Salve, questa mattina sono uscito di casa verso le otto, quando sono tornato com mio sommo sconcerto ho trovato due finestre aperte... che io non avevo aperto.
Questa

http://ilpapero.altervista.org/cmd.JPG

e una col browser impiantato su un indirizzo al sito microsoft....

ora andando nel log applicazioni trovo quest'accesso al mio server VNC

http://ilpapero.altervista.org/gest.JPG

Oltre a non capire come quest'individuo ha fatto a venire in possesso della mia password VNC, vorrei sapere da voi cosa fareste in questa situazione, oltre a cambiare la pass ovviamente. A prima vista non vedo nulla di "manomesso"... ovviamente ho l'indirizzo da cui è stata fatta l'intrusione, il whois mi dice solo città di Amsterdam... che ci faccio??

questo fa capire quale sicurezza ha una vpn in chiaro :rolleyes:

evidentemente con un brute force e una pw debole o mediodebole uno che non sapeva cosa fare è venuto a bussare

la cosa da fare è chiudere il servizio vnc e usare qualcosa di più sicuro se deve stare aperto per lungo tempo senza "sorveglianza" per esempio criptare tramite ssh e aprire la porta sul router (usandone una diversa da quella di default che è la prima che beccano) solo verso il dominio dal quale contiamo di collegarci, escludendo quindi tutti gli altri indirizzi ip

Dipende.
Se vuoi divertirti con il lamerone ci sono varie possibilità.

Se non hai tempo.
- sostituisci VNC con ultravnc.
- di quanti caratteri era la password? Maiuscole/minuscole/numeri?
- hai verificato che il router non sia stato manomesso?
- da dove ti sei collegata ultimamente (ufficio, internet point..)


Ciao

Per il momento rimosso realvnc... ma può ritenersi debole una pass da 8 chars di cui 2 numerici??
ma secondo voi cosa voleva fare il tizio con la verifica del mio ipconfig e dei servizi avviati?? :confused:

Il router mi sembra ok...

PS: se volessi divertirmi col lamerone? :sofico:

ma tu in remoto da dove lo useresti vnc????
sempre dallo stesso posto???

potresti ridurre la regola di pf a quel solo dominio, diventerebbe molto più ridotto il rischio

sì faro sicuramenre la restrizione al dominio da cui spesso mi collego...

cambia anche le porte rispetto alle 5800 e 5900

Per il momento rimosso realvnc... ma può ritenersi debole una pass da 8 chars di cui 2 numerici??
ma secondo voi cosa voleva fare il tizio con la verifica del mio ipconfig e dei servizi avviati?? :confused:

Il router mi sembra ok...

PS: se volessi divertirmi col lamerone? :sofico:

Bah, una password alfanumerica di 8 caratteri non è male.
Basta verificare che non sia in qualche word-list.

Bah, con quei comandi poteva sempicemente verificare cosa c'e' installato nei servizi e dare un'occhio alla tua subnet privata.

Se vuoi divertirti con il lamerone cloni la tua macchina, la avvii su un nodo vmware e ci reinstalli paro paro vnc.
Poi ti metti a sniffare il traffico e studi i comportamenti del lamerone.

Credo che non sia una favilla di scaltrezza per quello che ha combinato.

Usa ultravnc che ha il supporto per la crittografia.

Ciao

Samuele