/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hacket ?
Fra : Ole Vandborg Rasmuss~


Dato : 19-02-03 20:31

Hej gruppe

Jeg kører en lille server herhjemme med win2k_server og IIS. I dag fangede
min Norton en virus (efter genstart!) Virus lå i tre filer - alle hed *.ins.
Bagefter lagde jeg mærke til at der kørte et lille program i et "nedlukket"
vindue - programmet hedder "nCHK Network Tools Monitor", og ved at vælge
logon under menu logger den op til "xxc.sinisternetwork.net".

Er jeg blevet hacket, eller er det "bare Norten der laver lidt "fis" ??

Mvh

Ole Rasmussen



 
 
Povl H. Pedersen (20-02-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 20-02-03 20:38

In article <3e53e456$0$144$edfadb0f@dtext01.news.tele.dk>, Ole Vandborg Rasmussen wrote:
> Hej gruppe
>
> Jeg kører en lille server herhjemme med win2k_server og IIS. I dag fangede
> min Norton en virus (efter genstart!) Virus lå i tre filer - alle hed *.ins.
> Bagefter lagde jeg mærke til at der kørte et lille program i et "nedlukket"
> vindue - programmet hedder "nCHK Network Tools Monitor", og ved at vælge
> logon under menu logger den op til "xxc.sinisternetwork.net".
>
> Er jeg blevet hacket, eller er det "bare Norten der laver lidt "fis" ??

Mit bedste bud er at du er blevet hacket. I dit sted ville jeg
omformatere maskinen, smide alle opdateringer på, køre IIS Lockdown,
smide URLscan på, og så lægge web-snasket ind fra en ældre backup.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Ole Vandborg Rasmuss~ (21-02-2003)
Kommentar
Fra : Ole Vandborg Rasmuss~


Dato : 21-02-03 06:56

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> skrev i en
meddelelse news:slrnb5abla.13k.povlhp@povl-h-pedersens-computer.local...
> In article <3e53e456$0$144$edfadb0f@dtext01.news.tele.dk>, Ole Vandborg
Rasmussen wrote:
> Mit bedste bud er at du er blevet hacket. I dit sted ville jeg
> omformatere maskinen, smide alle opdateringer på, køre IIS Lockdown,
> smide URLscan på, og så lægge web-snasket ind fra en ældre backup.

Øv.... På'en igen.... (Maskinen blev formateret sidste fredag )

Men tak for hjælpen

Mvh
Ole



Peder Vendelbo Mikke~ (21-02-2003)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 21-02-03 22:11

Ole skrev:

> "Povl H. Pedersen" skrev
>> Mit bedste bud er at du er blevet hacket. I dit sted ville jeg
>> omformatere maskinen, smide alle opdateringer på, køre IIS
>> Lockdown, smide URLscan på, og så lægge web-snasket ind fra en ældre
>> backup.

> Øv.... På'en igen.... (Maskinen blev formateret sidste fredag )

Start eventuelt med at læse Microsofts anbefalinger til hvad de mener
du bør gøre, hvis du frygter at der er blevet brudt ind i maskinen:

<URL: http://microsoft.com/technet/security/tools/tools/detect.asp >

Når du har besluttet at starte fra bunden, så følg de relevante check-
lists og almindelig sund skepsis:

<URL: http://microsoft.com/technet/security/tools/tools.asp >

Når din webside er oppe at køre igen og det hele virker som det skal,
er det en god ide igen at køre Microsoft Base Line Security Analyzer
(for at tjekke at du ikke har lavet sikkerhedsfejl under opsætning):

<URL: http://microsoft.com/technet/security/tools/tools/detect.asp >

SANS har en pæn stor samling dokumenter om samme emne:

<URL: http://rr.sans.org >


Nicolas Duchastel de~ (06-03-2003)
Kommentar
Fra : Nicolas Duchastel de~


Dato : 06-03-03 04:26

Sorry, i dont speak danish!

I have a similar problem (i think?):

Who is trying to hack into my system!!!
What is this nchknmt.exe!!

its connecting to athen122.server4free.de; on port 8888!!!
its a trojan running on my pc; but what is it doing? and who installed
it? i.e. what application? (e.g. seem like an popup add thing).


list of connections as reported by "Active Port" (btw, great
tool!!!!):

nchknmt.exe   1136   0.0.0.0   3191         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1136   0.0.0.0   113         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1136   0.0.0.0   58721         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1504   192.168.0.100   3315   217.172.180.122   8888   SYN_SENT   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1504   0.0.0.0   113         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe
nchknmt.exe   1504   0.0.0.0   58721         LISTEN   TCP   C:\WINNT\system32\nchknmt.exe


Any ideas on what this is???

p.s. i understand english, french or spanish' if you could translate
your last post in any of these; that would be great.

Thank you,

Nicolas


"Ole Vandborg Rasmussen" <ole@vandborgnet.dk> wrote in message news:<3e53e456$0$144$edfadb0f@dtext01.news.tele.dk>...
> Hej gruppe
>
> Jeg kører en lille server herhjemme med win2k_server og IIS. I dag fangede
> min Norton en virus (efter genstart!) Virus lå i tre filer - alle hed *.ins.
> Bagefter lagde jeg mærke til at der kørte et lille program i et "nedlukket"
> vindue - programmet hedder "nCHK Network Tools Monitor", og ved at vælge
> logon under menu logger den op til "xxc.sinisternetwork.net".
>
> Er jeg blevet hacket, eller er det "bare Norten der laver lidt "fis" ??
>
> Mvh
>
> Ole Rasmussen

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408927
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste