---

Vi har 3 PCer i netværk herhjemme.

Den ene, som vi kalder "Serveren", har problemer.



Symptomerne er:



- Jeg finder hele tiden nye vira, trojans, backdoors på den. Hver dag. I dag
fandt jeg fx. 34 nye!. Alle bliver selvfølgelig slettet og renset hver gang.
Men hver dag er der nye.



- Jeg bliver nogle gange G-lined fra IRC for at have en 'insecure proxy'
kørende. Selv når jeg forbinder fra en af de to andre PCer.



- Serveren lader til at, helt uden opfordring, at bruge min upstream
båndbredte. Det kan jeg fx. se på, at mine pingtider stiger drastisk i
online spil (fra en anden PC i netværket). Har installeret DUmeter, og ser,
at der pludselig er blevet brugt båndbredte, hvor serveren egentlig burde
være helt idle.



Lidt om serveren:

Den kører Windows XP Pro SP1 med alle de seneste updates fra Windows Update.
Ellers kører den ISS (med SMTP), Overnet (et p2p program) og har en IRC bot
online hele tiden (selvfølgelig med alt DCC blokeret).

Det er ikke andet en 4 dage siden, jeg helt rent installerede Windows. Der
er kun besøgt to hjemmesider med den indtil nu; google.com og microsoft.com.

Den har stået med den konfiguration i over et år - helt uden problemer.

De her ting med vira osv. er nyt. Startede ca. en uge siden. (Før var der
Win2k på den. Så begyndte problemerne med virus. Derfor installerede jeg XP)



Jeg er lidt bekymret for, at én eller flere personer faktisk har/stadig
bruger min PC til at gøre ugerninger. Hvem ved, hvad de foretager sig. Men
er det noget slemt, kan jeg selv havne i fedtefadet, da det jo ser ud, som
om at det er mig, der gør det. De kigger bare på IPen og tror, det er mig.

Så jeg er lidt utryg ved situationen.



Hvad har jeg gjort indtil videre:

- Jeg kører virus scan på den 3x dagligt. Den finder noget nyt hver gang.

- Kører også Spysweeper til at fjerne ad-ware osv.

- Jeg styrer serveren fra denne PC med programmet NetOP (det er noget á la
PCanywhere osv). Førhen var der ikke password på. Det er der nu.

- Jeg har ændret password til selve Windows brugeren.

- Har afinstalleret IIS. (For at udelukke, at det er den vej, han/de kommer
ind af)



Ellers ved jeg ikke, hvad jeg ellers kan gøre.

Findes der ikke et værktøj, der kan 'optage' alt, hvad der sker på en PC - i
særdeleshed netværket/internetopkoblingen - ? Så jeg kan se, hvilke
websider/FTP osv., bliver kontaktet af min IP. Og hvilke filer, der evt.
bliver hentet/sent. Event viewer er jo ikke til megen nytte.



Skal jeg kontakte min ISP eller endda myndighederne, hvis jeg mistænker, at
min PC er blevet/bliver brugt til at udføre ugerninger?

Nu er jeg paranoid af natur, så jeg tænker, at pludseligt kommer politiet
stormende og arresterer mig for distribution af børneporno eller terrorist
materiale. Og så er der ikke en meter, jeg kan gøre ved det, da det jo er
min PC/IP, som er blevet brugt.



Hvad mere kan jeg gøre for at beskytte mig?

Og ligeså vigtigt: hvad kan jeg gøre for at stoppe de her 'besøg' på min PC?



Der er indbygget firewall i routeren, så jeg har aldrig brugt en software
firewall.

Igen: jeg har haft den server, med det setup i flere år - uden problemer.



Nogle forslag?



På forhånd tak,

---

Jeg har lige fundet ud af, at jeg er på alle de her lister:

AHBL/dnsbl.ahbl.org
CBL/abuseat.org
DSBL/dsbl.org
NJABL/njabl.org
SORBS/sorbs.net
UCEPROT/uceprotect.net:

Det kunne tyde på, at min 'gæst' har brugt min SMTP server til at sende spam
mail. :(
Hvilket passer fint overens med, at min båndredte er blevet brugt en go'
del.

---

ISS er et kæmpe sikkerhedshul, hvis du bruger den, så check noget der hedder
"baseline" og "isslockdown" på microsofts webside. Det vil da hjælpe en del.
Med mindre du kan genkende alle processor og programmer, der kører på din
pc, så bør du nok formatere den om igen.

Og så vent med at slå ISS service'ne og internettet til, indtil du har brugt
baseline og isslockdown.

Og evt spær din mail port, hvis du ikke skal sende mails fra ISS


Jss




"f00ge" <f00ge***REMOVE***@gmx.net> wrote in message
news:4026fec9$0$29373$edfadb0f@dread15.news.tele.dk...
> Jeg har lige fundet ud af, at jeg er på alle de her lister:
>
> AHBL/dnsbl.ahbl.org
> CBL/abuseat.org
> DSBL/dsbl.org
> NJABL/njabl.org
> SORBS/sorbs.net
> UCEPROT/uceprotect.net:
>
> Det kunne tyde på, at min 'gæst' har brugt min SMTP server til at sende
spam
> mail. :(
> Hvilket passer fint overens med, at min båndredte er blevet brugt en go'
> del.
>
>

---

f00ge wrote:

> Hvad mere kan jeg gøre for at beskytte mig?
>
> Og ligeså vigtigt: hvad kan jeg gøre for at stoppe de her 'besøg'
> på min PC?

Det allerførste du skal gøre er, at tage netstikket ud af den server.
Ikke om lidt, men LIGE NU.

Når du har gjort det, kan du begynde at gøre andre ting. Start med at
læse afsnittet om indbrud i OSS'en
http://a.area51.dk/sikkerhed/servere#indbrud
(læs gerne hele OSS'en hvis du ikke allerede har gjort det).

Dernæst er du så nød til at geninstallere maskinen. Læg en plan for
dette. Overvej, om andre maskiner på netværket også kan være
kompromitterede. Tag backup på externt medie af dine vigtige data. Back
ikke executables op.

Læs http://a.area51.dk/sikkerhed/w2k_workstation

Sidste gang du geninstallerede oplevede du at problemerne kom tilbage
igen. Dette skyldes næsten uden tvivl at maskinen er blevet rooted
hurtigere end du kunne nå at patche den. Dette tyder på at du har en
generel portforward i din router til at pege al trafik hen på den
server. Fjern den.

Brug en af dine andre maskiner til at hente den seneste Servicepack og
andre critical hotfixes fra Microsoft. Specifikt hotfix for MS Blaster
er bydende nødvendigt. Installer disse inden du overvejer at komme
maskinen tilbage på netværket. Sørg for, at både administrator og
almindelige konti på maskinen har gode adgangskoder. Installer *ikke*
IIS.

Når du kommer maskinen tilbage på nettet, så sørg for at den er bag
NAT. Det er den, hvis du har fjernet dit forward som jeg nævnte. (Hvis
du ikke kan det, fordi du ikke har adgang til routeren, så sørg for at
serveren til at starte med ikke får den IP der er forward til.)

Patch straks maskinen op fra Windowsupdate.

(Det meste af alt det her skrev jeg allerede i
http://a.area51.dk/sikkerhed/w2k_workstation -- den læste du, ikke?)

Når du har maskinen tilbage på netværket, så stop. Lad være med at
installere alt muligt. Kig på den. Hold øje med den. Opfører den sig
som den skal? Brug 'netstat -an'. Er der de forbindelser der skal være,
og ikke flere?

Når du er *sikker* på at den opfører sig som den skal, kan du begynde
at installere øvrige services. Hvis du har adgang til at konfigurere
routeren, så lad være med at bruge et generelt portforward. Forward
præcis de porte du skal bruge, og ikke flere.

Mht software, så:

-Installer ikke IIS. Skal du servere web, så installer apache.
-Installer *ikke* IIS. Skal du server mail, så installer noget andet.
Mercury virker vist (ingen personlig erfaring).
-Installer IKKE IIS. Skal du servere FTP, så installer FileZilla.
-Installer ikke p2p. Hvis du absolut skal, så sørg for at du bruger en
troværdig klient, og download ALDRIG NOGENSINDE executables fra p2p.
Jeg mener det. Der er trojans i over 50%. Det vil sige: hvis du
absolut vil overtræde copyrightlovgivningen, så gør det med film og
musik. Ikke spil eller software.
-Installer ikke nogen IRC bot. Hvis du absolut skal, så installer
Dancer.

Sørg for at huske sikkerheden når du installerer. Installer en ting af
gangen, og stop. Hold øje. Virker det? Sker der underlige ting? Vent.

Når du er færdig, så LÆR af det der er sket. Husk det. Vær opmærksom på
sikkerheden. Lav en sikkerhedspolitik. Overhold den. Hold øje med
dine logs og med din trafik. Og HUSK det med executables.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Peddling Ourselves To Death, an essay by Fred:
http://www.fredoneverything.net/Peddling.htm

---

*Snip en masse GODE råd*


Start evt med en ordentlig firewall, så du kan se hvem der snakker og på
hvilke porte.

Og hav ikke maskinen online når du re-installerer.

---

In article <40275a73$0$178$edfadb0f@dread11.news.tele.dk>, Nico wrote:

> Start evt med en ordentlig firewall, så du kan se hvem der snakker og på
> hvilke porte.

Why? netstat -an giver, givet at maskinen ikke er kompromiteret,
et ganske fornuftig overblik. Hvis du virkeligt vil se hvad der sker,
saa er en sniffer vejen frem. Firewallen bliver foerst interessant naar
man har en sikkerhedspolitik, saa man kan saette systemet til at
overholde den med et ekstra lag.

--
j.

---

> Why? netstat -an giver, givet at maskinen ikke er kompromiteret,
> et ganske fornuftig overblik. Hvis du virkeligt vil se hvad der sker,
> saa er en sniffer vejen frem. Firewallen bliver foerst interessant naar
> man har en sikkerhedspolitik, saa man kan saette systemet til at
> overholde den med et ekstra lag.

Sikkerhedspolitik? Ska lvi ikke lige ned på jorden her, eller er det kun mig
der mener vi snakker en privatmaskine?

---

Nico wrote:

>> saa er en sniffer vejen frem. Firewallen bliver foerst interessant naar
>> man har en sikkerhedspolitik, saa man kan saette systemet til at
>> overholde den med et ekstra lag.

> Sikkerhedspolitik? Ska lvi ikke lige ned på jorden her, eller er det kun mig
> der mener vi snakker en privatmaskine?

Jo, vi snakker om en privatmaskine, men man kan ikke løse et problem ved
at smide teknologi efter det.

Og hvad er problemet i det hele taget i dette tilfælde? Er det en
usikker service der kører på maskinen, som for eksempel IIS? Er det en
bruger der downloader alle mulige programmer og kører dem på må og få? Er
det brug af et usikkert mailprogram?

Med andre ord, man skal kende det specifikke problem før man kan løse
det. Og i langt de fleste tilfælde vil lukning af ikke-nødvendige
services og fornuftig omgang med programmer, virke langt bedre end
firewalls og antivirus-programmer.

Sikkerhed er en proces, ikke et produkt.

--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!

---

In article <Xns948A6D400132Ck5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
> -Installer ikke IIS. Skal du servere web, så installer apache.
> -Installer *ikke* IIS. Skal du server mail, så installer noget andet.
> Mercury virker vist (ingen personlig erfaring).
> -Installer IKKE IIS. Skal du servere FTP, så installer FileZilla.

Hvad har du imod ovenstående udmærkede produkter?

Det er rigtigt at mange ikke kan finde ud af sætte
dem sikkert op, men det gør dem ikke nødvendigvis dårlige.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote:

>> -Installer ikke IIS. Skal du servere web, så installer apache.
>> -Installer *ikke* IIS. Skal du server mail, så installer noget
>> andet.
>> Mercury virker vist (ingen personlig erfaring).
>> -Installer IKKE IIS. Skal du servere FTP, så installer FileZilla.
>
> Hvad har du imod ovenstående udmærkede produkter?
>
> Det er rigtigt at mange ikke kan finde ud af sætte
> dem sikkert op, men det gør dem ikke nødvendigvis dårlige.

Øh? Produkter? Det eneste produkt jeg har noget imod af dem du lister
der, er IIS (som det fremgår).

Og hvis du med seriøs mine kan spørge mig om hvad jeg har imod IIS, så
er jeg nærmest forbløffet.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Peddling Ourselves To Death, an essay by Fred:
http://www.fredoneverything.net/Peddling.htm

---

In article <Xns948ABD09DF5FDk5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
> Øh? Produkter? Det eneste produkt jeg har noget imod af dem du lister
> der, er IIS (som det fremgår).

IIS er en samling af produkter med hver sin service der bliver
administrateret fra samme grænseflade.

> Og hvis du med seriøs mine kan spørge mig om hvad jeg har imod IIS, så
> er jeg nærmest forbløffet.

Har du set en hardnet IIS webserver, ftp server eller smtp server
med huller?

Personligt har jeg set flere huller i en hardnet Apache/OpenSSL server, end
IIS...dog fortrækker jeg personligt apache...men mener dog at lidt
for mange (inkl. mig selv for over 2 år siden) er lidt for hurtigt
til at skyde på IIS.

FTP serverne er der mange der ikke kan sætte ordenligt op...tit
ser man folks server forvandlet til et arkiv for ulovligt software...
men fakta er at der siden 1999 har været 4 huller.

SMTP serveren har såvidt jeg kan se 1 hul...og det kan være lidt
svært at sætte den op til ikke at virke som et relay.

IIS har haft masser af sårbarheder, typisk i default sitet. Fjern
dette og du er nået et langt stykke. Herefter kan man slå diverse
features fra. Jeg kan ikke hurtigt gennemskue hvor mange af
sårbarhederne der udgører en trussel. De kan nok tælles på en
hånd eller to.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel wrote:

>> Øh? Produkter? Det eneste produkt jeg har noget imod af dem du
>> lister der, er IIS (som det fremgår).
>
> IIS er en samling af produkter med hver sin service der bliver
> administrateret fra samme grænseflade.

Det er vist at strække sandheden markant. Jo, det er nogle af dens
funktioner der kan tilføjes og fjernes på en måde hvor det næsten ser
ud som om de er enkeltstående. Det er nu ikke tilfældet. IIS er meget
monolitisk opbygget, og meget store dele af koden kan ikke undværes,
selvom man ikke anvender de services der reelt gør brug af den.

>> Og hvis du med seriøs mine kan spørge mig om hvad jeg har imod
>> IIS, så er jeg nærmest forbløffet.
>
> Har du set en hardnet IIS webserver, ftp server eller smtp server
> med huller?

Både og. Jeg har kendskab til nogle IIS-installationer der er meget
sikre, hvis det er det du mener. Men der er lagt, og blive løbende
lagt, mere arbejde i at sikre dem end det er muligt for mindre end en
fuldtidsansat. IIS kræver ekstremt uforholdsmæssigt meget
vedligeholdelse og minutiøs opsætning for at være sikker.

> Personligt har jeg set flere huller i en hardnet Apache/OpenSSL
> server, end IIS...dog fortrækker jeg personligt apache...men mener
> dog at lidt for mange (inkl. mig selv for over 2 år siden) er lidt
> for hurtigt til at skyde på IIS.

Apache har desværre haft nogle brister i de sidste par år, det kommer
man ikke uden om. Men sammenligner man IIS' security-history med
Apaches, så er der vist ikke meget at rafle om. Derudover kræver IIS
som allerede nævnt utroligt meget mere arbejde at sikre end Apache.
Out-of-the-box er IIS så hullet, at en nyinstallation der tilsluttes
netværk, er rooted før du kan nå at taste windowsupdate.microsoft.com.

> FTP serverne er der mange der ikke kan sætte ordenligt op...tit
> ser man folks server forvandlet til et arkiv for ulovligt
> software... men fakta er at der siden 1999 har været 4 huller.

Det er også 4 for meget. Specielt hvis de 4 er remote-root exploits
(jeg har ikke undersøgt), er det helt i skoven. Derudover, er der igen
tale om en opsætning der ikke er sikker out-of-the-box, og en
konfiguration der er kompliceret nok til at de fleste laver fejl der
kan misbruges fatalt. Det kan ikke siges tit nok: Et stykke software
skal være hardened out-of-the-box.

> SMTP serveren har såvidt jeg kan se 1 hul...og det kan være lidt
> svært at sætte den op til ikke at virke som et relay.

Igen, den er for det første en del af monolitten, så alle de fælles
svagheder gælder, selvom man kun kørte SMTP. For det andet er bare en
remote-root i en SMTP service ikke noget man kan bruge som anbefaling.
Det er lige som ved tandlægen: Der skal være nul huller. Og for det
tredie er det helt utilgiveligt at den er relay-enabled out-of-the-box.

> IIS har haft masser af sårbarheder, typisk i default sitet. Fjern
> dette og du er nået et langt stykke. Herefter kan man slå diverse
> features fra. Jeg kan ikke hurtigt gennemskue hvor mange af
> sårbarhederne der udgører en trussel. De kan nok tælles på en
> hånd eller to.

Se alle de gange jeg har nævnt out-of-the-box ovenfor. Og kig på
security-history for IIS. Den er ikke noget kønt syn.

Retfærdighedsvis skal det siges at IIS er blevet bedre end den har
været, og 2003-versionen er efter sigende væsentligt stærkere end de
tidligere. Men det er stadig noget forfærdeligt makværk. Og selvom en
dygtig administrator med tid nok kan sikre den, så kan den aldrig
anbefales, hverken til erhverv eller privat, med mindre den er bydende
nødvendig af andre årsager (politik, mest).

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
Peddling Ourselves To Death, an essay by Fred:
http://www.fredoneverything.net/Peddling.htm

---

In article <Xns948ADB110E8Dk5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
>> Har du set en hardnet IIS webserver, ftp server eller smtp server
>> med huller?
> Både og. Jeg har kendskab til nogle IIS-installationer der er meget
> sikre, hvis det er det du mener. Men der er lagt, og blive løbende
> lagt, mere arbejde i at sikre dem end det er muligt for mindre end en
> fuldtidsansat. IIS kræver ekstremt uforholdsmæssigt meget
> vedligeholdelse og minutiøs opsætning for at være sikker.

Dette er afhændig af hvilken opgave den skal udfører.

Hvis du har et statisk indhold der skal vises er det trivielt.
Men et aktivt indhold og brugen af SSL, har du ret at
problemmerne kan begynde at vise sig...specielt SSL har givet
mig meget hovedpine og nogle gange reinstallationer.

> Apache har desværre haft nogle brister i de sidste par år, det kommer
> man ikke uden om. Men sammenligner man IIS' security-history med
> Apaches, så er der vist ikke meget at rafle om. Derudover kræver IIS

På ingen måde enig...de ligger begge på omkring de 100 huller hver
siden 1999.

> som allerede nævnt utroligt meget mere arbejde at sikre end Apache.
> Out-of-the-box er IIS så hullet, at en nyinstallation der tilsluttes
> netværk, er rooted før du kan nå at taste windowsupdate.microsoft.com.

Default installationen er latterlig.

>> FTP serverne er der mange der ikke kan sætte ordenligt op...tit
>> ser man folks server forvandlet til et arkiv for ulovligt
>> software... men fakta er at der siden 1999 har været 4 huller.
>
> Det er også 4 for meget. Specielt hvis de 4 er remote-root exploits
> (jeg har ikke undersøgt), er det helt i skoven. Derudover, er der igen

FTP Connection Status Request Denial of Service Vulnerability
FTP Denial of Service Vulnerability
FTP NO ACCESS Read/Delete File Vulnerability
FTP DoS / Buffer Overflow Vulnerability

> tale om en opsætning der ikke er sikker out-of-the-box, og en
> konfiguration der er kompliceret nok til at de fleste laver fejl der
> kan misbruges fatalt. Det kan ikke siges tit nok: Et stykke software
> skal være hardened out-of-the-box.

Den typisk fejl folk laver, er ikke at forstå hvad anonymous er!.

>> SMTP serveren har såvidt jeg kan se 1 hul...og det kan være lidt
>> svært at sætte den op til ikke at virke som et relay.
>
> Igen, den er for det første en del af monolitten, så alle de fælles
> svagheder gælder, selvom man kun kørte SMTP. For det andet er bare en

Den må du gerne forklarer...Kan du udnytte et DOS6.3 rettighedshul i SMTP
servicen?

> remote-root i en SMTP service ikke noget man kan bruge som anbefaling.
> Det er lige som ved tandlægen: Der skal være nul huller. Og for det
> tredie er det helt utilgiveligt at den er relay-enabled out-of-the-box.

Så vidt jeg huske kan den kun pr. default sende post...men jeg er ikke
80% sikker.

SMTP Service Encapsulated SMTP Address Vulnerability

>> IIS har haft masser af sårbarheder, typisk i default sitet. Fjern
>> dette og du er nået et langt stykke. Herefter kan man slå diverse
>> features fra. Jeg kan ikke hurtigt gennemskue hvor mange af
>> sårbarhederne der udgører en trussel. De kan nok tælles på en
>> hånd eller to.
> Se alle de gange jeg har nævnt out-of-the-box ovenfor. Og kig på
> security-history for IIS. Den er ikke noget kønt syn.

Mit ovenstående forslag tager 2 min. at udfører

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Den 09 Feb 2004 17:24:17 GMT skrev Christian E. Lysel:
>In article <Xns948A6D400132Ck5j6h4jk3@62.243.74.163>, Niels Callesøe wrote:
>> -Installer ikke IIS. Skal du servere web, så installer apache.
>> -Installer *ikke* IIS. Skal du server mail, så installer noget andet.
>> Mercury virker vist (ingen personlig erfaring).
>> -Installer IKKE IIS. Skal du servere FTP, så installer FileZilla.
>
>Hvad har du imod ovenstående udmærkede produkter?
>
>Det er rigtigt at mange ikke kan finde ud af sætte
>dem sikkert op, men det gør dem ikke nødvendigvis dårlige.

Nej brugervenlige har MS-produkter aldrig været. Har man ikke lige et
par MCSE'er ansat, så kan man lige så godt opgive på forhånd.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

In article <c08jfo$btl$1@sunsite.dk>, Kent Friis wrote:
> Nej brugervenlige har MS-produkter aldrig været. Har man ikke lige et

Du mener vist administratorvenlige?

> par MCSE'er ansat, så kan man lige så godt opgive på forhånd.

Det har for mit tilfælde typisk været omvendt :)

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Den 09 Feb 2004 20:08:33 GMT skrev Christian E. Lysel:
>In article <c08jfo$btl$1@sunsite.dk>, Kent Friis wrote:
>> Nej brugervenlige har MS-produkter aldrig været. Har man ikke lige et
>
>Du mener vist administratorvenlige?

I dette tilfælde, ok, men brugervenlige har de heller aldrig
været.

>> par MCSE'er ansat, så kan man lige så godt opgive på forhånd.
>
>Det har for mit tilfælde typisk været omvendt :)

At man må opgive hvis man *har* MCSE'er ansat? Det siger vist mere om
MCSE'erne end om softwaren...

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Niels Callesøe" <pfy@nntp.dk> wrote

- snip-

Tak for de gode råd.

Jeg ringede til TDC's 'hacker afdeling' Csirt, hvor jeg fik at vide, at der
måtte været sket en fejl, siden jeg ikke havde hørt fra dem endnu.
Min 'ven' har været i gang siden 3. februar. Med spam mail og hvad ved jeg.
TDC startede med at få klager over min IP den 3. allerede.
Samtidig sagde han, at intet tydede på, at det var min IIS eller SMTP, som
var blevet misbrugt.
Der er formodentlig blevet lagt en proxy ting på min maskine. Sikkert med
password sniffer og hele møget, da han jo kom på lige med det samme igen,
efter at have formateret.

Nu er jeg i gang med at gen-installere Windows. Denne gang uden netkabel i.
Første, jeg gør, er at lægge SP1 ind, så aktivere XP's egen firewall, plus
jeg installerer ZoneAlarm Pro. Så sætter jeg netkablet i, og går på Windows
update.

Skifter også passwords til Windows brugerne - denne gang nogle helt nye, og
længere ord.

---

> Nu er jeg i gang med at gen-installere Windows. Denne gang uden netkabel
i.
> Første, jeg gør, er at lægge SP1 ind, så aktivere XP's egen firewall, plus
> jeg installerer ZoneAlarm Pro. Så sætter jeg netkablet i, og går på
Windows
> update.

Fremragende.

Personligt klarer jeg mig med SP1 og XP's firewall - men god plan med
Zonealarm i dit tilfælde.

---

On 2004-02-09, Niels Callesøe <pfy@nntp.dk> wrote:
> f00ge wrote:
>
>> Hvad mere kan jeg gøre for at beskytte mig?
>>
>> Og ligeså vigtigt: hvad kan jeg gøre for at stoppe de her 'besøg'
>> på min PC?
>
> Det allerførste du skal gøre er, at tage netstikket ud af den server.
> Ikke om lidt, men LIGE NU.

Tag den ud af alle maskiner, ellers smittes han fra de andre.
Herefter køres de op en ad gangen, og patches færdig op, evt
personlig firewall i XP slået til.

>
> Når du har gjort det, kan du begynde at gøre andre ting. Start med at
> læse afsnittet om indbrud i OSS'en
> http://a.area51.dk/sikkerhed/servere#indbrud
> (læs gerne hele OSS'en hvis du ikke allerede har gjort det).

---

f00ge wrote:

> - Jeg finder hele tiden nye vira, trojans, backdoors på den. Hver dag. I dag
> fandt jeg fx. 34 nye!. Alle bliver selvfølgelig slettet og renset hver gang.
> Men hver dag er der nye.

Maa jeg gaette paa, at der via fileshares er skriveadgang til uheldige
dele af din harddisk?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex Holst" <a@mongers.org> wrote ?

> Maa jeg gaette paa, at der via fileshares er skriveadgang til uheldige
> dele af din harddisk?

Det er der ikke, nej.

---

f00ge skrev:

> "Alex Holst" wrote ?

>> Maa jeg gaette paa, at der via fileshares er skriveadgang til
>> uheldige dele af din harddisk?

> Det er der ikke, nej.

Har du tjekket på både share- og fil-niveau?

Hvis du på fil-niveau har slået nedarvning af rettigheder fra, kan der være
andre rettigheder længere nede i katalog-strukturen.