VNC gehackt?? - Mindfactory Forum

Ankündigung

Einklappen
Keine Ankündigung bisher.

VNC gehackt??

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • VNC gehackt??

    Hallo,

    habe auf meinem Server den VNC diens installiert.
    Gestern melde ich mich am Server normal an und seh, dass
    das VNC Tray Symbol aktiv (schwarz) ist. Also den unbekannten
    User erstmal gekickt. (Sonst geh ich immer remote auf den Server
    und da sieht man das Tray symbol nicht.)
    Nun schaute ich ins Log der Anwendeungen und da waren ein Paar
    tausend eintrage von WINVnc.
    Manche IPs wurden auf die Blacklist gesetzt. Andere hatten das Kennwort
    richtig eingegeben. Wie konnten die meine Dyndns Adresse rausbekommen...
    oder Scannen die verschiedene Ips auf Port 5800??
    AMD Atlon64 X2 4800+ @ X2 5200+
    Asus A8N32-SLI Deluxe
    CORSAIR TWINX2048-3500LLPRO
    1024MB EVGA e-GeForce 7950 GX2
    2x 250GB Seagate Barracuda 7200.10rpm RAID
    Zalman CNPS 9500 Cu LED
    Thermaltake Armor 25 cm Fan Aluminum

    3DMark06 ~ 7824

  • #2
    Jupps, die pingen im Netz auf den Port. Ich glaube nicht, dass sowas gezielt geht, sondern über Tools, die entsprechend vorgegebene IP-Ranges absuchen. Wie die dann auf die Kiste kommen weiß ich nicht (bin kein Cracker), aber gezielt ist sowas zumindest nicht. Außer Du hast Deine IP weiter gegeben. Mit welchen VNC Server/Client ist das denn passiert?

    cu
    Gargi

    Kommentar


    • #3
      Mit der "Testversion". Nicht verschlüsselter verkehr.
      Dass die mein Kennwort haben, um sich einzulocken hat
      mich gewundert.
      Bei mir selbst mitgehört kann kaum sein... hab den dienst kaum benutzt.
      Zum Glück sind die nur zur Ein anmeldung gekommen...
      AMD Atlon64 X2 4800+ @ X2 5200+
      Asus A8N32-SLI Deluxe
      CORSAIR TWINX2048-3500LLPRO
      1024MB EVGA e-GeForce 7950 GX2
      2x 250GB Seagate Barracuda 7200.10rpm RAID
      Zalman CNPS 9500 Cu LED
      Thermaltake Armor 25 cm Fan Aluminum

      3DMark06 ~ 7824

      Kommentar


      • #4
        Genau so sieht es aus. Da werden einfach IP Ranges per Portscanner abgescannt und dann (sofern überhaubt ein PW gesetzt war) wird dieses mit einer sehr einfach aber wirkungsvollen Programmkombie geknackt. Namen nennen ich da absichtlich nicht

        Für Dein Passwort, welches wie ich vermute nicht "sicher" ist, haben sie nichts abhören müssen. Das geht anders.
        "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
        By that Heaven that bends above us - by that God we both adore -
        Tell this soul with sorrow laden if, within the distant Aidenn,
        It shall clasp a sainted maiden whom the angels name Lenore -
        Clasp a rare and radiant maiden whom the angels name Lenore."
        Quoth the Raven, "Nevermore."

        From "The Raven" by Edgar Allan Poe

        Kommentar


        • #5
          Simples Brute Force eventuell wenn das Passwort recht einfach gehalten ist. Ansonsten eventuell über irgendeine Sicherheitslücke. Ersteres erklärt den hohen Zugriff.

          cu
          Gargi

          Kommentar


          • #6
            Natürlich das erstere. Warum sich viel Aufwand machen und Exploids suchen, wenn diese Methode bei 90% aller User sehr schnell ein Ergebnis ausfweißt.
            "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
            By that Heaven that bends above us - by that God we both adore -
            Tell this soul with sorrow laden if, within the distant Aidenn,
            It shall clasp a sainted maiden whom the angels name Lenore -
            Clasp a rare and radiant maiden whom the angels name Lenore."
            Quoth the Raven, "Nevermore."

            From "The Raven" by Edgar Allan Poe

            Kommentar


            • #7
              Hmmm... wobei es vom Aufwand sicherlich leichter ist kann ich mir vorstellen, wenn man ein passendes Programm oder was auch immer hat, das so ein Ding dann ohne Brute Force über ne Lücke knackt. Aber ob es sowas gibt, dass das von außen her machen kann weiß ich net. Muss ich auch net wissen.

              cu
              Gargi

              Kommentar


              • #8
                Gibt es, klaro. Aber genutzt wird meist die Holzhammer Methode. Wenn man Exploids nutzt, dann muss man sich mit dem Ziel beschäftien. Welches OS, welche Zusätze? Welches "Sicherheitslevel"? Und so weiter und so fort. Die meisten solcher Skript-Kiddies (nein, sowas macht kein Hacker) werden aber einen Breitbandscan machen, dann ihre x Hosts in eine Liste packen und den BF füttern. Alles automatisch, aller kinderleicht für die Kids.
                "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
                By that Heaven that bends above us - by that God we both adore -
                Tell this soul with sorrow laden if, within the distant Aidenn,
                It shall clasp a sainted maiden whom the angels name Lenore -
                Clasp a rare and radiant maiden whom the angels name Lenore."
                Quoth the Raven, "Nevermore."

                From "The Raven" by Edgar Allan Poe

                Kommentar


                • #9
                  Gut, der Begriff Hacker wird eh im "Volksmund" falsch benutzt. Hacker ist eigentlich der Computernerd, hat aber mit dem eigentlichen CRACKER nix zu tun. Und davon sind es eben hauptsächlich Mitläufer (Script Kiddies), die sich eben von entsprechenden Seiten ToolZ und CrackZ ziehen. Die meisten, die solche Geschichten schreiben wenden das nichtmal an. Das erledigen andere dann, von denen dann eben ein Teil eins auf den Sack bekommt, wenn man sie erwischt. Siehe diesen jungen Burschen, der den einen netten Virus aus'm Bausatz gebastelt hat und wegen eines Kopfgeldes vom Kumpel verpfiffen wurde. Den ham'se sicherlich richtig gebürstet.
                  Gott, welcher Virus war das, war glaube ich sogar ein Wurm, der ne Fluggesellschaft dann lahm gelegt hat?

                  cu
                  Gargi

                  Kommentar


                  • #10
                    War der Loveletter Virus

                    Und ja, wegen mir könnte man solche Skript-Kiddies auch richtig lange weghaften. Ich freue mich über jedes Kid, welches erwischt wurde - selbst Schuld!
                    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
                    By that Heaven that bends above us - by that God we both adore -
                    Tell this soul with sorrow laden if, within the distant Aidenn,
                    It shall clasp a sainted maiden whom the angels name Lenore -
                    Clasp a rare and radiant maiden whom the angels name Lenore."
                    Quoth the Raven, "Nevermore."

                    From "The Raven" by Edgar Allan Poe

                    Kommentar


                    • #11
                      Zitat von SethOS
                      War der Loveletter Virus

                      Und ja, wegen mir könnte man solche Skript-Kiddies auch richtig lange weghaften. Ich freue mich über jedes Kid, welches erwischt wurde - selbst Schuld!
                      War das der Loveletter? Icjh meinte der hieß anders. Naja, egal, gepackt hamm'se den. Geil war da ja, dass den sein Kumpel da wohl mitgemacht hat. Die "Prämie" hat er deshalb auch nicht kassiert Auch richtig so! Zumindest auch ein Beweis, dass man mit Kohle jeden dran kriegt

                      Kommentar


                      • #12
                        Zitat von Gargi
                        Simples Brute Force eventuell wenn das Passwort recht einfach gehalten ist.
                        Gargi
                        Ok, sache der Definition...
                        mein Ex- PW

                        aj<Z78swe=
                        AMD Atlon64 X2 4800+ @ X2 5200+
                        Asus A8N32-SLI Deluxe
                        CORSAIR TWINX2048-3500LLPRO
                        1024MB EVGA e-GeForce 7950 GX2
                        2x 250GB Seagate Barracuda 7200.10rpm RAID
                        Zalman CNPS 9500 Cu LED
                        Thermaltake Armor 25 cm Fan Aluminum

                        3DMark06 ~ 7824

                        Kommentar


                        • #13
                          Aber dennoch klassisch: viele User verwenden in der Mitte Zahlen

                          An sich gehörte das PW durchaus zu den sichereren - obgleich es kurz war. Daß sie durch einen Exploid kamen, haben wir ja nicht ausgeschlossen.
                          "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
                          By that Heaven that bends above us - by that God we both adore -
                          Tell this soul with sorrow laden if, within the distant Aidenn,
                          It shall clasp a sainted maiden whom the angels name Lenore -
                          Clasp a rare and radiant maiden whom the angels name Lenore."
                          Quoth the Raven, "Nevermore."

                          From "The Raven" by Edgar Allan Poe

                          Kommentar


                          • #14
                            Bei mir kan nach dem vnc login noch das von Windows

                            Das passiert wenn das winPW nicht drin gewesen wäre
                            [...link entfernt]
                            Zuletzt geändert von Gargi; 12.10.2006, 12:43.
                            AMD Atlon64 X2 4800+ @ X2 5200+
                            Asus A8N32-SLI Deluxe
                            CORSAIR TWINX2048-3500LLPRO
                            1024MB EVGA e-GeForce 7950 GX2
                            2x 250GB Seagate Barracuda 7200.10rpm RAID
                            Zalman CNPS 9500 Cu LED
                            Thermaltake Armor 25 cm Fan Aluminum

                            3DMark06 ~ 7824

                            Kommentar


                            • #15
                              naja, wer allerwelts-tools mit ihren standardports ins internet hängt sollte sich nicht wundern.....

                              jeder 0815-scanner kennt die standardports, die sind rasend schnell abgescannt.

                              VNC und konsorten sollte man auf hohe, völlig willkürliche ports hängen (geht sogar mit RDC).
                              ein fullrange-scan dauert viel zu lange und fällt vor allem am zielsystem auf. sofern das ordentlich konfiguriert ist....
                              btw: server sollten nicht direkten internetzugriff haben...

                              vnc enterprise edition ist sehr zu empfehlen. schon alleine wegen der verschlüsselung des datenverkehrs...

                              CU Gremlin
                              Traue keinem Gerät das Du nicht mit dem Schraubendreher programmieren kannst!

                              Kommentar

                              Lädt...
                              X