Visitatore non desiderato su VNC

Dona* · 01-08-2006, 11:57

Salve, questa mattina sono uscito di casa verso le otto, quando sono tornato com mio sommo sconcerto ho trovato due finestre aperte... che io non avevo aperto.
Questa

e una col browser impiantato su un indirizzo al sito microsoft....

ora andando nel log applicazioni trovo quest'accesso al mio server VNC

Oltre a non capire come quest'individuo ha fatto a venire in possesso della mia password VNC, vorrei sapere da voi cosa fareste in questa situazione, oltre a cambiare la pass ovviamente. A prima vista non vedo nulla di "manomesso"... ovviamente ho l'indirizzo da cui è stata fatta l'intrusione, il whois mi dice solo città di Amsterdam... che ci faccio??

Stev-O · 01-08-2006, 12:06

questo fa capire quale sicurezza ha una vpn in chiaro

evidentemente con un brute force e una pw debole o mediodebole uno che non sapeva cosa fare è venuto a bussare

la cosa da fare è chiudere il servizio vnc e usare qualcosa di più sicuro se deve stare aperto per lungo tempo senza "sorveglianza" per esempio criptare tramite ssh e aprire la porta sul router (usandone una diversa da quella di default che è la prima che beccano) solo verso il dominio dal quale contiamo di collegarci, escludendo quindi tutti gli altri indirizzi ip

Second Reality · 01-08-2006, 12:59

Dipende.
Se vuoi divertirti con il lamerone ci sono varie possibilità.

Se non hai tempo.
- sostituisci VNC con ultravnc.
- di quanti caratteri era la password? Maiuscole/minuscole/numeri?
- hai verificato che il router non sia stato manomesso?
- da dove ti sei collegata ultimamente (ufficio, internet point..)

Ciao

Dona* · 01-08-2006, 13:44

Per il momento rimosso realvnc... ma può ritenersi debole una pass da 8 chars di cui 2 numerici??
ma secondo voi cosa voleva fare il tizio con la verifica del mio ipconfig e dei servizi avviati??

Il router mi sembra ok...

PS: se volessi divertirmi col lamerone?

Stev-O · 01-08-2006, 14:08

ma tu in remoto da dove lo useresti vnc????
sempre dallo stesso posto???

potresti ridurre la regola di pf a quel solo dominio, diventerebbe molto più ridotto il rischio

Dona* · 01-08-2006, 15:09

sì faro sicuramenre la restrizione al dominio da cui spesso mi collego...

Stev-O · 01-08-2006, 15:13

cambia anche le porte rispetto alle 5800 e 5900

Second Reality · 01-08-2006, 16:27

Quote:

Originariamente inviato da Dona*

Per il momento rimosso realvnc... ma può ritenersi debole una pass da 8 chars di cui 2 numerici??
ma secondo voi cosa voleva fare il tizio con la verifica del mio ipconfig e dei servizi avviati??

Il router mi sembra ok...

PS: se volessi divertirmi col lamerone?

Bah, una password alfanumerica di 8 caratteri non è male.
Basta verificare che non sia in qualche word-list.

Bah, con quei comandi poteva sempicemente verificare cosa c'e' installato nei servizi e dare un'occhio alla tua subnet privata.

Se vuoi divertirti con il lamerone cloni la tua macchina, la avvii su un nodo vmware e ci reinstalli paro paro vnc.
Poi ti metti a sniffare il traffico e studi i comportamenti del lamerone.

Credo che non sia una favilla di scaltrezza per quello che ha combinato.

Usa ultravnc che ha il supporto per la crittografia.

Ciao

Samuele

01-08-2006, 11:57	#1
Dona* Senior Member Iscritto dal: Mar 2000 Città: El Salvador Messaggi: 1963	Visitatore non desiderato su VNC Salve, questa mattina sono uscito di casa verso le otto, quando sono tornato com mio sommo sconcerto ho trovato due finestre aperte... che io non avevo aperto. Questa e una col browser impiantato su un indirizzo al sito microsoft.... ora andando nel log applicazioni trovo quest'accesso al mio server VNC Oltre a non capire come quest'individuo ha fatto a venire in possesso della mia password VNC, vorrei sapere da voi cosa fareste in questa situazione, oltre a cambiare la pass ovviamente. A prima vista non vedo nulla di "manomesso"... ovviamente ho l'indirizzo da cui è stata fatta l'intrusione, il whois mi dice solo città di Amsterdam... che ci faccio?? __________________ E’ un crimine caricare la propria tavola della carne degli animali, quando si ha un giardino che produce tutti i frutti della terra…. *Ovidio, Metamorfosi, XV* - MyTube

01-08-2006, 12:06	#2
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34262	questo fa capire quale sicurezza ha una vpn in chiaro evidentemente con un brute force e una pw debole o mediodebole uno che non sapeva cosa fare è venuto a bussare la cosa da fare è chiudere il servizio vnc e usare qualcosa di più sicuro se deve stare aperto per lungo tempo senza "sorveglianza" per esempio criptare tramite ssh e aprire la porta sul router (usandone una diversa da quella di default che è la prima che beccano) solo verso il dominio dal quale contiamo di collegarci, escludendo quindi tutti gli altri indirizzi ip __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

01-08-2006, 12:59	#3
Second Reality Senior Member Iscritto dal: Jul 2001 Città: Brescia, via le ma dal cul Messaggi: 489	Dipende. Se vuoi divertirti con il lamerone ci sono varie possibilità. Se non hai tempo. - sostituisci VNC con ultravnc. - di quanti caratteri era la password? Maiuscole/minuscole/numeri? - hai verificato che il router non sia stato manomesso? - da dove ti sei collegata ultimamente (ufficio, internet point..) Ciao __________________ " O Signore, fa' che non vada tutto a puttane " Ultima modifica di Second Reality : 01-08-2006 alle 13:08.

01-08-2006, 13:44	#4
Dona* Senior Member Iscritto dal: Mar 2000 Città: El Salvador Messaggi: 1963	Per il momento rimosso realvnc... ma può ritenersi debole una pass da 8 chars di cui 2 numerici?? ma secondo voi cosa voleva fare il tizio con la verifica del mio ipconfig e dei servizi avviati?? Il router mi sembra ok... PS: se volessi divertirmi col lamerone? __________________ E’ un crimine caricare la propria tavola della carne degli animali, quando si ha un giardino che produce tutti i frutti della terra…. *Ovidio, Metamorfosi, XV* - MyTube

01-08-2006, 14:08	#5
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34262	ma tu in remoto da dove lo useresti vnc???? sempre dallo stesso posto??? potresti ridurre la regola di pf a quel solo dominio, diventerebbe molto più ridotto il rischio __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

01-08-2006, 15:09	#6
Dona* Senior Member Iscritto dal: Mar 2000 Città: El Salvador Messaggi: 1963	sì faro sicuramenre la restrizione al dominio da cui spesso mi collego... __________________ E’ un crimine caricare la propria tavola della carne degli animali, quando si ha un giardino che produce tutti i frutti della terra…. *Ovidio, Metamorfosi, XV* - MyTube

01-08-2006, 15:13	#7
Stev-O Senior Member Iscritto dal: Sep 2005 Città: Opinions are like assholes: anybody has one... Messaggi: 34262	cambia anche le porte rispetto alle 5800 e 5900 __________________ Ну давай !! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cina, bugiardo - stolen conto: non paghi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . *NON CERCO PIU' UN ALIMENTATORE DECENTE ----------------> LINK*

Strumenti
Mostra una versione stampabile Invia questa pagina per email