Vnc I Dziwne Nieautoryzowane Logowania

[piterus90]

Witam, mam na komputerze zainstalowany serwer VNC i mam powod zeby go miec(napisalem to specjalnie dla tych, co pisza ze mi to nie potrzebne). I od czasu do czasu widzialem odpalone okno uruchom z dziwnym adresem (http://195.218.117.44/upd.exe) i okienkiem FF'a, ze nie mozna odnalezc pliku. Dzis, niedawno bylem naocznym swiadkiem skad to sie bierze - zobaczylem nagle czarna ikonke serwera VNC i nagle okienko uruchom i szybkie wklepywanie tego dziwnego adresu. Hasla raczej nikt nie zna, zreszta bylo juz zmieniane... Czy to moze update programu jest wykonywany w ten niekonwencjonalny sposob? Czy mam sie bac?

 

Oczywiscie publiczny adres i brak zablokowania na firewallu

 

PS. Gdzies sa moze logi z tego ustrojstwa?

[35C4R00N]

I od czasu do czasu widzialem odpalone okno uruchom z dziwnym adresem (http://195.218.117.44/upd.exe) i okienkiem FF'a, ze nie mozna odnalezc pliku. Dzis, niedawno bylem naocznym swiadkiem skad to sie bierze - zobaczylem nagle czarna ikonke serwera VNC i nagle okienko uruchom i szybkie wklepywanie tego dziwnego adresu. Hasla raczej nikt nie zna, zreszta bylo juz zmieniane... Czy to moze update programu jest wykonywany w ten niekonwencjonalny sposob? Czy mam sie bac?

Nikt z twoich znajomych (użytkownik VNC) nie siedzi akurat w Dublinie? (albo gdzieś w okolicy)

 

To wygląda na próbę załadowania pliku z serwera, ale nie jest automatyczną aktualizacją oprogramowania.

Zakładam że przeskanowałeś kompa na obecność dialerów / trojanów / itp ?

Sposób uruchomienia jest dziwny, moim zdaniem to raczej człowiek (skrypt?) niż jakiś program ... ja czegoś takiego używając VNC nie widziałem, a gdybym zobaczył to bym się bał ;)

Nie wiem czego używasz, ale hasło da się przechwycić albo ktoś użył w kafejce (nagminnie mają poinstalowane keylogery na stanowiskach, podobno istnieją nawet sprzętowe - nie do wykrycia przez oprogramowanie). Zmień hasło i czekaj co będzie dalej, adres zablokuj. Logi ? mogą gdzieś być, nie zgadnę czy i gdzie bo nie napisałeś czego używasz. Zainstaluj Peer Guardian to w jego logu będziesz widział co się dzieje -> adres z którego ktoś się łączył o tej godzinie powinien być w logu.

Może po prostu ktoś się bawi i skanuje wszystkie kompy z uruchomionym VNC, a potem kombinuje czy da sie włamać ... nie wiem, nie bawiłem się.

[piterus90]

Dzieki za odpowiedz... Oczywiscie skaner poszedl w ruch odrazu. W kafejce nigdy nie uzywam VNC, caly czas uzywalem w innej sieci, mozliwe ze to tam pakiety ktos wysniffowal i ma moje haslo, ale przeciez ono jest wysylane zaszyfrowane kluczem 128 bit. W sumie narazie ogranicze do dostepu z interfejsow lokalnych(jakos sie dziwnie sklada, ze mam 3 karty sieciowe), zobaczymy co sie bedzie dziac... (Oczywiscie wszystkie kompy podpiete do tych wewn. sieci sa moje, wiec odpada mozliwosc ze to sasiad:) )

 

Pozdrawiam i czekam na dalsze pomysly :)

[marco]

Jaki serwer VNC używasz i w jakiej wersji? (jest tych odmian troszkę - Real/Ultra/Tiny i pewnie parę innych ;)

[piterus90]

RealVNC 4

[DrKleiner]

Ja używam Ultra i czegoś takiego nigdy nie zauważyłem a hasło mam banalne :) ;P

[marco]

RealVNC 4

Uaktualniałeś? Były niedawno (jakieś 2 miesiące temu jakieś krytyczne upgrade'y bezpieczeństwa

[piterus90]

Jak narazie wywalilem ;P Moze sie przezuce na cos innego... Cos poza pulpitem zdalnym, bo nie wszedzie mozna cos zainstalowac, a obsluga kompa ze skryptu java na krotka mete jest dobra

[DrKleiner]

UltraVNC :) bardzo dobry.

[Aquarium]

podobno istnieją nawet sprzętowe - nie do wykrycia przez oprogramowanie)

Na allegro chodzą keyloggery - choćby taki niby-konwerter PS2/PS2 - włączany pomiędzy gniazdo a klawiaturę... Normalnie strach logować się gdzieś poza domem :blink:

[piterus90]

Haslo mozna z klawiatury ekranowej wpisywac... Albo kombinowac z klikaniem miedzy literki :) Zawsze sie znajdzie jakis sposob, ale lepiej powstrzymac sie od logowania w niezaufanych miejscach...