ShPonGle
Legacy Member
Ik gebruik dus nooit meer VNC4. Op het werk is het ook al paar keer voorgevallen bij bepaalde klanten, mr heb et nu ook zelf aan den lijve ondervonden: VNC op zich, en zeker de VNC-server draaien is écht niét veilig.
Dit is wat er gebeurde, tis eig wel spannend verhaal
Ik was op de pc beneden aan het proberen aan te loggen via VNC viewer op een pc van boven, waar de VNC server draaide. Herhaaldelijk vloog ik eraf, met de melding "connection reset by peer", dit gebeurt dus enkel wanneer iemand de hostsessie van VNC server verbreekt/overneemt.
Ik was er nog maar juist in geslaagd aangelogd te blijven, toen ik plots de command prompt zag openspringen via een batch, want zo rap kan echt niemand typen. Het was een verbinding naar een anonieme FTP server, die probeerde het bestand redworld2.exe te downloaden (ik denk dat het dus een RED hacker was). Gelukkig blockte mn firewall de FTPsessie, nu ja ie blockte et met zo'n blockeringmessage, zie printscreen. ik liet alles openstaan, naam een printscreen en keek verder naar wat er gebeurde, het gebeurde nl toch op een pc die niet zo belangrijk was, ne format meer of minder was dus nt zo erg.
Mn "Uitvoeren"-kader vloog open en er werd een script ingeplakt, verwijzend naar hetgeen die redworld2.exe waarschijnlijk moest uitvoeren, moest het op mn pc terechtgekomen zijn, dat is dus niet gebeurd dus kwam er een foutmelding dat het het bestand niet gevonden werd. Toen vond ik het welletjes en sloot het commandkaderke en van de eerste keer gans de pc. kheb toen VNC meteen verwijderd van alle pc's in mn netwerk.
Hoe ik weet dat het via VNC was: gevonden in de event viewer (zie print screen), er staat nl extern IP dat inlogde via VNC. Bij VNC hebt ge ook zo'n LISTENING MODE, die luistert actief naar alle mogelijke VNC server-sessies, op die manier kan de hacker dus binnengeraakt zijn door mn sessie af te pakken. Er stonden btw paswoorden op, dus die zijn nu waardeloos
dit zijn print screens ter bewijs (heb wel de hacker zijn IP beschermd, want weet nie of ik dit hier mag posten):
http://users.skynet.be/fa360838/hack.jpg
hier probeert de hacker via een omweg een virus op mn pc te schrijven, mr firewall blokkeert het
http://users.skynet.be/fa360838/hack2.jpg
het bewijs dat de hacker via winVNC binnengeraakt is, zijn extern ip is trouwens hetzelfde als dat van de FTP
http://users.skynet.be/fa360838/hack3.jpg
Het vreemde is hier dat er een vermelding staat over HTTP-server, wat normaal gezien niet in verband staat met WinVNC, hier dus wel. Feit is wel dat op mn router HTTP (poort 80) open stond voor mijn webserver (nog een andere pc), heb dit dan ook meteen weer dichtgedaan...
In principe kan ik nu dus dat bestand redworld2.exe afhalen, want ik weet het FTP-adres, mr denk niet dat dat verstandig zou zyn. Daarom de vraag: wat zou ik doen, ten eerste om mn pc's beter te beveiligen, en ten tweede, hoe kan ik die hacker terug pijn doen
???
Dit is wat er gebeurde, tis eig wel spannend verhaal

Ik was op de pc beneden aan het proberen aan te loggen via VNC viewer op een pc van boven, waar de VNC server draaide. Herhaaldelijk vloog ik eraf, met de melding "connection reset by peer", dit gebeurt dus enkel wanneer iemand de hostsessie van VNC server verbreekt/overneemt.
Ik was er nog maar juist in geslaagd aangelogd te blijven, toen ik plots de command prompt zag openspringen via een batch, want zo rap kan echt niemand typen. Het was een verbinding naar een anonieme FTP server, die probeerde het bestand redworld2.exe te downloaden (ik denk dat het dus een RED hacker was). Gelukkig blockte mn firewall de FTPsessie, nu ja ie blockte et met zo'n blockeringmessage, zie printscreen. ik liet alles openstaan, naam een printscreen en keek verder naar wat er gebeurde, het gebeurde nl toch op een pc die niet zo belangrijk was, ne format meer of minder was dus nt zo erg.
Mn "Uitvoeren"-kader vloog open en er werd een script ingeplakt, verwijzend naar hetgeen die redworld2.exe waarschijnlijk moest uitvoeren, moest het op mn pc terechtgekomen zijn, dat is dus niet gebeurd dus kwam er een foutmelding dat het het bestand niet gevonden werd. Toen vond ik het welletjes en sloot het commandkaderke en van de eerste keer gans de pc. kheb toen VNC meteen verwijderd van alle pc's in mn netwerk.
Hoe ik weet dat het via VNC was: gevonden in de event viewer (zie print screen), er staat nl extern IP dat inlogde via VNC. Bij VNC hebt ge ook zo'n LISTENING MODE, die luistert actief naar alle mogelijke VNC server-sessies, op die manier kan de hacker dus binnengeraakt zijn door mn sessie af te pakken. Er stonden btw paswoorden op, dus die zijn nu waardeloos

dit zijn print screens ter bewijs (heb wel de hacker zijn IP beschermd, want weet nie of ik dit hier mag posten):
http://users.skynet.be/fa360838/hack.jpg
hier probeert de hacker via een omweg een virus op mn pc te schrijven, mr firewall blokkeert het
http://users.skynet.be/fa360838/hack2.jpg
het bewijs dat de hacker via winVNC binnengeraakt is, zijn extern ip is trouwens hetzelfde als dat van de FTP
http://users.skynet.be/fa360838/hack3.jpg
Het vreemde is hier dat er een vermelding staat over HTTP-server, wat normaal gezien niet in verband staat met WinVNC, hier dus wel. Feit is wel dat op mn router HTTP (poort 80) open stond voor mijn webserver (nog een andere pc), heb dit dan ook meteen weer dichtgedaan...
In principe kan ik nu dus dat bestand redworld2.exe afhalen, want ik weet het FTP-adres, mr denk niet dat dat verstandig zou zyn. Daarom de vraag: wat zou ik doen, ten eerste om mn pc's beter te beveiligen, en ten tweede, hoe kan ik die hacker terug pijn doen
???


) in VNC 4.1.1 en eerdere versies, de paswoorden worden gewoon gebypassed, dus de hacker weet ze in feite niet, hack na de sessie overname is ook altijd gelijk, via de trojan 84785_redworld2.exe.

) waarmee je poorten op de router/firewall kan openzetten, VNC op een niet standaard poort laten luisteren, geen RealVNC gebruiken maar vb. UltraVNC (deze is immuun voor dat probleem en heeft wat leuke extra features - weliswaar Windows only)... Eigenlijk zijn de oplossingen eindeloos.