Eindringling via RealVNC

[huabamane]

Hallo,

bisher habe ich Zuhause auf 5 PC`s (WINXP) RealVNC genutzt um alle Computer Steuern zu können.

Mich hat es vor ca 4 Wiochen mal gereizt zu versuchen ob ich es hin bekomme von der Uni aus via Laptop den Heim PC zu steuern.

D.h. Account bei Dyn-DNS gemacht, den RealVNC Port am Router weitergeleitet an meine IP, und siehe da, alles hat geklappt.

Das ganze habe ich nur einmal gemacht.

Und nun der Schock:

Ich sitze gerade am PC als wie von Zauberhand "Start->Ausführen->%systemroot%\system32\cmd.exe" aufgerufen wird.

Ich hab nur noch gesehen wie irgendwas eingetippt wurde mit einer IP, allerdings weiß ich nicht genau was gemacht wurde, da ich das Fenster sofort geschlossen, via firewall die Internetsperre aktiviert und RealVNC auf allen PC`s deinstalliert habe.

Wie lange dieser "Geist" schon auf meinem PC sein Unwesen treibt will ich gar nicht wissen. Mein PC läuft oftmals Tagelang ohne ausgeschaltet zu werden.

Nun meine Frage, wie kann es sein das jemand so einfach auf meinen PC kommt? Ich habe RealVNC ja nur 1 mal kurz via internet benutzt. Noch dazu verwende ich natürlich ein passwort.

Die Version war allerdings eine relativ Alte (ich glaube 2.XX)

Wenn mir jemand helfen kann/will, kann er mich gerne auch via ICQ (303487235) kontaktieren.

Im Übrigen kann ich RealVNC auf meinem PC nicht mehr deinstallieren, da ich unter "Software" keinen Eintrag finde und RealVNC kein eigenes uninstall zur Verfügung stellt. auf allen anderen PC`S gins es einwandfrei.

Was kann er eingerichtet haben, damit er noch weiterhin Schaden anrichten kann?

Ich habe alle Firewall Freigaben zurückgesetzt (Sygate Personal Firewall)

Ich habe mal einen kompletten Antivir, spybot, adaware scan gemacht.

Es wurde 1 Virus (TR/ClassLoader.G.4) mit Avira Antivir

6 Critische Objekte (6x Tracking cookie) mit Ad-aware

gefunden.

Grüße und danke schon mal,

Chris

[carstenj]

Hi,

also im Grunde gibt es nur eins: Rechner neu aufsetzen. Ob er nun durch irgendein Bug oder einfaches Passwortraten auf deine Maschine gekommen ist, ist im Grunde unerheblich.

Zukünftig sowas direkt per Firewall regeln, d.h. den Zugriff möglichst auf eine IP oder eine bestimmte Range beschränken.

[Stupid Killer]

VNC rate ich dir zur Zeit GARNICHT, WEIL es sind Tutorials im Umlauf die erklären wie du auf einen VNC Rechner kommst auch wenn er ein Passwort hat.

[PieDie]

HIEr wurde etwas ähnliches schonmal besprochen...

[Saubatzen]

Für dein Vorhaben könnte ich dir www.logmein.com empfehlen. Du musst dir auf der Seite einen Acc erstellen, ein plugin für deinen Browser installieren. Und auf dem Rechner der gesteuert werden soll einen Clienten. Das alles lässt sich dann bequem über den Browser steuern. Hier sollte es auch Sicherheitstechnisch sehr schwierig für den Angreifer sein. Er müsste knacken, Passwort + Emailadresse von Logmein.com. Clientpasswort von Logmein für deinen Rechner + bei Bedarf Anmeldung unter Windows.

Nutze das schon sehr lange und bin bisher immer gut damit gefahren.

Gruß Batzen

[Crash2001]

Ein anderer sinnvoller Schutz, wenn man VNC denn schon benutzen will, ist den Desktop zu sperren, wenn man nicht am rechner sitzt (automatisches ausloggen oder Bildschirm sperren nach ner halben Stunde aktivieren ist hier z.B. auch sinnvoll) und den VNC_Server nur dann laufen zu lassen, wenn man ihn auch wirklich braucht. Dazu noch den von aussen zugänglichen Port auf einen hohen Port umlegen, dann findet den auch nicht jeder direkt, der nach den Standardports 5800 und 5900 sucht.

Evtl das dann noch tunneln, damit die Daten nicht im Klartext übertragen werden. Dann sollte das ganze auch relativ sicher sein und selbst wenn der "Cracker" dann auf deinen VNC-Server drauf kommt, so hat er sich dennoch noch nicht wieder in Windows eingeloggt. Passwörter sollte man natürlich verschiedene nutzen und möglichst nicht einfache Passwörter wie Namen oder so...

[DsT]

Als weitere Möglichkeit würde ich ein VPN vorschlagen. Über den Tunnel VNC´en ist definitv sicherer als den Desktop zu sperren

Im übrigen habe ich genau diesen Aufbau zuhause und kann bestätigen dass es wunderbar klappert.

[Crash2001]

Als weitere Möglichkeit würde ich ein VPN vorschlagen. Über den Tunnel VNC´en ist definitv sicherer als den Desktop zu sperren [...]

Das war auch eher als zusätzlicher Sicherheitsmechanismus gedacht, den man sich aneignen sollte, wenn man VNC laufen hat. Mache ich aber eh immer, sobald ich meinen Arbeitsplatz verlasse oder weg fahre hier zu Hause.

[hades]

Ergaenzend:

Wenn unbedingt VNC ohne Tunneling (SSH bzw. VPN) eingesetzt werden soll/muss:

In diesem Fall UltraVNC mit 128bit AES-Verschluesselung verwenden

Moegliche Verschluesselungen mit UltraVNC

- RC4 basierend auf der Microsoft Crypto-API (UltraVNC-Plugin: MSRC4.dsm)

- RC4 basierend auf OpenSSL (UltraVNC-Plugin: ARC4.dsm)

- AES basierend auf OpenSSL (UltraVNC-Plugin: AESV2.dsm)

[huabamane]

Hi, danke schon mal für die raschen Antworten. jetzt hab ich noch ne Frage:

Auch wenn ich bei meiner Sygate Personal Firewall jeden einzelnen Prozess (inkl. Windows Prozesse) blockiere, habe ich einen Eingans- sowie Ausgangs Traffic von 5-7 kbit. Woher kann der denn stammen? Alle etwaigen Programme die Traffic verursachen (ICQ, Skype...) sind geschlossen.

Edit:

habe jetz gerade nochmal versucht alle zu blocken und plötzlich ging es. Der "Generic Host Process for Win32 Services" verursacht den ganzen Traffic. Aber durchgehend 5 kbit kommen mir schon etwas hoch vor, zumal im Netzwerk kein anderer Computer an ist mit dem der Prozess in Verbindung stehen könnte.

[Schlaubi]

Hast Dein System mit HiJackThis schonmal unter die Lupe genommen?

[huabamane]

ja hab ich