VNC 4.1 Sicherheitslücke: Unangenehmer Besuch

groovesurfer · 07.11.2006

Hi,

ich habe RealVNC 4.1.1 Free Edition seit längerem installiert. Funktionierte immer sehr zuverlässig. Klinke mich immer über das web (java Applikation) darüber ein.
Seit ca. 1 Woche bekomme ich jedoch immer wieder mal unangenehmen Besuch. :knuppel2: Plötzlich merke ich wie jemand oder etwas sich bei mir einklinkt und wie wild darauf lostippt. Das Ausführen... Fenster wird geöffnet und es werden Befehle darin eingetragen.
Habe auch schon mal mein Passwort geändert, aber keine Veränderung.
Kennt jemand dieses Problem, oder weiss jemand wie ich mich da schützen kann?

Grüsse
groovesurfer

Flocke · 07.11.2006

Kann das Programm keine Verschlüsselung? VNC unverschlüsselt geht gar nicht...

groovesurfer · 07.11.2006

Ich kann nur ein Passwort bei Authentication eingeben mehr nicht.

Flocke · 07.11.2006

Dann ist das Programm an sich schon ungeeignet.

Probier mal UltraVNC und aktiviere die Verschlüsselung, dann kann man nämlich nur mit entsprechender Key-Datei auf den Rechner connecten.

groovesurfer · 07.11.2006

Ok. Habe es mal installiert. Sieht sehr cool aus. Was ist denn die die sicherste Einstellung? Über das VNC Passwort, Require MS Logon oder New MS Logon?
Was meinst Du mit aktiviere die Verschlüsselung?
desweiteren würde ich gerne noch dieses MSRC4 PlugIn nutzen (128 bit Verschlüsselung). Habe es downgeloaded und in den PlugIn Ordner kopiert (war sogar schon bei der Installation drin), aber kann es nicht aufrufen. Jemand ne Idee?

Grüsse
groovesurfer

Flocke · 07.11.2006

groovesurfer schrieb:
Über das VNC Passwort, Require MS Logon oder New MS Logon?

Ganz normal einfach ein VNC Passwort setzen.

desweiteren würde ich gerne noch dieses MSRC4 PlugIn nutzen (128 bit Verschlüsselung).

Genau das meine ich.

Du kannst es nur aufrufen, das ist das Lustige, wenn es eben _nicht_ im Plugin-Ordner steckt.

Also, rein mit der MSRC4Plugin_NoReg.dsm direkt ins Installationsverzeichnis. Key erstellen lassen, diesen Key im Installationsverszeichnis von VNC lagern und zu dem Viewer packen und schon kannst du verschlüsselt VNC betreiben.
So, das war die Kurzversion, wenn du nach Probieren immer noch nicht weiterkommst, dann schreib einfach nochmal was dazu.

groovesurfer · 07.11.2006

Ok. Habe es soweit gechecked. Aber ich gehe ja meistens (immer) mit der web-Applikation (java) rein und nicht mit dem viewer. Bringt dass dann auch was?
Ist diese Verschlüsselung auch aktiv in meinem oben beschriebenen Fall, oder nur wenn eine Verbindung von mir besteht, sprich wenn ich extern auf meinen Server-Rechner zugreife?

Grüsse
groovesurfer

Flocke · 07.11.2006

Über java hab ich das noch nie gemacht, deswegen kann ich dir da leider keine Hilfestellung geben. Das käme auf nen Versuch deinerseits an.

Oder jemanden, der sich damit auskennt.

groovesurfer · 07.11.2006

Ok. Aber hat Mr. X :knuppel2: es denn nun mit dieser Verschlüsselung (über Plug In) jetzt schwieriger sich auf meinen Computer zu hacken? Oder bringt die Verschlüsselung nur etwas wenn eine Verbindung besteht?

Flocke · 07.11.2006

Er kann ohne die Key-Datei gar nichts machen.

groovesurfer · 08.11.2006

Ok. Das hört sich doch schon mal gut an. Es würde aber natürlich auch bedeuten, dass ich dann nicht mehr über die java Applikation reinkomme, da ich die Key-Datei ja nicht vorweisen kann. Man kann halt nicht alles haben ;-)
Werde mal einen neuen Thread mit Thema Java Applikation eröffnen.
Vielen Dank für Deine Hilfe. Hat mir viel gebracht. :1

Grüsse
groovesurfer

spooner arthur · 09.10.2007

Hallo Zusammen,
würde gerne UltraVNC mit den Plugins einsetzen um eine 128 Bit Verschlüssung zu haben. Leider ist die Seite tot wo man es sich runterladen konnte.
Weiß jemand wo ich die 3 Plugins nun her bekomme?

Danke, Gruß spooner

Flocke · 09.10.2007

Bei mir geht die Seite: http://home.comcast.net/~msrc4plugin/msrc4plugin.html

smartie · 09.10.2007

Java-Zugang mit Verschlüsselungsplugin geht definitiv nicht. Das steht auch irgendwo in den FAQ der Plugin-Website.

Bis zuletzt hatte RealVNC eine Sicherheitslücke, die es ermöglicht, zum Server ohne Passwort zu verbinden. Dazu braucht es nur einen modifizierten Viewer. Version 4.1.2 hat auf jeden Fall diese Lücke nicht mehr.

In UltraVNC hast du auf jeden Fall noch mehr Möglichkeiten.
Bspw. kannst du eine Displaynummer festlegen, die auch den Port ändert. Displaynummer 1 ändert die Ports auf 5801/5901.
MSLogon ist auch nett. Es setzt das VNC-Passwort außer Kraft. Man kann sich nur mit einem Account vom PC selber anmelden, und zwar mit Benutzername und Passwort. MSLogon2 brauchst du nicht, du hast keine Multidomänenumgebung.

VNC 4.1 Sicherheitslücke: Unangenehmer Besuch

groovesurfer

Flocke

groovesurfer

Flocke

groovesurfer

Flocke

groovesurfer

Flocke

groovesurfer

Flocke

groovesurfer

spooner arthur

Flocke

smartie

VNC 4.1 Sicherheitslücke: Unangenehmer Besuch

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums