Wczoraj siedzę spokojnie na komputerze, aż tu ktoś mi się łączy po VNC. Myślę sobie, pewnie ktoś z laptopa na dole – ale prewencyjnie ‘zabiłem’ proces (nie dam grzebać bratu bez zgody ;P). Za chwilę połączenie się odnawia (usługa restartuje proces) i ktoś zdążył uruchomić explorer.exe (too bad not to be noticed). Ubijam proces, wyłączam usługę. Schodzę na dół – laptop wyłączony…

Router is off, robimy dochodzenie. Przy okazji znalazłem ciekawe rzeczy w logu (pozdrawiam TP! ^_^)
Brak firewalla na komputerze oraz brak hasła do VNC był zamierzony – chciałem szybko i ‘w tle’ móc zalogować się na komputer z telefonu. Sądziłem, że to że mieszkam na odludziu mnie chroni (w końcu VNC otwarte tylko w LANie, a zresztą sieć WiFi całkiem całkiem zabezpieczona). Tia. Tylko skąd wzięło się to przekierowanie portu 5900 na routerze na mój wewnętrzny [stały] adres IP? Musiałem to kiedyś sam ustawić, tylko nie wiem po co…

Kilka punkcików do przyswojenia:
1. Nie ustawiaj sobie domeny zewnętrznej do komputera lokalnego (coś jak własne no-ip). To jest złe.
2. Nie przekierowuj portów na routerze jeśli nie jest to konieczne. Tym bardziej, jeśli router jest otwarty na świat.
3. Największym błędem jest brak hasła do VNC. Największym.
4. Firewall jednak się przydaje. Choćby do namierzenia kto to taki bawił się nmapem, znalazł port i sprawdził co tam siedzi.

A teraz my list of fame od października: (log z Apache 2.x chodzącego na moim komputerze na porcie 80, brak firewalla, port na routerze na niego przekierowany oraz dodatkowo domena w internecie która wskazuje na mój adres IP (własne no-ip :]): klik. W skrócie: ktoś się bawi payloadem, TP się martwi, bot szuka phpmyadmin i potencjalnej dziury, sprawdzają czy żyję, znowu TP się martwi, znowu payloady, znowu TP, znowu payloady, znów szukają phpmyadmin, znowu payloady, bot Morpheus się pokazał, payloady, sprawdzają czy żyję… Nuda.
Ostatni IP również jest znany w „internetach”…
I tajemniczej osoby (a może bota?), która to się łączyła z moim komputerem nie znalazłem. Jeszcze…