Archief - VNC gehacked?

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

Tijt

Legacy Member
Vannacht was ik rustig wat aan't browsen, toen ik plots het icoontje van VNC zwart zag worden... ik ben de enige die het paswoord kent, ik heb het overlaatst nog eens aangepast, het is wat men noemt een "sterk" paswoord zelfs met de gekste tekens in...

En toch is er één of andere knuppel in geslaagd dus om even mijn PC over te nemen... Ik zie dus ineens mijn muis hergaan en verschiet me een ongeluk, die begint daar mijn browser venstertjes te minimaliseren en heeft dan waarschijnlijk zelf gedisconnect, maar om zeker te zijn had ik ondertussen de netwerkkabel ook al uitgetrokken.

Goed, toen VNC zo ingesteld dat hij eerst bevestiging vraagt alvorens te connecteren, en dan terug online gegaan. Niks meer natuurlijk. Maar ik moest en zou het IP van die snoodaard vinden dus ben ik de logs beginnen graven en voorwaar, VNC connecties worden allemaal netjes bewaard :
5/06/2006
[1:56:36] Connections: accepted: 87.69.81.54::4044
[1:56:53] Connections: closed: 87.69.81.54::4044 (Clean disconnection)

Blijkt dat hij iets eerder al op bezoek was gekomen :
[0:52:15] Connections: accepted: 87.69.81.54::3756
[0:52:25] Connections: closed: 87.69.81.54::3756 (read: Connection reset by peer (10054))

Dat IP dan maar getraced, zowel lokaal als via visualtrace, en blijkt dus in Israel te liggen. Via visual trace heb ik ook het email adres van de abuse gevonden er bij, en daar een kort, beleefd en to the point (datum, tijdzone, uur, IP, vergrijp) mailtje naar gestuurd...

Nu zit ik dus met 2 dingen in mijn hoofd :
1) Als die ISP de abuse inbox al leest, heb ik zo mijn twijfels of ze er iets aan willen/zullen/kunnen doen. En dan moet het al geen bot zijn :/
2) Die is met 2 connecties bonk binnengeraakt op VNC, hoe is die aan dat paswoord gekomen? Of, nog interessanter, hoe is die zonder paswoord binnengeraakt? Ik bedoel, op 20 seconden doet ge geen bruteforce (dictionary zou niks uithalen)?!

Iemand een idee wat ik nog meer zou kunnen doen? Alternatieven voor VNC met dezelfde functionaliteit (en niet ultraVNC of zo he ;) ), mogelijkheden voor dat spul te beveiligen zonder het onmogelijk maken er op in te loggen vanop een random windows PC?
Ideeën voor meer informatie te vinden over hoe die is binnengeraakt zijn ook welkom.

Voor de duidelijkheid, het is een windows XP machine, 'k was aan't gamen.

Messias.

Legacy Member
Waarom niet UltraVNC? :)

Tijt zei:
Die is met 2 connecties bonk binnengeraakt op VNC, hoe is die aan dat paswoord gekomen? Of, nog interessanter, hoe is die zonder paswoord binnengeraakt? Ik bedoel, op 20 seconden doet ge geen bruteforce (dictionary zou niks uithalen)?!
Waarschijnlijk via een exploit die rondzweeft in "het milieu" en nog niet gefixt is. Dat lijkt mij het enige plausibele antwoord.

den Acid Burn

Legacy Member
dat dat ip van israel kom zou ik me niet te veel van aantrekken.
zal wel een proxy zijn.

mss toch iemand da uw paswoord kent en via een proxy geconnect heeft
of een exploit zoals eerder gezegd

Mr. M

Legacy Member
doe zoals ik en laat VNC niet zomaar connecten
ik kan alleen via VNC connecten als ik het tunnel via SSH (encryptie)
want VNC is totaal niet veilig, buiten het passwoord wordt alles onge-encrypteerd over het net gestuurd en da kunde dus onderscheppen he
mijn VNC poort staat dicht, alleen die van mijn SSH staat open, als ik op VNC wil tunnel ik gewoon via die SSH en zo kan ik dan toch op VNC van op school bv

en idd, die post staat hier ni echt juist he, moet op software forum

Tijt

Legacy Member
Sorry, idd meer van toepassing op software forum...

Wat dat tunnelen betreft, ik zou niet weten hoe ik dat aanpak op een windows machine, en stel dat ik nu bij "random vriend" ben die gewoon alleen windows heeft, kan ik dan zonder iets bij hem te installeren eigenlijk verbinding maken? Sowieso, hoe laat je VNC "enkel via SSH" connecteren?

En mja, het zal idd wel een proxy zijn was ook mijn gedacht, het gaat er mij meer om dat er zo'n gapend gat in VNC zit blijkbaar dat ik mij toch wel ff onnozel verschrok :p

Zo vaak komen er toch geen nieuwe VNC versies uit?

Waarom geen ultra vnc...omdat ik veronderstel dat die basis toch zo goed als identiek is en wschl vatbaar voor gelijkaardige problemen? Als ik me daar in vergis is het misschien wel een goed alternatief.

Btw, iets anders nu het toch over netwerk beveiliging gaat : Als ik zo'n portscan doe voor te testen hoe goed "mijn firewall" werkt (je kent ze vast, "online security tests"), dan is altijd alles "stealth" of groen of whatever als ik rechtstreeks mijn PC aan internet hang, nikste router dus, maar als ik door de router ga, dan is dat ding half geel (closed). Het curieuze daaraan is nu is dat die PC geen firewall op staat, dat is gewoon ne verse windows bv. Terwijl die router een ingebouwde firewall heeft die zowat alles weggooit...dat snap ik toch echt, het enige wat ik me kan bedenken is dat als telenet merkt dat ge zelf ne firewall hebt ze een hoop poorten meer toelaten, dan dat als ge met ne naakte windows het internet opgaat (zou schitterend zijn, maar lijkt me heel bizar). Iemand een betere verklaring?

Mr. M

Legacy Member
wat je nodig hebt om in te loggen bij iemand anders is PuTTY
waarmee je dus inlogt eerst en u poorten open zet
en dan gewoon u VNC programma waar ge normaal mee connecteerd

wa ge eigelijk doet is geen poorten op u router of firewall open zetten buiten de poort voor SSH (wat veilig is)
die SSH installen doe ik met cygwin, ma ik moet er bij zeggen da het wel ni super simpel is en ge kunt best wel iets van linux kennen (das een ge-emuleerde linux op windows)

wa ge dus doet is via SSH (dus wa ge verstuurd wordt door die SSH ge-encrypteerd en als het ware in een afgeschermde tunnel over het net verstuurd (dus veilig))

nu ja, het uitlegge is ni zo simpel, maar die PuTTY kunt ge ook gewoon hebben zonder te installen (dus gewoon een .exeke)

en wsl staat u windows firewall op waardoor het gewoon wordt tegegehouden
en dan staat u beveiliging van u router gewoon ni goed op
want bij mij als ik zo'n scan doe staan alleen de poorten open die ik open wil (voor servers dus zoals bv SSH en webserver)

de internetpagina's die ik gebruikt heb voor het instellen van die cygwin en SSH:
(die VNC server die ge hebt kunde gerust late staan, ge moet ni speciaal die pakke van die link, da komt toch op hetzelfde neer)
SSH server installen
SSH tunnel voor bv VNC

QplQyer

Legacy Member
Tijt zei:
Waarom geen ultra vnc...omdat ik veronderstel dat die basis toch zo goed als identiek is en wschl vatbaar voor gelijkaardige problemen? Als ik me daar in vergis is het misschien wel een goed alternatief.
Het is niet omdat er in beide het woordje "VNC" staat dat de basis hetzelfde zou moeten zijn hé (in zekere zin wel, maar niet de codebasis alleszins). Vnc is een systeem om je desktop vanop afstand te beheren, fouten in het systeem zelf (eg. in het protocol dat ze allemaal gebruiken) zouden globaal zijn, maar in het geval van RealVNC was het allicht een implementatiefout als ik die exploit-beschrijving zo lees.

- BlanC -

Legacy Member
delete gewoon vnc en installeer het opnieuw indien je het wil gebruiken.

btw der circuleren wel vnc exploits rond op het internet...

Tijt

Legacy Member
@Mr.M : Ik ken Putty, SSH, en Linux, alleen cygwin heb ik bij mijn schuchtere poging indertijd niet aan't bollen gekregen ;)

Zullen dat maar eens opnieuw proberen, want dat is wel een goed idee iig, en we hebben ondertussen wel al weer wat bijgeleerd :D .

En uiteraard staat mijn windows firewall NIET op (anders haal ik nog 3bits per seconde over het netwerk -_-'), en die op de router werkt echt zoals gewenst (die poorten die ik zei dat open stonden moesten ook wel degelijk open staan...tzijn de poorten die dicht zijn die af en toe als "closed" en niet als "stealth" weergegeven worden, ik vind het echt heel curieus.

Nota bene, ik had dit al bij windows XP SP1, en zelfs bij windows 98 toen er van windows firewall nog geen sprake was, het viel me pas op toen ik merkte dat de router met firewall andere, mindere resultaten gaf dat ik het zo curieus vond!

QplQyer : realVNC is (of was toch allessinds) open source, en ultra vnc is begonnen als een aanpassing daarvan. Nu heb ik die hun ontwikkeling al in geen tijden meer gevolgd, dus het kan heel goed zijn dat er van de originele overeenkomsten niks meer overschiet, dus dat ga ik eerst nog eens bekijken :)

Iemand recent nog getest of ultra vnc en andere vnc's eigenlijk nog goed met mekaar overweg kunnen? Toen ik dat probeerde (omdat ik realVNC overal had en ultraVNC aan't testen was, en realVNC 3naar4 ook natuurlijk) was dat erg onstabiel, of crashte de boel gewoon.

En @ BlanC :
VNC deleten en herinstalleren? wat gaat dat precies helpen, hij is niet kapot hoor :) hij werkte gewoon ietsje te goed :D
En de link van mr M en http://secunia.com/advisories/20107/ bv vertellen me idd het goede nieuws dat mijn versie, 4.1.1 kwetsbaar is.

Nota bene, een vriend van me heeft zopas hetzelfde voor gehad...Efficiënte portscanners hebben die gastjes.

Mr. M

Legacy Member
@ Tijt
ge kent linux enzo, dus hebt ge zeker zo veel kans als mij om cygwin werkend te krijgen want ik kende daar weinig tot niks van toen ik het er op zette :) (en heb sinds toen veel bijgeleerd, al ben ik er nog altijd wel een leek in eigelijk)

met die link die ik gegeven heb zou het normaal gezien wel moete lukken (heb die meer dan 1 keer gebruikt voor het te installen en dat is elke keer toch geluk, al moet ik er bijzeggen dat cygwin met momenten wel raar doet, die ssh werkt wel altijd)

ik werk er liever zo mee, zo ben je toch zeker dat het veilig is (al is het wel een feit dat praktisch elke dag er wel gasten proberen in te loggen op mijn ssh server (k zie dat bij windows logboek) ma ze falen wel altijd

laat ze ma proberen zou k zeggen, ssh is toch iets waar ik redelijk zeker van ben dat het veilig is en niet zomaar gekraakt wordt (goede encryptie)

de mensen die zich met zo'n dinge bezighoude hebbe toch maar een zielig leventje imo
ik studeer zelf toegepaste informatica en ik vind het intressant dat het kan enzo en vind het chique dat da gaat, maar om u daar echt mee bezig te gaan houden en andere mensen te kloten vind ik toch maar laag
maja, ni veel aan te doen zeker
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan