Security Professionals - ipfw add deny all from eindgebruikers to any

Verander regelmatig je windows host files...

27-02-2009, 22:49 door _nip3r, 37 reacties
Een ding wat je regelmatig moet doen om jezelf te beveiligen tegen kwaadwillige websites, is ze te blokken met behulp van de HOSTS file. Veel mensen maken hier geen gebruik van. (ga naar http://hosts-file.net/?s=Download )
En download de te vervangen hosts file. Kijk eerst of ze geldig zijn etc. Dan vervang de hosts file met de files die je gedownload hebt, die kun je hier vinden:
%System32%\drivers\etc\
Als het jouw niet lukt om dit in Vista te doen, kijk dan hier:

http://geekswithblogs.net/thibbard/archive/2006/12/13/ChangingYourHostsFileInVista.aspx

doe dit regelmatig als aanvulling op je pc veiligheid...
grtz
Reacties (37)
01-03-2009, 14:04 door Anoniem
Spybot search and destroy bied deze zelfde optie met Immuniseren.
Alleen dan een stuk makkelijker te doen voor de leken ;)
03-03-2009, 09:44 door Night
Ook een heel handige waarbij je zelf geen onderhoud hebt is een veilige DNS te kiezen.


Een voorbeeld: http://www.opendns.com
03-03-2009, 10:09 door Anoniem
@ $nip3r: een oplossing als deze doe je door een proxy op je computer te installeren, niet door een systeem file overhoop te gooien.

Leuk dat je allerlei dingen ontdekt aan je dooz, maar ga niet rommel oplossingen posten.
03-03-2009, 11:52 door Anoniem
Door AnoniemSpybot search and destroy bied deze zelfde optie met Immuniseren.
Alleen dan een stuk makkelijker te doen voor de leken ;)

Klopt, deze doet het ook lekkah; http://www.javacoolsoftware.com/spywareblaster.html
03-03-2009, 12:45 door Anoniem
Windows Host-file is onder Vista niet meer te veranderen. Ook niet door de gebruiker.
08-07-2010, 13:10 door Anoniem
Door Anoniem: Windows Host-file is onder Vista niet meer te veranderen. Ook niet door de gebruiker.

Absoluut onwaar, je kunt dit nog steeds doen door de UAC ( gebruikersaccountbeheer ) uit te schakelen. Dan kun je simpelweg dmv de kladblok aanpassingen doen aan je hosts file of een andere plaatsen. Wel niet vergeten eerst een backup te maken ;-)

Groet

Sven
08-07-2010, 15:50 door vinylat45
Een ding wat je regelmatig moet doen om jezelf te beveiligen tegen kwaadwillige websites, is ze te blokken met behulp van de HOSTS file. Veel mensen maken hier geen gebruik van.

De reden waarom mensen daar geen gebruik van maken, is omdat de host file daarvoor niet bedoeld is.
08-07-2010, 16:31 door Anoniem
"De reden waarom mensen daar geen gebruik van maken, is omdat de host file daarvoor niet bedoeld is."

Er zijn betere oplossingen, zoals je in eerdere reacties kunt lezen, maar het argument dat de hosts file hier niet voor bedoeld is vind ik niet erg zinnig. Waarom zou je zaken niet kunnen gebruiken om je beveiliging te verbeteren, zelfs indien ze hier oorspronkelijk niet voor bedoeld zijn.
08-07-2010, 16:57 door [Account Verwijderd]
[Verwijderd]
08-07-2010, 23:33 door Anoniem
Door unaniem:
Door vinylat45:
Een ding wat je regelmatig moet doen om jezelf te beveiligen tegen kwaadwillige websites, is ze te blokken met behulp van de HOSTS file. Veel mensen maken hier geen gebruik van.

De reden waarom mensen daar geen gebruik van maken, is omdat de host file daarvoor niet bedoeld is.

Jij spant de kroon met je 'visie'.

Dus jij vind het wel een goed idee om miljoenen onwetende gebruikers UAC te laten uitschakelen zodat ze hun hosts file kunnen "verkrachten" om wat adware te blokkeren. Daarnaast gaan casual gebruikers echt niet continue die file up-to-date houden, veel te veel moeite.

Spybot S&D, klaar.
09-07-2010, 14:41 door Anoniem
Door Anoniem: Windows Host-file is onder Vista niet meer te veranderen. Ook niet door de gebruiker.
Grappig, ik heb het 2 uur geleden nog gedaan? =)

CMD uitvoeren als administrator, kladblok oproepen vanaf CMD, hosts file openen, aanpassen naar wens, en opslaan. Als je lokaal een server draait heb je nog wel eens VHOSTS nodig, dus is het zeker nodig om je HOSTS file aan te passen =)
09-07-2010, 15:07 door Anoniem
"Dus jij vind het wel een goed idee om miljoenen onwetende gebruikers UAC te laten uitschakelen zodat ze hun hosts file kunnen "verkrachten" om wat adware te blokkeren. Daarnaast gaan casual gebruikers echt niet continue die file up-to-date houden, veel te veel moeite."

Dergelijke zaken regel ik wel via een logon script, zodat gebruikers binnen mijn organisatie zich hier niet druk over hoeven te maken. Wat miljoenen andere (on)wetende gebruikers doen ? Geen idee, da's gelukkig niet mijn probleem.
09-07-2010, 15:14 door ej__
Werk gewoon niet als adminstrator maar als mortal user. Gezeur voorbij. Blijf van de hosts file af.
09-07-2010, 17:13 door ej__
Door Anoniem: "Dus jij vind het wel een goed idee om miljoenen onwetende gebruikers UAC te laten uitschakelen zodat ze hun hosts file kunnen "verkrachten" om wat adware te blokkeren. Daarnaast gaan casual gebruikers echt niet continue die file up-to-date houden, veel te veel moeite."

Dergelijke zaken regel ik wel via een logon script, zodat gebruikers binnen mijn organisatie zich hier niet druk over hoeven te maken. Wat miljoenen andere (on)wetende gebruikers doen ? Geen idee, da's gelukkig niet mijn probleem.
Wat een ongelofelijke prutsoplossing. Kan me niet voorstellen dat iemand zo'n oplossing in een organisatie uitrolt. Ooit gehoord van recursieve DNS servers waarin je dit centraal regelt?

EJ
09-07-2010, 23:16 door Erwtensoep
Je hoeft UAC helemaal niet uit te schakelen...
Ik kan heel makkelijk mijn hosts file updaten met een UAC account onder vista: rechtermuisknop->Send To->update hosts.
Dan 1x bevestigen en 1x toestaan via UAC pop-up en klaar is kees :)
Uitleg:
http://www.mvps.org/winhelp2002/hostsvista.htm
Win7 is nog makkelijker, in de zip zit ook een batchbestand, alleen maar ff als admin uitvoeren ;)
11-07-2010, 10:57 door fluffyb53
Welke criteria hanteer je om url's in je blacklist te plaatsen? Imho, is dit vechten tegen de bierkaai. Geen enkel filter is perfekt. Zowel Ie8, Chrome en Firefox hebben anti-malware-site filtering. Dit kan je nooit persoonlijk verbeteren met de hostfile aan te passen.Een betere oplossing is bv een Smoothwall/IPcop/Endian enz box met proxy aan en een op dansguardian gebaseerd filtering systeem. Die blacklists bevatten honderduizenden malware links, redirectors, proxies enz.
11-07-2010, 12:05 door Anoniem
Ik doe dit voledig automatisch op m'n router, met een script op m'n router,
aangezien dat ik m'n router iedere zondag nacht automatisch herstart, heb ik altijd
de lijst met slechte sites relatief up to date omdat hij dan de nieuwste lijst ophaalt.
Zo hoef ik oon nog n's niet het host bestand te wijzigen in windows.
11-07-2010, 17:25 door ej__
Ik doe het gewoon helemaal niet, surf als mortal user en heb helemaal geen last. Dat is een veel betere oplossing. :D
12-07-2010, 11:36 door Anoniem
Het kan nog makkelijker, gewoon notepad als Administrator uitvoeren en dan via openen naar die map gaan.
Start -> Zoek naar notepad -> twee muisknop -> Uitvoeren als Administrator, bevestigen.

Ik doe dit alleen omdat ik lokaal een server heb draaien voor test doeleinde.

Dit trucje werkt ook voor andere bestanden die je alleen als Administrator kunt aanpassen zoals php.ini
12-07-2010, 14:28 door spatieman
aanpassen, mijn huidige lijst is 50MB groot....
13-07-2010, 17:46 door Anoniem
Hostman http://www.abelhadigital.com/hostsman
13-07-2010, 22:07 door Ina Ninck
Ik vraag me af hoe je via een hosts file wat kunt blokkeren.
Waar kan ik daar info over vinden?
13-07-2010, 22:09 door Ina Ninck
Ik vraag me af hoe je via een hosts file wat kunt blokkeren.
Waar kan ik daar info over vinden?
14-07-2010, 07:53 door Anoniem
Door Ina Ninck: Ik vraag me af hoe je via een hosts file wat kunt blokkeren.
Waar kan ik daar info over vinden?


ik vond al heel wat minder via google hoor....
14-07-2010, 10:16 door Anoniem
Door Ina Ninck: Ik vraag me af hoe je via een hosts file wat kunt blokkeren.
Waar kan ik daar info over vinden?

http://www.mvps.org/winhelp2002/hosts.htm[/quote]
14-07-2010, 12:31 door ej__
Door spatieman: aanpassen, mijn huidige lijst is 50MB groot....
Dan zal je wel een lekker snel aanvoelende computer hebben: iedere dns lookup gaat door een linear search van een tekstfile. De manier om je performance de nek om te draaien.

@Ina Ninck: niet zoeken, is een dns redirect naar localhost. Domeinnaam wordt dan lokaal gezet waardoor de webclient heel snel een closed port reply krijgt. Kan zelfs in het door jou gebruikte linux. ;) Maar dat wist je allemaal best al wel. ;)

Doe het niet. Het is killing voor de performance als deze file groter is dan een paar regels. Gebruik een echte dns oplossing, desnoods opendns.

EJ
14-07-2010, 12:59 door Anoniem
Door spatieman: aanpassen, mijn huidige lijst is 50MB groot....
Lijkt me wel erg langzaam worden, mijne is maar iets van 800KB..
14-07-2010, 17:34 door Anoniem
als dr zo veel dingen in staan lijkt het me een stuk handiger om zelf een dns server neer te zetten en die authoritatief voor de desbetreffende zones te maken. Hosts files zijn handig voor je lokale netwerknaampjes maar daar houdt het verder ook wel mee op.
14-07-2010, 22:10 door Ina Ninck
Haaaaaahahaha, wat een baggeroplossing, alles naar localhost verwijzen.
Kijkt Windows ALTIJD eerst in de lokale hosts file? Zo ja, dan is dat een flink security lek.
Dat betekent dat gebruikers de DNS servers gewoon kunnen omzeilen.

Gelukkig draait er bij mij geen enkele windows machine.
14-07-2010, 22:34 door Ina Ninck
@Anoniem.... een hosts file van "maar 800KB", vind je dat normaal.........
14-07-2010, 22:35 door Ina Ninck
@ej Leuk je weer eens tegen te komen!
14-07-2010, 23:46 door Bert de Beveiliger
Door Ina Ninck: Haaaaaahahaha, wat een baggeroplossing, alles naar localhost verwijzen.
Kijkt Windows ALTIJD eerst in de lokale hosts file? Zo ja, dan is dat een flink security lek.
Dat betekent dat gebruikers de DNS servers gewoon kunnen omzeilen.

Gelukkig draait er bij mij geen enkele windows machine.

Ah, een n00b - excusez le mot - of een Linux fanboy/fangirl. Ina, doe eens:

#cat /etc/nsswitch

en kom dan nog eens joelen. Je hebt zojuist een "flink security lek" gevonden want vrijwel elk IP based systeem gebruikt een hosts file en consulteert deze als eerste. Dat is aan te passen, maar niemand doet dat. En dat iedereen die zijn apps (met name browsers) draait als admin/root/super vraagt om problemen, want de apps erven deze permissies en kunnen vervolgens inderdaad bijvoorbeeld de hosts aanpassen om populaire sites te verwijzen naar niet-zo-koosjere kopietjes daarvan. Het security lek is enorm, en heet gebruiker - de voornaamste reden waarom Windows Vista en 7 UAC hebben gekregen.

Overigens wordt vrijwel altijd de hosts file ingelezen bij het starten van de network daemons (danwel services) en de inhoud wordt per direct in de DNS cache gemikt. Dus een file van 50MB wordt niet continue doorgenomen maar meteen geRAMd. Elke wijziging veroorzaakt vervolgens een re-read van de file.
14-07-2010, 23:48 door ej__
Door Ina Ninck: @ej Leuk je weer eens tegen te komen!
;)
14-07-2010, 23:49 door ej__
Door AlexK:
Door Ina Ninck: Haaaaaahahaha, wat een baggeroplossing, alles naar localhost verwijzen.
Kijkt Windows ALTIJD eerst in de lokale hosts file? Zo ja, dan is dat een flink security lek.
Dat betekent dat gebruikers de DNS servers gewoon kunnen omzeilen.

Gelukkig draait er bij mij geen enkele windows machine.

Ah, een n00b - excusez le mot - of een Linux fanboy/fangirl. Ina, doe eens:

#cat /etc/nsswitch

en kom dan nog eens joelen. Je hebt zojuist een "flink security lek" gevonden want vrijwel elk IP based systeem gebruikt een hosts file en consulteert deze als eerste. Dat is aan te passen, maar niemand doet dat. En dat iedereen die zijn apps (met name browsers) draait als admin/root/super vraagt om problemen, want de apps erven deze permissies en kunnen vervolgens inderdaad bijvoorbeeld de hosts aanpassen om populaire sites te verwijzen naar niet-zo-koosjere kopietjes daarvan. Het security lek is enorm, en heet gebruiker - de voornaamste reden waarom Windows Vista en 7 UAC hebben gekregen.

Overigens wordt vrijwel altijd de hosts file ingelezen bij het starten van de network daemons (danwel services) en de inhoud wordt per direct in de DNS cache gemikt. Dus een file van 50MB wordt niet continue doorgenomen maar meteen geRAMd. Elke wijziging veroorzaakt vervolgens een re-read van de file.

Ina doet zich naiever voor dan hij is. ;)
14-07-2010, 23:59 door Bert de Beveiliger
Door ej__:
Door AlexK:
Door Ina Ninck: Haaaaaahahaha, wat een baggeroplossing, alles naar localhost verwijzen....

Ah, een n00b - excusez le mot - of een Linux fanboy/fangirl. Ina, doe eens:

#cat /etc/nsswitch

Ina doet zich naiever voor dan hij is. ;)

/me hope so :-S
15-07-2010, 15:49 door BigLJohn
Windows en zijn beveiliging,een late roeping! Beter is het zelf een goede beveiliging te bezigen,in de vorm van een kwalitatief hoogstaande Internet Security Suite.Deze blokt automatisch de bekende foute sites,waar het een en ander op kan rondwaren.Zelf gebruik ik ESET Smart Security 4.2. NL.Ook goede suites van andere fabrikanten zullen dit voor je doen,zoals Kaspersky Internet Security 2010,GData,en Norton Internet Security 2010.
15-07-2010, 16:05 door Sith Warrior
Doe mij ook maar opendns, zoals hierboven genoemd werd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.