Ergebnis 1 bis 18 von 18

Thema: VNC gehackt??

  1. #1
    Staff Sergeant
    Registriert seit
    19.12.2005
    Beiträge
    190

    Standard VNC gehackt??

    Hallo,

    habe auf meinem Server den VNC diens installiert.
    Gestern melde ich mich am Server normal an und seh, dass
    das VNC Tray Symbol aktiv (schwarz) ist. Also den unbekannten
    User erstmal gekickt. (Sonst geh ich immer remote auf den Server
    und da sieht man das Tray symbol nicht.)
    Nun schaute ich ins Log der Anwendeungen und da waren ein Paar
    tausend eintrage von WINVnc.
    Manche IPs wurden auf die Blacklist gesetzt. Andere hatten das Kennwort
    richtig eingegeben. Wie konnten die meine Dyndns Adresse rausbekommen...
    oder Scannen die verschiedene Ips auf Port 5800??
    AMD Atlon64 X2 4800+ @ X2 5200+
    Asus A8N32-SLI Deluxe
    CORSAIR TWINX2048-3500LLPRO
    1024MB EVGA e-GeForce 7950 GX2
    2x 250GB Seagate Barracuda 7200.10rpm RAID
    Zalman CNPS 9500 Cu LED
    Thermaltake Armor 25 cm Fan Aluminum

    3DMark06 ~ 7824

  2. #2
    Colonel Avatar von Gargi
    Registriert seit
    20.01.2006
    Beiträge
    11.618

    Standard

    Jupps, die pingen im Netz auf den Port. Ich glaube nicht, dass sowas gezielt geht, sondern über Tools, die entsprechend vorgegebene IP-Ranges absuchen. Wie die dann auf die Kiste kommen weiß ich nicht (bin kein Cracker), aber gezielt ist sowas zumindest nicht. Außer Du hast Deine IP weiter gegeben. Mit welchen VNC Server/Client ist das denn passiert?

    cu
    Gargi

  3. #3
    Staff Sergeant
    Themenstarter

    Registriert seit
    19.12.2005
    Beiträge
    190

    Standard

    Mit der "Testversion". Nicht verschlüsselter verkehr.
    Dass die mein Kennwort haben, um sich einzulocken hat
    mich gewundert.
    Bei mir selbst mitgehört kann kaum sein... hab den dienst kaum benutzt.
    Zum Glück sind die nur zur Ein anmeldung gekommen...
    AMD Atlon64 X2 4800+ @ X2 5200+
    Asus A8N32-SLI Deluxe
    CORSAIR TWINX2048-3500LLPRO
    1024MB EVGA e-GeForce 7950 GX2
    2x 250GB Seagate Barracuda 7200.10rpm RAID
    Zalman CNPS 9500 Cu LED
    Thermaltake Armor 25 cm Fan Aluminum

    3DMark06 ~ 7824

  4. #4
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Genau so sieht es aus. Da werden einfach IP Ranges per Portscanner abgescannt und dann (sofern überhaubt ein PW gesetzt war) wird dieses mit einer sehr einfach aber wirkungsvollen Programmkombie geknackt. Namen nennen ich da absichtlich nicht

    Für Dein Passwort, welches wie ich vermute nicht "sicher" ist, haben sie nichts abhören müssen. Das geht anders.
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  5. #5
    Colonel Avatar von Gargi
    Registriert seit
    20.01.2006
    Beiträge
    11.618

    Standard

    Simples Brute Force eventuell wenn das Passwort recht einfach gehalten ist. Ansonsten eventuell über irgendeine Sicherheitslücke. Ersteres erklärt den hohen Zugriff.

    cu
    Gargi

  6. #6
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Natürlich das erstere. Warum sich viel Aufwand machen und Exploids suchen, wenn diese Methode bei 90% aller User sehr schnell ein Ergebnis ausfweißt.
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  7. #7
    Colonel Avatar von Gargi
    Registriert seit
    20.01.2006
    Beiträge
    11.618

    Standard

    Hmmm... wobei es vom Aufwand sicherlich leichter ist kann ich mir vorstellen, wenn man ein passendes Programm oder was auch immer hat, das so ein Ding dann ohne Brute Force über ne Lücke knackt. Aber ob es sowas gibt, dass das von außen her machen kann weiß ich net. Muss ich auch net wissen.

    cu
    Gargi

  8. #8
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Gibt es, klaro. Aber genutzt wird meist die Holzhammer Methode. Wenn man Exploids nutzt, dann muss man sich mit dem Ziel beschäftien. Welches OS, welche Zusätze? Welches "Sicherheitslevel"? Und so weiter und so fort. Die meisten solcher Skript-Kiddies (nein, sowas macht kein Hacker) werden aber einen Breitbandscan machen, dann ihre x Hosts in eine Liste packen und den BF füttern. Alles automatisch, aller kinderleicht für die Kids.
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  9. #9
    Colonel Avatar von Gargi
    Registriert seit
    20.01.2006
    Beiträge
    11.618

    Standard

    Gut, der Begriff Hacker wird eh im "Volksmund" falsch benutzt. Hacker ist eigentlich der Computernerd, hat aber mit dem eigentlichen CRACKER nix zu tun. Und davon sind es eben hauptsächlich Mitläufer (Script Kiddies), die sich eben von entsprechenden Seiten ToolZ und CrackZ ziehen. Die meisten, die solche Geschichten schreiben wenden das nichtmal an. Das erledigen andere dann, von denen dann eben ein Teil eins auf den Sack bekommt, wenn man sie erwischt. Siehe diesen jungen Burschen, der den einen netten Virus aus'm Bausatz gebastelt hat und wegen eines Kopfgeldes vom Kumpel verpfiffen wurde. Den ham'se sicherlich richtig gebürstet.
    Gott, welcher Virus war das, war glaube ich sogar ein Wurm, der ne Fluggesellschaft dann lahm gelegt hat?

    cu
    Gargi

  10. #10
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    War der Loveletter Virus

    Und ja, wegen mir könnte man solche Skript-Kiddies auch richtig lange weghaften. Ich freue mich über jedes Kid, welches erwischt wurde - selbst Schuld!
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  11. #11
    Colonel Avatar von Gargi
    Registriert seit
    20.01.2006
    Beiträge
    11.618

    Standard

    Zitat Zitat von SethOS
    War der Loveletter Virus

    Und ja, wegen mir könnte man solche Skript-Kiddies auch richtig lange weghaften. Ich freue mich über jedes Kid, welches erwischt wurde - selbst Schuld!
    War das der Loveletter? Icjh meinte der hieß anders. Naja, egal, gepackt hamm'se den. Geil war da ja, dass den sein Kumpel da wohl mitgemacht hat. Die "Prämie" hat er deshalb auch nicht kassiert Auch richtig so! Zumindest auch ein Beweis, dass man mit Kohle jeden dran kriegt

  12. #12
    Staff Sergeant
    Themenstarter

    Registriert seit
    19.12.2005
    Beiträge
    190

    Standard

    Zitat Zitat von Gargi
    Simples Brute Force eventuell wenn das Passwort recht einfach gehalten ist.
    Gargi
    Ok, sache der Definition...
    mein Ex- PW

    aj<Z78swe=
    AMD Atlon64 X2 4800+ @ X2 5200+
    Asus A8N32-SLI Deluxe
    CORSAIR TWINX2048-3500LLPRO
    1024MB EVGA e-GeForce 7950 GX2
    2x 250GB Seagate Barracuda 7200.10rpm RAID
    Zalman CNPS 9500 Cu LED
    Thermaltake Armor 25 cm Fan Aluminum

    3DMark06 ~ 7824

  13. #13
    Major General Avatar von SethOS
    Registriert seit
    17.02.2006
    Beiträge
    18.577

    Standard

    Aber dennoch klassisch: viele User verwenden in der Mitte Zahlen

    An sich gehörte das PW durchaus zu den sichereren - obgleich es kurz war. Daß sie durch einen Exploid kamen, haben wir ja nicht ausgeschlossen.
    "Prophet!" said I, "thing of evil - prophet still, if bird or devil!
    By that Heaven that bends above us - by that God we both adore -
    Tell this soul with sorrow laden if, within the distant Aidenn,
    It shall clasp a sainted maiden whom the angels name Lenore -
    Clasp a rare and radiant maiden whom the angels name Lenore."
    Quoth the Raven, "Nevermore."

    From "The Raven" by Edgar Allan Poe

  14. #14
    Staff Sergeant
    Themenstarter

    Registriert seit
    19.12.2005
    Beiträge
    190

    Standard

    Bei mir kan nach dem vnc login noch das von Windows

    Das passiert wenn das winPW nicht drin gewesen wäre
    [...link entfernt]
    Geändert von Gargi (12.10.2006 um 12:43 Uhr)
    AMD Atlon64 X2 4800+ @ X2 5200+
    Asus A8N32-SLI Deluxe
    CORSAIR TWINX2048-3500LLPRO
    1024MB EVGA e-GeForce 7950 GX2
    2x 250GB Seagate Barracuda 7200.10rpm RAID
    Zalman CNPS 9500 Cu LED
    Thermaltake Armor 25 cm Fan Aluminum

    3DMark06 ~ 7824

  15. #15
    Sergeant Avatar von Gremlin
    Registriert seit
    16.08.2006
    Ort
    Mittendrin
    Beiträge
    57

    Standard

    naja, wer allerwelts-tools mit ihren standardports ins internet hängt sollte sich nicht wundern.....

    jeder 0815-scanner kennt die standardports, die sind rasend schnell abgescannt.

    VNC und konsorten sollte man auf hohe, völlig willkürliche ports hängen (geht sogar mit RDC).
    ein fullrange-scan dauert viel zu lange und fällt vor allem am zielsystem auf. sofern das ordentlich konfiguriert ist....
    btw: server sollten nicht direkten internetzugriff haben...

    vnc enterprise edition ist sehr zu empfehlen. schon alleine wegen der verschlüsselung des datenverkehrs...

    CU Gremlin
    Traue keinem Gerät das Du nicht mit dem Schraubendreher programmieren kannst!

  16. #16
    Staff Sergeant
    Themenstarter

    Registriert seit
    19.12.2005
    Beiträge
    190

    Standard

    ja,

    habs jetzt mit einer VPNVerbindung gelöst
    AMD Atlon64 X2 4800+ @ X2 5200+
    Asus A8N32-SLI Deluxe
    CORSAIR TWINX2048-3500LLPRO
    1024MB EVGA e-GeForce 7950 GX2
    2x 250GB Seagate Barracuda 7200.10rpm RAID
    Zalman CNPS 9500 Cu LED
    Thermaltake Armor 25 cm Fan Aluminum

    3DMark06 ~ 7824

  17. #17
    Colonel Avatar von Gargi
    Registriert seit
    20.01.2006
    Beiträge
    11.618

    Standard

    Zitat Zitat von Axcel
    ja,

    habs jetzt mit einer VPNVerbindung gelöst
    Besser ist das. Auf jeden Fall diesmal viel Glück!

  18. #18
    First Sergeant Avatar von Coprophiliac
    Registriert seit
    12.04.2006
    Ort
    Passau
    Beiträge
    1.180

    Standard VNC lokal über VPN oder anderen Tunnel

    Hi,

    Nachdem ich das selbst auch ausprobieren wollte als die Sicherheitslücke bekannt wurde die Gargi schon geahnt hatte (Schwachstelle in RealVNC 4.1.1 - SICHERHEIT - NEWS - PC-Welt - pcwelt.de) war auch auf meinem Testrechner innerhalb der ersten Stunde online schon zumindest ein Zombie Exploiter und nicht wenig später ein Menschlein.
    Solche Dienste wie eine Remoteverwaltung solltest Du weil auch diese Soft immer Fehler haben kann nur lokal laufen lassen und am besten nur über einen Tunnel aufrufen.
    Ansonsten zumindest den Standardport wechseln oder die IP Ranges von denen der Dienst genutzt werden kann stark eingrenzen.

    Für deinen Dienst hast Du ja schon die ideale Lösung gefunden. Das nur als Nachtrag dass bei manchen VNC Versionen wirklich ohne Passwort Zugriff von aussen möglich war.

    Auch von mir o.ob für die Zukunft
    Oldschool Intel Core2Duo 6300 | 4GB RAM | Windows XP Professional | Größe 44 | Lieblingsfarbe gelb

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •