Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien

dinsdag 7 april 2009 21:58

Acties:
  • Zewatanejo
  • Registratie: Juli 2003
  • Nu online

Zewatanejo

Fine Thanks!

Topicstarter
Afgelopen week had ik op mijn router de VNC poort (5800-5900) open gezet op mijn HTPC/Server.
Dit om vanuit mijn tijdelijke verblijf toch nog bij mijn PC te kunnen. Ik had stom genoeg geen password authentication aangezet. Schijnbaar ben ik dit vergeten, want dit doe ik uiteraard altijd.

Nu blijkt dat in deze 2 dagen mijn server is gecracked voor SPAM doeleinden.blijkbaar via een poortscan is er een Franse cracker ingelogt op mijn PC.
Ik heb sceenshots gemaakt. Dit zijn er een aantal:

Afbeeldingslocatie: http://members.home.nl/g.vlaarhoven/CG9803.jpg
Afbeeldingslocatie: http://members.home.nl/g.vlaarhoven/CGA6A1.jpg
Afbeeldingslocatie: http://members.home.nl/g.vlaarhoven/CGC74E.jpg
Afbeeldingslocatie: http://members.home.nl/g.vlaarhoven/CGF745.jpg

Zo te zien heeft de cracker via ftp een aantal bestanden gedownload.
Een aantal programma's gedownload om Spam mail te verzenden, vanaf mijn PC. Hij heeft zelfs mijn Ip opgezocht en er is een betaling gedaan via Paypal. Ik heb een paypal ID van een betaling in elk geval. Niet die van mij, want ik heb geen Paypal account.

Ik moet zeggen dat ik hier toch behoorlijk nerveus van ben. Wat kunnen de consequenties zijn voor mij?

Get Busy Living or Get Busy Dying
Kiwi's are too nice to be honest and the Dutch are too honest to be nice.

dinsdag 7 april 2009 22:19

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 06-09 18:10

ChaserBoZ_

Jij kan aangesproken worden op alles wat ie gedaan heeft, de spam, verspreiden van kinderporno via je aansluiting op dat moment, bedreigingen op fora etc etc.

'Maar het heeft altijd zo gewerkt . . . . . . '

dinsdag 7 april 2009 22:23

Acties:
  • Bob
  • Registratie: Mei 2005
  • Laatst online: 30-11 08:00

Bob

ChaserBoZ_ schreef op dinsdag 07 april 2009 @ 22:19:
Jij kan aangesproken worden op alles wat ie gedaan heeft, de spam, verspreiden van kinderporno via je aansluiting op dat moment, bedreigingen op fora etc etc.
Dat zou sterk zijn. Ik denk niet dat alle arme zielen die deel uitmaken van een botnet verantwoordelijk worden gesteld voor de spammails die van bij hen vertrekken.

Alleszins, sluit die bak af van het internet, maak een image van de schijf om alles later nog eens goed te kunnen nagaan en kuis 'm dan goed uit. Verder zou ik er niet te lang van wakker liggen, je les heb je er wslk toch al uit getrokken :)

dinsdag 7 april 2009 22:24

Acties:
  • Hadron
  • Registratie: September 2001
  • Laatst online: 22-07-2022

Hadron

Stomme vraag misschien, maar ik neem aan dat je de poorten al weer dichtgegooid hebt?

Daarnaast weet ik niet of de programma's die je noemt een history of logfile bijhouden. Daarmee kan je in ieder geval ongeveer zien wat er gebeurd is, en dan is je inschatting waarschijnlijk ook wat realistischer.

Edit: Image maken is waarschijnlijk ook wel handig ja, mocht je willen zoeken :) Schoonmaken/herinstalleren is sowieso verstandig!

[ Voor 18% gewijzigd door Hadron op 07-04-2009 22:26 . Reden: Image.. goed idee! ]

dinsdag 7 april 2009 22:26

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 06-09 18:10

ChaserBoZ_

Bob schreef op dinsdag 07 april 2009 @ 22:23:
[...]

Dat zou sterk zijn. Ik denk niet dat alle arme zielen die deel uitmaken van een botnet verantwoordelijk worden gesteld voor de spammails die van bij hen vertrekken.

Alleszins, sluit die bak af van het internet, maak een image van de schijf om alles later nog eens goed te kunnen nagaan en kuis 'm dan goed uit. Verder zou ik er niet te lang van wakker liggen, je les heb je er wslk toch al uit getrokken :)
In eerste instantie wel, en je mag dan aantonen dat je het niet bewust/niet zelf gedaan hebt.

Alle logging wijst immers naar jou ;)

'Maar het heeft altijd zo gewerkt . . . . . . '

dinsdag 7 april 2009 22:28

Acties:
  • Zewatanejo
  • Registratie: Juli 2003
  • Nu online

Zewatanejo

Fine Thanks!

Topicstarter
ChaserBoZ_ schreef op dinsdag 07 april 2009 @ 22:19:
Jij kan aangesproken worden op alles wat ie gedaan heeft, de spam, verspreiden van kinderporno via je aansluiting op dat moment, bedreigingen op fora etc etc.
Nou je stelt me niet gerust... maar ik denk wel dat je gelijkt hebt.
Bob schreef op dinsdag 07 april 2009 @ 22:23:
[...]

Dat zou sterk zijn. Ik denk niet dat alle arme zielen die deel uitmaken van een botnet verantwoordelijk worden gesteld voor de spammails die van bij hen vertrekken.

Alleszins, sluit die bak af van het internet, maak een image van de schijf om alles later nog eens goed te kunnen nagaan en kuis 'm dan goed uit. Verder zou ik er niet te lang van wakker liggen, je les heb je er wslk toch al uit getrokken :)
Ja ik heb natuurlijk wel geleerd dat ik dit zo niet moet doen. Ik heb nu de poorten weer dicht gegooid...en in het vervolg zal ik wel een wachtwoord gebruiken en andere poorten gebruiken.

Ik zal inderdaad eens een image maken..thanks vor de tip

Get Busy Living or Get Busy Dying
Kiwi's are too nice to be honest and the Dutch are too honest to be nice.

dinsdag 7 april 2009 22:28

Acties:
  • stftweaker
  • Registratie: December 2007
  • Laatst online: 30-11 12:09

stftweaker

heel veel mensen zijn lid van een botnet. ik zou ,me er niet druk om maken. al helemaal niet omdat je het zo snel heb ontdekt. en wat aangedaan heb / gaat doen. ,mijn tip is maak een image kopie. en kijk wat er allemaal veranderd/aangepast is.

How are you doing?

dinsdag 7 april 2009 22:31

Acties:

Verwijderd

Wat gaat het dichtgooien van die poorten helpen als er nu een trojan op je systeem staat? Als iemand Administrator toegang had op je systeem kun je bijna nergens meer op vertrouwen.

dinsdag 7 april 2009 22:32

Acties:
  • Arnout
  • Registratie: December 2000
  • Laatst online: 19-11 21:03

Arnout

Botnet en VNC is natuurlijk niet gelijk aan elkaar, met een VNC mogelijkheid kun je natuurlijk veel meer en ben je overgeleverd aan diegene aan de andere kant. Botnets worden meer voor 'productie' doeleinden gebruikt, zoals spam verzending.

dinsdag 7 april 2009 22:33

Acties:
  • Zewatanejo
  • Registratie: Juli 2003
  • Nu online

Zewatanejo

Fine Thanks!

Topicstarter
Ik kan nog op de FTP server inloggen, die is gebruikt.
Heb de neiging om daar alles af te gooien, maar ik zal het maar niet erger maken dan het als is. waarschijnlijk is die FTP ook gehackt.

Ik zie nou trouwens uit mijn router log dat het op dezelfde dag gebeurd is als dat ik het heb ontdekt.

Ik heb de server maar even van het internet afgehaald..dan hebben we voorlopig geen problemen.

[ Voor 20% gewijzigd door Zewatanejo op 07-04-2009 22:36 ]

Get Busy Living or Get Busy Dying
Kiwi's are too nice to be honest and the Dutch are too honest to be nice.

dinsdag 7 april 2009 22:57

Acties:
  • Emmeau
  • Registratie: Mei 2003
  • Niet online

Emmeau

All your UNIX are belong to us

effe side tip, VNC (vnc heeft al eens een exploit gehad, en omdat niemand zijn vnc upgrade zijn er aardig wat mensen in de knoei gekomen toen) run ik alleen maar over VPN, en zal nooit rechtstreeks van buiten benaderbaar zijn.

Voor quick en dirty gebruik ik logmein.com, wat precies hetzelfde doet als VNC eigenlijk, maar dan webbased.

If you choose to criticise you choose your enemies

woensdag 8 april 2009 11:56

Acties:
  • jan99999
  • Registratie: Augustus 2005
  • Laatst online: 27-11 01:54

jan99999

Bij windows is het een probleem dat niet alles geupdate wordt.
Laatst heb ik zo een programma getest, die dus alles update op xp, dus ook andere software.
Werkte goed, of het veilig is weet ik niet, was uit een test van een site(zoeken op windows en update).

Maar je had natuurlijk ook:
1 een wachtwoord kunnen instellen.
2 En natuurlijk ook een ip waar je naar toe gaat met vnc, dit bij hacken en fout in software, toch alleen de ip nummer op vnc kan komen. Dit instellen in je firewall.

Zelf gebruik ik ubuntu voor zoiets stel ik ook een firewall in.

Op hoofd site van gathering.tweakers vind je een gedeelte over software, indien je deze als homepage insteld, dan zie veel update komen(en nieuwe software). (Bij linux gebeurd dit automatisch).


Pc zou ik leeg maken.

[ Voor 14% gewijzigd door jan99999 op 08-04-2009 12:00 ]

woensdag 8 april 2009 12:01

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 14:48

DiedX

ik zou de eigenaar van de ftp-server waarschuwen, evenals paypal. En inderdaad, je lessen heb je nu geleerd ;)

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 8 april 2009 12:11

Acties:

Verwijderd

Eigenaren idd waarschuwen..

Voor de rest moet je je HELE systeem opnieuw installeren. Dit soort spammers willen graag vaker gebruik maken van jou systeem en hebben hierdoor meerdere backdoors ingebouwd. Dit kan zijn door sommige software te downgraden (open te stellen voor exploits), rootkits installeren etc etc.. Het systeem is NIET meer betrouwbaar.

woensdag 8 april 2009 12:55

Acties:
  • Graviton12
  • Registratie: Juni 2008
  • Laatst online: 23-05 12:53

Graviton12

Emmeau schreef op dinsdag 07 april 2009 @ 22:57:
effe side tip, VNC (vnc heeft al eens een exploit gehad, en omdat niemand zijn vnc upgrade zijn er aardig wat mensen in de knoei gekomen toen) run ik alleen maar over VPN, en zal nooit rechtstreeks van buiten benaderbaar zijn.

Voor quick en dirty gebruik ik logmein.com, wat precies hetzelfde doet als VNC eigenlijk, maar dan webbased.
Yep, ook al veel gehoord dat VNC niet echt secure is, sommige raden dan UltraVNC of zoiets aan.
Maar terug ontopic, TS issue was gemakkelijk te voorkomen natuurlijk zoals hij zelf al aangaf.

woensdag 8 april 2009 15:23

Acties:
  • -Elmer-
  • Registratie: Augustus 2002
  • Laatst online: 27-09 22:58

-Elmer-

Wat gek om dit te horen. Heb laatste een klant gehad die exact hetzelfde is overkomen. Echter, hij had wél een wachtwoord ingesteld. Het leek er ook toen op dat de hacker/cracker van Frans was (kan natuurlijk ook heel goed een Frans sprekend Afrikaans land zijn). Hij deed zich voor onder de naam Anime.
Is er bij jou ook een nieuwe gebruik op de computer aangemaakt? En je admin wachtwoord? Is die nog hetzelfde?

Ene... zoals jonjen ook al zei: je zult echt je hele systeem opnieuw moeten installeren. Het is echt niet meer betrouwbaar. Bij de klant van mij waren direct alle virusscanners en anti-spyware modules verwijderd en was de rest van het netwerk ook geïnfecteerd (lees: ineens overal VNC geïnstalleerd)
Eigenlijk maar één oplossing: geen VNC meer gebruiken zonder VPN

woensdag 8 april 2009 15:27

Acties:

Verwijderd

-Elmer- schreef op woensdag 08 april 2009 @ 15:23:
Wat gek om dit te horen. Heb laatste een klant gehad die exact hetzelfde is overkomen. Echter, hij had wél een wachtwoord ingesteld. Het leek er ook toen op dat de hacker/cracker van Frans was (kan natuurlijk ook heel goed een Frans sprekend Afrikaans land zijn). Hij deed zich voor onder de naam Anime.
Is er bij jou ook een nieuwe gebruik op de computer aangemaakt? En je admin wachtwoord? Is die nog hetzelfde?

Ene... zoals jonjen ook al zei: je zult echt je hele systeem opnieuw moeten installeren. Het is echt niet meer betrouwbaar. Bij de klant van mij waren direct alle virusscanners en anti-spyware modules verwijderd en was de rest van het netwerk ook geïnfecteerd (lees: ineens overal VNC geïnstalleerd)
Eigenlijk maar één oplossing: geen VNC meer gebruiken zonder VPN
VNC is sowieso een onveilig product. Mensen vergeten dit zo vaak up te daten. Exploits hiervoor zijn makkelijk te vinden en met een simpele portscan over het inet vind je wel pcs die deze poort open hebben staan. De enige oplossing is idd VPN. Helaas zijn er nog altijd veel te veel particuleren en bedrijven die denken dat ze met een prog als VNC en daarvoor een wachtwoord veilig zijn.. Je hoeft hier niet eens een slimme hacker voor te zijn, elke scriptkiddie kan gebruik maken van dingen als het metasploit framework
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq