Innbrudd på maskin. Infisert! Hvordan stoppe?

[Marzo]

HELP!

Jeg har en maskin som står i en annen hustand. Denne fjernstyrer jeg over RealVNC.

Er nå plaget med innbrudd og missbruk av maskinen. Se program oversikt lengre nede!

 

Maskinen er koblet direkte i hjemmesentral og windows firewall.

 

Jeg oppdaget rundt juletider, mens jeg fjernstyrte maskinen, at en annen hadde logget seg på og begynte å styre maskinen. Jeg datt ut og når jeg logget meg på igjen var brukeren i gang med å åpne torrent program. Jeg fikk bare logget meg på i 2-3 sekunder før jeg igjen datt ut. Dette fortsatte et par ganger til jeg fikk være pålogga lenge nok til å avslutte programmet.

 

Bytta da passord på RealVNC og trodde dette skulle være et engangs tilfelle.

 

Merka ikke noe mere til dette på en månedstid. Da oppdaga jeg at firefox vinduet stod åpent og brukeren hadde åpnet en url for speedtest av linja.

 

Bytta igjen passord på VNC.

 

Den siste stunden har jeg oppdaget flere programmer som er lagt inn på maskinen.

 

I oppstartsmappa lå det en programfil ved navn: win32.exe

I c:/windows mappa fant jeg en mappe ved navn www7 og i den lå et program ved navn "psybnc.exe"

I Oppgavebehandling fant jeg under prosesser et program som het "script.dll"

Dette lå i en mappe som het c:/windows/system32/Prefetch

 

Etter dette har jeg sortert og fjernet alle filer opprettet av nyere dato i windowsmappen, enten pakket med winrar og gjemt vekk, eller slettet.

 

Maskinen er "ikke i bruk" dvs det ligger 4 programmer på den som jeg bruker og disse er uendret og installert for mange måneder siden.

 

I Prefetch mappa ligger det mange filer med tilsvarende filnavn for flere programmer. Notepad etc: "FIREFOX.EXE-30C1230F.pf"

Sammen med en run.bat fil, Layout.ini og tidligere nevnt script.dll.

 

I windowsmappa fant jeg programfilen "psybnc2.3.2-4b.exe", prøvde å google denne men fant ikke mye info utenom noen download mirrors...

 

Som dere kanskje ser har jeg ikke mye peiling på dette her og trenger derfor all den støtten jeg kan få. Først og fremst ønsker jeg å kunne logge all ip trafikk til maskinen. Er det noen enkle programmer som anbefales til dette?

 

Ellers hva kan jeg gjøre for å stoppe dette?

 

All hjelp mottas

[sumptrollet]

. Først og fremst ønsker jeg å kunne logge all ip trafikk til maskinen. Er det noen enkle programmer som anbefales til dette?

 

tcpview, wireshark. Jeg vil heller anbefale deg å ta maskinen av nett, berge data, reinstallere og sørge for at du ikke blir h4x0r3d igjen.

[Marzo]

Siden maskinen ikke er "i bruk" som jeg sa, er den uten data av betydning.

Er kun windows installasjon og 4 programmer. Ellers brukes denne kun til mellomlagring. Derfor vil jeg prøve å se om jeg ikke kan finne ut mere om kødden! Er vel også grunnlag for en anmeldelse dette?

[johome]

Windows firewall er ikke noe særlig bra.

 

Jeg ville heller gått for Kerio Firewall.

 

Den kan passordbeskyttes. Deretter kan du jo med letthet bestemme hvilke programmer

(f.eks Firefox ) som skal få lov å gå på nettet.

[sumptrollet]

Siden maskinen ikke er "i bruk" som jeg sa, er den uten data av betydning.

Er kun windows installasjon og 4 programmer. Ellers brukes denne kun til mellomlagring. Derfor vil jeg prøve å se om jeg ikke kan finne ut mere om kødden! Er vel også grunnlag for en anmeldelse dette?

8402290[/snapback]

 

Du kan sikkert anmelde saken, men hva får deg til å tro at politiet gidder å etterforske saken og at det er mulig å spore opp en gjerningsmann? Få heller boksen av nett for å minimere skaden.

[Marzo]

Kan også medele at jeg ikke har klart å logge på med VNC siden lørdag og var innom i dag og sjekka på maskinen. Smarten hadde endret port til 22. Normalt bruker det port 5900...

 

Dreiv å testa Wireshark nå i stad men ble kobla ut, og kommer ikke på igjen.

 

Etter hva jeg så drev maskinen å sendte ut en del info til bla 82.77 ip adresse og en til som jeg så gikk igjen.

 

Får ta turen innom i morgen å se hva som står i programmet, før jeg stenger av maskinen.

 

Hva kan gjøres for å løse problemet? En kjapp formatering rensker nok opp all dritten, men for å forhindre slikt i fremtiden?

 

Er det sikkerheten rundt RealVNC som er såpass dårlig? Kan ikke ha andre brukernavn enn admin og maskin brukere og passordet hjelper det tydeligvis ikke å endre.

 

Uten at jeg er sikker på det er slik han kontrollerer maskinen da!

[Marzo]

Nå får jeg connection reset by peer ved pålogging med VNC.

Finnes det tilsvarende program som har litt bedre sikkerhet enn det RealVNC har?

[chrisege]

Tror et program som heter RAdmin Remote Control er litt sikrere. Du kan finne mer om det på www.radmin.com

[dA_Jon]

Nå får jeg connection reset by peer ved pålogging med VNC.

Finnes det tilsvarende program som har litt bedre sikkerhet enn det RealVNC har?

8403777[/snapback]

 

Realvnc skal vell være relativt sikker så fremst du ikke bruker versjon 4.1.1 eller eldre siden den har et kjent sikkerhetshull som bypasser hele login systemet, ellers er jeg enig med resten. Formater installer på få inn alle system oppgraderinger,Firewall block alle porter du ikke skal bruke,Antivirus er også alltid greit og ha.

 

Edit: PsyBnc er en bouncer for irc nettverket. http://www.psybnc.at/about.html

Endret 17. april 2007 av JVP

[radivx]

VNC er så vidt jeg vet ukryptert så det gir mulighet for å sniffe passordene dine på veien. har han først tilgang til boksen med en adminbruker så er det ikke så vanskelig å legge inn dritt som gir deg nye passord.

 

Hva med å bruke Windows sin Remote Desktop i stedet?

http://www.mobydisk.com/techres/securing_remote_desktop.html

 

Hva bruker personen maskinen din til?

[stich_it]

vel det minste du kan gjøre er jo å finne ipen til han som bruker maskinen så kan du spore nettleverandøren. send dem en beskjed med problemet ditt og forklare at du ønsker å anmelde forholdet og derfor trenger mer info eventuelt info om hvordan du bør gå frem.

 

personlig skjønner jeg ikke at personen gidder å gjøre det.

[mrblc]

Det finnes enklere måter å sikre en boks for mellomlagring på..

 

hvis du bare er ute etter å sette opp en boks som er tilgjengelig på nettet for kun deg, ville jeg STERKT anbefalt deg å se på ubuntu (siden den er enkel å installere) eller en annen form for linux..

 

Dette fordi du enkelt kan fjernadministrere boksen via SSH, og låse ned all annen ekstern aksess..

Selv har jeg 3 maskiner som er satt opp sånn per idag, og til tross for ganske mange hackerangrep, har jeg til dags dato enda ikke hatt reelle innbrudd...

 

Det beste med SSH er at sikkerheten er veldig høy uten at det går på bekostning av brukervennligheten, samt at programmet støtter port videresending..

En brannvegg jeg fjernadministrerer gjør jeg gjennom vnc, men jeg kjører vnc gjennom en SSH tunnel.. på den måten opprettholder jeg sterk grad av kryptering, men kan samtidig bruke fjernstyringsprogrammer som gir meg skrivebord.. (dog.. for en brannvegg er det ikke egentlig nødvendig)

 

Hvis du absolutt må bruke windows, sørg for å installere en GOD brannvegg (som f.eks kerio som ble foreslått over, dog de har bytta navn til Sunbelt Kerio)

Har du mulighet til det, installer WinSSHD, og bruk den som "VPN" server for port videresending gjennom ssh og putty.. tro meg.. det vil spare deg for MYE hodepine..

 

VNC sin sikkerhet er IKKE bra.. har aldri vært det og selv utviklerne anbefaler deg sterkt å bruke noe annet hvis maskinen skal stå ut mot internett..

 

-blc

[JKJK]

har sett en "remote" klient som du styrer via webgrensesnitt ,...nei ikke logmein.(https) men husker ikke hva den heter. Denne skal være sikrere, da trafikken er kryptert, og det blir da vanskelig å sniffe passordet.

 

PSYBNC er en bouncer (bnc). Denne kan misbrukes til å gi direkte tilgang til din pc via irc (men er ikke laget for det i utgangspunktet).

 

Bytt remote klient, bruk annen firewall, bytt alle passord på maskinen.

Endret 17. april 2007 av JKJK

[Millmax]

Du kan også vurdere å nytte til Netop sin remote client. Har gode erfaringer med den, også for pc'er som står direkte mot internett

http://www.netop.com/netop-13.htm

[nebrewfoz]

Når vi først er inne på produktanbefalinger ...

SSL Explorer (Community Edition) er et annet alternativ.

[formann]

Få deg en router som støtter VPN. Mye tryggere å koble til over en tunell ettersom man slipper dette port forward tullet.

 

Har du en gammel maskin stående kan du installere CC, SmoothWall eller Astaro. Disse støtter IPsec og PPPtP.

[Marzo]

Nettopp hva han bruker maskinen min til er det jeg prøver å finne ut.

Hva skjer når det bounces med maskinen min?

 

Etter hva jeg kan se har han ikke benyttet noe lagringsplass av betydning.

 

Maskinen inneholder ikke noen form for privat informasjon!

Det ligger windows, firefox og p2p software på den. Pluss RealVNC som nevnt.

 

Prøvde meg i går med trafikk overvåking, men mistet kontakten i løpet av natta. Skal innom på veien hjem i dag å se hva som skjer...

 

Takk for alle tips så langt.. Ser nermere på saken i løpet av dagen

[jocke]

Greit, folk som foreslår å reinstallere maskinen med et helt annet OS, hva er poenget? Vi VET at unix/bsd/etc er sikrere og alt det der, men da hadde nok trådstarter spurt om hvilket OS folk anbefalte. Ville blitt dumt om jeg hadde flydd rundt og sagt "Bytt til unix/bsd for det er sikrere!", i alle tråder som omhandler windowsmaskiner som har blitt hacka/etc.

 

Så, over til problemet ditt, Marzo. Hva jeg ville gjort først, var å formatere maskinen, så du er 110% sikker på at du har fått fjerna alt som inntrengeren evt. har lurt bort i systemfiler. Du kan sikkert bruke diverse cleaner-programmer, men en formatering tar like lang tid. Begynn med å kjøre oppdateringer til Windows, og installer en firewall av eget valg (så lenge den gjør jobben sin). Steng tilgang til programmer du ikkje bruker på maskinen, og om mulig, sett passord på firewallen.

 

Til hva slags remote du vil bruke, er dette opp til deg. De fleste programmer som finnes på markedet, er mer enn sikkert nok til ditt bruk - da også Windows's eget RDC. Bare sørg for at du bruker et mer sikkert passord enn '1234', og bytt til en annen port enn den som er standard dersom mulig.

 

Ovennevnte løsning vil holde ganske så godt. Dersom du ønsker enda mer sikkerhet, kan du stenge absolutt alle porter, med unntak av èn, som du setter opp OpenVPN på (el. annen vpn). Da kobler du deg først opp til maskinen via VPN, og deretter til RDC eller annen remote.

[Marzo]

Jeg er også selv inneforstått med at Unix etc er et sikrere alternativ enn windows. Og jeg kommer nok til å ta det skrittet en gang i fremtiden. Enn så lenge forholder jeg meg til windows og det er rundt dette problemstillingen er.

 

Driver nå og ser litt på firewall programmet og det virker tilsynelatende bra. Eneste er hvordan jeg åpner tilgang til gitte programmer?

 

Får lese litt på hjemmesidene og se. Mulig gratisversjonen kun er en demo?

 

Hvor mange svchost.exe filer skal ha tilganger til nettet?

[Marzo]

Maskinen skal formateret og renskes for allslags... men jeg vil nødig oppleve samme skjebne igjen! Derfor ønsker jeg tips til hva som kan gjøres for å forhindre dette i fremtiden!