Spot-net.nl Forums

Ik heb een inbreuk op mijn privacy gehad, DMV dit in mijn pc :

Antivirus Report of self extract.exe:
self extract.exe Malware
self extract.exe Dangerous
self extract.exe High Risk
self extract.exe
Remote Access / Steals passwords
The client also drops a server! The hacker could choose to log passwords only or all text written. One of the functions is to kill antivirus software.
Remove self extract.exe now!
Reviewed by:
by NightWatcher
self extract.exe Dangerous Rating: 5 out of 5

Nu was mijn gmail benadert, en via dat account was zijn ip geauthoriseerd (bevestigingslink) op het managementpanel van Dreamhost :

Spoiler: show

Spoiler: show

Hi!

We've recently received a request to allow 46.115.125.170 to access your acccount.

If you made this request, and you would like to authorize this address,
please click on the following link (or copy/paste the URL into your browser)

XXXX XXXX XXXXX

If you can't click the above link, you can also visit the following page and
enter the authorization code manually: https://dreamhost.com/servers/vps/

Your authorization code is: fabfd4d7531ec5675f719161b260e097

If you didn't request this email, don't fret. You can simply ignore this
email and no additional IPs will be added to your account. That's exactly
why we email you for confirmation of the request!

Thanks!

-The Happy DreamHost IP Robot


Reply from DreamHost (Dec 20, 2012 - 06:07:12 / #66943796)
Subject: New Authorized IP added to your account!

Hi!

You've just confirmed that the following IP should be allowed to log in
to your account.

46.115.125.170

This authorization will expire at 2012-12-20 07:07:12 Pacific Time, at which time you will have to reauthorize the IP.

If this was not at your request, please contact support IMMEDIATELY.

Thanks!

-The Happy DreamHost IP Robot
Reply from DreamHost (Dec 20, 2012 - 06:06:19 / #66943792)
Subject: Authorize your IP address!

Zoals je ziet heb je hier totale controle over werkelijk alles! (dik 90 minuten ingelogd geweest)
Is het nou echt noodzakelijk om werkelijk alles te veranderen? (db namen?, db passw?/ftp passw?/ users voor ftp? hostnames ook?
Alle mailadres passw? toegewezen vaste ip van mijn belangrijkste site veranderen?
Accountpassw is alweer veranderd, maarja dit bovenstaande malwarekreng is hardnekkig en ik heb nog 1 inaccessable file in de lijst staan en
diverse trojandroppers zijn gevonden in dezelfde DIR\ (backdoor .gen )

Via mijn gmail zijn uiteraard ook al mijn gegevens zichtbaar, woonadres, adressenlijsten, telefoonnummers dankzij adroid google sync

Het IP ( 46.115.121.211 ) dat naar de eigenaar leidde komt vermoedelijkuit op een vpn/proxy service



Wat nu te doen?

Snel handelen is in deze vereisten.

1. Haal de besmette machine van het internet.
2. Verander op een andere machine zo snel mogelijk alle wachtwoorden. (Activeer waar mogelijk ook een 2way factor bijvoorbeeld voor google accounts)
3. Controleer gehackte machines op mogelijk besmette bestanden die verspreid kunnen worden (logs files)
4. Schoon de besmette machine

Ik heb er 3 verschillende scanners op losgelaten die allemaal met een ander resultaat gaven

Uiteindelijk UnhackMe erop losgelaten, en die heeft een rootkit eraf gejast, maar unhackme gaf mij ook 1 inaccessable file, ook mijn andere pc's waren besmet trouwens. (met exact dezelfde reeks / in dezelfde DIR's op dezelfde volgorde.)

Gebruik de Kaspersky live rescue cd eens.
Even opstarten vanaf de CD en dan eerst updaten. Daarna een full system scan draaien.
Daarna nog even malware bytes draaien en een goede virusscanner.

VPS booten met live CD?

Wegens het onoplosbaar zijn van dit privacy probleem is mijn beveiliging dermate opgeschroeft dat FTPusers alleen nog kunnen inloggen per sms authorisatie

Thanks voor de reacties!