Dringend!!! Sicherheitslücke bei PCanywhere wie schließen?
Hallo zusammen,
es geht um folgendes: Irgendjemand ist in den Serverrechner (als BS wird Windows 2000 eingesetzt) eines Kumpels eingedrungen und hat finanziell einigen Schaden angerichtet.
Die Person war zwar ziemlich geschickt, hat aber nicht alle wichtigen Protokolle und damit Spuren gelöscht, so dass ich jetzt eine IP, Datum und Zeit habe.
Ich meine, dass es nach meinem jetzigen Kenntnisstand so abgelaufen ist:
Die Person hat einen Portscan durchgeführt und ist dabei auf den Router gestoßen (der unverständlicherweise im Grunde offen war wie ein Scheunentor) und hat dabei auch die Adresse des Symantec PCanywhere aufgelistet bekommen.
Nun muss diese Person über das Remotetool irgendwie Zugang bekommen haben, da sonst keine anderen derartigen Tools zu dem Zeitpunkt installiert waren. Einen Trojaner schließe ich auch aus, da wir den Täter sozusagen auf frischer Tat ertappen konnten und zu diesem Zeitpunkt kein Trojaner auf dem System installiert war.
Danach hat die Person sich über eine 0190 Zugang zu einigen "netten Filmchen" verschafft, diese heruntergeladen und auf dem Rechner abgespeichert. Daraufhin wurde mIRC installiert, die Filme wurden freigegeben und von anderen Personen von dem Rechner aus heruntergeladen.
Das ganze ist also ziemlich ärgerlich, da über die 0190er Nummer natürlich einiges an Kosten entstanden ist.
Das was ich bei der Sache nicht verstehe: Wie bekommt man über PCanywhere Zugriff auf das System von außerhalb, wenn man das Passwort nicht kennt? Gibt es dafür spezielle Programme? Gibt es ein Generalpasswort oder ähnliches?Außerdem hatte die Person die Möglichkeit gehabt, die Maus zu steuern, was ich auch noch sehr seltsam finde (oder geht das so über das Tool?)
Ich kenne mich mit dem Tool nicht so aus aber soweit ich das sehe sperrt das Tool sobald das Passwort drei mal falsch eingegeben wurde.
Ich weiß, dass der Text besser aufgebaut sein könnte aber ich muss das hier schnell tippseln, deshalb möget ihr mir noch einmal verzeihen
Nochmal kurz zum Schluss: Der Router ist jetzt ordentlich konfiguriert, außerdem wurden, bis eine Hardwarefirewall zur Verfügung steht eine Softwarefirewall sowie ein aktualisierter Virenscanner installiert. PCanywhere ist auch wieder installiert, weil es für die Fernwartung laut Aussage meines Kumpels unerlässlich für ihn ist. Gibt es jetzt noch die Möglichkeit, für einen Angreifer über PCanywhere ins System zu kommen? Was kann man im Bezug auf das Programm noch in Sachen Sicherheit an Maßnahmen vornehmen?
Ich hoffe, dass mir jemand schnell helfen kann und bedanke mich schonmal im Voraus
MfG
Hallo zusammen,
es geht um folgendes: Irgendjemand ist in den Serverrechner (als BS wird Windows 2000 eingesetzt) eines Kumpels eingedrungen und hat finanziell einigen Schaden angerichtet.
Die Person war zwar ziemlich geschickt, hat aber nicht alle wichtigen Protokolle und damit Spuren gelöscht, so dass ich jetzt eine IP, Datum und Zeit habe.
Ich meine, dass es nach meinem jetzigen Kenntnisstand so abgelaufen ist:
Die Person hat einen Portscan durchgeführt und ist dabei auf den Router gestoßen (der unverständlicherweise im Grunde offen war wie ein Scheunentor) und hat dabei auch die Adresse des Symantec PCanywhere aufgelistet bekommen.
Nun muss diese Person über das Remotetool irgendwie Zugang bekommen haben, da sonst keine anderen derartigen Tools zu dem Zeitpunkt installiert waren. Einen Trojaner schließe ich auch aus, da wir den Täter sozusagen auf frischer Tat ertappen konnten und zu diesem Zeitpunkt kein Trojaner auf dem System installiert war.
Danach hat die Person sich über eine 0190 Zugang zu einigen "netten Filmchen" verschafft, diese heruntergeladen und auf dem Rechner abgespeichert. Daraufhin wurde mIRC installiert, die Filme wurden freigegeben und von anderen Personen von dem Rechner aus heruntergeladen.
Das ganze ist also ziemlich ärgerlich, da über die 0190er Nummer natürlich einiges an Kosten entstanden ist.
Das was ich bei der Sache nicht verstehe: Wie bekommt man über PCanywhere Zugriff auf das System von außerhalb, wenn man das Passwort nicht kennt? Gibt es dafür spezielle Programme? Gibt es ein Generalpasswort oder ähnliches?Außerdem hatte die Person die Möglichkeit gehabt, die Maus zu steuern, was ich auch noch sehr seltsam finde (oder geht das so über das Tool?)
Ich kenne mich mit dem Tool nicht so aus aber soweit ich das sehe sperrt das Tool sobald das Passwort drei mal falsch eingegeben wurde.
Ich weiß, dass der Text besser aufgebaut sein könnte aber ich muss das hier schnell tippseln, deshalb möget ihr mir noch einmal verzeihen
Nochmal kurz zum Schluss: Der Router ist jetzt ordentlich konfiguriert, außerdem wurden, bis eine Hardwarefirewall zur Verfügung steht eine Softwarefirewall sowie ein aktualisierter Virenscanner installiert. PCanywhere ist auch wieder installiert, weil es für die Fernwartung laut Aussage meines Kumpels unerlässlich für ihn ist. Gibt es jetzt noch die Möglichkeit, für einen Angreifer über PCanywhere ins System zu kommen? Was kann man im Bezug auf das Programm noch in Sachen Sicherheit an Maßnahmen vornehmen?
Ich hoffe, dass mir jemand schnell helfen kann und bedanke mich schonmal im Voraus
MfG
