---

Date: 9/22/2001 Time: 12:42:33
Rule "Default Block Backdoor/SubSeven Trojan horse" blocked
(bjarke-i1(62.243.77.40),Backdoor-g-1(1243)). Details:
Inbound TCP connection
Local address,service is (bjarke-i1(62.243.77.40),Backdoor-g-1(1243))
Remote address,service is (62.243.193.XXX,2345)
Process name is "N/A"

Det er en adsl bruger i Næstved:

inetnum: 62.243.193.0 - 62.243.193.255
netname: TDC-TELEDANMARK-BREDBAANDSADSL-NET
descr: IP addresses for ADSL users in
descr: Tele Danmark\'s IP backbone.
descr: Location: Naestved
descr: Box: naenxx1

Er det mig der har en trojan. Eller er det endnu en falsk alarm?

---

Hey Bjarke Hansen you might have written some of this:

> Det er en adsl bruger i Næstved:
>
> inetnum: 62.243.193.0 - 62.243.193.255
> netname: TDC-TELEDANMARK-BREDBAANDSADSL-NET
> descr: IP addresses for ADSL users in
> descr: Tele Danmark\'s IP backbone.
> descr: Location: Naestved
> descr: Box: naenxx1
>
> Er det mig der har en trojan. Eller er det endnu en falsk alarm?

Han kom også forbi her! noget tyder på, at han har scannet et par ip blokke
og sådan noget.

Måske skulle man skrive til abuse adressen - det kunne jo også godt tænkes,
at noget havde taget kontrol over synderes maskine.

Anyway så kan du lige så godt indstille dig på et par alarmer om ugen.
Dette betyder ikke at din maskine på nogen måde en trojan. Ivørigt ville
Norton Antivirus stoppe denne hvis dette var tilfældet, hvilket det jo nok
ikke er. <http://www.dumbass.dk/hacking.htm>

Det som Norton prøver at kommunikere til dig er, at noget har prøvet at
chekke, som der er en given service på en given port.

Denne gang var det "Backdoor-g-1" på din maskine, hvor noget ville checkke
om du havde en service på. Ifølge Norton er denne port en default port for
SubSeven og derfor er Norton så venlig at fortælle dig det.

Du kan selv vælge hvor højt du vil flyve på en sådan alarm. Men efter de
første 30 kommer du nok ikke særligt højt op mere.
Det er først, hvis en person begynder at scanne din computer på flere
forskellige porte samtidig, for at få et billed af hvilke servicer du har
kørende, at jeg ville begynde at foretage mig noget.
Her er et eks. <http://www.dumbass.dk/download/logilog.txt>


--
Basyrinus - www.dumbass.dk
Takt er evnen til at beskrive andre
sådan, som de ser sig selv.

---

> Du kan selv vælge hvor højt du vil flyve på en sådan alarm. Men efter de
> første 30 kommer du nok ikke særligt højt op mere.

Lige præcis.. Tænk hvis man skulle lave en abuse sag ud af hver gang nogen
f.eks. kastende en CodeRed efter ens server selvom der måske ikke sker
noget..
Man kunne selvfølgelig bare autoforwarde alle sine logfiler til samtlige
danske udbydere.. så kan se selv kigge dem igennem :)

---

Hejsa,
"Brian Ibsen" <flyinghigh@mailme.dk> wrote in message news:3baca0bd$0$272$edfadb0f@dspool01.news.tele.dk...
> > Du kan selv vælge hvor højt du vil flyve på en sådan alarm. Men efter de
> > første 30 kommer du nok ikke særligt højt op mere.
>
> Lige præcis.. Tænk hvis man skulle lave en abuse sag ud af hver gang nogen
> f.eks. kastende en CodeRed efter ens server selvom der måske ikke sker
> noget..
> Man kunne selvfølgelig bare autoforwarde alle sine logfiler til samtlige
> danske udbydere.. så kan se selv kigge dem igennem :)

Yup =) - 5-20 MB log om dagen pr. server!! det er meget rart at få som m@il - *LOL*

Mvh Kim Bruun

---

Bjarke Hansen <bjarke_hansen@*REMOVE*spamfilter.dk> wrote:
> Date: 9/22/2001 Time: 12:42:33
> Rule "Default Block Backdoor/SubSeven Trojan horse" blocked
> (bjarke-i1(62.243.77.40),Backdoor-g-1(1243)). Details:
> Inbound TCP connection
> Local address,service is (bjarke-i1(62.243.77.40),Backdoor-g-1(1243))
> Remote address,service is (62.243.193.XXX,2345)

Dette er rimeligt godt daekket i OSS'en. Du maa have overset disse afsnit da
du laeste den:

Hvornår er der ikke behov for en personlig firewall?
http://a.area51.dk/sikkerhed/hjemme_pc#firewall

Hvad betyder logbeskederne fra min firewall?
http://a.area51.dk/sikkerhed/hjemme_net#fwbesked

Hvordan skal jeg reagere på disse beskeder?
http://a.area51.dk/sikkerhed/hjemme_net#reaktion

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> wrote:

> Hvornår er der ikke behov for en personlig firewall?
> http://a.area51.dk/sikkerhed/hjemme_pc#firewall

Citat fra den:
"Hvis din PC kun bruges som arbejdsplads, altså ikke deler nogle af sine drev
eller printere (via NetBIOS), ..."

Jeg foreslår at du ca. der nævner at Windows NT og 2000 (og formodentlig XP)
som standard deler alle drev som "hidden shares" med navne af typen c$, d$,
etc, og at disse shares er forbandet svære at slippe af med. Man kan fjerne
dem i den normale sharing-dialog, og så tror man alt er godt, men næste gang
man booter er de der igen. De kan vistnok fjernes med noget eksplicit
registry-redigering, men jeg kender ikke detaljerne.

Personligt synes jeg at hvad som helst, om nødvendigt en personlig firewall,
der blokerer for netbios er ønskværdigt når man kører Windows. Selv hvis man
ikke har nogen delte drev kunne der jo evt. være en bug i Windows'
netbios-håndtering.

Hvis man ikke har en eller anden slags firewall og man kører NT/2000/XP skal
man i hvert fald sørge for at have seriøse passwords på alle brugernavne med
administratorrettigheder aht. disse "hidden shares".

Men jeg er selvfølgelig helt enig i dine forsøg på at forklare folk at en
alarm fra et firewall-program ikke er noget at gå i panik over.
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Hej Jesper Dybdal <jdunet@u6.dybdal.dk>

>Man kan fjerne
>dem i den normale sharing-dialog, og så tror man alt er godt, men næste gang
>man booter er de der igen. De kan vistnok fjernes med noget eksplicit
>registry-redigering, men jeg kender ikke detaljerne.

Hive: HKEY_LOCAL_MACHINE
Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
Name: AutoShareServer for servers
Name: AutoShareWks for workstations
Type: REG_DWORD
Value: 0

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund <larskim@mail.com> wrote:
> Hive: HKEY_LOCAL_MACHINE
> Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
> Name: AutoShareServer for servers
> Name: AutoShareWks for workstations
> Type: REG_DWORD
> Value: 0

Guld. Hvilke Windows reagerer paa dette?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Hej Alex Holst <a@area51.dk>

>> Hive: HKEY_LOCAL_MACHINE
>> Key: SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
>> Name: AutoShareServer for servers
>> Name: AutoShareWks for workstations
>> Type: REG_DWORD
>> Value: 0
>
>Guld. Hvilke Windows reagerer paa dette?

Windows NT, herunder 2000 (NT5). Windows 9x laver ikke automatisk
administrative shares.

Det er et meget kendt registryhack, så hvis du vil have baggrundsinfo
så prøv at søge på "AutoShareServer" med google.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Jesper Dybdal <jdunet@u6.dybdal.dk> wrote:
> Alex Holst <a@area51.dk> wrote:
>
>> Hvornår er der ikke behov for en personlig firewall?
>> http://a.area51.dk/sikkerhed/hjemme_pc#firewall
>
> Citat fra den:
> "Hvis din PC kun bruges som arbejdsplads, altså ikke deler nogle af sine drev
> eller printere (via NetBIOS), ..."
>
> Jeg foreslår at du ca. der nævner at Windows NT og 2000 (og formodentlig XP)
> som standard deler alle drev som "hidden shares" med navne af typen c$, d$,
> etc, og at disse shares er forbandet svære at slippe af med.

Jeg har ikke haft mulighed for at undersoege dette, men jeg skal goere det
naeste gang jeg har mulighedheden -- eller maaske en anden kan skrive lidt
om det?

> Personligt synes jeg at hvad som helst, om nødvendigt en personlig firewall,
> der blokerer for netbios er ønskværdigt når man kører Windows. Selv hvis man
> ikke har nogen delte drev kunne der jo evt. være en bug i Windows'
> netbios-håndtering.

De forskellige firewalls har haft flere problemer end Windows Networking og
jeg stoler aerlig talt mere paa Microsoft's kvalitetskontrol end paa f.eks.
Zone Labs's ditto -- selvom det ikke er noget at raabe hurra for.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst <a@area51.dk> wrote:

>De forskellige firewalls har haft flere problemer end Windows Networking og
>jeg stoler aerlig talt mere paa Microsoft's kvalitetskontrol end paa f.eks.
>Zone Labs's ditto -- selvom det ikke er noget at raabe hurra for.

Jeg har ingen personlig erfaring med disse personlige firewalls; hvis deres
kvalitet virkelig er ringere end den Microsoft leverer, så har du selvfølgelig
ret i at man skal holde sig fra dem.

Tak til Lars Kim Lund for opskriften på at fjerne shares.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).