[HELP URGENTE] MI SONO ENTRATI NEL PC

[fedepupo]

ho bisogno di aiuto urgentemente!!

ho configurato un PC muletto utilizzando ubuntu 7.10, ho messo su un serverino LAMP e altri programmi che mi servivano..

visto che ogni tanto devo controllarlo da remoto, ho installato SSH e abilitato il remote desktop di ubuntu protetto con password(magari un po' troppo facile >:( >:( )
...
...

poco fa, apro il mio VNC client dal lavoro e noto che c'è qualcuno collegato al mio PC che sta navigando in internet..
subito preso dal panico l'ho disconnesso..
::) ::) ::)
ma adesso.. posso in qualche moto risalire a lui??


aiutatemi PLEAZE!

EDIT:
guardando la cronologia di firefox ho visto che ha scaricato "BNC datatipe"  da IRCAdmin.net e "psybnc" e poi ha guardato come si utilizza il tunnel broker IPv6

cm faccio a vedere se ha installato questti pacchetti??

EDIT un'altra volta:
e appena rientrato..
il suo hostname è qsto: host-84-223-196-228.cust-adsl.tiscali.it
posso farci qualcosa??

[bit]

Qualche lamer che compila psyBNC sul tuo pc.... Credo che un cambio di password più complessa risolva il problema comunque speriamo in qualche altro suggerimento 

[fedepupo]

mi sono documentato un po' su sto psyBNC, ma nn ho capito bene se è dannoso o che!!

e soprattutto come faccio a toglierlo.. basta cancellare la cartella o devo fare altro??

[bit]

é un bouncer che si usa in IRC niente di dannoso basta che elimini la cartella

[fedepupo]

grazie mille!!

[fedepupo]

scusate se rompo ancora..

ma sapete indicarmi se c'è qualche modo per visualizzare gli ultimi cambiamenti sul file system??

per esempio se oggi creo una cartella /home/prova che fino a ieri ovviamente non c'era, posso magari tramite qualche comando da terminale, visualizzarla??

non so se mi sono spiegato bene.. xò lo spero!!!

[bit]

Dimenticavo controlla che non sia in esecuzione, il processo dovrebbe chiamarsi appunto psybnc se lo è killalo

[Stealth]

Questo il il risultato del whois su quell'indirizzo

Codice: Seleziona tutto

gianni@gianni-laptop:~$ whois -B 84.223.196.228
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Information related to '84.222.0.0 - 84.223.255.255'

inetnum:        84.222.0.0 - 84.223.255.255
netname:        TISCALINET
descr:          Tiscali Italia SpA
descr:          PROVIDER
country:        IT
admin-c:        PC2538-RIPE
tech-c:         PC2538-RIPE
remarks:        --------------------------------------------------------
remarks:
remarks:        Regarding spam and/or abuse complaints please report to:
remarks:        abuse@tiscali.it
remarks:
remarks:        !! ALL EMAILS REGARDING SPAM AND/OR ABUSE  COMPLAINTS !!
remarks:        !!          SENT TO AN OTHER EMAIL ADDRESS THAN       !!
remarks:        !!                    abuse@tiscali.it                !!
remarks:        !!      WILL BE IGNORED AND TREATED AS SPAM BY US !   !!
remarks:
remarks:        --------------------------------------------------------
status:         ASSIGNED PA
mnt-by:         AS8612-MNT
changed:        net.engineering@it.tiscali.com 20070301
changed:        pau@tiscali.net 20070322
source:         RIPE

person:         Paolo Caocci
address:        Tiscali Italia SpA
address:        SS. 195 Km. 2,300
address:        09122 Cagliari
address:        Sardinia - Italy
remarks:        Network Engineer
phone:          +39 070 46011
fax-no:         +39 070 4609115
e-mail:         pcaocci@it.tiscali.com
nic-hdl:        PC2538-RIPE
changed:        pcaocci@it.tiscali.com 20050112
changed:        pau@tiscali.net 20070322
source:         RIPE

% Information related to '84.220.0.0/14AS8612'

route:          84.220.0.0/14
descr:          Tiscali Italia SpA
origin:         AS8612
mnt-by:         AS8612-MNT
mnt-by:         TISCALI-INT-ROUTE
changed:        pau@tiscali.net 20040603
changed:        pau@tiscali.net 20041207
changed:        pau@tiscali.net 20070322
source:         RIPE

% Information related to '84.220.0.0/14AS3257'

route:        84.220.0.0/14
descr:        Tiscali SpA
origin:       AS3257
mnt-by:       TISCALI-INT-ROUTE
changed:      koch@tiscali.net 20041207
source:       RIPE

ciao

[bit]

ahaha alla faccia della privacy ancora un po e sappiamo che mutande porta  (good)

[fortran77]

Reinstalla tutto. Se ti bucano è l'unica cosa da fare, altrimenti non potrai mai più fidarti della tua macchina.
E soprattutto usa una passwod robusta...

[pescatore]

ahaha alla faccia della privacy ancora un po e sappiamo che mutande porta  (good)

ma che c' hai mai da ridere ..arileggiti l'inetnum del bollettino ARINC..l' hacker/lamer è uno qualunque dei milioni di utenti Tiscali. Si è nascosto benissimo, direi... Ma sopratutto non ci giocate col desktop remoto se non sapete cosa state facendo! E poi una buona password deve essere composta da almeno 10 caratteri alfanumerici comprendendo magari qualche carattere poco gradito come l'underscore. 10 caratteri equivalgono a 10! = 10*9*8*7*6*5*4*3*2 =3.628.800 combinazioni con ripetizione che un processo "random generator" deve produrre, inserire e testare sul computer da hackerare nell'arco di pochi microsecondi prima del time out. Con 10 caratteri o più si può fare lo stesso l'hacking, naturalmente, ma ci vuole la capacità di calcolo di un supercomputer o  perlomeno di un hardware molto al di sopra delle possibilità economiche di un qualunque lamer/hacker straccione a caccia di carte di credito o di polli che si prestano a fare gli zombies e vedersi coinvolti in qualche truffa e/o ricettazione telematica.

[ArTaX]

10 caratteri equivalgono a 10! = 10*9*8*7*6*5*4*3*2 =3.628.800 combinazioni con ripetizione che un processo "random generator" deve produrre, inserire e testare sul computer da hackerare nell'arco di pochi microsecondi prima del time out.

Piccola precisazione: non dovrebbero essere 10^10 combinazioni, mica 10!...

[Bl4ck[Sw0rd]]

io penso che abbia usato un tool per bypassare vnc quello è il problema