Denna delen av 99 uppdateras inte längre utan har arkiverats inför framtiden som ett museum.
Här kan du läsa mer om varför.
Mac-nyheter hittar du på Macradion.com och forumet hittar du via Applebubblan.

Är servern hackad eller vad är det här?

Tråden skapades och har fått 21 svar. Det senaste inlägget skrevs .
1
Skriv svar
#1

En macserver med 10.5 server-OS. Idag på eftermiddagen testade jag att ansluta till den via ett VNC-program i min iPhone. Såg inget konstigt då.

Nu på kvällen kollade jag in med macen. Då ser jag plötsligt det som bilden visar. Objekt på skivbordet har bytt namn till det där.

Datorn har två hårddiskar och på skrivbordet låg även ett alias till ett program. Startskivan hade inte bytt namn men skiva 2 och aliaset hade namn enligt bilden. Jag kunde välja Ångra i Finder så hoppade ett av namnen tillbaka.

På nätverket finns en windows xp-maskin.

Jag har bytt lösenord till servern och kör viruskoll över natten.

Någon som sett något liknande?
Kan jag kolla i någon log vad som hände när det hände?

Anmäl Ändra Svara
#2

Japp, verkar som att du har drabbats av en VNC-hackande bot. Kolla länken:
Analysis of a bot spreading via VNC scans/connects - Topic Powered by Social Strata

Anmäl Ändra Svara
#3

"Conclusion: Most likely, a weak password on VNC allowed a bot to connect, send some commands, and attempt to spread itsself.
Protection from this: Strong passwords, or not allowing public access to VNC via firewall rules."

Som "Strong" räknar de 12-15 tecken, 6-7 tecken är fö enkelt knäcka.

Anmäl Ändra Svara
#4

hur långt lösenord hade du? Var det blandat siffror och bokstäver? Det vore kul att veta hur pass bra den är på att knäcka.

Anmäl Ändra Svara
#5

"Anna"

Anmäl Ändra Svara
#6

Rofl!

Anmäl Ändra Svara
#7

Offtopic, vilket VNC program kör du till iPhone som fungerar bra?

Anmäl Ändra Svara
#8
Ursprungligen av Johan S:

Offtopic, vilket VNC program kör du till iPhone som fungerar bra?

Gå till inlägget

VNC Lite testade jag med nu och det klarar basbehovet.

Anmäl Ändra Svara
#9

1. Lösenordet var på 6 tecken och jag hade tänkt byta men det kan jag ju göra sen ...

2. Var det en slump att jag anslöt med min iPhone på eftermiddagen och sen såg det här ett antal timmar senare? Annars kan man ju tänka sig att ett illasinnan VNC-program på appstore fiskar upp det jag skriver in i telefonen.

3. Långa lösenord rekommenderas men om man har aktiverat valet "VNC viewers may control screen with password" så är det max 8 tecken man kan skriva in.

4. Valet Remote Login var aktiverat för "All users". Här funderar jag på om supporten använt SSH och glömt stänga av det. Jag använder det inte i alla fall.

Anmäl Ändra Svara
#10

4. Eller så har den som vart in via VNC slagit på SSH för att kunna logga in o ställa till med mer otyg

Anmäl Ändra Svara
#11
Ursprungligen av Johan S:

4. Eller så har den som vart in via VNC slagit på SSH för att kunna logga in o ställa till med mer otyg

Gå till inlägget

Men det som talar mot det är väl att det är en bot för Windows som hittat in ellur?

Anmäl Ändra Svara
#12

Jo, sant. Om det inte är nån bot som rapporterar att den hittat en VNC den tagit sig in på o därefter loggar en människa in. Vet inte hur dom gör

Anmäl Ändra Svara
#13
Ursprungligen av Johan S:

Jo, sant. Om det inte är nån bot som rapporterar att den hittat en VNC den tagit sig in på o därefter loggar en människa in. Vet inte hur dom gör

Gå till inlägget

Hur kollar jag vad som hände i burken under de där timmarna?

Anmäl Ändra Svara
#14

Eventuellt att man kan hitta nåt i /var/log/system.log eller secure.log

Anmäl Ändra Svara
#15

Secure.log visar att det var kl 20.01 som boten kom in.

Först en lång rad med sådana här FAIL-besked

Dec 17 20:00:51 Server /System/Library/CoreServices/RemoteManagement/AppleVNCServer.bundle/Contents/MacOS/AppleVNCServer[200]: Authentication: FAILED :: User Name: N/A :: Viewer Address: 81.233.249.206 :: Type: VNC DES

Men här blev det plötsligt SUCCEEDED
Dec 17 20:01:12 Server /System/Library/CoreServices/RemoteManagement/AppleVNCServer.bundle/Contents/MacOS/AppleVNCServer[200]: Authentication: SUCCEEDED :: User Name: N/A :: Viewer Address: 81.233.249.206 :: Type: VNC DES

Anmäl Ändra Svara
#16
  • Medlem
  • Karlskoga
  • 2009-12-18 19:10
Ursprungligen av Anders Täpp:

Secure.log visar att det var kl 20.01 som boten kom in.

Först en lång rad med sådana här FAIL-besked

Dec 17 20:00:51 Server /System/Library/CoreServices/RemoteManagement/AppleVNCServer.bundle/Contents/MacOS/AppleVNCServer[200]: Authentication: FAILED :: User Name: N/A :: Viewer Address: 81.233.249.206 :: Type: VNC DES

Men här blev det plötsligt SUCCEEDED
Dec 17 20:01:12 Server /System/Library/CoreServices/RemoteManagement/AppleVNCServer.bundle/Contents/MacOS/AppleVNCServer[200]: Authentication: SUCCEEDED :: User Name: N/A :: Viewer Address: 81.233.249.206 :: Type: VNC DES

Gå till inlägget

Du har inte kollat vart IPadressen går? Kan ju vara spoofad också....

Anmäl Ändra Svara
#17

Var väl förmodligen då dom gissade rätt på lösen.

Anmäl Ändra Svara
#18

spoofad?

Anmäl Ändra Svara
#19
  • Medlem
  • Norrköping
  • 2009-12-18 22:48
Ursprungligen av Anders Täpp:

spoofad?

Gå till inlägget

IP address spoofing - Wikipedia, the free encyclopedia

Anmäl Ändra Svara
#20

Jag kom på vad som avsågs direkt jag hade klickat spara. Jag har inte ens tänkt tanken att försöka kolla var IP-nr hör hemma. Jag utgår från att det är lönlöst.

Anmäl Ändra Svara
#21
  • Medlem
  • I skogen utanför Umeå
  • 2009-12-18 22:52

IP Address Details for 81.233.249.206

Anmäl Ändra Svara
#22

En fjortis i Nora som fått en trojan via MSN alltså ...

Anmäl Ändra Svara
1
Bevaka tråden
Nytt i forumet
Debatterade nyheter
Senaste nytt
2 Hur ser ditt julpynt ut hemma?
0 3 ljusa tips för att hålla inbrottstjuvarna borta – använd smart belysning!
12 Slutet på något gammalt - början på något nytt
5 Rykte: Apple väntas lansera en uppdaterad 27" iMac i början av 2022
22 99mac blir Macradion på en helt ny plattform
1 Macradion: Vi släpper lös kraften tillsammans
0 Apple backar på den nya designen av Safari i macOS Monterey
24 Apple släpper macOS Monterey den 25 oktober
0 HomePod mini kommer i fler färger
91 Apple presenterar MacBook Pro, M1 Pro och M1 Max
4 Apple presenterar tredje generationens AirPods
2 Så här ser du Apples event ikväll
1 Apple Watch Series 7 - är det värt att uppgradera?
0 Macradion: Unleash the MF appstore
7 Detta tror vi att Apple visar upp på eventet
1 Apple förlänger sitt serviceprogram för AirPods Pro
0 Rykte: MacBook Pro har samma leverantör av miniLED-paneler som iPad Pro
3 Apple bjuder in till event den 18 oktober
1 BaseLynx: Modulär laddstation utan gränser
1 Tile håller koll på allt från plånbok till nycklar men saknar en nyckelfunktion
0 Apple överklagar domen för betalning genom tredjepartsutvecklare i App Store
Copyright © 2024. Allt innehåll tillhör Svenska Tekniknyheter AB. Citering är tillåten om källan anges. Vi reserverar oss för eventuella informationsfel.
Om 99, RSS, Kontakta oss, Feedback, Trivselregler, Teknisk information och cookies