|
Moin zusammen. Gestern hatte ich ein Erlebnis, welches ich nicht so schnell vergessen werde: Hab eine Flat und ich war ausser Haus, komme nun wieder und da seh ich ein Programm "IPSCAN" welches munter den IP-Bereich 192.132.0.0 - 129.132.255.254 scannt (und er war schon bei Adresse 129.132.193.51 !!!!). Ich also in Panik erstmal Screenshot gemacht, Programm geschlossen und mich auf dem Rechner umgesehen. Folgendes mußte ich feststellen: 1. Das Programm lag im Root (C:\IPCSCAN_GUI.EXE) 2. Außerdem wurde wohl ein neues Verzeichnis angelegt: C:\WINNT\system32\mui\winvnc darin: 29.09.2003 16:12 580 DEFAULT.REG 29.09.2003 16:12 45.056 OMNITHREAD_RT.DLL 29.09.2003 16:12 501 SQLPASS.DIC 29.09.2003 16:13 32.768 VNCHOOKS.DLL 29.09.2003 16:13 233.472 VNCVIEWER.EXE 29.09.2003 16:13 88 WINVNC.BAT 29.09.2003 16:14 208.896 WINVNC.EXE 7 Datei(en) 521.361 Bytes WinVNC war als Dienst aktiv, die Datei WINVNC.BAT wurde wohl als erster ausgeführt und sieht so aus: regedit /s c:\winnt\system32\mui\winvnc\default.reg winvnc -install net start winvnc Mein SCHEI* Virenscanner (Norton AV mit dem neusten Def.-Stand ist wohl als erstes abgeschmiert. Im Ereignissprotokoll kann ich nur noch lesen: Virus festgestellt!Virusname: Hacktool in Datei: C:\WINNT\system32\mui\winvnc\IPCSCAN.EXE durch: Echtzeitschutz Prüfung. Aktion: Säubern fehlgeschlagen : Isolierung erfolgreich : Zugriff verweigert Das AV-Programm ist nun hin (kann .dll nicht mehr finden usw, - kann es nicht mal mehr deinstallieren). Außerdem war eine neue Netzverbindung angelegt mit Bindung an Ordner- und Dateifreigaben. Ich bin kein Typ Mensch, der blind und doof auf seine E-Mail Anhänge klickt. Eine Bindung von TCPIP an Datei/Ordnerfreigaben kann ich mich auch nicht erinnern. Und blöd irgendwelche Dateien downloaden und draufklickern tu ich auch nicht ! W2K war durch die letzten Updates auf dem letzten Stand, also was kann man da noch tun bzw. WIE KOMMT SOWAS ÜBERHAUPT zu stande (wie geht sowas überhaupt???). Bisher dachte ich echt das mir sowas nicht passieren könnte (das sich ein User gemütlich auf meinem Rechner breit macht) !!! Nun meine Frage(n): ??? Hat jemand von Euch SOWAS schon einmal erlebt ??? ??? Reicht als zukünftiger Schutz der KAV & Firewall ?? oder kann ich sowas demnächst wieder erwarten (habe bei meinem Provider leider eine feste IP) ..? (stehe wohl immer noch unter Schock, also sorry für den langen Text hier). |
WinVNC ist eigentlich ein recht seriöses Remote Admin Programm. Es installiert sich auch nicht einfach so, zumal Du ja erwähnst, dass es sogar als Dienst lief. Jemand an Deinem Computer muss meines Erachtens nach dieses Programm angeklickt und installiert haben. WinVNC ist wie gesagt kein Hackertool, dass sich per Dropper aus einer HTML Seite einer angesurften Webpage automatisch installiert. Es ist ein Client/Server Programm, das ganz normal mit Installationsroutine daherkommt. Natürlich könnte eine Firewall die Verbindung zwischen Client und Server verbinden. Doch wie gesagt, taucht so ein Programm nicht einfach so aus dem Nichts auf. |
moin DaAlfonx Willkommen an Board </font><blockquote>Zitat:</font><hr /> ...Hat jemand von Euch SOWAS schon einmal erlebt ??? </font>[/QUOTE]...ich persönlich nein.. </font><blockquote>Zitat:</font><hr /> ...Reicht als zukünftiger Schutz der KAV & Firewall ?? </font>[/QUOTE]..jain ;) . KAV als Antivirus-Programm ist schon gut, eine Firewall kann IMO auch nicht stören, allerdings du kannst schon hier was anderes hören ;) . Portsicherheit kann NUR mit dem Abschalten der nicht notwendigen Diensten gewährleistet werden. Checke dein PC mit www.pcfalnk.com und http://grc.com und http://bcheck.scanit.be/bcheck/... Überprüfe bitte die laufenden Dienste: brauchst du die wirklich alle?- und IE als Browser - lieber nicht benutzen (Firebird ist eine empfehlenswerte alternative).. |
Welcome on board [img]smile.gif[/img] Kann Dir leider nicht im Detail weiterhelfen. Aber in dieser Newsgroup tauchte das Problem auch auf (englisch). Dort wird geraten, das System komplett neu aufzusetzen, da Du nicht weißt, was noch alles verändert wurde. Wie kam winvnc auf Deinen Rechner? Offene Ports? Dazu "Beenden von Diensten unter W2K". Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
@Bo Derek Hab mich seit dem Erlebnis gestern auch schlau gemacht über WINVNC, aber ich habs NICHT installiert. Die Dateien (IPSCAN, WINVNC) sind zur selben Zeit angelegt worden (Erstellungsdatum) und der IPSCAN lief dann ja auch vor sich hin, also muß das Programm von aussen auf meinen Rechner gepackt worden sein (ich saß ja nun nicht davor). Das macht mir ANGST !!! @Rene-gad Ja, danke-bin ja nun *leider* mit an Bord (könnte mir schönere Foren-Themen vorstellen ..). Werd die Links mal probieren. Bin nun sozusagen *wach* geworden betreff Viren/Trojaner.. |
@Yopie Yep. Werde mein System plattmachen. Allerdings hab ich das letzte Woche schon gemacht (wegen dem Blaster-Mist), da hab ich auch nur Mist erlebt: 1. W2k installier 2. NAV installiert *dachte ich war sicher ....* 3. W2k updates durchegührt --> während der Updates gabs dann hundertmal den Fehler mit svchost.exe!!! --> War mir fast gar nicht möglich überhaupt den BUGFIX von MS zu installieren Ausserdem hab ich bisher täglich Meldungen vom NAV über Randex.C - F gehabt. Weiss noch nicht genau wie ich das überhaupt angehe. Am besten 1. Platte platt machen 2. KAV drauf 3. ZoneAlarm (oder was andres???!) drauf 4. MS-Update ausführen.... und beten das da alles stabil bleibt ... ..? |
</font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: Hab mich seit dem Erlebnis gestern auch schlau gemacht über WINVNC, aber ich habs NICHT installiert. Die Dateien (IPSCAN, WINVNC) sind zur selben Zeit angelegt worden (Erstellungsdatum) und der IPSCAN lief dann ja auch vor sich hin, also muß das Programm von aussen auf meinen Rechner gepackt worden sein (ich saß ja nun nicht davor). Das macht mir ANGST !!!</font>[/QUOTE]Kann ich verstehen. Allerdings ist Computertechnik vieles, nur eins nicht: Voodoo. Das Ereignisprotokoll gibt Dir doch sicher Aufschluss darüber, wann das Programm installiert wurde. Die darauf folgende Frage ist dann wohl: wer sass zu dieser Zeit am Computer? Selbst über eine Sicherheitslücke installiert man nicht so einfach vollständige Programme, startet Dienste usw.. |
</font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: Ausserdem hab ich bisher täglich Meldungen vom NAV über Randex.C - F gehabt.</font>[/QUOTE]http://www.f-secure.com/v-descs/randex.shtml Wie sahen die Randex-Warungen aus? Warst Du infiziert? An die richtigen Experten: Könnte Winvnc mit Hilfe der Backdoor-Komponente von Randex auf den Rechner gelangt sein? </font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: 1. Platte platt machen 2. KAV drauf 3. ZoneAlarm (oder was andres???!) drauf 4. MS-Update ausführen.... und beten das da alles stabil bleibt ... ..? </font>[/QUOTE]Anstatt ZA zu installieren solltest Du unnötige Dienste beenden, Link s.o. Das sogar vor dem Installieren von KAV. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Klar ist es möglich, über einen Backdoor WinVNC zu installieren. Es macht bloss nicht wirklich Sinn, denn die Funktionalität eines Backdoors ähnelt WinVNC doch zu stark, Remote Desktop Systeme sind lediglich komfortabler als über IRC gesteuerte backdoors. Es wäre jedoch neben PEBCAK die zweite Möglichkeit, wie WinVNC installiert werden konnte. Wie geschrieben, reicht eine Sicherheitslücke alleine dafür nicht aus. |
Danke für die Erläuterung. [img]smile.gif[/img] Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Eine Frage, welches Windows ist das? Und war es schon installiert oder hast du es installiert? Und hat der Administratoraccount ein gesetztes PW? Bei manchen vorinstallierten PCs ist es so, das das Adminpw leer ist. Björn |
Es muss Windows NT oder 2000 sein, denn sein Windows Verzeichnis nennt sich "Winnt". Bei XP, und da gibt es das von Dir beschriebene Phänomen mit dem Admin Account, nennt sich das Verzeichnis "Windows". |
</font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: W2K war durch die letzten Updates auf dem letzten Stand, ...</font>[/QUOTE]Ich tippe mal auf Win 2000. ;) :D Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Oh das mit 2k hatte ich überlesen. Björn |
Hallo, auch von mir ein Willkommen! ;) </font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: Werde mein System plattmachen. Allerdings hab ich das letzte Woche schon gemacht (wegen dem Blaster-Mist), da hab ich auch nur Mist erlebt: 1. W2k installier 2. NAV installiert *dachte ich war sicher ....* 3. W2k updates durchegührt</font>[/QUOTE]Nein, reicht nicht. Um die Beeinträchtigungen durch Blaster zu beheben / verhindern, hätte es prinzipiell keiner Neuinstallation bedurft. Wichtig in dieser Hinsicht ist der Patch. </font><blockquote>Zitat:</font><hr />Ausserdem hab ich bisher täglich Meldungen vom NAV über Randex.C - F gehabt.</font>[/QUOTE]Das lässt eindeutig auf unnötig laufende Dienste schließen. Auf diesem Wege sind übrigens auch ohne Weitere "Zugriffe", wie von dir hier geschildert, auf dein System möglich. Somit heißt es für dich, unmittelbar nachdem du das System neu aufgesetzt hast, und noch bevor du ins Internet gehst, diese Anleitung durchgehen: http://kssysteme.de/s_content.php?id=fk2002-02-02-3414 |
Sehe ich das richtig, dass ein Router gegen solche Angriffe besser ist, als die Verwendung einer Software-Firewall (Outpost, ZA etc.)? Es wurde verschiedentlich geschrieben, dass bei einer DSL-Flatrate ein Router einen erheblichen Sicherheitsvorzeil gibt. Gruß! MyThinkTank |
MyThinkTank, nein, ein Router ist letztlich kein Sicherheitsgewinn. Er ist genauso eine "Scheinsicherheit" wie eine FW. Viele Grüße, Heike [img]graemlins/teufel3.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Heike: ein, ein Router ist letztlich kein Sicherheitsgewinn. Er ist genauso eine "Scheinsicherheit" wie eine FW.</font>[/QUOTE]sagen wir mal so: das stimmt so nicht - so lässt sich zB ein router nicht so tunneln wie eine pfw... |
Na, dann kann man ja mit Router offenbar doch ganz beruhigt sein. [img]smile.gif[/img] Viele Grüße, Heike [img]graemlins/teufel3.gif[/img] |
Nur weil etwas so nicht ist, bedeutet das nicht, das etwas anderes auch nicht so ist ;) [img]graemlins/teufel3.gif[/img] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Heike: nein, ein Router ist letztlich kein Sicherheitsgewinn. Er ist genauso eine "Scheinsicherheit" wie eine FW. Viele Grüße, Heike [img]graemlins/teufel3.gif[/img] </font>[/QUOTE]Kommt drauf an, ich hab daheim ein LAN mit 3 PC´s und kann gefahrenlos das Windows Netzwerk , wie z.b Festplattenfreigaben einsetzen. Gegen SIN Trojaner mag das wohl stimmen, aber es ist ziemlich auffällig, wenn ich 3 Min keinen Traffic hab und der Router immer noch kein disconnect gemacht habe schaue ich dann doch mal nach... Im Übrigen liefert der Angreifer durch SIN Trojaner ja gleich seine IP mit, also nix mit Socks und Co ...... Wobei neue Software sowieo erst mal unter VMWare von mir getestet wird... auch wenn sie von einer recht vertrauenswürdigen Quelle stammt.... [ 01. Oktober 2003, 00:16: Beitrag editiert von: Christian ] |
Hallo Leute, sorry - konnte mich erst jetzt wieder einklinken. Hab gestern nämlich meinen Rechner plattgemacht. Dann 1. NETZWERKKABEL gezogen 2. KAV installiert 3. Zonealarm (ja ich weiss -nicht das beste aber für's erste...) installiert 4. MS Update durchgezogen Tja. Also das witzige ist, das ich den Rechner vor 1 1/2 Wochen neu eingerichtet hatte und da war nix mit Kazaa oder Emule (nicht installiert). Nicht mal WinAmp... Aber ich hab da ne Vermutung: 1. Beim letzten Aufsetzen hab ich NICHT als erstes das MS-Blaster Update von MS gestartet sondern die Reihenfolge angenommen die mir VORGESCHLAGEN wurde. Und die ging mit irgendwelchen Patches für den IE und Outlook los (und scheinbar nicht mit den Patches die wirklich wichtig sind) !!! Da war ich bestimmt ne Stunde im Netz und offen wie ein Buch... Da gings auch schon los mit dem Fehler in svchost.exe und Norton AV hatte während des Neueinrichtens mit W2k auch schon dauernd was von Randex.C bis .F rumgejammert und versuchte diesen in Quarantäne zu schicken (Zugriff verweigert, aber trotzdem in Quarantäne gepackt - da hab ich mir meinen Teil schon gedacht, komisch, komisch alles). Naja. Gestern vor dem Plattmachen hab ich KAV noch installiert und nochmal gucken lassen. Der hat dann auch zwei Trojaner gefunden von dem mir der Norton NIX gesagt hat. Also echt schlecht (ich meine, da nutzt man nun so'n AV mit der aktuellsten Def.-Datei und dann so ein Mist) !!! Ein Kumpel riet mir dazu nen alten 486er als Firewall zu benutzen (LINUX/von Disk oder Platte halt- und dazu auch ein NAT/also das meine IP auch nochmal umgesetzt wird). Scheinbar hab ich bei meinem ISP wirklich eine feste IP mit der ich direkt nach aussen gehe (hatte ich bisher auch nicht so die Ahnung von). |
@Lucky Habt ihr ja nun noch rausgekriegt, was ich fürn BS hab ;) Also ich hab nun ein Admin-Passwort vergeben (weiss nicht ob ich vorher eins hatte), allerdings hab ich beim Setup angegeben, das ich keine Extra-Anmeldung möchte (was bewirkt das ich halt nix eingeben muß beim Hochfahren). Weiss nicht, ob dies auch ein Sicherheitsrisiko darstellt ... ? Die Einstellung war bisher auch immer so, das ich kein Passwort eingeben musste, und Adminrechte auf dem PC hatte. @mmk Danke für den Link - habs mir ausgedruckt und guck zu Hause mal was da alles schief läuft ... @Christian Wieso testest Du neue Software unter VM-Ware ? VM(Windows) unter Linux, oder was ist das ? Allso zusammenfassend werd ich mein System nochmal so richtig unter die Lupe nehmen-ich danke Euch für die ganzen Infos !!!! Wie arm sind denn die User dran, die das Ding wirklich nur einschalten und blind im Netz rumsurfen (denke da an meinen Onkel, der hat null Ahnung von PC und surft aber wie blöd mit AOL durchs Netz)..... Naja. Hacker gehören gegrillt und mit Käse überbacken !! PEACE euch allen !! |
Na Heike, das is so aber nich OK. NAT bietet schon einen erheblichen Vorteil, Du bist ja von außen nicht mit Publicadresses erreichbar. Kein Router im I-Net routet private IP-Adressen. Du siehst im I-Net nur den Router. MS Blast usw, sind so kein Thema! Es ist halt ein Stück Sicherheit. Dazu haben viele Router Firewallfunktionalitäten, mal mehr, mal weniger gute, aber auf jedenfall autark zum Vergleich des OS Deines Rechners. Das Ganze lässt sich erweitern, bis hin zum Seitenschneider... Rudi |
</font><blockquote>Zitat:</font><hr />Hacker gehören gegrillt und mit Käse überbacken !!</font>[/QUOTE]Ich schmecke aber nicht :D Nicht Hacker sind die Bösen, sondern Scriptkiddies und Cracker (nein, nicht die Kekse). |
</font><blockquote>Zitat:</font><hr />Original erstellt von DaAlfonx: allerdings hab ich beim Setup angegeben, das ich keine Extra-Anmeldung möchte (was bewirkt das ich halt nix eingeben muß beim Hochfahren). Weiss nicht, ob dies auch ein Sicherheitsrisiko darstellt ... ? Die Einstellung war bisher auch immer so, das ich kein Passwort eingeben musste, und Adminrechte auf dem PC hatte. </font>[/QUOTE]Hi, das ist eher unsicher.. das sagt dir sogar der olle MS-Baseline security analyzer ... Damit steht dein Admin-password irgendwo in der Registry; wenn du Pech hast (also Win-Standard-Einstellungen :D :D ) sogar unverschlüsselt.. Nicht wirklich souverän.... ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von Who Cares: Damit steht dein Admin-password irgendwo in der Registry; wenn du Pech hast (also Win-Standard-Einstellungen :D :D ) sogar unverschlüsselt.. </font>[/QUOTE]Ganz sicher ist das Passwort nicht unverschlüsselt.Seit Windows 2000 ist Sykey standart.Und auch vorher was der Hash schon verschlüsselt. Wobei ich Autologin nicht für besonders sicher halte, denn dann ist die (außversehen gestartete) Maleware auch gleich Administrator..... |
Moin, dann sollte man sich also, generell unter nem Benutzeracount einloogen ohne Adminrechte, ja? Das finde ich unter XP Home aber sehr unkomfortabel, da sich die Rechte schlecht verwalten lassen und sich somit nicht alle Programme von nem Ben.-Account aus starten lassen die man vom Adminaccount aus instaliert hat. So war es zumindest als es ich vor ein paar Monaten mal probiert hatte so zu arbeiten. Konnte nicht mal OPenOffice starten. Wie machen das die Leute hier im Board, die auch XP-Home haben??? Hat keiner, wa??? Sicherheitsbewußte User haben W2K oder zumindest XP-Prof. Oder??? Frage auch deshalb, weil ich für meine Freundin ein Ben.-Account ohne Adminrechte einrichten will, da sich noch nicht so auskennt, aber damit sie auch mal alleine an den Compi kann. Easy |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board