Дважды взломали через VNC!(несмотря на длинные пароли)

[timerbulatov]

Дело было так:Сижу за компом,в инете брожу...вдруг выскакивает всплывающее сообщение что рабочим столом управляет другой пользователь и указан IP и имя поломщика...после недолгой борьбы за мышку я выдернул сетевой кабель из сетевухи и отключил удаленный рабочий стол,сменил системные пароли пользователей и пароль на удаленный стол,а также изменил порты сервера VNC на машине и внешний порт на роутере.на том и успокоился,включил удаленный стол обратно.
Та же ситуация повторилась вновь через двое суток...
Отсюда вопрос...как эти гады пролезают несмотря на:
1.пароли в обоих случаях были длиной в 16 символов разных регистров с запятыми и точками
2.системные пароли и пароль на удаленный стол различались.
3.порты после первого взлома были сменены на неочевидные но это не помогло.
4.в логах на роутере нет никаких следов подбора пароля

кто нибудь из форумчан сталкивался с подобным?
P.S. оба раза айпишники были из китая(пекин)

[666joy666]

Ну что тут сказать...Какая версия vnc?, ибо скорей всего просто и "тупо" юзают сплойт + nmap и делов то..
К примеру тот же метасплоит...

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

userx ~ $  msfconsole3.4

                                  _
                                 | |      o
 _  _  _    _ _|_  __,   ,    _  | |  __    _|_
/ |/ |/ |  |/  |  /  |  / \_|/ \_|/  /  \_|  |
  |  |  |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
                           /|
                           \|


       =[ metasploit v3.4.0-release [core:3.4 api:1.0]
+ -- --=[ 567 exploits - 284 auxiliary
+ -- --=[ 210 payloads - 27 encoders - 8 nops

msf > search vnc
[*] Searching loaded modules for pattern 'vnc'...

Auxiliary
=========

   Name                       Rank    Description
   ----                       ----    -----------
   scanner/vnc/vnc_none_auth  normal  VNC Authentication None Detection


Exploits
========

   Name                         Rank     Description
   ----                         ----     -----------
   windows/vnc/realvnc_client   normal   RealVNC 3.3.7 Client Buffer Overflow
   windows/vnc/ultravnc_client  normal   UltraVNC 1.0.1 Client Buffer Overflow
   windows/vnc/winvnc_http_get  average  WinVNC Web Server <= v3.3.3r7 GET Overflow


Payloads
========

   Name                                           Rank    Description
   ----                                           ----    -----------
   windows/patchupvncinject/bind_ipv6_tcp         normal  Windows VNC Inject (skape/jt injection), Bind TCP Stager (IPv6)
   windows/patchupvncinject/bind_nonx_tcp         normal  Windows VNC Inject (skape/jt injection), Bind TCP Stager (No NX or Win7)
   windows/patchupvncinject/bind_tcp              normal  Windows VNC Inject (skape/jt injection), Bind TCP Stager
   windows/patchupvncinject/find_tag              normal  Windows VNC Inject (skape/jt injection), Find Tag Ordinal Stager
   windows/patchupvncinject/reverse_ipv6_tcp      normal  Windows VNC Inject (skape/jt injection), Reverse TCP Stager (IPv6)
   windows/patchupvncinject/reverse_nonx_tcp      normal  Windows VNC Inject (skape/jt injection), Reverse TCP Stager (No NX or Win7)
   windows/patchupvncinject/reverse_ord_tcp       normal  Windows VNC Inject (skape/jt injection), Reverse Ordinal TCP Stager (No NX or Win7)
   windows/patchupvncinject/reverse_tcp           normal  Windows VNC Inject (skape/jt injection), Reverse TCP Stager
   windows/patchupvncinject/reverse_tcp_allports  normal  Windows VNC Inject (skape/jt injection), Reverse All-Port TCP Stager
   windows/patchupvncinject/reverse_tcp_dns       normal  Windows VNC Inject (skape/jt injection), Reverse TCP Stager (DNS)
   windows/vncinject/bind_ipv6_tcp                normal  VNC Server (Reflective Injection), Bind TCP Stager (IPv6)
   windows/vncinject/bind_nonx_tcp                normal  VNC Server (Reflective Injection), Bind TCP Stager (No NX or Win7)
   windows/vncinject/bind_tcp                     normal  VNC Server (Reflective Injection), Bind TCP Stager
   windows/vncinject/find_tag                     normal  VNC Server (Reflective Injection), Find Tag Ordinal Stager
   windows/vncinject/reverse_http                 normal  VNC Server (Reflective Injection), PassiveX Reverse HTTP Tunneling Stager
   windows/vncinject/reverse_ipv6_tcp             normal  VNC Server (Reflective Injection), Reverse TCP Stager (IPv6)
   windows/vncinject/reverse_nonx_tcp             normal  VNC Server (Reflective Injection), Reverse TCP Stager (No NX or Win7)
   windows/vncinject/reverse_ord_tcp              normal  VNC Server (Reflective Injection), Reverse Ordinal TCP Stager (No NX or Win7)
   windows/vncinject/reverse_tcp                  normal  VNC Server (Reflective Injection), Reverse TCP Stager
   windows/vncinject/reverse_tcp_allports         normal  VNC Server (Reflective Injection), Reverse All-Port TCP Stager
   windows/vncinject/reverse_tcp_dns              normal  VNC Server (Reflective Injection), Reverse TCP Stager (DNS)
   windows/x64/vncinject/bind_tcp                 normal  Windows x64 VNC Server (Reflective Injection), Windows x64 Bind TCP Stager
   windows/x64/vncinject/reverse_tcp              normal  Windows x64 VNC Server (Reflective Injection), Windows x64 Reverse TCP Stager



[Lord.S]

Я думаю стоит изучить firestarter и iptables если раннее их не использовали.

[timerbulatov]

на десктопной машине файрвол не активирован,а вот на роутере файрвол настроен.в том числе на логирование разрешенных и дропнутых пакетов и защиту от подбора пароля на ssh и ftp(да,обьем файлов логов бывают внушительны,но они необходимы) логи сливаются на десктоп,всего на роутере открыто 4 порта.версия сервера -vino - 2.28.2-0
публичных эксплоитов не нагуглил...в метасплоите тоже нет сплоитов(за исключением сплоитов под винды).похоже придется подыскивать замену vino

[NanoGlist]

100 процетов дыра в "Вине" и в китайсах

[VinnyPooh]

ну например когда-нибудь может быть вы установили какой-нибудь левый пакет с неизвестного ресурса и из вашей машины сделали бота.
Проверьте на руткиты, для начала.  rkhunter например.
Пользователь решил продолжить мысль 22 Июля 2010, 18:54:16:

на десктопной машине файрвол не активирован,а вот на роутере файрвол настроен.в том числе на логирование разрешенных и дропнутых пакетов и защиту от подбора пароля на ssh и ftp(да,обьем файлов логов бывают внушительны,но они необходимы) логи сливаются на десктоп,всего на роутере открыто 4

или криво настроен этот самый файервол или у вас банально перехватывают пароли, так как соединение по VNC не шифруется.

А ещё бы я погуглил свой роутер на предмет уязвимостей, помнится целая сеть ботнетов была на базе кривых прошивок роутера.

Вот я вам накидал кучу вещей всяких, вот и проверяйте шаг за шагом.

[timerbulatov]

to Виннипух...rkhunter установлен давным давно...обновляется и запускается по крону.левых пакетов не качал,только из репок.
по поводу отсутствия шифрования паролей в vnc цитата из википедии "Изначально VNC не использует шифрование трафика, однако в процедуре аутентификации пароль не передается в открытом виде, а используется алгоритм «вызов-ответ» с DES-шифрованием"
Думается пора юзать vnc в связке с ssh/
По поводу кривости настройки могу согласиться...но файервол настраивался два года назад,и правила после настройки сохранил...после взлома нашел файлик с рулесами и сличил...один в один...
По поводу ботнета..на роутерной консоли бываю каждый день и подозрительное сетевое поведение стало бы заметно сразу (конечно не на 100%)
По поводу перехвата паролей-я пароли никому не говорил,у жены свой отдельный комп...она в мои "линуксы непонятные" не суется.
Вообще я бы не так напрягался что взломали (тем более серьезного урона не принесли) но возмущает наглость поломщика с которым пришлось драться за мышку...
Придется серьезно прошерстить все возможные варианты и придумать парочку невозможных....)))
В любом случае спасибо за советы...

[Frank]

Вы кажется так и не сказали самого главного - какой же из множества VNC серверов вы использовали? И кстати, сменя портов на локальной машине при выходе через роутер - глупость.

[timerbulatov]

Как это не сказал?во втором моем сообщении - vino - 2.28.2-0
а порты я сменил как на десктопе так и порты на роутере(видимые извне)
т.е изначально было 5900(роутер) - 5900(десктоп) а потом я оба порта сменил.

[Frank]

Как это не сказал?во втором моем сообщении - vino - 2.28.2-0

Weak Authentication

VNC uses a simple and weak DES based challenge-response authentication scheme. See here for more details. With Vino as it stands, I would feel safer not setting any password at all and approving each connection manually as it comes in.

Ideally we should properly authenticate any user which wishes to connect using PAM just like SSH or whatever.

...

VNC uses a simple DES based challenge-response authentication scheme. In order to authenticate the client, the server sends a random 16 byte challenge and the client then encrypts the challenge with DES using the user supplied password as a key. If the response matches the expected result, the client is authenticated. Otherwise, the server closes the connection. There are a number of possible vulnerabilities with this mechanism.

Firstly, the password, being limited to 8 characters, could be brute force guessed by an attacker who continually tries to authenticate using different passwords[21]. The standard way of making such attacks unfeasible is to enforce a delay between failed authentication attempts - i.e. if there has been a failed authentication attempt, delay sending the challenge to the next client who connects for a number of seconds.

Another possible vulnerability is the predictability of the random challenge sent by the server. If the server, under any circumstances, sends a challenge which has previously been used in a successful authentication attempt there is the possibility that an attacker may use the previously observered valid response again. An example[22] of such is if the server re-seeds the random number generator used to produce the challenge with the current time on each connection attempt. In this case, if an attacker connects to the VNC server within the same one second window as a valid client, then the attacker will receive the same challenge as the valid client and use the response from that client to authenticate. To avoid such a vulnerability the server should produce highly unpredictable challenges using the cryptographically strong random number generator providied with the GNU TLS library.

Challenge-response authentication schemes are inherently susceptible to man-in-the-middle attacks. The basic idea is that attacker uses a client to generate a valid response for a given challenge. One way[23] of carrying out such an attack is if the attack can intercept and modify the packets flowing between the client and the server. The attacker can then replace the challenge from the server with a challenge the attacker has received in a pending authentication attempt. The client then returns a valid response for that challenge with which the attacker can use to complete its authentication.

[VinnyPooh]

Резюме сухое - прокидывайте через SSH
Remmina c этим справляется точно в качестве клиента.
http://remmina.sourceforge.net/downloads.shtml

[timerbulatov]

Спасибо за много буковок на басурманском)))еле разобрался...про обрезание пароля до 8 символов читал еще где то,весьма познавательно.
Также спасибо за ссылку на прогу...побаловался но сделал по своему...прикрыл на роутере все прокинутые порты,из разрешенных во внешний мир оставил http и ssh
К SSH добавил port knocking и все ресурсы локальной сети за роутером только через туннели...

[ArcFi]

Хороший топик, спасибо.
Перенастроил все свои vnc-подключения с туннелированием через ssh, убрал лишние пробросы портов.
Теперь будем спать спокойнее.