staging.inyokaproject.org

Hallo Ubuntu User und bitte seid gnädig.

Ich habe testweise ein VNC Port aufgemacht auf meiner Fritzbox und nicht darauf geachtet, es wieder zu schließen.

Schawups! Irgend ein Spaßvogel auf meinem Rechner.

Hab gesehen, dass sich die Maus bewegt und dann im Terminal "SCREEN" eingetippt wurde.

Dann wurde der Netzstecker gezogen. PC ist jetzt aus.

Wie kann ich sehen, was evtl. von meinem Rechner gezogen wurde? Möglicherweise war dieser "jemand" schon vorher auf meinem Rechner. Leider lagen dort auch einige Sachen rum, wie z.B. Passwörter im Browser!?

Bitte um Ratschläge und Meinungen.

Anschließend wird der Rechner neu aufgesetzt. Also nicht wichtig evtl. eingeschleuste Software zu finden. Das wäre dann nur interessehalber!

So, dann bin ich mal gespannt und hoffe auch Euch ☺

Ubuntu - Newbie

fsmart schrieb:

ein VNC Port aufgemacht auf meiner Fritzbox und nicht darauf geachtet

Anschließend wird der Rechner neu aufgesetzt

Vorne Weg, habe ich ein ernstes Problem Deinen Thread Ernst zu nehmen.

Wenn sich jemand auf Deiner Fritzbox schon so richtig austoben darf und dies auch auf Deinem Rechner tut. Hilft vermutlich kein bloßes Neuaufsetzen des Rechners allein.

Du solltest komplett alles in Frage stellen und überprüfen. Der "Angreifer" könnte Deinen Router schon komplett übernommen haben und alles protokollieren was Du tust.

Frage mich als einfachen Anwender und Benutzer jetzt nicht was Du tun sollst. Ich persönlich hatte noch nie ein solch offenes Scheunentor.

Vermutlich würde ich paranoid erstmal einen neuen Router kaufen und diesen "dicht" machen.

Alles in allem hast Du Lese- und Lernbedarf im Hinblick auf Sicherheit nicht nur hier im Wiki.

Guten Morgen,

es geht weder um eine übernommene Fritzbox, noch um meine Kenntnisse in Sachen Sicherheit usw.

Mir ist Linux neu. Und da fehlen mir die Mittel meine oben gestellten Fragen sicher beantworten zu können.

Man muss auch nicht paranoid werden, weil man einmal die Haustür aufgelassen hat und zum Bäcker ist, sondern die Tür in Zukunft einfach schließen.

Lernen nennt man das.

Vielleicht hat ja noch jemand einen sinnvollen Beitrag zum Thema und stellt nicht in Frage, irgendwas Ernst zu nehmen.

Danke.

Hallo fsmart, ja so etwas passiert.

Erstens würde ich Dir raten, wenn Du schon VNC benutzt, dieses auf der Linux-Seite in den Einstellungen so zu konfigurieren PASSWORT+BESTÄTIGUNGS-DIALOG.

Dann natürlich nicht einfach den Port 5900 lokal in Dein Netzwerk lassen, sondern speziell an einen Rechner koppeln, oder noch besser, nutze PORTFORWARDING. D.h. Du stellst ein, das der Port (Beispiel) 59432 auf den Port 5900 an Deinen PC durchgereicht wird.

Somit ist es schon schwieriger in das System zu kommen. Wenn Du Dich dann etwas besser in dieser Materie auskennst, empfehle ich Dir zuerst über einen VPN die Verbindung zu Deinem Netzwerk herzustellen und darin dann mit VNC zu arbeiten.

So, jetzt habe ich Dir ganz viele seltsame Begriffe genannt die Du gerne im WIKI nachlesen kannst.

Tust Du es nicht, gehe ich davon aus, das Du kein Interesse an diesem Thema hast. Bitte, siehe dann von weiteren Forenmeldungen ab.

Bye HS

Hmm, warum lest ihr alle zwischen den Zeilen?

Ich kenn mich mit der Materie AUSSERHALB von Linux aus. Zwei böse Dinge sind dummerweise beim Testen parallel gelaufen: Ich habe eine Portweiterleitung eingerichtet um zu testen, wie die VNC Verbindung von außen ist (geschwindigkeitstechnisch) und diese vergessen zu deaktivieren (böse 1). Nicht weil ich das gerne mache, sondern einfach mal vergessen. Das ist eine menschliche Eigenschaft und hat nichts mit Nichtwissen oder Desinteresse zu tun.

Die zweite Sache ist, dass ich hier lokal per VNC auf Ubuntu zugegriffen habe und ständig diese PW Abfrage ... JAAA jetzt schlägt der erfahrene Linuxer die Hände über dem Kopf zusammen und weiß was kommt. 😉 (Böse 2)

Es geht also nicht darum, es hier "sicher" zu machen - das läuft schon. Es geht darum nachzuvollziehen, was an Schaden entstanden ist, worauf zugegriffen wurde und was eingeschleust wurde um daran zu LERNEN!

Es geht nicht um Fritzbox, Grds. Sicherheit bei Fernwartung, Routern usw. Das ist alles vorhanden.

Bitte also von derartigen Posts abzusehen und sich mit der Frage zu beschäftigen, woran man mit Hilfe von Logs, history, find usw... sehen kann worauf zugefriffen und was gemacht wurde.

Ich hätte wohl "Meinungen" nicht schreiben sollen ☺

Es muss doch erlaubt sein auch als erfahrener User, mal einen Anfängerfehler zu machen, oder?

Seid tolerant 😉

Hallo fsmart, dann ist ja alles ok.

Du hast die Schwachstelle geschlossen. Im Endeffekt bleibt Dir nur noch die Arbeit die Logs für diesen Zeitraum zu prüfen.

Bye HS

Ja, genau um diese logs z.B. geht es.

Welche, worauf achten? So weit bin ich in der LinuxThematik noch nicht.

Hallo fsmart, Kopierprozesse o.ä. wirst Du in den Logs nicht finden - das würde jedes Logbuch sprengen. Versuche zu finden ob irgendwie Anmeldung als SUDO oder ROOT gemacht wurden, oder Manipulation von SHADOW oder SUDOERS.

Diese Tüftelarbeit kann eine enorme Zeit beanspruchen.

Bye HS

Danke für die Antwort. Das zeigt schon mal eine Richtung ☺

"Kopiervorgänge" wären auch Filetransfers nach "außen"? Dazu müsste doch ein Protokoll außerhalb von vnc benutzt werden oder?

Hallo fsmart, gut das Du das erwähnst. Das könnte mit SSH und den dazugehörenden SCP usw. durchgeführt werden können.

Aber dazu ist das entsprechende Passwort notwendig.

Meine Einschätzung ist aber, das die unbekannte Person entwedern selbst überrascht war einen Zugang zu erhalten. SCREEN würde mir also schon mal nicht einfallen. Aber man weis ja nie.

Bye HS

Nochma ich ☺

Nur zum Verständnis - bei Ubuntu bin ich ja als User mit SUDO Rechten angelegt. Bräuchte man für Root bzw. Sudo nicht dann trotzdem mein passwort, auch wenn das VNC nicht Passwort geschützt war?

Hallo fsmart, korrekt.

Bye HS

Danke für Deine Hilfe.

fsmart schrieb:

Bräuchte man für Root bzw. Sudo nicht dann trotzdem mein passwort, ...

Wenn er mal als normaler user auf deinem Rechner ist, dann braucht er zum kopieren/downloaden kein Passwort. Das geht z. B. mit tar und nc (als normaler user), auch aus einem Verzeichnis mit "root:root" als Eigner und "755"-Rechten. Er kann schauen ob es eine lauschende Anwendung (d. h. Portweiterleitung) gibt, die er als normaler user abschießen darf/kann, dann lässt er nc genau auf diesem Port lauschen und schon kann er den kompletten Inhalt (... der 644-Rechte hat) des Verzeichnisses downloaden.