Kandu.dk - En lille virushistorie


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

En lille virushistorie
Fra : Carsten Overgaard

Dato : 21-08-03 06:59

Igår ved 11 tiden begynder vores anti-virus at meddele at Welchia er banen
inden for murene (Læs: LAN). Vores servere angribes og de afviser virusen,
da de selvfølgelig har et opdateret anti-virus program installeret.

Forhistorien er at vi for uger siden havde fået flere varsler om at der er
noget i gære fra et firma, vi betaler beskyttelsespenge til for at få
varsler i god tid. Derfor havde vi selvfølgelig patchet og ekstraordinært
havde vi spærret portene i vores firewall. Vi havde sendt samme anbefalinger
ud til de LAN vi har VPN tunnel til.

(Vores virksomhed er opdelt i to forsvarzoner, som styrer antivirus forsvar
selvstændig uden kommunikation med hinanden: FADC og VADC.) I princippet kan
den anden zone godt patche anderledes end os, da vi ikke ved hvordan de
patcher. Derfor kunne vi i teorien godt være angrebet af den anden zone.

Da vi ved at vi har patchet og vi har blokeret de porte, som virusen bruger
for at komme ind udefra, disabler vi alle VPN-tunneler for at slås med
problemet her. VADC informeres og de cutter forbindelsen fra deres side.
Angrebene fortsætter og trafikken er nu så voldsom, da brugerne for besked
på at logge af for at vi kan slås alene, men samtidig for de besked på at
holde maskinerne tændte, så vi kan lukke dem kontrolleret ned og spore
angriberen.

Da vi går ind i vores DHCP manager for at se hvilke maskiner, der har lease
finder vi pludselig en maskine på vores LAN, som ikke kendes af os.

Efter et kvarter lokaliserer vi så synderen. En af vores trykmaskiner, som
er computerstyret, har teknikkerbesøg. Teknikkeren plugger sin bærbar PC ind
i trykmaskinen. Trykmaskinen fungerer åbenbart som en router, da den også
har netkort til vores LAN. PC'en har XP med en anti-virus, som var opdateret
pr. 1. august. Ud med den bærbare og nettet falder til ro.

Klokken er nu ca. 12 og vi gendanner forbindelsen med VADC, åbner
tunnelerne, informerer brugerne om at de må gå på, kører manuel check på
hele serverparken bare for helbreddets skyld og sætter os ned for at skrive
nogle nye kapitler ned i firmaets sikkerhedspolitik.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

Kasper Dupont (21-08-2003)

Kommentar
Fra : Kasper Dupont

Dato : 21-08-03 08:39

Carsten Overgaard wrote:
>
> Efter et kvarter lokaliserer vi så synderen. En af vores trykmaskiner, som
> er computerstyret, har teknikkerbesøg. Teknikkeren plugger sin bærbar PC ind
> i trykmaskinen. Trykmaskinen fungerer åbenbart som en router, da den også
> har netkort til vores LAN. PC'en har XP med en anti-virus, som var opdateret
> pr. 1. august. Ud med den bærbare og nettet falder til ro.
>
> Klokken er nu ca. 12 og vi gendanner forbindelsen med VADC, åbner
> tunnelerne, informerer brugerne om at de må gå på, kører manuel check på
> hele serverparken bare for helbreddets skyld og sætter os ned for at skrive
> nogle nye kapitler ned i firmaets sikkerhedspolitik.

Firmaet, der har leveret trykmaskinen og sendt trykkeren
(er det samme firma) burde gøre det samme.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

Christian E. Lysel (21-08-2003)

Kommentar
Fra : Christian E. Lysel

Dato : 21-08-03 08:59

En virus historie hører til i dk.edb.sikkerhed.virus!

In article <2dZ0b.5$IX6.4@news.get2net.dk>, Carsten Overgaard wrote:
> selvstændig uden kommunikation med hinanden: FADC og VADC.) I princippet kan

http://www.formula.dk/ og http://vivild.com/

> Da vi ved at vi har patchet og vi har blokeret de porte, som virusen bruger
> for at komme ind udefra, disabler vi alle VPN-tunneler for at slås med
> problemet her. VADC informeres og de cutter forbindelsen fra deres side.

Jeg ville nok havde læst firewallens log igennem, for at se hvor pakkerne
kom fra.

> Efter et kvarter lokaliserer vi så synderen. En af vores trykmaskiner, som
> er computerstyret, har teknikkerbesøg. Teknikkeren plugger sin bærbar PC ind
> i trykmaskinen. Trykmaskinen fungerer åbenbart som en router, da den også

Hvis hvis bærbaren har fået en adresse via DHCP, har den fungeret som mere end
en router.

> nogle nye kapitler ned i firmaets sikkerhedspolitik.

Har i noget omkring vidensdeling af Jeres internet oplysninger?

Jep (22-08-2003)

Kommentar
Fra : Jep

Dato : 22-08-03 07:14

Hvad er facts på den Trykmaskine??

Der er jo store multifunktionsmaskiner (kopi + printer) på vej til
større kontorer. LAN kablede enheder. Er det en Canon, HP eller ....
??

On Thu, 21 Aug 2003 07:59:26 +0200, "Carsten Overgaard"
<info@carstenovergaard.dk> wrote:

>Igår ved 11 tiden begynder vores anti-virus at meddele at Welchia er banen
(cut
>er computerstyret, har teknikkerbesøg. Teknikkeren plugger sin bærbar PC ind
>i trykmaskinen. Trykmaskinen fungerer åbenbart som en router, da den også
>har netkort til vores LAN. PC'en har XP med en anti-virus, som var opdateret
>pr. 1. august. Ud med den bærbare og nettet falder til ro.
>

Carsten Overgaard (24-08-2003)

Kommentar
Fra : Carsten Overgaard

Dato : 24-08-03 08:04

En 20 meter lang Heidelberg sag.

--
Med venlig hilsen
Carsten Overgaard
http://www.carstenovergaard.dk/undskyld.htm

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste