Är servern hackad eller vad är det här?

Tråden skapades och har fått 21 svar. Det senaste inlägget skrevs .
1

En macserver med 10.5 server-OS. Idag på eftermiddagen testade jag att ansluta till den via ett VNC-program i min iPhone. Såg inget konstigt då.

Nu på kvällen kollade jag in med macen. Då ser jag plötsligt det som bilden visar. Objekt på skivbordet har bytt namn till det där.

Datorn har två hårddiskar och på skrivbordet låg även ett alias till ett program. Startskivan hade inte bytt namn men skiva 2 och aliaset hade namn enligt bilden. Jag kunde välja Ångra i Finder så hoppade ett av namnen tillbaka.

På nätverket finns en windows xp-maskin.

Jag har bytt lösenord till servern och kör viruskoll över natten.

Någon som sett något liknande?
Kan jag kolla i någon log vad som hände när det hände?

Japp, verkar som att du har drabbats av en VNC-hackande bot. Kolla länken:
Analysis of a bot spreading via VNC scans/connects - Topic Powered by Social Strata

"Conclusion: Most likely, a weak password on VNC allowed a bot to connect, send some commands, and attempt to spread itsself.
Protection from this: Strong passwords, or not allowing public access to VNC via firewall rules."

Som "Strong" räknar de 12-15 tecken, 6-7 tecken är fö enkelt knäcka.

hur långt lösenord hade du? Var det blandat siffror och bokstäver? Det vore kul att veta hur pass bra den är på att knäcka.

"Anna"

Rofl!

Offtopic, vilket VNC program kör du till iPhone som fungerar bra?

Ursprungligen av Johan S:

Offtopic, vilket VNC program kör du till iPhone som fungerar bra?

VNC Lite testade jag med nu och det klarar basbehovet.

1. Lösenordet var på 6 tecken och jag hade tänkt byta men det kan jag ju göra sen ...

2. Var det en slump att jag anslöt med min iPhone på eftermiddagen och sen såg det här ett antal timmar senare? Annars kan man ju tänka sig att ett illasinnan VNC-program på appstore fiskar upp det jag skriver in i telefonen.

3. Långa lösenord rekommenderas men om man har aktiverat valet "VNC viewers may control screen with password" så är det max 8 tecken man kan skriva in.

4. Valet Remote Login var aktiverat för "All users". Här funderar jag på om supporten använt SSH och glömt stänga av det. Jag använder det inte i alla fall.

4. Eller så har den som vart in via VNC slagit på SSH för att kunna logga in o ställa till med mer otyg

Ursprungligen av Johan S:

4. Eller så har den som vart in via VNC slagit på SSH för att kunna logga in o ställa till med mer otyg

Men det som talar mot det är väl att det är en bot för Windows som hittat in ellur?

Jo, sant. Om det inte är nån bot som rapporterar att den hittat en VNC den tagit sig in på o därefter loggar en människa in. Vet inte hur dom gör

Ursprungligen av Johan S:

Jo, sant. Om det inte är nån bot som rapporterar att den hittat en VNC den tagit sig in på o därefter loggar en människa in. Vet inte hur dom gör

Hur kollar jag vad som hände i burken under de där timmarna?

Eventuellt att man kan hitta nåt i /var/log/system.log eller secure.log

Secure.log visar att det var kl 20.01 som boten kom in.

Först en lång rad med sådana här FAIL-besked

Dec 17 20:00:51 Server /System/Library/CoreServices/RemoteManagement/AppleVNCServer.bundle/Contents/MacOS/AppleVNCServer[200]: Authentication: FAILED :: User Name: N/A :: Viewer Address: 81.233.249.206 :: Type: VNC DES

Men här blev det plötsligt SUCCEEDED
Dec 17 20:01:12 Server /System/Library/CoreServices/RemoteManagement/AppleVNCServer.bundle/Contents/MacOS/AppleVNCServer[200]: Authentication: SUCCEEDED :: User Name: N/A :: Viewer Address: 81.233.249.206 :: Type: VNC DES

  • Medlem
  • Karlskoga
  • 2009-12-18 19:10
Ursprungligen av Anders Täpp:

Secure.log visar att det var kl 20.01 som boten kom in.

Först en lång rad med sådana här FAIL-besked

Dec 17 20:00:51 Server /System/Library/CoreServices/RemoteManagement/AppleVNCServer.bundle/Contents/MacOS/AppleVNCServer[200]: Authentication: FAILED :: User Name: N/A :: Viewer Address: 81.233.249.206 :: Type: VNC DES

Men här blev det plötsligt SUCCEEDED
Dec 17 20:01:12 Server /System/Library/CoreServices/RemoteManagement/AppleVNCServer.bundle/Contents/MacOS/AppleVNCServer[200]: Authentication: SUCCEEDED :: User Name: N/A :: Viewer Address: 81.233.249.206 :: Type: VNC DES

Du har inte kollat vart IPadressen går? Kan ju vara spoofad också....

Var väl förmodligen då dom gissade rätt på lösen.

spoofad?

  • Medlem
  • Norrköping
  • 2009-12-18 22:48
Ursprungligen av Anders Täpp:

spoofad?

IP address spoofing - Wikipedia, the free encyclopedia

Jag kom på vad som avsågs direkt jag hade klickat spara. Jag har inte ens tänkt tanken att försöka kolla var IP-nr hör hemma. Jag utgår från att det är lönlöst.

  • Medlem
  • I skogen utanför Umeå
  • 2009-12-18 22:52

En fjortis i Nora som fått en trojan via MSN alltså ...

1
Bevaka tråden