Archief - VNC --> lokt hackers op je pc...

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

ShPonGle

Legacy Member
Ik gebruik dus nooit meer VNC4. Op het werk is het ook al paar keer voorgevallen bij bepaalde klanten, mr heb et nu ook zelf aan den lijve ondervonden: VNC op zich, en zeker de VNC-server draaien is écht niét veilig.

Dit is wat er gebeurde, tis eig wel spannend verhaal :lol:

Ik was op de pc beneden aan het proberen aan te loggen via VNC viewer op een pc van boven, waar de VNC server draaide. Herhaaldelijk vloog ik eraf, met de melding "connection reset by peer", dit gebeurt dus enkel wanneer iemand de hostsessie van VNC server verbreekt/overneemt.

Ik was er nog maar juist in geslaagd aangelogd te blijven, toen ik plots de command prompt zag openspringen via een batch, want zo rap kan echt niemand typen. Het was een verbinding naar een anonieme FTP server, die probeerde het bestand redworld2.exe te downloaden (ik denk dat het dus een RED hacker was). Gelukkig blockte mn firewall de FTPsessie, nu ja ie blockte et met zo'n blockeringmessage, zie printscreen. ik liet alles openstaan, naam een printscreen en keek verder naar wat er gebeurde, het gebeurde nl toch op een pc die niet zo belangrijk was, ne format meer of minder was dus nt zo erg.

Mn "Uitvoeren"-kader vloog open en er werd een script ingeplakt, verwijzend naar hetgeen die redworld2.exe waarschijnlijk moest uitvoeren, moest het op mn pc terechtgekomen zijn, dat is dus niet gebeurd dus kwam er een foutmelding dat het het bestand niet gevonden werd. Toen vond ik het welletjes en sloot het commandkaderke en van de eerste keer gans de pc. kheb toen VNC meteen verwijderd van alle pc's in mn netwerk.

Hoe ik weet dat het via VNC was: gevonden in de event viewer (zie print screen), er staat nl extern IP dat inlogde via VNC. Bij VNC hebt ge ook zo'n LISTENING MODE, die luistert actief naar alle mogelijke VNC server-sessies, op die manier kan de hacker dus binnengeraakt zijn door mn sessie af te pakken. Er stonden btw paswoorden op, dus die zijn nu waardeloos :(

dit zijn print screens ter bewijs (heb wel de hacker zijn IP beschermd, want weet nie of ik dit hier mag posten):

http://users.skynet.be/fa360838/hack.jpg
hier probeert de hacker via een omweg een virus op mn pc te schrijven, mr firewall blokkeert het

http://users.skynet.be/fa360838/hack2.jpg
het bewijs dat de hacker via winVNC binnengeraakt is, zijn extern ip is trouwens hetzelfde als dat van de FTP

http://users.skynet.be/fa360838/hack3.jpg
Het vreemde is hier dat er een vermelding staat over HTTP-server, wat normaal gezien niet in verband staat met WinVNC, hier dus wel. Feit is wel dat op mn router HTTP (poort 80) open stond voor mijn webserver (nog een andere pc), heb dit dan ook meteen weer dichtgedaan...

In principe kan ik nu dus dat bestand redworld2.exe afhalen, want ik weet het FTP-adres, mr denk niet dat dat verstandig zou zyn. Daarom de vraag: wat zou ik doen, ten eerste om mn pc's beter te beveiligen, en ten tweede, hoe kan ik die hacker terug pijn doen:angry: ???

Exit

Legacy Member
is een lek in die vnc versie dan die gebruikt wordt om dan pw te omzeilen

ShPonGle

Legacy Member
het gebeurt ook met VNC 3...
heb al een ping -a en een tracert gedaan naar het IP en weet btw al héél veel. 2be continued :D

Intrusion detection op mn router geeft ni veel dingen aan, behalve deze valt echt op:
udp_null_port attacks: 59 (!)

TiZon

Legacy Member
die melding op je router zou ik me niet te veel zorgen over maken.

ik heb dt ook altijd als ik hier mijn webserver (xammp) aanzet, vraag me neit wrm, het is zo :)


ik ben al lang gestopt met VNC en ben dan maar overgestapt naar netsupport, is iets zwaarder maar een pak veiliger imo.

Wat ik meestal doe als ik zie dat iemand probeert binnen te geraken (router/firewall-logs) zet ik mijn ping of death (op 4 pc's) / DDOS aan op dat i, dan stopt het meestal wel

:evil:

ShPonGle

Legacy Member
hoe doet ge dat dan, zo'n DDOS?
btw google geeft ook interessante dingen ivm die redworld...
http://www.google.be/search?hl=nl&q=redworld2.exe

EDIT: tis dus een bug (maar wat voor een :s) in VNC 4.1.1 en eerdere versies, de paswoorden worden gewoon gebypassed, dus de hacker weet ze in feite niet, hack na de sessie overname is ook altijd gelijk, via de trojan 84785_redworld2.exe.

security hole has surfaced in a program IT administrators use to access remote machines, but fixes are available.

A flaw in the authentication process of RealVNC (Virtual Network Computing) software could allow attackers to gain remote access to an affected VNC server and compromise it, Cupertino, Calif.-based AV giant Symantec Corp. warned in a message to customers of its DeepSight Threat Management System.

"During the initial handshake and authentication process between VNC clients and servers, a list of authentication methods is sent to clients," Symantec said. "The client chooses a method and returns a byte specifying the method it wishes to continue with."

The flaw appears because the server doesn't properly validate that the requested method sent by the client is actually one of the methods allowed by the server. "This issue allows remote attackers to request an anonymous authentication method, which will be incorrectly accepted by the server," Symantec said. "This allows them to gain full control of the VNC server session."
--> dat ist dus e :(

Slynx

Legacy Member
vriend van me zat onlangs gewoon op zo'n waterzuiveringstationcentrale :/
btw, ping of death is wel vrij moeilijk in deze tijden :)

Mr. M

Legacy Member
daarom ook dat ik die VNC niet zomaar laat draaien
staat wel op, maar mijn router blokkeert die poort
maar laat wel de poort voor SSH (secure shell) toe, dus ik tunnel gewoon die poort via SSH (wat dus wilt zeggen dat daar een lag omheen gelegd wordt en die wordt ge-encrypteerd door een zeer goed algoritme (dat voor zover ik weet nog niet zomaar gekraakt is geweest))

en zo gebruik ik dus VNC zonder enig gevaar :)

(die secure shell heb ik via cygwin (een soort linux emulator voor op windows))

webserver heb k wel gewoon open staan btw
ze probere wel heel heel regelmatig op mijn SSH binne te gerake heb k al gezien, ma da lukt eigelijk nooit (heb al de meest belachelijke dinge gezien da ze probeerde)

den Acid Burn

Legacy Member
lol ddos op dat ip.

als die kerel iets of wat hacker is werkt die toch via ene proxy.
wie gaat nu hacken met zen eigen ip :wtf:

ShPonGle

Legacy Member
ja idd mr als ik ip-lookup doe kom ik niet uit op proxy adres mr op adres van iemand uit Antwerpen die bij Versatel zit...

EDIT: test om te weten of uw VNC veilig is -->
http://www.intelliadmin.com/Downloads.htm
allerhande tools, oa VNCflawtest: test of je VNC lekken heeft (btw voor VNC 4.1.2 is er ook een exploit verschenen, ik raad VNC dan ook vanaf nu totaal af)
http://www.gotomyvnc.com/
deze test of je netwerk open staat voor vnc of niet

RpR

Legacy Member
Dan zou ik zoizo klacht gaan neerleggen bij de politie en morele schade vergoeding eisen. Gewoon zeggen dat ge nu hackers ziet vliegen en ge krijgt nen smak geld van diene kerel.

ShPonGle

Legacy Member
ja heb gebeld nr provider, die kan dus vrijgeven WIE om WELK UUR WELK IP had als je een geldige juridische aanvraag hebt. Dus je moet eerst klacht neerleggen, dan zal provider de gegevens vrijgeven, ondertussen betaal je wel alle gerechtskosten. Maar als je dus voldoende bewijzen hebt, dan zal die kerel idd ferm moeten dokken.

Nu, ik weet dat het via een VNC-bug is dat ie probeerde binnen te geraken, mr daarin slaagde hij niet, dus ja ie heeft geen brokken gemaakt, tzijn ook moeilijk te bewijzen dingen eig.
het domme is wel: die kerel logde aan met een extern ip dat geen proxy was, en gebruikte ook een FTP-sessie van datzelfde IP. Oftewel ist echt een domme hacker, mr denk eig van niet, volgens mij is het extern ip dak opgevangen heb eerder dat van een zombiepc, dus een reeds gehackte computer.

SilentSpring

Legacy Member
ik heb gister net realvnc 3.3.7 terug installed om in de mot te houden wat dien kleinen doet op z'n pc. Nu, met die gotomyvnc link gescand en daar staat er dat ie op poort 5900-5909 alles accept. Ben dus ook 'hackbaar'?
Heb die oude installed omdat met de laatste neiuwe versie het niet lukte om te connecten. Is Netsupport dan beter? (en liefst makkelijk te gebruiken)

TiZon

Legacy Member
Netsupport is zeer makkelijk in LAN, als via WAn wil gaan, moet je beginnen met een bridge en dat moet dan via een bepaalde oort lopen (meestal 8080),of via het (oude imo) Netbois-protoco wat ook niet lekker loopt...

ShPonGle

Legacy Member
ik gebruik nu pc Anywhere, gedaan met VNC :D

EDIT: btw @TiZon en/ Exit: geen zin in een Sticky over hacking en zo?
zou wel leuk zyn

SilentSpring

Legacy Member
ben nu de trial versie van die net support aan't downloaden. Morgen es testen, en als't werkt vliegt VNC eraf:D

TiZon

Legacy Member
Dnek dat we dan op het randje af illigaal zouden doen, zou wel leuk zijn iig :D

dJeez

Legacy Member
ShPonGle zei:
Ik gebruik dus nooit meer VNC4. Op het werk is het ook al paar keer voorgevallen bij bepaalde klanten, mr heb et nu ook zelf aan den lijve ondervonden: VNC op zich, en zeker de VNC-server draaien is écht niét veilig.
...
Daarom de vraag: wat zou ik doen, ten eerste om mn pc's beter te beveiligen, en ten tweede, hoe kan ik die hacker terug pijn doen:angry: ???
Ten eerste : je kan als je VNC gebruikt voor remote support naar klanten toe beter werken met een connectie die geïnitieerd wordt door de klant naar een listening viewer bij u (dan heb je best een vast IP, hoewel het via DynDNS of iets dergelijks ook wel werkt). Voordeel : er moet helemaal geen VNC server permanent draaien in listening mode. Het enige eventuele nadeel is dat de klant aanwezig moet zijn om de connectie op te starten.

VNC is wat dat betreft eigenlijk even veilig als Remote Desktop permanent laten draaien zonder een degelijke login policy in te stellen.

Andere opties zijn : port knocking gebruiken om poorten op de router/firewall te openen, een remote admin panel (wel opletten dat dat zelf veilig is uiteraard :p) waarmee je poorten op de router/firewall kan openzetten, VNC op een niet standaard poort laten luisteren, geen RealVNC gebruiken maar vb. UltraVNC (deze is immuun voor dat probleem en heeft wat leuke extra features - weliswaar Windows only)... Eigenlijk zijn de oplossingen eindeloos.

Maar eigenlijk ben je zelf als beheerder ook medeverantwoordelijk aangezien je een gekende security leak (in mei circuleerde de proof of concept al) niet hebt gepatched. Voor je eigen thuis PC is dat zo erg nog niet, maar als ik lees dat je VNC bij klanten gebruikt zou je op z'n minst de security issues mogen opvolgen.

Ten tweede : klacht indienen bij de CCU van de Federale Politie, met zoveel mogelijk details. Laat je niet vangen door de hacker terug te hacken, want 9 kansen op de 10 hack je dan een onschuldig persoon zijn zombie PC en ben je dus eigenlijk zelf strafbaar. En als je het echt niet kan laten, het is best van niet destructief te werk te gaan maar zo onopvallend mogelijk op een systeem aanwezig te zijn :p.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan