---

Hej Gruppe
Jeg havde lige en lidt ubehagelig oplevelse på Irc. Jeg sad og chattede vha
MIRC og pludselig fik jeg en besked fra en i chatrummet at han godt kunne
tænke sig en bestemt fil på min hdd - han angav den eksakte sti på filen og
sagde at han kunne se alle min filer, men han kunne ikke hente dem. Da jeg
spurgte ham hvordan han kunne vide hvilke filer jeg havde på hdd'en sagde
han at det ville han fortælle mig hvis jeg overførte den krævede fil til
ham, og jeg hev straks stikket til min netforbindelse ud af hubben.

Nu er det så jeg tænker - hvordan kunne han gøre det. Er det et hul i Mirc
eller hvad? Jeg har siden da installeret en firewall og håber så på at det
hjælper.

Min daværende konfiguration:
Win2k (kørte tcp/ip samt ipx eller hvad det nu hedder)
kørte Mirc 5.7 samt EDonkey
Bredbånd|ADSL fra TDC uden firewall eller andet beskyttelse


Med venlig hilsen
Peter

---

> Min daværende konfiguration:
> Win2k (kørte tcp/ip samt ipx eller hvad det nu hedder)
> kørte Mirc 5.7 samt EDonkey
> Bredbånd|ADSL fra TDC uden firewall eller andet beskyttelse

Tilføjer lige:

Win2k (kørte "tcp/ip", "ipx/spx/netbios compatible transport protocol",
"Netbios" samt "file and printersharing for microsoft networks")
Peter

---

Peter G skrev:

>Win2k (kørte "tcp/ip", "ipx/spx/netbios compatible transport protocol",
>"Netbios" samt "file and printersharing for microsoft networks")

Du skal *kun* køre TCP/IP over nettet. Det kræver at man ved
opkaldskortet og ved protokollen fjerner de tre
Windowsprotokoller selv.

Præcis hvad fyren har benyttet ved jeg ikke, men du har haft delt
hele din computer med hele internettet.

Hvis du, som jeg, havde haft fuld deling på alle drev, så havde
han sikkert slet ikke spurgt dig; så kunne han bare hente den.
Han kunne også formattere din harddisk. Jeg fik en orm (af den
mindre skadelige slags) og en lærestreg. Det har du også fået.

Prøv med "netstat -a" hvilke tjenester der kører på dit system.
("netstat /?" viser mulighederne)

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

> Prøv med "netstat -a" hvilke tjenester der kører på dit system.
> ("netstat /?" viser mulighederne)

netstat -a gav flg:
TCP: Computernavn:
TCP: Computernavn:
TCP: Computernavn:
TCP: Computernavn:

---

> Prøv med "netstat -a" hvilke tjenester der kører på dit system.
> ("netstat /?" viser mulighederne)

netstat -a gav flg:
TCP: Computernavn:echo
TCP: Computernavn:discard
TCP: Computernavn:daytime
TCP: Computernavn:qotd
TCP: Computernavn:chargen
TCP: Computernavn: telnet
TCP: Computernavn:epmap
TCP: Computernavn:microsoft-ds
TCP: Computernavn:1025
TCP: Computernavn:netbios-ssn
Alle var på listening
UDP: Computernavn:echo
UDP: Computernavn:discard
UDP: Computernavn:daytime
UDP: Computernavn:qotd
UDP: Computernavn:chargen
UDP: Computernavn: bootpc
UDP: Computernavn:snmp
UDP: Computernavn:microsoft-ds
UDP: Computernavn:netbios-ns
UDP: Computernavn:netbios-dgm
UDP: Computernavn:router

Jeg havde sharet alle drev med fuld rettigheder.

Jeg læste på et tidspunkt noget om Netbios Names eller sådan noget, hvor jeg
mener at læse et eller andet om fil-listing - kan det være det han har
brugt??


Peter

---

"Peter G" <Email@isoutoforder.com> skrev i en meddelelse
news:3b46fb23$0$352$edfadb0f@dspool01.news.tele.dk...
> Hej Gruppe
> Jeg havde lige en lidt ubehagelig oplevelse på Irc. Jeg sad og chattede
vha
> MIRC og pludselig fik jeg en besked fra en i chatrummet at han godt kunne
> tænke sig en bestemt fil på min hdd - han angav den eksakte sti på filen
og
> sagde at han kunne se alle min filer, men han kunne ikke hente dem. Da jeg
> spurgte ham hvordan han kunne vide hvilke filer jeg havde på hdd'en sagde
> han at det ville han fortælle mig hvis jeg overførte den krævede fil til
> ham, og jeg hev straks stikket til min netforbindelse ud af hubben.
>
> Nu er det så jeg tænker - hvordan kunne han gøre det. Er det et hul i Mirc
> eller hvad? Jeg har siden da installeret en firewall og håber så på at det
> hjælper.
>
> Min daværende konfiguration:
> Win2k (kørte tcp/ip samt ipx eller hvad det nu hedder)
> kørte Mirc 5.7 samt EDonkey
> Bredbånd|ADSL fra TDC uden firewall eller andet beskyttelse
>
>
> Med venlig hilsen
> Peter

Du har kommet til at smide share på hele din HD og derved har han haft rig
muglighed
for at se absolut ALT hvad du har på din HD.
Du har sikkert lavet en fejl da du indstalerede Mirc programmet.
At du nu har indstaleret firewall bagefter er godt nok , men scan lige din
HD igennem efter trojanere , for som du sikkert ved holder en pokkers masse
hackere til på IRC
og de har i mellemtiden haft rig muglihed for at smide både det ene og det
andet ind
på din computer af alle muglige former for trojanere.
Prøv at tænke på hvor mange besøgende du har haft uden at du vidste det mens
du
brugte Mirc programmet og evt hvor mange som har fået lov til at hente ned
fra din computer.
Scary thought ikke ?

Schiller

---

On Sat, 7 Jul 2001 16:52:28 +0200, "Schiller"
<Schillerens@hotmail.com> wrote:

>Scary thought ikke ?

....som bør munde ud i en total reinstallation af Windows, og
genopsætning af kun de mest nødvendige protokoller og ingen shares!

--
Hans Pedersen
ICQ# 9178476
Tjek min hjemmeside ud:
http://h2ns.dk

---

Schiller <Schillerens@hotmail.com> wrote:
> Du har kommet til at smide share på hele din HD og derved har han haft rig
> muglighed
> for at se absolut ALT hvad du har på din HD.
> Du har sikkert lavet en fejl da du indstalerede Mirc programmet.

Hvordan haenger NetBIOS og mIRC sammen?

> At du nu har indstaleret firewall bagefter er godt nok , men scan lige din
> HD igennem efter trojanere , for som du sikkert ved holder en pokkers masse
> hackere til på IRC
> og de har i mellemtiden haft rig muglihed for at smide både det ene og det
> andet ind
> på din computer af alle muglige former for trojanere.

Skal vi proeve at holde os til fakta? Dette kan kun ske hvis der er
skriveadgang til et system drev. Det er lang tid siden jeg har haft noget
med Windows at goere, men kan man dele et drev paa en maade som giver andre
mulighed for at liste en folder, men ikke hente filerne i den?

> Scary thought ikke ?

Denne slags ubegrundede indlaeg er langt mere skraemmende da du kaster dine
misforstaaelser over paa andre.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst skrev:

>skriveadgang til et system drev. Det er lang tid siden jeg har haft noget
>med Windows at goere, men kan man dele et drev paa en maade som giver andre
>mulighed for at liste en folder, men ikke hente filerne i den?

Ja. Når man deler et drev, åbnes der for et valgpunkt med "Fuld
deling", "Skrivebeskyttet" og "Adgang via password".

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen <nospamto@lundhansen.dk> wrote:
> Alex Holst skrev:
>
>>skriveadgang til et system drev. Det er lang tid siden jeg har haft noget
>>med Windows at goere, men kan man dele et drev paa en maade som giver andre
>>mulighed for at liste en folder, men ikke hente filerne i den?
>
> Ja. Når man deler et drev, åbnes der for et valgpunkt med "Fuld
> deling", "Skrivebeskyttet" og "Adgang via password".

Hvis jeg husker korrekt, betyder "Fuld deling" laese/skrive adgang og
"Skrivebeskyttet" betyder laese adgang. Dertil kommer saa evt. password
validering hvis det er slaaet til.

Det maa vaere en feature i Windows 2000's filsystem som goer at man kan
vise indholdet af en folder, men ikke laese indholdet af filer i det for FAT
har ikke disse ting.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Hej a@area51.dk (Alex Holst)

>>>skriveadgang til et system drev. Det er lang tid siden jeg har haft noget
>>>med Windows at goere, men kan man dele et drev paa en maade som giver andre
>>>mulighed for at liste en folder, men ikke hente filerne i den?
>>
>> Ja. Når man deler et drev, åbnes der for et valgpunkt med "Fuld
>> deling", "Skrivebeskyttet" og "Adgang via password".
>
>Hvis jeg husker korrekt, betyder "Fuld deling" laese/skrive adgang og
>"Skrivebeskyttet" betyder laese adgang. Dertil kommer saa evt. password
>validering hvis det er slaaet til.

Det er på Win9x. I Windows NT/2000 er der typisk none, read, write,
change, full. Egentlig kommer jeg lidt i tvivl om man kan sætte
advanced settings på share-niveau i Win2k, men gider ikke lige RDP'e
en boks og checke.

>Det maa vaere en feature i Windows 2000's filsystem som goer at man kan
>vise indholdet af en folder, men ikke laese indholdet af filer i det for FAT
>har ikke disse ting.

Det er i hvert fald muligt på NTFS5, men det håndteres via
filsystemets metadata og ikke på shareniveau.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund <larskim@mail.com> wrote:

>Det er på Win9x. I Windows NT/2000 er der typisk none, read, write,
>change, full. Egentlig kommer jeg lidt i tvivl om man kan sætte
>advanced settings på share-niveau i Win2k, men gider ikke lige RDP'e
>en boks og checke.

Jeg tror det ikke, men gider heller ikke...

>>Det maa vaere en feature i Windows 2000's filsystem som goer at man kan
>>vise indholdet af en folder, men ikke laese indholdet af filer i det for FAT
>>har ikke disse ting.
>
>Det er i hvert fald muligt på NTFS5, men det håndteres via
>filsystemets metadata og ikke på shareniveau.

Ja, og hvad enten det er på share-niveau (hvis man kan det) eller
NTFS-rettigheder, så er det i hvert fald ikke noget man kommer til at gøre ved
et tilfælde, så det er næppe tilfældet her.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Peter G <Email@isoutoforder.com> wrote:
> Jeg havde lige en lidt ubehagelig oplevelse på Irc. Jeg sad og chattede vha
> MIRC og pludselig fik jeg en besked fra en i chatrummet at han godt kunne
> tænke sig en bestemt fil på min hdd

Fjolser paa IRC stammer fra den rigtige verden saa du moeder underlige
mennesker fra tid til anden.

Du skriver ikke hvilken fil det var, men jeg gaetter paa at det nok var en
standardfil installeret af enten Windows eller andet program det er
sandsynligt at du brugte. Maaske password filen til et eller andet program?

Uden mere information er det svaert at sige, men det lyder som et social
engineering angreb som er den meste effektive slags. Jeg tror ikke han
har kunnet se dine filer uden ogsaa at kunne hente dem.

Naeste gang kan du teste om ignore funktionen i mIRC virker.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

> Du skriver ikke hvilken fil det var, men jeg gaetter paa at det nok var en
> standardfil installeret af enten Windows eller andet program det er
> sandsynligt at du brugte. Maaske password filen til et eller andet
program?
>
> Uden mere information er det svaert at sige, men det lyder som et social
> engineering angreb som er den meste effektive slags. Jeg tror ikke han
> har kunnet se dine filer uden ogsaa at kunne hente dem.

Faktisk var der tale om et filmklip - en mpeg fil i et directory der hedder
filmklip, så jeg tror ikke at han gætter.

Peter

---

On Sat, 7 Jul 2001 18:46:46 +0200, "Peter G" <Email@isoutoforder.com>
wrote:

>> Du skriver ikke hvilken fil det var, men jeg gaetter paa at det nok var en
>> standardfil installeret af enten Windows eller andet program det er
>> sandsynligt at du brugte. Maaske password filen til et eller andet
>program?
>>
>> Uden mere information er det svaert at sige, men det lyder som et social
>> engineering angreb som er den meste effektive slags. Jeg tror ikke han
>> har kunnet se dine filer uden ogsaa at kunne hente dem.
>
>Faktisk var der tale om et filmklip - en mpeg fil i et directory der hedder
>filmklip, så jeg tror ikke at han gætter.

Tror du ikke det er EDonkey der gør det ?

Det er svjh en art Scour klient.

Mvh.

Thomas

---

Hejsa,
"Peter G" <Email@isoutoforder.com> wrote in message
news:3b46fb23$0$352$edfadb0f@dspool01.news.tele.dk...
> Hej Gruppe
> Jeg havde lige en lidt ubehagelig oplevelse på Irc. Jeg sad og chattede
vha
> MIRC og pludselig fik jeg en besked fra en i chatrummet at han godt kunne
> tænke sig en bestemt fil på min hdd - han angav den eksakte sti på filen
og
> sagde at han kunne se alle min filer, men han kunne ikke hente dem. Da jeg
> spurgte ham hvordan han kunne vide hvilke filer jeg havde på hdd'en sagde
> han at det ville han fortælle mig hvis jeg overførte den krævede fil til
> ham, og jeg hev straks stikket til min netforbindelse ud af hubben.
>
> Nu er det så jeg tænker - hvordan kunne han gøre det. Er det et hul i Mirc
> eller hvad? Jeg har siden da installeret en firewall og håber så på at det
> hjælper.
>
> Min daværende konfiguration:
> Win2k (kørte tcp/ip samt ipx eller hvad det nu hedder)
> kørte Mirc 5.7 samt EDonkey
> Bredbånd|ADSL fra TDC uden firewall eller andet beskyttelse

Sharing eller Trojaner...

Kør fra en cmd prompt :

netstat -an | find ":6667"
netstat -an | find ":113"

Tjekker om der noget funky med din Mirc connection. Evt. en Trojaner. Tjek
for suspekte opførsel på din linie og maskine.

Tjek om du har default shares. Under Shared Folders i Manageren.

Kør regedit :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

Der kan du sætte følgende for at fjerne default sharing ala C$

Ret eller tilføj "AutoShareServer" (REG_DWORD) (hvis det er en server) og
sæt værdien til 0.
Ret eller tilføj "AutoShareWks" (REG_DWORD) (hvis det er en workstation) og
sæt værdien til 0.

Mvh Kim Bruun