Problema con Hacker

17/11/2005 - 20:17 por Trazas | Informe spam
Hola a todos.

Tengo un Windows 2003 Server SP1, con todas las actualizaciones al día y el
firewall. activado.
Habitualmente lo manejo desde otro ordenador a través del programa VNC.
Ayer a media tarde, cuando entro en el servidor me encuentro en el
escritorio una carpeta que se llama "psybnc", que contiene varias cosas en
su interior, pero lo mas sorprendente es que, de repente, veo un cursor en
el escritorio que empieza a moverse y a manejar carpetas, abre el Explorer y
entra en paginas con caracteres de Europa oriental. Sin pensar mas, y para
evitar males mayores, me fui al router y le desenchufé la línea telefónica.
Inmediatamente desinstale el tal psybnc, el vnc, y no he vuelto a entrar en
el Servidor mas que directamente o a través del escritorio remoto.
Aparentemente no ha pasado nada, el antivirus nada detecta, el adaware
tampoco.
Lo único que he visto es un carpeta en el directorio raíz que se llama
"FPSE_search", y que en su interior contiene ficheros "cicat.fid"
"cicat.hsh" "propstor.bk1" "propstor.bk2", otros con extensiones ".ci"
".dir", y varios ficheros mas.
En esta carpeta se generan nuevos ficheros cada, aproximadamente, una hora.
No sé si esta es una carpeta del sistema o generada por el problema.
Por favor, alguien podría ayudarme a explicar lo pasado, si la
vulnerabilidad la ha podido causar el vnc, qué es la carpeta que os describo
mas arriba, y cualquier otro tema que pudiera ser de interés.
Gracias a todos

Preguntas similare

Leer las respuestas

#1 Víctor Cespón
18/11/2005 - 00:53 | Informe spam
1) Si, el VNC tiene sus vulnerabilidades, conocidas y usadas por hackers.
Teniendo escritorio remoto no veo la necesidad de instalarlo.
2) La carpeta que mencionas es de Microsoft (algo de búsquedas para
SharePoint o asi)

http://www.microsoft.com/technet/pr...wsi06.mspx

http://msdn.microsoft.com/library/e...t_809x.asp

"Trazas" wrote in message
news:dlil0h$fbj$
Hola a todos.

Tengo un Windows 2003 Server SP1, con todas las actualizaciones al día y
el firewall. activado.
Habitualmente lo manejo desde otro ordenador a través del programa VNC.
Ayer a media tarde, cuando entro en el servidor me encuentro en el
escritorio una carpeta que se llama "psybnc", que contiene varias cosas en
su interior, pero lo mas sorprendente es que, de repente, veo un cursor en
el escritorio que empieza a moverse y a manejar carpetas, abre el Explorer
y entra en paginas con caracteres de Europa oriental. Sin pensar mas, y
para evitar males mayores, me fui al router y le desenchufé la línea
telefónica. Inmediatamente desinstale el tal psybnc, el vnc, y no he
vuelto a entrar en el Servidor mas que directamente o a través del
escritorio remoto.
Aparentemente no ha pasado nada, el antivirus nada detecta, el adaware
tampoco.
Lo único que he visto es un carpeta en el directorio raíz que se llama
"FPSE_search", y que en su interior contiene ficheros "cicat.fid"
"cicat.hsh" "propstor.bk1" "propstor.bk2", otros con extensiones ".ci"
".dir", y varios ficheros mas.
En esta carpeta se generan nuevos ficheros cada, aproximadamente, una
hora.
No sé si esta es una carpeta del sistema o generada por el problema.
Por favor, alguien podría ayudarme a explicar lo pasado, si la
vulnerabilidad la ha podido causar el vnc, qué es la carpeta que os
describo mas arriba, y cualquier otro tema que pudiera ser de interés.
Gracias a todos

Respuesta Responder a este mensaje
#2 miguel
28/11/2005 - 10:44 | Informe spam
El PsyBNC es un bouncer para IRC, si tienes interes en saber quien ha sido el
que se ha infiltrado en el sistemas puedes:

Volver a dejarlo como estaba. El intruso intentara usar la maquina para
algun tipo de IRCWar, en ese momento haces un netstat y localizas la ip desde
la que se conecta, te la apuntas y se lo notificas a su ISP.

Es posible que esos ficheros que comentas que se crean sean algun tipo de
sniffer, mira a ver los programas nuevos instalados y los servicios que estan
corriendo en la maquina

"Víctor Cespón" escribió:

1) Si, el VNC tiene sus vulnerabilidades, conocidas y usadas por hackers.
Teniendo escritorio remoto no veo la necesidad de instalarlo.
2) La carpeta que mencionas es de Microsoft (algo de búsquedas para
SharePoint o asi)

http://www.microsoft.com/technet/pr...wsi06.mspx

http://msdn.microsoft.com/library/e...t_809x.asp

"Trazas" wrote in message
news:dlil0h$fbj$
> Hola a todos.
>
> Tengo un Windows 2003 Server SP1, con todas las actualizaciones al día y
> el firewall. activado.
> Habitualmente lo manejo desde otro ordenador a través del programa VNC.
> Ayer a media tarde, cuando entro en el servidor me encuentro en el
> escritorio una carpeta que se llama "psybnc", que contiene varias cosas en
> su interior, pero lo mas sorprendente es que, de repente, veo un cursor en
> el escritorio que empieza a moverse y a manejar carpetas, abre el Explorer
> y entra en paginas con caracteres de Europa oriental. Sin pensar mas, y
> para evitar males mayores, me fui al router y le desenchufé la línea
> telefónica. Inmediatamente desinstale el tal psybnc, el vnc, y no he
> vuelto a entrar en el Servidor mas que directamente o a través del
> escritorio remoto.
> Aparentemente no ha pasado nada, el antivirus nada detecta, el adaware
> tampoco.
> Lo único que he visto es un carpeta en el directorio raíz que se llama
> "FPSE_search", y que en su interior contiene ficheros "cicat.fid"
> "cicat.hsh" "propstor.bk1" "propstor.bk2", otros con extensiones ".ci"
> ".dir", y varios ficheros mas.
> En esta carpeta se generan nuevos ficheros cada, aproximadamente, una
> hora.
> No sé si esta es una carpeta del sistema o generada por el problema.
> Por favor, alguien podría ayudarme a explicar lo pasado, si la
> vulnerabilidad la ha podido causar el vnc, qué es la carpeta que os
> describo mas arriba, y cualquier otro tema que pudiera ser de interés.
> Gracias a todos
>



email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida