Se han colado en mi equipo, ¿me echais una mano?

[Tecnofilo]

Buenas, mmm como empiezo....

esta tarde trabajando en mi equipo, alguien, por sorpresa me ha remoteado a traves de vnc y me ha pintado un texto en el campo donde trabajaba mi blog. En inglés me ha dicho algo asi como, "quillo, habilita en el panel de control de Windows el firewall que te puedo cazar la ip" (eso he entendido mas o menos) y si no recuerdo mal erar algo como: "control panel echo -i 0.0.0.0 winipconfig.exe".

En ese momento me he quedado perplejo, pero he visto como a traves de vnc estaba siendo remoteado!!.

Reconozco que me he descuidado un poco al quitar ZoneAlarm (version gratuita) dado que en ocasiones me impide navegar como ha sido el caso hoy. Normalmente activo el firewall de windows cuando desactivo zonealarm o reviso que se haga de forma automática. Hoy me he despistado.

A continuación inmediatamente he desconectado el remoto (cerrando el vnc server), he reiniciado la máquina y he restablecido ZoneAlarm y desactivado el vnc server. He pasado por el equipo Avast, he mirado con netstat que tipo de conexiones había entre mi equipo y la red al navegar de nuevo por la administracion de mi blog, nada extraño, y revisando los discos duros no he detectado perdida de datos al echar un vistazo por encima.

Aun así en esta situación me pregunto:

¿puedo hacer algo más?
¿habrá accedido al router? (comtrend de jazztel con user y pass cambiadas)
¿habrá accedido al otro equipo de la red?
¿llevará mucho tiempo dandose paseos por mi equipo?
¿tendrá las claves de banca electronica?
¿me preocupo demasiado?

¿me echais una mano?

Un saludo.

[ocserr]

desgraciadamente poco puedes hacer, para saber las sesiones o las veces que se conecto esa pesona a tu ordenador, lo que puedes hacer es cambiar cualquier dato importante (cuentas bancarias,correos empreariales,etc.) otro seria buscar en los blogs y posteriormente colocar programas para saber lo que se realiza diaramente

[Tecnofilo]

Pensais que debería ponerme en el peor de los casos y pensar que este tipo ha tenido mala fe?

¿Me pongo en marcha a cambiar todas claves con las que trabajo, empezando por banca electronica?

Formateo el equipo?

...... que opinais? que estoy tardando ya...

[marvinsantos]

deberias hacer eso .. cambiar tus claves de bancos. Eso si te ayudara a estar mas tranquilo.

[j8k6f4v9j]

Yo pienso que si realmente tuviera mala fe no te habría avisado.

De todos modos, las claves de todos tipo conviene cambiarlas frecuentemente, mucho más si piensas que han podido ser obtenidas.

Salu2

[reedi]

socio, me parece que lo que te ha hecho la persona esa en cuestion , ha sido avisarte de que no tienes el cortafuegos del propio windows conectalo y ya esta.

Revisalo, porque me imagino que tendras un antivirus con cortafuegos, pues con el del propio windows conectado ya vale...............solo tienes que controlar los puertos abiertos y eso ya lo hace por ti el cortafuegos


es mi opinion...............saludos.

[Tecnofilo]

Gracias por vuestra ayuda

[j8k6f4v9j]

socio, me parece que lo que te ha hecho la persona esa en cuestion , ha sido avisarte de que no tienes el cortafuegos del propio windows conectalo y ya esta.

Hombre, yo haría algunas cosillas más xD Además de que no usaría el cortafuegos de güindous ni borracho Hay opciones mucho mejores

Salu2

[LeRaS]

Aver si lo pillo, no se necesita que en una maquina haya un troyano para poder entrar? quiero decir, el tio/tia en cuestion, ha entrado sin necesidad (vale, por el vnc, pero eso depende de si esta abierto o no), pero todo lo que se hace por el vnc se ve (me refiero a que se te mueve el raton), vale que aparte de tomar medidas de seguridad i tal, mientras no vuelva a olvidarse el vnc..., kicir, un windows sin firewall es tan vulnerable para que sin necesidad de troyanos ni cosas asi se pueda campar tan alegre? lo digo xq si ha pasado el avast i no le ha reconocido ningun troyano ni keylogger, en principio no tendria porque temer por sus contraseñas, no? (lo demas si xq se lee de primeras), pero los asteriscos...

(No se si es coherente lo que digo, mis conocimientos (de momento) son muy basicos)

[clarinetista]

Puedes acceder de muchas maneras aparte de un troyano.
Para mi eso es una verdadera intrusion.
Por otro lado, yo no dejaria mi seguridad en manos del Firewall de Windows.
Cambia todas tus passwords por unas mas seguras ahora mismo y pon algo mas de seguridad en tu equipo para que no vuelva a sucederte

[hail]

yo de ti hacia esto:
Lo primero y principal cambia todas las claves de todo incluidas las del router, usuarios, cuentas de banco, de email etc.
Si el router posee listas de control de acceso por mac o por ip configuralas.
Si el router dispone de firewall activalo.
Apartir de aqui lo siguiente seria en tu sistema operativo, que no especificas cual es,
aun asi el firewall de windows no lo uses, busca en internet que tienes algunos muy buenos, el zonealarm no esta mal pero hay mejores.
En tu sistema si es algun tipo de servidor u ofrece servicios al exterior, revisa todos los servicios activos y desactiva los que no uses, y en la medida de lo que se pueda configura los activos para que haya los menos fallos de configuracion posibles.
Estos pasos creo qeu ayudarian a que no volviera a pasarte esto, se me olvidaba tendras que revisar tambien todos los permisos de todas las carpetas qeu compartas y limitarlos a unica y exclusivamente los usuarios que utilices en tu sistema, al igual que si es un xp cuidado con las carpetas que el sistema comparte de por si.
Aun asi yo de ti explicaria todo un poco mas, es decir, para el ataque que has tenido se plantean muchas posibilidades, a sido a tu sistema? a sido a la vnc? o a sido al blog al que el atacante a dirigido su ataque? entre otras cosas porqeu si te dice qeu ve tu ip lo mas seguro es que a tu router no haya sido, si lo pensamos un poco ya sabria tu ip y no te diria eso. Planteas muchas cuestiones qeu solo podria acotar por lo menos yo con mas informacion.
Espero servir de ayuda, saludos.

[j8k6f4v9j]

Un antivirus nunca te parcheará uns vulnerabilidad del sistema.

Si alguien explota una vulnerabilidad y consigue ejectura un programa malicioso, si el antivirus lo reconoce lo detendrá, pondrá en cuarentena o lo que quiera que haga.

Pero si alguien explota esa misma vulnerabilidad consiguiendo ejecutar un código desconocido por el antivirus (por muy actualizado que esté) entonces éste no se enterará de nada.

Yo lo resumo en lo siguiente, y te quitas la mayoría de los problemas más comunes:

-Sistema operativo actualizado.
-Programas actualizados.
-Antivirus actualizado
-Cortafuegos bien configurado.

Evidentemente estoy hablando de una máquina güindous, aunque cada vez más se empiezan a usar soluciones antivirus en otros sistemas operativos como GNU/linux

Salu2

[LooKoo]

Gracias por vuestra ayuda

Si no te hace falta el VNC (server) (para que no pueda entra otra vez) ->>> UNINSTALL y utiliza el VNC viwer nada mas!

[jerom]

Hombre, yo haría algunas cosillas más xD Además de que no usaría el cortafuegos de güindous ni borracho Hay opciones mucho mejores

Salu2

dos cosas:
1. ¡en serio es así de malo el de windows!, o es por alguna otra razón que dices esto?, ejmp "todos le atacan a ese"
2. ¿Cual firewall podrías recomendar?

[j8k6f4v9j]

1 Absolutamente en serio.
2 Hay varios posts en el foro recomendando muy buenos firewall, gratuitos y potentes.

Salu2

[Tecnofilo]

juer me dejáis perplejos.... estaba yo en otros asuntos y al retomar me encuentro con toda vuestra ayuda que acabo de leer. Gracias.

Os doy más detalles. He cambiado contraseñas de bancos, router, etc.

El ataque fue de la siguiente manera:

Con Windows XP trabajando en mi blog con firefox, sin contafuegos activos (ni el de windows ni el zonealarm) de repende veo que alguien toma el control del teclado y el ratón y me pintan el texto que os mencioné en el primer post.

Inmediatamente cierro el vnc server y reseteo el router, para que me cambie la IP (es dinamica).

A continuación valoro la situación y me doy cuenta de lo expuesto que he estado. Lo que no se es si el ataque ha sido puntual, fortuito, me han estado investigando y me han esperado (como el que dice) o que se yo. No se me ocurre quien pueda estar interesado en acceder a mi equipo, router, red local, blog...

Lo que me temia era un acceso al router y que me lo manipularan para temas de SPAM, que no será la primera vez que pasa. No es mi caso pero se me ha pasado por la cabeza que el objetivo pudiera ser ese por la ADSL2+ que tengo.

No he notado nada raro en los días posteriores al ataque.

Espero que os sirva de ayuda.

Nota: empleo zonealarm por el tema de ser versión comercial gratuita de facil manejo. Leeré vuestros consejos del foro y me haré con otra herramienta a ver que tal. Empleo VNC para conectarme a maquinas por la red y en ocasiones para que se conecten a mi maquina y enseñar a la peña sobre temas de informática y demás (pero como veis tengo mucho que aprender todavía).

Por cierto: localice la IP desde donde se conectaron a través del editor de sucesos de Windows.

[Men]

Tal vez es un amgigo tuyo que te quiere jugar una broma, pues a mi me paso, a un amigo le instale en su computadora un programa de acceso remoto, pero yo tuve un acceso fisico al equipo y fue cuando se descuido, pero de todas formas que bien que has cambiado tus datos.