TowerPillar
19-07-2009, 15:14
Ciao a tutti come da titolo ho questo bel problema...
Premetto col dire che ho in casa più computer, uno dei quali lo uso come "server" dati e come P2P.
Questo computer, non ha ne monitor ne tastiera ne mouse, è solo alimentato e collegato in rete, e lo controllo con gli latri PC tramite desktop Remoto e più precisamente tramite VNC.
Ho impostato in oltre delle regole sul router (Netgear DG834G) per il controllo dello stesso anche da remoto via internet.
Venerdì sera, più o meno verso le 11:40 accendo il PC principale e apro VNC per controllare questo computer, e dopo qualche secondo vedo che VNC si riuchiude. Lo riavvio e uguale, mi si richiude.
A questo punto prendo un monitor, tastiera mouse e lo collego per vedere che succede eeeee......
Il computer si sta muovendo da solo! Capisco subito che qualcuno da remoto me lo sta pilotando, e più precisamente cerca di farmi fuori Antivirus e Firewall, dapprima cercando di disinstallarmeli, poi limitandosi a disabilitari, perchè io nel frattempo annullavo da tastiera qualsiasi suo movimento.
La cosa è andata avanti per circa un'ora fino a che non ho dapprima disconnesso e riconnesso e poi infine spento un'altro PC che è sempre nella mia rete.
L'attacco infatti sembra essere passato proprio attraverso quest'altro PC che purtroppo è sotto l'uso di un'altra persona e che guarda caso è pieno zeppo di virus e malware.
Ma la cosa non è finita quì, verso le 3 di notte circa eccolo che si ripresenta, stavolta però non attraverso l'altro PC ma direttamente da internet, l'ho notato infatti e lo noto anche ora dai LOG presenti nel router tra i quali trovo la regola remota per VNC che è stata applicata.
A questo punto ho disconnesso il roouter e poi l'ho riconnesso cosìcchè da cambiare il mio IP pubblico che è dinamico, e non è più successo nulla fino verso le 4, quando ho spento tutto e sono andato a dormire.
Oggi ho formattato il mio PC "server" e tutt'ora è disconnesso fisicamente ma dai LOG del router continuo a notare questo:
Sun, 2002-09-08 12:00:20 - Initialize LCP.
Sun, 2002-09-08 12:00:20 - LCP is allowed to come up.
Sun, 2002-09-08 12:00:22 - PAP authentication success
Sun, 2002-09-08 12:00:25 - Send out NTP request to time-g.netgear.com
Sun, 2009-07-19 08:07:40 - Receive NTP Reply from time-g.netgear.com
Sun, 2009-07-19 08:07:45 - <DDNS>Update OK: good
Sun, 2009-07-19 08:07:16 - Router start up
Sun, 2009-07-19 10:16:55 - TCP Packet - Source:***IP Nascosto 1,33509 Destination:***MIO IP Pubblico,5900 - [VNC => LAN rule match]
Sun, 2009-07-19 12:08:40 - TCP Packet - Source:***IP Nascosto 2,2643 Destination:***MIO IP Pubblico,59000 - [DOS]
Sun, 2009-07-19 12:08:40 - TCP Packet - Source:***IP Nascosto 2,2644 Destination:***MIO IP Pubblico,55055 - [DOS]
Sun, 2009-07-19 12:08:40 - TCP Packet - Source:***IP Nascosto 2 Destination:***MIO IP Pubblico - [PORT SCAN]
Sun, 2009-07-19 12:26:06 - Administrator login successful - IP:***MIO IP Interno Rete
Sun, 2009-07-19 13:01:22 - Administrator login successful - IP:***MIO IP Interno Rete
Sembra che nonostante il mio IP dinamico mi abbia reintracciato di nuovo.
Ma come ha fatto? E' possibile che abbia scoperto anche il mio l'indirizzo DynDNS? Come ha fatto a trovare la mia password di VNC?
E cosa più importante... Come me lo tolgo dalle scatole?
Aiutatemi vi prego!!!
Premetto col dire che ho in casa più computer, uno dei quali lo uso come "server" dati e come P2P.
Questo computer, non ha ne monitor ne tastiera ne mouse, è solo alimentato e collegato in rete, e lo controllo con gli latri PC tramite desktop Remoto e più precisamente tramite VNC.
Ho impostato in oltre delle regole sul router (Netgear DG834G) per il controllo dello stesso anche da remoto via internet.
Venerdì sera, più o meno verso le 11:40 accendo il PC principale e apro VNC per controllare questo computer, e dopo qualche secondo vedo che VNC si riuchiude. Lo riavvio e uguale, mi si richiude.
A questo punto prendo un monitor, tastiera mouse e lo collego per vedere che succede eeeee......
Il computer si sta muovendo da solo! Capisco subito che qualcuno da remoto me lo sta pilotando, e più precisamente cerca di farmi fuori Antivirus e Firewall, dapprima cercando di disinstallarmeli, poi limitandosi a disabilitari, perchè io nel frattempo annullavo da tastiera qualsiasi suo movimento.
La cosa è andata avanti per circa un'ora fino a che non ho dapprima disconnesso e riconnesso e poi infine spento un'altro PC che è sempre nella mia rete.
L'attacco infatti sembra essere passato proprio attraverso quest'altro PC che purtroppo è sotto l'uso di un'altra persona e che guarda caso è pieno zeppo di virus e malware.
Ma la cosa non è finita quì, verso le 3 di notte circa eccolo che si ripresenta, stavolta però non attraverso l'altro PC ma direttamente da internet, l'ho notato infatti e lo noto anche ora dai LOG presenti nel router tra i quali trovo la regola remota per VNC che è stata applicata.
A questo punto ho disconnesso il roouter e poi l'ho riconnesso cosìcchè da cambiare il mio IP pubblico che è dinamico, e non è più successo nulla fino verso le 4, quando ho spento tutto e sono andato a dormire.
Oggi ho formattato il mio PC "server" e tutt'ora è disconnesso fisicamente ma dai LOG del router continuo a notare questo:
Sun, 2002-09-08 12:00:20 - Initialize LCP.
Sun, 2002-09-08 12:00:20 - LCP is allowed to come up.
Sun, 2002-09-08 12:00:22 - PAP authentication success
Sun, 2002-09-08 12:00:25 - Send out NTP request to time-g.netgear.com
Sun, 2009-07-19 08:07:40 - Receive NTP Reply from time-g.netgear.com
Sun, 2009-07-19 08:07:45 - <DDNS>Update OK: good
Sun, 2009-07-19 08:07:16 - Router start up
Sun, 2009-07-19 10:16:55 - TCP Packet - Source:***IP Nascosto 1,33509 Destination:***MIO IP Pubblico,5900 - [VNC => LAN rule match]
Sun, 2009-07-19 12:08:40 - TCP Packet - Source:***IP Nascosto 2,2643 Destination:***MIO IP Pubblico,59000 - [DOS]
Sun, 2009-07-19 12:08:40 - TCP Packet - Source:***IP Nascosto 2,2644 Destination:***MIO IP Pubblico,55055 - [DOS]
Sun, 2009-07-19 12:08:40 - TCP Packet - Source:***IP Nascosto 2 Destination:***MIO IP Pubblico - [PORT SCAN]
Sun, 2009-07-19 12:26:06 - Administrator login successful - IP:***MIO IP Interno Rete
Sun, 2009-07-19 13:01:22 - Administrator login successful - IP:***MIO IP Interno Rete
Sembra che nonostante il mio IP dinamico mi abbia reintracciato di nuovo.
Ma come ha fatto? E' possibile che abbia scoperto anche il mio l'indirizzo DynDNS? Come ha fatto a trovare la mia password di VNC?
E cosa più importante... Come me lo tolgo dalle scatole?
Aiutatemi vi prego!!!