Vdor preko remote desktopa - kaj se je zgodilo?

Vse imaš odprto in brez gesel ter se sprašuješ, kako ti je lahko nekdo vdrl?

Kako te je našel - enostavno, s skeniranjem portov.

Google nmap

Citat:
Uporabnik peter_nn pravi:
Bi mi lahko kdo razložil kaj se je zgodilo, oziroma kako me je nekdo našel, oziroma kako to v bodoče preprečiti.

Konfiguracija: modem za ISP, Wlan router Linsys WRT-54GL z DD-WRT, prenosnik z Ubuntu 10.10 in aktiviranim remote desktopom (imel sem brez passworda ker se nisem spomnil Keyring passworda - začuda sem se ga sedaj spomnil...)

Klikni za razširitev

Daš geslo za userja (login).

Citat:
Uporabnik peter_nn pravi:
Se pravi, da nekdo skenira vse porte po vseh možnih IP naslovih?

Kako lahko preverim kaj za ene porte imam odprte?

Klikni za razširitev

1.) Ja, skenirajo.

2.) Ne rabiš, že veš: Remote Desktop imaš odprt.

Ukaz netstat -t pa ti izpiše odprte porte na PC-ju.
Po defoltu Ubuntu nima nič odprto, torej kar je odprto si ti odprl (si vedel, zakaj si to naredil?). Ali pa oni rus.

Sicer mi je čudno, da bi Ubuntu pustil dostop kar brez gesla.
Če se ti prijaviš z drugega PC, te pusti not, brez da bi geslo vtipkal?


PS: Geslo "123" je isto kot nobeno geslo. To ti jaz uganem v 10 sekundah. Profesionalni vdiralce pa v 10 milisekundah.

PPS: Ti je javilo poskus prijave ali dejasnko prijavo? Če to drugo, predpostavi, da imaš okužen sistem:
- backup vseh pomembnih podatkov
- popolna reinstalacija sistema (brez stika z bakupiranimi podatki!)
- pregled bakupiranih podatkov z aktualnim AV programom, po možnosti vsaj z dvema različnima

Pri Ubuntu remote Dektopu moraš ločit dve stvari ... prijava je možna na dva načina, en je "urejevalni" in drug je "vpogledni". Pri urejevalnem načinu dejansko dobiš dostop nad računom in njegovo uporabo. Vpogledni račun je po defaultu možen celo brez gesla, je pa res da ti ta način samo streama live sliko na desktopu.

Pri urejevalnem načinu mislim da je vedno zahtevano geslo ALI pa je potrebno dovolit prijavo (pojavi se pojavno okno da se nekdo želi prijavit v tvoj account). Bistvo vsega je da se zunanji uporabnik lahko prijavi samo v "deuljoč" account .. torej če nisi prijavljen se tudi preko RDja ne moreš prijavit.

Za dostop od zunaj si moral fowardat port na routerju?! Namreč brez odprtega porta ne bo delalo.

Če imaš res odprt port in si dovolil prijavo, potem je prvi bot, ki je skeniral IPje (to se zgodi nekeko v parih urah) BP prišel do tvojega računalnika oz. če smo natančni do tvojega accounta.

Sreča je da imaš najnovejšo verzijo ubuntuja in ČE imaš tekoče varnostne posodobitve (in upam da uporabljaš močno sudo geslo) potem napadalec ni dobil dostopa do roota -> kar pomeni da je trenutno najlažje da ukineš tvoj account in narediš novega in bi bilo to več ali manj to! Če je napadalec prišel do root dostopa potem pa tvoj računalnik že veselo služi kot suženj v spam omrežju in pošilja vi@gra e-maile po celem svetu!

Kot prvo bi preveril loge v: /var/log/auth.log

.. to so logi prijav, če so napadalci uspešno prišli v sistem potem bo sicer ta datoteka fejkana (podatki bodo "napačni"), vseeno se splača za začetek preverit kaj je tam notri.