UltraVNC-Gehackt?

[testuser58]

letztens habe ich gemerkt, dass der Log von UltraVNC 700+ MB groß war.
Heute kann ich plötzlich nicht mehr verbinden, auch ein anderes Programm auf dem Server ist nicht mehr erreichbar.

UltraVNC beschwert sich aber nicht über ein Timeout, sondern fragt ganz gewöhnlich nach dem Passwort.

"Server closed Connection" - The server running as Application

Ist die log-Größe normal? Ich vermute fast einen Dictionary/Brute-Force-Angriff auf UltraVNC, der zu dem riesigen log führte und nun erfolgreich beendet wurde.
Der Server beendet womöglich die Verbindung, da schon ein Client verbunden ist - eben der Angreifer.

Was meint ihr dazu?

 

[Multivitamin]

mal schauen , wann du auf die idee kommst mal in das log reinzuschauen...

kopf -> tisch

wofür ist nen logfile wohl da ?
um unnötig die platte vollzumüllen ?

 

[Madman1209]

Hi,

ist es dein Server? Falls ja, hast du noch anders Zugriff darauf? Was genau steht in dem Log?

Ich würde da schleunigst (!) die Kiste
- neustarten
- alle Kennwörter ändern
- alles was installiert ist / im Hintergrund läuft prüfen

Wer weiß was der Server sonst noch so alles macht, wofür du am Ende gerade stehen musst.

VG,
Mad

 

[marcol1979]

Gehe mal davon aus das du nicht den Standardport genutzt hast ?

 

[Rob83]

Melde den Fall der Polizei. Wenn da was gemacht wurde und es kommt später raus, dann bekommst du den vollen Ärger.

 

[rsfb]

Also bevor er zur Polizei rennt sollte er sichergehen, dass sein VNC Dienst nicht Amok gelaufen ist.

Wie bereits gesagt:
Eine Log dient ja zum Ansehen. Dort solltest du die benötigten Informationen finden.
Neustarten und Passwort ändern schadet nicht (Du ziehst ja nur deinen Wartungsintervall vor, nicht wahr ? ;-))

 

[testuser58]

Port war geändert.
Log-Einträge erst ab etwa dem Zeitpunkt, wo das Kabel sicherheitshalber gezogen wurde zu sehen - also nichts mit "da rein gucken"

"kopf -> tisch" - sehr schöner Kommentar, wenn man zu einem Remote-System nicht mehr verbinden kann, wie will man dann "sofort" in den log schauen? Der ziemlich große log war mir schon Tage zuvor aufgefallen.
Davon abgesehen: den großen log konnte man mit den meisten Editoren nicht einmal einsehen (notepad++ und Co)

Ich konnte keine Verdächtigen Dateien finden (keine Autostart-Einträge, laufenden Prozesse, der andere laufende dienst lief auch noch war scheinbar nur abgeschmiert. Auch sonst waren keine "Besucherspuren" (beendete Programme etc.) zu sehen.
Merkwürdig ist eben nur der UVNC-Log, der erst nach der fraglichen Zeit wieder Einträge enthalten hat. löscht UVNC den log bei beenden oder beim Neustart? Dann wäre das ganze ein dummer Zufall von 2 mehr oder weniger gleichzeitig abgeschmierten Programmen.