Zitat:
|
VNC-Server Free Edition 4.1.1
|
Sagt mir persönlich nichts, ich verwende
UltraVNC (Opensource). Du solltest immer auf aktuelle Versionen achten und die einspielen.
Zitat:
|
Also das Passwort war beim ersten Mal recht unsicher; ich glaube alles nur kleine Buchstaben (6 oder 7). Beim zweiten Mal (Nachhilfestunde mit meiner Freundin) jedoch hatte ich ein 7-stelliges Paßwort mit Buchstaben, Zahlen und Sonderzeichen.
|
Sieben Stellen sollten eigentlich recht sicher sein. V.a. bei diesem Zeichensatz.
Zitat:
|
Was meinst du denn damit ? Etwa, dass ich einfach andere beliebige Ports wählen soll ?
|
Jap. Kann man im VNC-Server einstellen. Du kannst dir irgendeinen Port aussuchen, z.B. 33215. Ist etwas sicherer, da der Standartport als erstes ausprobiert wird. Bei einem anderen nicht bekannten Port, müsste erstmal über einen Portscanner dieser ausfindig gemacht werden.
Zitat:
|
Wie soll man sich das vorstellen. Meinst du, dass da jmd menschliches hinter ner Shell sitzt und ala Matrix am hacken ist oder sind das Proggis, die die Standardports ganzer IP-Ranges absuchen, ob da irgendwo nen unsicherer VNC-Server läuft ?
|
Ich vermute, dass Cracker irgenwelche Scripte/Programme geschrieben haben, um ganze IP-Ranges nach offenen 5800/5900 Ports abzusuchen. Wenn sie einen Rechner gefunden haben, werden sie vermutlich mehrere Exploits auf die Kiste loslassen, um sich Zugang zu verschaffen. Das klappt aber nur bei alten VNC-Server mit Sicherheitslücken. Bei einem aktuellen VNC-Server, wo die Lücken gefixt sind, d.h. keine bekannten Lücken mehr da sind, wirds für die Cracker schwieriger. Da probieren sie dann wahrscheinlich einfach nur ein paar Passwörter aus um auf die Kiste zu gelangen. Hatte ich selber schon mal gesehen, jedenfalls schließ ich das daraus. Und zwar hatte ein Bekannter von mir auf seinem Rechner auch VNC installiert, war übers Internet erreichbar. Scheinbar hatte ein Dritter versucht darauf zu kommen, allerdings ohne Erfolg. Die Zugangsversuche wurden im Ereignisprotokoll angezeigt. Das könntest du übrigens auch mal nachschauen. Normalerweise wird auch die IP-Adresse protokolliert.
Zitat:
|
Ich stelle mir eher Zweiteres vor, wo dann das Programm bei Erfolg (Eindringen durch VNC-Lücke u/o Port) versucht von nem Server im Web ne Datei zu laden, um sie anschließend auf dem System auszuführen und schadhaften Code zu platzieren.
|
Ja, so meinte ich das ja auch. Aber der Einbruch gelangüber ein schlecht abgeischertes VNC. Nachdem Einbruch wird der Angreifer nat. seinen Zugriff sicherstellen, in dem er irgendwas zusätzliches installiert, z.B. eine Backdoor. Das wäre dann die von dir erwähnte Schädlingsdatei.
Zitat:
|
Ergo, wenn ich mein VNC sicherer mache, dann brauche ich mir keine Sorgen mehr machen, oder ?
|
So einfach kann man das nicht sagen. Welche Rechte hatte der Angreifer denn gerade? Bei Adminrechten wäre es nämlich locker möglich, die PFW abzuschalten. Vllt hater auch er selber kurzerhand auf Erlauben geklickt. Die PFW würde ich da nicht als große Hürde einstufen. Man weiß auch nicht, ob der Angreifer nur diese Kommandos ausgeführt hat oder ob er noch mehr gemacht hat.
Zitat:
|
Kannst du denn was mit den 4 Kommandos anfangen ? Alles was ich daraus lese, ist, dass eine Datei geholt werden sollte. Den Rest verstehe ich nicht.
|
Hier ist eine Beschreibung der Optionen für ftp.exe.
Der wollte auf jeden Fall bestimmte Dateien herunterladen und hat versucht, weitere ftp-befehle auszuführen. Sehr wahrscheinlich mit dem Ziel, die heruntergeladenen exe-Dateien auf deiner Kiste ausführen zu lassen.
Zitat:
|
Zu diesen Zeitpunkten war ich Admin auf meinem System.
|
Das ist weniger gut...
Zitat:
|
Wie soll ich denn herausfinden, wo er etwas geändert hat, um sein krankes Hirn zu befriedigen ?
|
Alle Änderungen zu erfassen ist quasi unmöglich. Wenn du wieder ein garantiert vertrauenswürdiges System haben willst, muss du neu aufsetzen oder ein sauberes Image zurückspielen.
Zitat:
Wenn da ein Prozeß und/oder Dienst laufen würde, welchen ihr nicht kennt, dann würdet ihr dies doch an den Logs sehen, oder ?
Bist du dir 100%ig sicher, dass beiden Logs nichts Verdächtiges zu entnehmen ist ?
|
Ich hab dort nichts Auffälliges gesehen. D.h. aber nicht, dass dein System auch wirklich sauber ist!
Zitat:
|
Wenn ich tatsächlich von nem Keylogger befallen bin, dann hat er doch spätestens beim nächsten Login über meinen Rechner das neue PW wieder.
|
Das schon, aber durch die geänderten Passwörter hat der Angreifer schonmal keinen Zugriff mehr. Wenn du denn einen Keylogger in deinem Rechner vermutest, darfst du mit dem nicht mehr ins Internet!
Zitat:
|
Ich möchte sicherstellen, dass ich keinen Keylogger habe, wie soll ich dies bewerkstelligen, wenn man in meinen Logs nichts sehen kann ? Hast du da Tipps auf Lager ?
|
Wie schon erwähnt, wenn man sichergehen will, und das ist verständlich bei deinem doch recht kritischen Vorfall, musst du neu aufsetzen. Dann hast du garantiert keine Überreste des Angreifers mehr im System.
10.11.2007, 21:47
Baum-Darstellung