ohne Virenscanner und Firwall unterwegs?

dann kein wunder das ein Scriptkiddy dein rechner für irgendwas missbrauchen wollte.

ohne schutz im internet ist selbstmord, wer weiß was derjenige schon ausspioniert hat oder kopiert hat von deinem rechner.

Wäre gut wenn du den angreifer zurück verfolgen könntest... :

die sich mit sowas auskennen werden nicht mit ihrer homeleitung sowas machen, nen proxy davor und schon kannst du nicht herausfinden von wo der angriff kam geschweigen den wer es war.

Zitat von »area50«

ohne Virenscanner und Firwall unterwegs?

dann kein wunder das ein Scriptkiddy dein rechner für irgendwas missbrauchen wollte.

Dennis, das ist eine nur sehr begrenzt zutreffende Herleitung, und das weißt du auch. Kein Schutz impliziert keinen Angriff und vorhandene Sicherheitssoftware impliziert keinen Schutz.

Draco: Wenn das "live" zu sehen war, scheint ja eine Art Remote-Desktop-Verbindung genutzt worden zu sein. Ist RDP deaktiviert? Ist VNC installiert (durch dich oder der Angreifer)?

Direkte Modemnutzung hängt den Rechner auch direkt ins Internet, das ist natürlich gegenüber einem Router sehr gefährlich, weil ein 08/15-Scan auf irgendwelche Sicherheitslücken, ja bereits nach offenen Ports, ungehindert ans Ziel kommt und nicht durch NAT abgefangen wird (wenngleich auch das kein Schutz ist).

Ein Router ist absolut empfehlenswert und an jeder Ecke günstig zu bekommen - solltest du dir unbedingt zulegen.

Den Rechner darf man wohl als kompromittiert bezeichnen. Damit wieder ans Internet zu gehen, wäre grob fahrlässig. Eine Neuinstallation ist dringend angeraten, jedoch ohne die Kenntnis über die genutzte Lücke u.U. auch keine sichere Investition.

Der Kommandoteil "0.0.0.034733" ist wohl ein Vertipper und soll vermutlich "0.0.0.0:34733" (alle Interfaces, Port 34733) heißen. Auf jenem Port scheint keine bekannte "Malware" standardmäßig zu laufen, aber eine nicht gängige Nummer zu wählen, ist als Angreifer sicher eine gute Idee, um nicht Sicherheitssoftware auf den Plan zu rufen, die bestimmte Ports beachtet oder durch die Portnummer die Software zu identifizieren versucht.

Wenn du den vollen Kommandstring noch hast, her damit.

In solchen Fällen kann man nebenbei Netstat aufrufen, um den Host zu ermitteln, der den direkten Kontakt hergestellt hat.

Zitat von »Draco«

VNC ist installiert, stimmt. Hab mir grade mal ne Software Firewall und AV installiert, hab kein anderen Rechner.

VNC auch als Server installiert? Wenn ja: Warum? Reicht es nicht, ihn zu starten, wenn du ihn brauchst?

Zitat von »Draco«

VNC ist installiert, stimmt.

Durch wen? Aber dann ist das Einfallstor ja möglicherweise gefunden. Der hat einfach nach (Standard-)VNC-Ports im Internet gescannt und deine Kiste gefunden. Da war dann entweder kein Passwort oder ein schwaches oder es konnte über einen Exploit ausgelesen oder umgangen werden.

Dir ist schon klar das du z.B. mit UltraVNC deine VNC Verbindung verschlüsseln kannst, bzw. das du deinen VNC Port auch umlegen kannst auf einen "nicht" standard Port und vorallem das du im VNC Server IP Ranges bzw. je nach Version/Mod MacAdressen erlauben und verweigern kannst ?!?

Wenn einer z.B. auch nur ein wenig Ahnung von Metasploit ( einem Framework für Exploits ) hat, macht er ein standard VNC in 2 Minuten auf...

Als erstes gehst nun mal her und änderst Port und Kennwörter von VNC, dann installierst dir mal alle Windowsupdates und lässt deinen Virenscanner mal durchrödeln, dann holst dir mal hijackthis und scannst mal deinen Rechner...

Warscheinlich ist, das der kerl sich einen dauerhaften Zugriff auf deinen Rechner sichern wollte, das könnte z.B. über das Auslesen deiner Windowsbenutzerdatenbank geschehen und anschliessend über die Freigabe von Remotedesktop und das binden der Datei und Druckfreigabe auf deine Internetleitung... Vermutlich hätte sich er Schmutzfink dann erstmal auf deinem Rechner umgesehen, um zu schauen was es da so tolles und lohnenswertes gibt... Oder er hätt ihn direkt zu nem Ghost verwandelt und du wärst einer von 1,4 Mio Noobs in deutschen Landen geworden, die "Member" eines Botnetzes sind Installier die Linux oder mach dein Windows dicht und kauf dir in 3 Gottesnamen einen Router und vertick das Modem bei Ebay an den nächsten Potenziellen Botnetz Kunden :-)

Das Beschränken von IP-Bereichen und MAC-Adressen im Internet ist ziemlich sinnfrei, da er sich von überall einloggen können will und MAC-Adressen über Internet nur eingeschränkt bis gar nicht übertragen werden.

Den Port umzulegen ist kein Schutz, nur eine minimale Hürde. Sofern VNC sich bei Kontakt auf einem Socket zu erkennen gibt, kann ein Scriptkiddie genau so gut die ganze Portrange der Maschine scannen und findet's trotzdem.

Eine Option wäre das Zugänglichmachen von (insbesondere sensitiven) Ports nur über UDP-Port-/ICMP-/irgendwas-Knocking (ich hab' da mal was vorbereitet …), so dass die relevanten Ports bei einem einfachen Portscan gar nicht offen sind.

Oder man loggt sich zunächst von Außen über SSH ein und aktiviert dann temporär den VNC-Dienst.

Er kann sich natürlich auch eine Checkpoint Firewall 1 da hinstellen - das es immer sicherer geht ist schon klar, aber es gibt mit Sicherheit von 100% Scriptkiddies nur 40% oder weniger die nicht nach standard ports scannen, sondern die alle 65k ports durchlutschen... Tunneln ist schonmal garnicht so doof, du könntest z.B. auch einen fertigen Client wie Hamachi benutzen und deine Dienste dann über diesen ansteuern... Es geht auf jedenfall fast nur besser als das was du momentan konfiguriert hast

Du solltest bei Diensten die nach Aussen sprechen auf alle Fälle immer drauf achten, das Du immer nur die aktuellsten Versionen verwendest, da diese des öfteren schon "fehlerbereinigt" sind, d.h. natürlich nicht das sie keine Fehler mehr aufweisen

Von Tunneln habe ich nichts geschrieben, aber die Idee ist natürlich gut. So braucht man nur einen Port exposen und nicht den jeder (möglicherweise nach Außen anfälligen) lauschenden Applikation separat.

Andererseits lässt sich möglicherweise bereits per SSH und Kommandozeile alles erledeigen, was man so von Außen erledigen muss.

http://forum.aqua-computer.de/index.php?…&threadID=79891