Er jeg blevet hacket? Sådan ved du det

Er jeg blevet hacket? Sådan ved du det

Er jeg blevet hacket? Sådan ved du det

Sådan ser du tegnene på, om du er blevet hacket.

Denne gang kigger vi på, hvordan du kan finde ud af, om din Windows 10 computer er blevet hacket eller ‘ownet’. Vi har i sikkerhedszonen tidligere skrevet om, hvordan man skal sikre sin computer ved altid at patche og have en opdateret antivirus. Vi har dog ikke fortalt, hvordan man som slutbruger kan finde ud af, om man er blevet inficeret med malware. Det råder vi bod på denne gang!

Åbenlyse tegn på hacking

De værktøjer, vi bruger her, kommer alle sammen med Windows 10, med en enkelt undtagelse. Vi kommer til at bruge Process Explorer fra Sysinternals. Det kan finde på internettet ved at søge på Sysinternals og downloade Process Explorer. Process Explorer er gratis og kommer fra Microsoft. Du kan se, hvordan Process Explorer ser ud på figur 1.

De tricks, jeg viser og gennemgår, kan bruges til både at finde ud af, om du er blevet hacket eller er blevet inficeret med Adware. Adware er software, der hele tiden popper reklamebokse op på desktoppen. Nu kan du selvfølgelig indvende, at det er relativt åbenlyst, at man i dette tilfælde er blevet inficeret med adware, men der findes programmer, der er langt mere diskrete i deres visning af reklamer.

Figur 1: Process Explorer er et fantastisk værktøj til fejlfinding på en Windows-computer.

Figur 1: Process Explorer er et fantastisk værktøj til fejlfinding på en Windows-computer.

Lad os starte med de mest åbenlyse tegn på, at du er blevet hacket. Dukker der f.eks. pludseligt en dialogboks op, der siger, at den er fra et antivirusprogram, du ikke har installeret, og fortæller dig, at du har en masse vira på din pc, så er du blevet hacket!

Se også:  Sådan gør du dit password svært at hacke

Metoden med det falske antivirusprogram er dog ikke så populær, som den var engang, og er i stigende grad blevet afløst af ransomware. Men får du pludseligt mærkelige popups fra programmer, du ikke har installeret, så er der grund til at være på vagt.

En afart af denne metode er, hvis der er installeret mærkelige værktøjslinjer i din browser. Sammen med disse værktøjslinjer, sker der typisk det, at du bliver sendt til websider, som du ikke har indtastet i adresselinjen. Begge dele er sikre tegn på, at noget er helt galt med din pc.

Et andet sikkert tegn på, at noget er galt, er, hvis dit antivirusprogram er slået fra og ikke kan slås til igen. Grunden til det er, at dem, der har inficeret din pc, naturligvis ikke er interesserede i, at din antivirus skal ødelægge deres forretning ved at detektere inficeringen. Ved du f.eks., om din antivirus kører lige nu?

Se også:  Her er de it-kriminelles tre vigtigste våben

Endnu en klassiker er at ændre på DNS-indstillingerne på pc’en. På figur 2 kan du se mine indstillinger for IPv4. Langt de fleste computere har de samme indstillinger som min, hvor pc’en automatisk beder om en ip-adresse og DNS-server. Hvis din pc har specifikke indstillinger for DNS, og du ikke selv har sat disse, så er der et problem.

Brug kommandolinjen

Det var de mest åbenlyse eksempler, og nu begynder vi at kigge lidt mere i dybden efter tegn på inficeringer. Vi starter med at åbne en kommandolinje. Om du bruger en DOC prompt eller Powershell er lige meget, dette trick vil fungere i begge to. Værktøjet, vi vil bruge nu, hedder netstat.

Netstat kan bruges til at vise, hvilke forbindelser pc’en har med omverdenen. På figur 3 kan du se et udsnit af de forbindelser, som min pc i skrivende stund har. Når du kører netstat, vil du se, at selvom du ikke har nogle programmer kørende, så er der masser af forbindelser fra din pc ud til internettet. Det er helt normalt, så der er ikke nødvendigvis grund til bekymring, hvis du ser en masse forbindelser, du ikke kan genkende.

I kolonne 3 på figur 3 kan du se nogle af de endpoints, som min pc har forbundet sig til. Det er dem, der vil afsløre, om pc’en er inficeret med malware. Taster du f.eks. en af ip-adresserne ind i en browser og oplever, at der kommer en hjemmeside op, som serverer reklamer i stor stil, så er risikoen for, at du er blevet inficeret med noget adware rimelig stor.

Netstat kommer med flere optioner til programmet. Kører du netstat -o, så viser netstat det processID, der hører til programmet, som har lavet forbindelsen. Så kan du bruge Task Manager til at finde programmet bagefter.

Se også:  Sådan gør du dit password svært at hacke

Men hvad nu hvis du får en fejlmeddelelse, når du prøver at køre netstat? Det er et tegn på, at du er blevet ramt af malware – fuldstændigt som tilfældet med en antivirus der ikke længere vil køre. Fordi netstat er så godt et værktøj til at finde inficeringer, så er angriberne ikke interesserede i, at det skal være tilgængeligt for en nærmere analyse af en angrebet pc.

Figur 3: Med netstat kan du finde ud af, hvilke forbindelser din pc har med internettet.

Figur 3: Med netstat kan du finde ud af, hvilke
forbindelser din pc har med internettet.

Process Explorer

Nu skifter vi til at kigge på Process Explorer. Som nævnt i starten er det et værktøj, der først skal installeres på Windows 10. Med Process Explorer kan vi se mange flere detaljer om, hvad der kører på Windows, end vi kan med Task Manager alene.

Process Explorer er en del af den suite af værktøjer, der kommer med Sysinternals. Hvis du ikke allerede kender til Sysinternals, så er det værd at bruge nogle ressourcer på at sætte dig ind i dem. Du kan se et udsnit af de processer, der kører på min pc, på figur 1.

En af de store fordele ved Process Explorer, er, at den i modsætning til Task Manager viser de processer, der eksekverer under en anden proces. På figur 1 kan du f.eks. se, at flere af de processer, du ville se under Task Manager, har andre processer kørende. Ved at højreklikke på en proces og vælge egenskaber, kan man få endnu flere oplysninger om en kørende proces.

Se også:  Her er de it-kriminelles tre vigtigste våben

Det, du specielt skal lægge mærke til, er den kolonne, der lister navnet på det firma, der har lavet programmet. Har du en proces kørende, som ikke fortæller, hvor programmet kommer fra, så er der grund til at være på vagt.

Endnu en ting, som vi kan bruge Process Explorer til, er at bede den om at bruge Virus Total til at scanne de processer, der vises i Process Explorer. Det kan du gøre ved at klikke på options og vælge Virus Total fra menuen. Du skal bekræfte, de betingelser der er fra Virus Totals side, men når du har gjort det, så vil der komme en ny kolonne i Process Explorer, der viser, hvor mange af de antivirusleverandører, som Virus Total bruger, der mener, at en given proces er tegn på malware.

Kan du være helt sikker?

Kan du være helt sikker, hvis du ikke har fundet noget mistænkeligt ved nogle af de metoder, vi har beskrevet her? Desværre ikke. Angriberne bliver hele tiden bedre, og der findes metoder til at gemme sig, som ikke engang de forskellige antivirusleverandører kan detektere.

Som nævnt i andre sammenhænge, så er den bedste måde at sikre sig på, ved at holde Windows og de programmer, der er installeret, opdaterede med de sikkerhedsopdateringer, der kommer hele tiden. Det er også vigtigt at holde sin antivirus opdateret med de seneste signaturer fra leverandøren.

Figur 2: Hvis dine DNS-indstillinger har ændret sig i forhold til dine forventninger, så er der grund til at være bekymret.

Figur 2: Hvis dine DNS-indstillinger har ændret sig i forhold til dine forventninger, så er der grund til at være bekymret.