Täglichlerner 12 Geschrieben 5. November 2006 Melden Teilen Geschrieben 5. November 2006 Hallo, Vor 5 Tagen war etwas Merkwürdiges passiert: auf einem w2K-Client, der in einer Domain läuft, lief RealVNC Enterprise 4.1.9. VNC Passwort Authenticication war gesetzt (Buchst.-Zahlen-Combi), der Client selbst gesperrt und nur mit NT-Pass zu öffnen; Port 5900 auf dem Router für diesen PC freigegeben; da dyn IP läuft alles aus dem WAN über dyndns.org; Alles lief seit einiger Zeit ohne Störung. Von einem Tag auf den anderen war remote plötzlich kein Einloggen mehr möglich, weil der VNC Server nicht gefunden werden konnte. Vor Ort entdeckte ich Folgendes: In der Autostart war seit 1.11.06 (tägl. Image vorhanden - 31.10. war sauber) psybnc.exe Das Directory psybnc mit files und Unterordner war in WINNT insatalliert worden. Die dort gefundene psybnc.conf enthielt diese EInträge: PSYBNC.SYSTEM.PORT1=5900 PSYBNC.SYSTEM.HOST1=* PSYBNC.HOSTALLOWS.ENTRY0=*;* USER1.USER.LOGIN=BARCA USER1.USER.USER=-=- F.C.BARCELONA -=- USER1.USER.PASS==`Z's1F150N'n1E'V'9 USER1.USER.RIGHTS=1 USER1.USER.VLINK=0 USER1.USER.PPORT=0 USER1.USER.PARENT=0 USER1.USER.QUITTED=0 USER1.USER.DCCENABLED=1 USER1.USER.AUTOGETDCC=0 USER1.USER.AIDLE=0 USER1.USER.LEAVEQUIT=0 USER1.USER.AUTOREJOIN=1 USER1.USER.SYSMSG=1 USER1.USER.LASTLOG=0 USER1.USER.NICK=rhcpz00r USER1.SERVERS.SERVER1=irc.freenet.de USER1.SERVERS.PORT1=6667 USER1.CHANNELS.ENTRY1=#barcek USER1.CHANNELS.ENTRY2=#evil****erz USER1.CHANNELS.ENTRY3=#avto.net USER1.CHANNELS.ENTRY4=#alkoholik USER1.CHANNELS.ENTRY5=#žurka USER1.CHANNELS.ENTRY0=#kuvajt ________ Da ich nur alleine offiziell Zugriff auf die Kiste habe und ich das nicht installiert habe, frage ich mich, WIE DAS enstanden sein kann. Ich habe hier alles über RealVNC abgegrast, habe auch nach psybnc gegoogelt, habe aber keine Ahnung, was Bouncer und Co bedeuten. Denke aber, das das schon recht ungewöhnlich ist, dass so etwas passieren kann. Wie kann ich mich - wenn ich weiter die neue Version RealVNC Enterpr. 4.2.7 nutze, zukünftig gegen solche Zugriffe schützen (wenn ich keinen VPN-Tunnel aufbauen möchte/kann dafür? Euer Täglichlerner PS. mich wundert es wirklich nicht sehr, dass hier gerade die sog. "greetz"-Leute immer wissen wollen, wie man Tray-Icons von VNC verstecken kann. Wollen die noch unbemerkt remote an den Rechnern arbeiten, obgleich der lokale user gerade davor sitzt??? Zitieren Link zu diesem Kommentar
Volvotrucker 10 Geschrieben 5. November 2006 Melden Teilen Geschrieben 5. November 2006 Ich würd mal behaupten wollen, auf dem Rechner hat sich jemand breit gemacht. Ich bin zwar auch net der IRC-Spezi, aber wenn du das net installiert hast, hört sich das schwer nach nem Bot-Netz an. Wegen Bouncer kuckst du hier: Bouncer - Wikipedia psyBNC: PsyBNC - Wikipedia Entweder hat der User sich nen Sch.... installiert oder dein VNC-Zugang wurde geknackt und missbraucht. Auf jeden Fall runter mit dem Zeug. Und nochmal über ein komplizierteres PW für Admin nachdenken ;) Warum richtest du kein VPN an dem Rechner ein? W2K kann das auch. Zitieren Link zu diesem Kommentar
Täglichlerner 12 Geschrieben 5. November 2006 Autor Melden Teilen Geschrieben 5. November 2006 erstmal danke. Ich habe Pestpatrol drüber laufen lassen, das Verz. psybnc in WINNT geschreddert und die Reg nach psybnc gescannt und gereinigt. Sicher ist jetzt auch das Admin PW verändert und verbessert worden. Das VPN-Thema sollte später für mich interessant sein. Zunächst mal würde ich aber gerne erfahren, WAS abgelaufen ist, damit solch eine Sch... auf dem Client passierte. Man muss doch den dyndns-Namen kennen? Man muss doch das VNC Pass kennen? Dann muss man doch auch das NT-Einlogg PW kennen? oder ist das zu blauäugig gedacht? Kann man das auch mit einem Scanner - gleich welcher Art - abrufen? Vielleicht kann man mir auch konstruktiv sagen, WO ich (ohne VPN) Sicherheitsmängel habe. Danke Zitieren Link zu diesem Kommentar
Volvotrucker 10 Geschrieben 5. November 2006 Melden Teilen Geschrieben 5. November 2006 Mit einem Scanner lässt sich erstmal feststellen, hinter welcher Adressse im Netz ein Host zu erreichen ist. Die meisten liefern auch gleich die offenen Ports dazu. Und die Standardports kennt derjenige dann auch. Evtl auch die Schwachstellen des Dienstes der dahinter läuft. Und je nach dem wieviel Zeit derjenige hat und wie komplex dein PW ist, lässt sich das dann auch knacken, falls er nicht durch eine andere Schwachstelle reinkommt. Ich würd aber zuerst mal ausschließen, dass das nicht aus Versehen der User von der Kiste installiert hat, sprich mit dem mal ein paar Takte reden und kucken dass der nicht zu viel Rechte hat. Zitieren Link zu diesem Kommentar
Täglichlerner 12 Geschrieben 5. November 2006 Autor Melden Teilen Geschrieben 5. November 2006 Ja, den user hab ich schon befragt. Du kannst zwar nicht reinsehen in die Birne, aber ich schließe das aus. Hab inzw. auch recherchiert, dass sich grundsätzlich an der dyndns Adr. gerne auch Hacker und solche, die es gerne wären, versuchen. Was dann ja gegen den Service sprechen würde. Gibt´s dazu hier Erfahrungen, was da dran ist? Wäre dann ne feste IP sicherer?? Und mein Laienverständnis sagt mir, wenn eh die Ports durchgesnifft werden, wo ist der Vorteil, wenn der Dienst einen benutzerspez. exotischen Port bekommt? Die Sache mit den Rechten auf dem Zugangsrechner ist jetzt von Admin (ja, ich weiß, war dumm) auf Benutzer gestellt worden. Aber das ist hier keine Firma, sondern ein kleiner Club edv-interessierter Rentner, die sich hier treffen und ein wenig in die PC-Materie einleben. Daher auch für mich die Notwendigkeit, mal per Fernwartung einzugreifen. Ich sehe mich da eher als Einäugigen mit Brille unter Gleichen ohne Brille ;) Zitieren Link zu diesem Kommentar
Volvotrucker 10 Geschrieben 5. November 2006 Melden Teilen Geschrieben 5. November 2006 Hab inzw. auch recherchiert, dass sich grundsätzlich an der dyndns Adr. gerne auch Hacker und solche, die es gerne wären, versuchen. Was dann ja gegen den Service sprechen würde. Gibt´s dazu hier Erfahrungen, was da dran ist? Wäre dann ne feste IP sicherer?? Kann ich so nicht behaupten, da alle Rechner, die ich so in den Fingern hab, per Dyndns Adresse angesteuert werden UND hinter ner Firewall sitzen (und wenn es nur die vom DSL-Router ist). So nen Fall wie hier hat ich bis jetzt noch net. Und mein Laienverständnis sagt mir, wenn eh die Ports durchgesnifft werden, wo ist der Vorteil, wenn der Dienst einen benutzerspez. exotischen Port bekommt? Man kann dann schonmal zumindest nimmer anhand des Ports auf die Anwendung dahinter schließen. Zitieren Link zu diesem Kommentar
Täglichlerner 12 Geschrieben 5. November 2006 Autor Melden Teilen Geschrieben 5. November 2006 Dank dir. Das leuchtet mir ein mit der veränderten Portadresse. Dann hoffe ich mal, dass dies hier vielleicht noch einer liest, der mal ähnliche Erfahrungen gemacht hat. Jedenfalls habe ich alle PC nach Malware gescannt aber nichts gefunden. Reicht da so was wie Pestptrol8? Zitieren Link zu diesem Kommentar
Volvotrucker 10 Geschrieben 5. November 2006 Melden Teilen Geschrieben 5. November 2006 Ich mach das immer mit dem Onlinescan von Ewido: ewido - anti-spyware and anti-malware solutions Zitieren Link zu diesem Kommentar
peterior 10 Geschrieben 20. November 2006 Melden Teilen Geschrieben 20. November 2006 Hi Täglichlerner, wenn du kein VPN verwenden kannst würde ich an deiner Stelle einen SSH serverdienst auf deinem w2k clienten (der mit dem VNC server) installieren und dann nur noch von ausserhalb per VNC über einen SSH Tunnel (z.B mit Putty aufbauen) zugreifen. Es ist nämlich so: - VNC übertägt alles im Klartext, so hast du KEINERLEI sicherheit (würd ich maximal im lokalen Netzwerk machen und auch nur bei völligem Vertrauen). - und den Standardport zu ändern ist ein klitzekleiner Ansatz aber bietet auch keine Sicherheit... Deswegen benutz ein Tutorial wie das: How to setup ssh to tunnel VNC traffic throught the Internet Greetz Klaus Zitieren Link zu diesem Kommentar
peterior 10 Geschrieben 20. November 2006 Melden Teilen Geschrieben 20. November 2006 Huppsi, ich sag ja auch oft "Greetz", aber ich weis bereits wie man das icon versteckt. Wer sind denn die anderern "Greetz Leute"? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.