---

Hvad sker der for min søsters computer? Båndbredden var totalt
optaget af dette:

> netstat -an

[...]

TCP x.x.x.x:2035 67.15.4.53:80 SYN_SENT
TCP x.x.x.x:2036 67.15.4.53:80 SYN_SENT
TCP x.x.x.x:2037 67.15.4.53:80 SYN_SENT
TCP x.x.x.x:2038 67.15.4.53:80 SYN_SENT
TCP x.x.x.x:2039 67.15.4.53:80 SYN_SENT

[...]

You get the picture. :) Listen stoppede ved port 2047, men begyndte
langt tidligere (jeg ved ikke hvor tidligt).

Det var vist nok lsass.exe der stod for det - jeg var meget hurtig
til at stoppe den, derfor er jeg i tvivl. Processen brugte i hvert
fald en hel del CPU, og da jeg opdagede det, havde den brugt 25
CPU-minutter.

Har I nogen idé om hvad det kan være? Hun har Windows Pro XP SP2.
Hvad er SYN_SENT i det hele taget for en gut?

PS: Jeg er selvfølgeligt ved at skanne for virus, resultatet vender
jeg tilbage med.

---

Den Tue, 08 Mar 2005 20:56:15 +0100. skrev Lars Stokholm:

> Det var vist nok lsass.exe der stod for det
sasser worm?
> Hvad er SYN_SENT i det hele taget for en gut?
Når man vil skabe en forbindelse til en anden computer, sendes en tcp
packes med syn flaget sat fra klienten til serveren. Herefter sender
serveren en pakke tilbage til klienten, som derefter sender en pakke til
serveren.

Ved at sende abnormt mange pakker, kan man forhindere en anden computer
i virke som server, da normale klienter ikke kan oprette forbindelse.

> PS: Jeg er selvfølgeligt ved at skanne for virus,
resultatet vender jeg
> tilbage med.

---

Tommy Jensen wrote:

> Ved at sende abnormt mange pakker, kan man forhindere en anden computer
> i virke som server, da normale klienter ikke kan oprette forbindelse.

Så det er det min søsters computer har gjort? Er det det der hedder
DDoS? Hvorfor ikke bare nøjes med én port?

---

Lars Stokholm wrote:
>
> Tommy Jensen wrote:
>
> > Ved at sende abnormt mange pakker, kan man forhindere en anden computer
> > i virke som server, da normale klienter ikke kan oprette forbindelse.
>
> Så det er det min søsters computer har gjort?

Måske. At bruge det normale TCP lag til at udføre SYN flooding
virker som en ret primitiv fremgangsmåde. Det kan selvfølgelig
stadig godt være tilfældet, men der kunne også være en anden
forklaring.

> Er det det der hedder DDoS?

Måske. Det ser ud som om, der bare sendes SYN pakker. En SYN
flooding kan udføres fra en enkelt computer, hvis ellers
offeret er sårbart. Men er der nogen, som stadigt er sårbare?
Et DDoS angreb udnytter ikke svagheder i offerets operativ
system, derimod sendes der bare flere pakker end han har
båndbredde til at håndtere. Det kan selvfølgelig godt være
tilfældet, men hvis man vil udføre et DDoS angreb, så er det
altså nemmere at bruge UDP.

At dømme udfra outputet er DoS angrebet lykkedes. Forbindelsen
er kun i SYN_SENT tilstanden indtil serveren har svaret. Så
den har åbenbart ikke været i stand til at svare på alle
henvendelserne.

> Hvorfor ikke bare nøjes med én port?

Hvis man vil udføre et DoS angreb vha. TCP laget er man nok
nødt til at gøre det på den måde. Jeg kender ikke nogen TCP
implementationer, som tillader at oprette flere forbindelser
fra samme portadresse (og standarden tillader det alligevel
kun, hvis de går til forskellige destinationer).

Et mere gennemtænkt angreb ville i stedet have anvendt UDP
pakker, eller måske være gået udenom systemets TCP implementation
og sendt passende konstruerede pakker direkte til IP laget
eller direkte til netkortet.

Så spørgsmålet er, om det her er et dårligt implementeret
flooding angreb, eller noget andet.

--
Kasper Dupont

---

Kasper Dupont wrote:

>> Så det er det min søsters computer har gjort?
>
> Måske. [et fint svar]

Tak.

---

"Tommy Jensen" skrev i en meddelelse

>> Hvad er SYN_SENT i det hele taget for en gut?

> Når man vil skabe en forbindelse til en anden computer, sendes en tcp
> packes med syn flaget sat fra klienten til serveren. Herefter sender
> serveren en pakke tilbage til klienten, som derefter sender en pakke til
> serveren.
>
> Ved at sende abnormt mange pakker, kan man forhindere en anden computer
> i virke som server, da normale klienter ikke kan oprette forbindelse.

SYN flood attack...som kan forhindres af et lille gratis install-and-forget
program:

Harden-It: http://majorgeeks.com/download.php?det=4458

Mvh John

---

Lars Stokholm wrote:

> Hvad sker der for min søsters computer?

> PS: Jeg er selvfølgeligt ved at skanne for virus, resultatet vender
> jeg tilbage med.

C:\Program Files\Cyjvsii\Nsiahpp.exe: infected with Trojan.Small.CY
C:\WINDOWS\96wu19rd.exe: infected with Trojan.Dropper.Small.GT
C:\WINDOWS\rico.exe: infected with Trojan.Downloader.VB.DX
C:\WINDOWS\system32\actboost.exe: infected with Backdoor.Wootbot.AR
C:\WINDOWS\system32\ATPartners.dll: infected with Trojan.Downloader.Rameh.C
C:\WINDOWS\system32\cfgpwnz.exe: infected with Backdoor.Rbot.JA
C:\WINDOWS\system32\test.exe: infected with Trojan.Downloader.IstBar.Z8
C:\WINDOWS\system32\winpack.hmm: infected with Trojan.Downloader.Agent.GG
C:\WINDOWS\wsem303.dll: infected with Trojan.Downloader.Dyfuca.DT

Det er kun en brøkdel af hvad der ligger af skumle filer på PCen.

Fedt nok - godt det ikke er min PC. Man sætter hendes computer op,
så der i hvert fald ikke kommer noget ind ad sig selv, beder hende
være forsigtig og holde Windows opdateret.

Man skulle nok i stedet have installeret et eller andet tilfældigt
antivirusprogram, og en eller anden crappy firewall, og ladet
resten ligge. Denne her taktik har i hvert faldt givet voldsomt
bagslag. Det var 20 vigtige opdateringer på Windows Update.

Nu vil jeg slå de forskellige vira op, og bede hende læse om dem,
så hun kan se hvor slemt det faktisk står til.

---

Lars Stokholm wrote:
> C:\Program Files\Cyjvsii\Nsiahpp.exe: infected with Trojan.Small.CY
> C:\WINDOWS\96wu19rd.exe: infected with Trojan.Dropper.Small.GT
> C:\WINDOWS\rico.exe: infected with Trojan.Downloader.VB.DX
> C:\WINDOWS\system32\actboost.exe: infected with Backdoor.Wootbot.AR
> C:\WINDOWS\system32\ATPartners.dll: infected with Trojan.Downloader.Rameh.C
> C:\WINDOWS\system32\cfgpwnz.exe: infected with Backdoor.Rbot.JA
> C:\WINDOWS\system32\test.exe: infected with Trojan.Downloader.IstBar.Z8
> C:\WINDOWS\system32\winpack.hmm: infected with Trojan.Downloader.Agent.GG
> C:\WINDOWS\wsem303.dll: infected with Trojan.Downloader.Dyfuca.DT

Det er jo altsammen system filer...hvordan får en bruger lov til at
rette i dem?

Kørte hun som administrator?

> Det er kun en brøkdel af hvad der ligger af skumle filer på PCen.

Har du løst til at sende en kopi af de skumle filer til mig (til en
aften man keder sig)?

> Fedt nok - godt det ikke er min PC. Man sætter hendes computer op,
> så der i hvert fald ikke kommer noget ind ad sig selv, beder hende
> være forsigtig og holde Windows opdateret.

Tog du en backup efter du havde sat den op?

> Man skulle nok i stedet have installeret et eller andet tilfældigt
> antivirusprogram, og en eller anden crappy firewall, og ladet
> resten ligge. Denne her taktik har i hvert faldt givet voldsomt
> bagslag. Det var 20 vigtige opdateringer på Windows Update.

Hvis du har en backup, ville jeg hænde den på, eller start forfra med en
frisk installation. Og lær hende konsekvensen af hendes handlinger.

> Nu vil jeg slå de forskellige vira op, og bede hende læse om dem,
> så hun kan se hvor slemt det faktisk står til.

Så må vi jo håbe hun lære en ting eller to.

---

Christian E. Lysel wrote:

> Det er jo altsammen system filer...hvordan får en bruger lov til at
> rette i dem?
>
> Kørte hun som administrator?

D'OH! Det havde jeg ikke tænkt på. Min fejl - det sker ikke næste
gang. Jeg er ikke vandt til alt det der med brugere, jeg ved jeg
burde men jeg bruger det ikke selv.

Jeg er bange for at løbe ind i for mange problemer hele tiden.
Desuden ved jeg hvad jeg kan nu - alt - jeg har ikke overblik
over hvad jeg kan og ikke kan, med diverse brugertyper. Selv
har jeg altid bare været vandt til at være forsigtig, og har
aldrig haft problemer med det.

>> Det er kun en brøkdel af hvad der ligger af skumle filer på PCen.
>
> Har du løst til at sende en kopi af de skumle filer til mig (til en
> aften man keder sig)?

Nej egentlig ikke, for jeg er ikke i stand til at sortere i dem.

> Tog du en backup efter du havde sat den op?

Ja, jeg lavede et image, fordi vi har været igennem det tidligere,
omend i noget mildere omfang med en smule spyware og en masse
uskadelige programmer, men en utroligt langsom computer.

> Hvis du har en backup, ville jeg hænde den på, eller start forfra
> med en frisk installation. Og lær hende konsekvensen af hendes
> handlinger.

Ja, det er planen. Hvad vil I ellers anbefale, udover selvfølgeligt
at sætte en bruger op med begrænsede rettigheder? Hendes computer
er i forvejen dræbende langsom, antivirus der står og kører hele
tiden vil måske tage en del af lortet, men det vil slå computeren
helt ud, og desuden vil jeg hellere lære hende at passe på selv.

>> Nu vil jeg slå de forskellige vira op, og bede hende læse om dem,
>> så hun kan se hvor slemt det faktisk står til.
>
> Så må vi jo håbe hun lære en ting eller to.

Jeg har i hvert fald lært én. Hvor store mon skaderne havde været,
hvis hun ikke havde været administrator?

---

Lars Stokholm wrote:
>>Kørte hun som administrator?
> D'OH! Det havde jeg ikke tænkt på. Min fejl - det sker ikke næste
> gang. Jeg er ikke vandt til alt det der med brugere, jeg ved jeg
> burde men jeg bruger det ikke selv.

Ingen skænker det en tanke...alle taler om alle de fantatiske produkter
man skal købe som løser alle ens problemmer....man bliver træt af at
høre på det i længden.

Selv Microsoft anbefalder ikke deres private brugere ikke at kører som
administrator!

http://www.microsoft.com/danmark/security/protect/default.asp

Hvis du sætter brugeren op som administrator skal virus'en udnytte en
software fejl eller en rettighedsfejl på maskinen.

> Jeg er bange for at løbe ind i for mange problemer hele tiden.
> Desuden ved jeg hvad jeg kan nu - alt - jeg har ikke overblik
> over hvad jeg kan og ikke kan, med diverse brugertyper. Selv
> har jeg altid bare været vandt til at være forsigtig, og har
> aldrig haft problemer med det.

Opret en bruger som bruger uden administrator rettigheder.

Sæt password på administrator brugeren.

Hvis du har et problem som driller med at kører uden administrator
rettigheder kan du starte det ved at trykke på højre musetast og vælge
"kør som". I egenskaber;advanceret kan du så det generelt til for et
link eller et program.

Hun kører garanteret en HOME edition af operativsystemmet, ellers kan
slå logning til for at se hvad programmet har brug for...typisk skal den
skrive en log og man sætter rettighederne på logfilen at alle kan skrive
til den.

Se mere på:
http://groups.google.com/groups?threadm=421c6a0b%240%2433626%24edfadb0f%40dread16.news.tele.dk

> Nej egentlig ikke, for jeg er ikke i stand til at sortere i dem.

Ok.

>>Tog du en backup efter du havde sat den op?
> Ja, jeg lavede et image, fordi vi har været igennem det tidligere,

Perfekt.

> Ja, det er planen. Hvad vil I ellers anbefale, udover selvfølgeligt
> at sætte en bruger op med begrænsede rettigheder? Hendes computer
> er i forvejen dræbende langsom, antivirus der står og kører hele

Scanner hendes mailudbyder for virus?

> tiden vil måske tage en del af lortet, men det vil slå computeren
> helt ud, og desuden vil jeg hellere lære hende at passe på selv.

Du kan spare lidt ram ved at følge:
http://home18.inet.tele.dk/madsen/windows/tjenester/

Det har også den "bivirkning" at maskinen bliver sværrer at angribe via
netværket.

> Jeg har i hvert fald lært én. Hvor store mon skaderne havde været,
> hvis hun ikke havde været administrator?

De var begrænset sig til hendes profil....dvs. løsningen ville være at
oprette en ny bruger og slette den gamle.

Dette er under antagelse af angrebene ikke benyttede svagheder i
operativsystemet fx fejl i software eller rettighedsfejl opsætning.

---

Christian E. Lysel wrote:

> Selv Microsoft anbefalder ikke deres private brugere ikke at kører som
> administrator!

Okay, det vidste jeg ikke.

> Hvis du sætter brugeren op som administrator skal virus'en udnytte en
> software fejl eller en rettighedsfejl på maskinen.

Det med rettigheder er som sagt det jeg er lidt bange for. Jeg har
rodet lidt med det før, og pludseligt var jeg ikke i stand til at
åbne en af mine egne mapper. Det er længe siden, og lidt tåget, men
det var vist primært det der afskrækkede mig.

> Opret en bruger som bruger uden administrator rettigheder.

Det var planen, der er dog et problem: Når jeg skal lave en ny
bruger, kan jeg kun vælge at det skal være en administrator.
Jeg kan ikke lave en begrænset bruger; feltet er "grået ud".

> Sæt password på administrator brugeren.

Always. :)

> Hvis du har et problem som driller med at kører uden administrator
> rettigheder kan du starte det ved at trykke på højre musetast og vælge
> "kør som". I egenskaber;advanceret kan du så det generelt til for et
> link eller et program.

Ja, det er selvfølgeligt en mulig genvej.

> Scanner hendes mailudbyder for virus?

Yahoo! Jeg ved det faktisk ikke. Gør de ikke? Jeg tror nu hun har
fået det meste ved at installere Messenger Plus og al den slags
ragelse - det ene har ført det andet med sig, af mere og mere
alvorlige ting.

> Du kan spare lidt ram ved at følge:
> http://home18.inet.tele.dk/madsen/windows/tjenester/

Det er ca. sådan både min og hendes computer er sat op. Jeg havde
en liste selv, som jeg havde ført op mod Madsens.

> Det har også den "bivirkning" at maskinen bliver sværrer at angribe
> via netværket.

Det er nu godt nok den hovedvirkning jeg er gået efter. :) Hastigheds-
forøgelsen har været bivirkningen...

>> Jeg har i hvert fald lært én. Hvor store mon skaderne havde været,
>> hvis hun ikke havde været administrator?
>
> De var begrænset sig til hendes profil....dvs. løsningen ville være at
> oprette en ny bruger og slette den gamle.

Okay, det havde jo været noget nemmere.

---

Lars Stokholm wrote:

>> Opret en bruger som bruger uden administrator rettigheder.
>
> Det var planen, der er dog et problem: Når jeg skal lave en ny
> bruger, kan jeg kun vælge at det skal være en administrator.
> Jeg kan ikke lave en begrænset bruger; feltet er "grået ud".

Nå, det fandt jeg ud af. Det er fordi Fil- og printerdeling skal
være installeret, og Servertjenesten køre. Hvorfor er det smart?

Et andet hurtigt spørgsmål: Kan man kopiere en brugerkonto?
Altså kan jeg kopiere Administrator-mappen i Documents and
Settings, kalde den "Lars" og oprette en ny begrænset bruger
ved navn "Lars", eller hvordan er fremgangsmåden?

---

Lars Stokholm wrote:

> Et andet hurtigt spørgsmål: Kan man kopiere en brugerkonto?
> Altså kan jeg kopiere Administrator-mappen i Documents and
> Settings, kalde den "Lars" og oprette en ny begrænset bruger
> ved navn "Lars", eller hvordan er fremgangsmåden?

Nå, det fandt jeg også ud af. Der er åbentbart en mulighed
for at kopiere brugere under Egenskaber for System.

---

Lars Stokholm wrote:
> Nå, det fandt jeg ud af. Det er fordi Fil- og printerdeling skal
> være installeret, og Servertjenesten køre. Hvorfor er det smart?


Hvis du kører med XP pro, åben en mappe, menuen funktioner,
mappeindstillinger, vis, advancerede indstilinger, nedest er der et
eller andet med simple share du kan slå til eller fra.

Det gør du får bedre kontrol over rettighederne, og ved højreklik på
mapper kan vælge sikkerhed.

> Et andet hurtigt spørgsmål: Kan man kopiere en brugerkonto?
> Altså kan jeg kopiere Administrator-mappen i Documents and
> Settings, kalde den "Lars" og oprette en ny begrænset bruger
> ved navn "Lars", eller hvordan er fremgangsmåden?

Rettigheder skal rettes til så den bruger ejer dem, men det skal nok
give problemmer med at der bliver refereret til det gamle brugernavn og
sti. Prøv det evt. det kan ikke skade.

Du kan også manuelt kopiere mapper enkeltvis.

---

Lars Stokholm wrote:
> Christian E. Lysel wrote:
>
>
>>Selv Microsoft anbefalder ikke deres private brugere ikke at kører som
>>administrator!
>
>
> Okay, det vidste jeg ikke.

Øhh, det er ikke fordi de fraråder det....de glemmer" blot at fortælle
om det.

> Det med rettigheder er som sagt det jeg er lidt bange for. Jeg har
> rodet lidt med det før, og pludseligt var jeg ikke i stand til at
> åbne en af mine egne mapper. Det er længe siden, og lidt tåget, men
> det var vist primært det der afskrækkede mig.

Hvis mappen var ejet af administrator er det rigtigt...du kan så som
administrator rette rettighederne af mappen til at brugeren også må
tilgå dem og det vil virke igen.

>>Opret en bruger som bruger uden administrator rettigheder.
> Det var planen, der er dog et problem: Når jeg skal lave en ny
> bruger, kan jeg kun vælge at det skal være en administrator.
> Jeg kan ikke lave en begrænset bruger; feltet er "grået ud".

Hvilken version af Windows bruger du?

>>Hvis du har et problem som driller med at kører uden administrator
>>rettigheder kan du starte det ved at trykke på højre musetast og vælge
>>"kør som". I egenskaber;advanceret kan du så det generelt til for et
>>link eller et program.
> Ja, det er selvfølgeligt en mulig genvej.

Jeg bruger det til et musik program, der roder med MIDI porten.

Og hvis jeg skal installere nye applikationer og ikke gider logge ud og
derefter ind som admin.

> Det er ca. sådan både min og hendes computer er sat op. Jeg havde
> en liste selv, som jeg havde ført op mod Madsens.

Godt.

>>De var begrænset sig til hendes profil....dvs. løsningen ville være at
>>oprette en ny bruger og slette den gamle.
> Okay, det havde jo været noget nemmere.

Ja, meget.

---

Den 09-03-05 17.47 skrev Christian E. Lysel følgende:

> Selv Microsoft anbefalder ikke deres private brugere ikke at kører som
> administrator!
>
> http://www.microsoft.com/danmark/security/protect/default.asp

Er det mig, der er blind? Jeg kan ikke finde noget om ikke at køre som
administrator på den side.

--
Mvh. Kim Ludvigsen
Hjælp til begyndere og uøvede computer- og internetbrugere
http://kimludvigsen.dk

---

Kim Ludvigsen wrote:
> Er det mig, der er blind? Jeg kan ikke finde noget om ikke at køre som
> administrator på den side.

news://news.tele.dk:119/422f31c6$0$250$edfadb0f@dread11.news.tele.dk

---

Lars Stokholm <stokholm@despammed.com> wrote:

> Hvad er SYN_SENT i det hele taget for en gut?

Det er en tilstand som TCP/IP protokollen havner i. Naar der skal etableres
forbindelse, saa sendes der en SYN-pakke afsted og man flytter tilstanden
til SYN_SENT inde i TCP/IP stakken paa maskinen.
--
jlouis