som via shell har
> været inde på min server.

Tror du ikke nærmere det er via en fejl i et PHP-script, de er kommet ind?

> De har ikke haft root access, men
> tilsyneladende været inde i administratorprogrammer på alle sites.

Når du siger 'administratorprogrammer', mener du så PHP scripts?

> Men exeprogrammet
> formoder jeg var tiltænkt at skulle plante sig på mine kunders PC'ere,
> uden jeg dog ved hvordan det evt. kunne gøres.

Det tyder på du bliver brugt som 'placeholder' til downloaden.
Selve phishingen, a la TV2 reklamerne, ligger nok på en anden server.

Men tjek for guds skyld alle html og php filer for <script> injection.

Jeg er lige stødt på en af den slags, hvor <script src.. osv er lagt
umiddelbat efter <body> tagget, og ikke, som måske forventet, i bunden af
siden.

--
Med venlig hilsen
Stig Johansen

---

Stig Johansen wrote:
> Rainman wrote:
>
>> Christian E. Lysel wrote:
>>> Hvorfor er de sikre på det?
>>>
>>> Har du fået en kopi af dem, og siger de dig noget?
>> Nej, men de kan se at det er en indonesisk ip-adresse som via shell har
>> været inde på min server.
>
> Tror du ikke nærmere det er via en fejl i et PHP-script, de er kommet ind?
Det er kalrt en mulighed, og derfor er jeg også nu ved at instalerre
sikring mod injections. Det lidt ulækre var dog at de kom ind via en
konkret user/pw, som kun bruges fra min PC til cpanels overordnede whm
program. Dette pw er selvfølgelig nu ændret via anden maskine
>
>> De har ikke haft root access, men
>> tilsyneladende været inde i administratorprogrammer på alle sites.
>
> Når du siger 'administratorprogrammer', mener du så PHP scripts?
>
>> Men exeprogrammet
>> formoder jeg var tiltænkt at skulle plante sig på mine kunders PC'ere,
>> uden jeg dog ved hvordan det evt. kunne gøres.
>
> Det tyder på du bliver brugt som 'placeholder' til downloaden.
> Selve phishingen, a la TV2 reklamerne, ligger nok på en anden server.
>
> Men tjek for guds skyld alle html og php filer for <script> injection.
Det er gjort og heldigvis har jeg ikke fundet et eneste eksempel på
noget scriftværk som er injiceret i en eksisterende fil. Det undrer mig
dog lidt at de har kunnet uploade filer, men ikke har lagt noget mere
"lusket" ind i filerne og dermed vundet tid inden det blev opdaget. Har
min webhost ret i at de har haft mit uid/pw til hovedkontoen i cpanel,
så kunne de have taget fuld kontrol så let som ingenting, herunder
manipuleret filer efter forgodtbefindende.

Det eneste sted hvor jeg konkret har set at de har lavet ændringer var
at der var oprettet en ekstra bruger i et folderbeskyttelsespassword på
en af sitene.

Man bliver klog af skade, men sjældent rig! Men nu står der ihvert fald
et par travle dage forude hvor jeg skal til at sikre mig noget bedre.
Troede mig dog rimeligt sikker med McAfee Internet Security på min
lokale PC, men kan forstå at det absolut ikke behøver at være tilfældet.
Jeg gør flittigt brug af små utilityprogrammer som downloades fra
nettet, og inden installation laver jeg altid en søgning for at se om
der advares mod programmet. Men det er nok alligevel herfra den
*eventuelle* trojaner på min PC er kommet.
>
> Jeg er lige stødt på en af den slags, hvor <script src.. osv er lagt
> umiddelbat efter <body> tagget, og ikke, som måske forventet, i bunden af
> siden.
>

---

Rainman wrote:

> Det er gjort og heldigvis har jeg ikke fundet et eneste eksempel på
> noget scriftværk som er injiceret i en eksisterende fil. Det undrer mig
> dog lidt at de har kunnet uploade filer, men ikke har lagt noget mere
> "lusket" ind i filerne og dermed vundet tid inden det blev opdaget.

Vi skal lige være enige om, at 'de' er en bot og ikke en human beeing?

'De' lægger bare filerne så mange steder som muligt, så de har så mange
uri'er at vælge imellem som muligt.

> Har
> min webhost ret i at de har haft mit uid/pw til hovedkontoen i cpanel,

Nu fes den ind med cpanel, sorry. Jeg bruger ikke PHP, og på en eller anfrn
måde fik jeg det oversat til control panel på din PC.

> så kunne de have taget fuld kontrol så let som ingenting, herunder
> manipuleret filer efter forgodtbefindende.

Hvis du kigger tilbage til d. 29/12 - 2007 i gruppen her, er der en tråd,
der hedder 'Hvad gør denne kode?'
Den første post viser noget kode, der netop giver 'hackerne' oplysninger om
brugere og diskplads m.v.
Spørgsmålet i dit tilfælde er så om der er tale om et dictionary attack
eller brute force, eller måske noget helt 3.
I tråden var der også et indlæg fra Kim Ludvigsen med et link til kode, det
laver inficering. Der var der dog tale om en <iframe> med henblik på et
DDoS attack. (STORM)

Jeg har prøvet at goggle linket frem, men min pc vil ikke rigtig med æøå i
groups.google.com

Linket fra Kim er ikke aktivt mere, og jeg har selvfølgelig glemt at gemme
koden fra linket :(

Men det var lidt ideer til hvad der kan være sket.

--
Med venlig hilsen
Stig Johansen

---

"Rainman" <rainman@rainman.dk> skrev i en meddelelse

> De har ikke haft root access

"Ofte kan et rootkitRootkit ikke opdages af almindelige sikkerhedsprogrammer
som antivirus eller antispyware. Flere sikkerhedsfirmaer har derfor udviklet
særlige programmer, som kan opdage og fjerne rootkits"

Hele artiklen:
http://www.version2.dk/artikel/2181

Mere om rootkits:
http://www.version2.dk/artikel/6439

Gratis anti rootkit scannere, bruger selv disse to:

AVG Anti-Rootkit Free
http://free.grisoft.com/doc/5390/us/frt/0?prd=arw

Sophos Anti-Rootkit
http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html

John

---

On Mon, 2008-02-25 at 22:06 +0100, Rainman wrote:
> backup's tyder intet på at de har rodet med andet. Men exeprogrammet
> formoder jeg var tiltænkt at skulle plante sig på mine kunders PC'ere,
> uden jeg dog ved hvordan det evt. kunne gøres.

Har du en kopi af programmet?

Du kan evt. "lege" med det på en anden maskine i en virtuel maskine, for
at finde ud af formålet.

> Min bekymring går dog mest på om slynglerne via en keylogger kunne
> aflure de nye passwords jeg idag har lagt på mine adminfoldere og mine
> cpanel programmer. Har installeret Threatfire med højeste

Jeg ville nok starte med at skifte alle passwords fra en anden maskine.

> sikkerhedsniveau således at jeg bliver prompet om enhver tænkelig
> aktivitet (inkl. remote desktop), så hvis der er en trojaner skal den
> nok vise sig. Eneste mistænkelige so far er noget kaldet "CBT Hook" som
> jeg lige har puttet i karantæne.

Og de ikke mistænkelige ... er det dem med "pæne" navne?

Det er ikke svært at kalde sit program noget pænt.

> Har dog hørt at det kan være noget besværligt
> at slippe af med en trojaner selv med en komplet re-installation af
> operativstystemet :(

Selvfølgelig hvis den samme metode benyttes til angrebet og maskinen
ikke er blevet sikret.

---

Rainman <rainman@rainman.dk> crashed Echelon writing
news:47c2f1d9$0$89173$157c6196@dreader1.cybercity.dk:

> Derfor, er der nogen muligheder for at overvåge PC'en? Jeg tænker på et
> program der kan holde øje med mistænkelig adfærd, eller alternativt et
> program der scanner på en anden måde end McAfee / Housecall?

Microsoft har jo en række tools, dels en bedre task manager (process
explorer) hvor du kan udlede lidt mere info om aktive programmer/services.

Desuden har de realtime grafisk netstat tool TCPView, så kan du se hvem din
computer har forbindelse med, dog er det jo realtime.

Så er der osse disk tool (kan ikke huske om det er Diskmon eller Filemon)
der viser hvad der sker på harddisken, hvis evt keylog fil skulle blive
skrevet.

Desuden kan du installere en af disse firewalls som kræver du godkender
adgang til internettet for hvert eneste program.

--
Bjarke Andersen

---

On Tue, 2008-02-26 at 10:48 +0100, Rainman wrote:
> og så blev de fanget af McAfee som meldte om en trojaner. Derefter

Hvilken?

Jeg ville, med virus scanneren slået fra, hentet den til senere
undersøgelse.

> > Jeg ville nok starte med at skifte alle passwords fra en anden maskine.
> Og det er gjort!

Ok fik blot intrykket af det var fra samme maskine, der ikke er
reinstalleret?

> > Og de ikke mistænkelige ... er det dem med "pæne" navne?
> >
> > Det er ikke svært at kalde sit program noget pænt.
> Helt enig, men det gør i hvert fald at åbenlyse forsøg på at tiltvinge
> sig adgang som eks. via remote desktop vil blive fanget.

Har du en trojansk hest installeret, er endnu et sikkerhedsprogram ikke
ensbetydende med det kan ses.

Prøv at køre en troj i et virtuelt miljø og se på hvor mange
sikkerhedsprodukter der kan "se" den ... du bliver overrasket.


Du kan også læse http://www.rootkit.com/newsread.php?newsid=849