Co oznacza, że ​​muszę złapać hakera, który włamał się na jeden z moich komputerów? [Zamknięte]

System operacyjny: Windows 7 Enterprise Edition (90-dniowa wersja próbna)

Umieściłem komputer w strefie DMZ, aby przez chwilę móc obsługiwać serwer. (Przekazywanie portów nie działało w mojej wersji DD-WRT, którą zainstalowałem na routerze). Po pewnym czasie ktoś nawiązał połączenie z moim komputerem za pośrednictwem Remote Desktop Connection. W rzeczywistości pisze do mnie na skompromitowanym komputerze, pytając, czy „wydam licencję”, i że powinienem „poczekać 5 minut”. (Nie trzeba dodawać, że napisałem na maszynie i powiedziałem mu, żeby ... no cóż.)

Wykonanie netstatpolecenia z wbudowanego komputera pokazało to, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDwięc zgaduję, że zmienił mój plik hosts na to, że jego adres IP będzie ukryty. Zmienił także hasło administratora na pudełku i zdegradował moje konto, aby nie było adminem. Mogę zalogować się na własne konto i robić rzeczy inne niż administracyjne, które lubię, ale to wszystko.

Wraca również za każdym razem, gdy włączam komputer, zwykle w ciągu około 25 minut, ale czasami nawet 2 lub 3 po jego włączeniu. Więc mam wrażenie, że przesłał coś, co działa przy starcie i dzwoni do domu.

Wydaje mi się, że to dzieło skrypciarza i kogoś, kto nie mówi zbyt dobrze po angielsku. Wszystkie moje drzwi były otwarte, a także moje okna. (Nie przewidziano gry słów). Włączyłem RDC, aby umożliwić zdalne połączenia spoza mojej sieci.

Po zakończeniu będę formatować cały komputer, ale chciałem wiedzieć, czy mogę coś zrobić, aby wyśledzić tego faceta, aby móc przekazać jego adres IP organom ds. Cyberprzestępczości w mojej okolicy.

[EDYCJA] Mój router ma teraz zainfekowany adres IP komputera w sieci lokalnej ustawiony na adres DMZ w moim routerze. Wiem, jak skonfigurować Port Fording, ale jak powiedziałem, nie działa w mojej wersji DD-WRT, używam wersji beta, niestabilnej DD-WRT. W ogóle nie miałem włączonej Zapory systemu Windows. Uważam, że jest to RDC, ponieważ system Windows pyta mnie, czy zezwalam na połączenie Administratora / DESKTOP-PC. Menedżer zadań pokazuje tylko moje konto, aby wyświetlić proces na innych kontach, potrzebuję administratora, a on zmienił moje hasło administratora. Pisał do mnie przez otwartą konsolę wiersza poleceń, którą otworzyłem, abym mógł wykonać polecenie netstat. Po wykonaniu polecenia netset korzystałem z innego laptopa z systemem Linux, aby dowiedzieć się, czy mogę uzyskać jego adres IP z jego nazwy hosta. Kiedy to robiłem, Zauważyłem, że w konsoli jest jakiś tekst, którego nie napisałem, z napisem „Licencjonujesz, poczekaj 5 minut”. w konsoli wiersza poleceń. Dlatego myślę, że używa RDC, ponieważ widać, że widzi pulpit mojego komputera. Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory! widać, że widzi pulpit mojego komputera. Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory! Widać, że widzi pulpit mojego komputera. Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory!

umieść mój komputer w strefie DMZ, abym mógł przez chwilę hostować serwer.

Masz na myśli klienta, tak jak powiedziałeś, że chodzi o system Windows 7. Jakie usługi udostępniasz?

Przekazywanie portów nie działało w mojej wersji DD-WRT, którą zainstalowałem na routerze.

Przeczytaj przewodnik, ponieważ jest to dość prosty w konfiguracji. Najprawdopodobniej zapomniałeś otworzyć port.

Co z Zaporą systemu Windows? Czy to jest odpowiednio skonfigurowane, czy też jest szeroko otwarte?

Po krótkiej chwili ktoś nawiązał połączenie z moim komputerem przez połączenie pulpitu zdalnego

Jesteś pewny? Czy sprawdziłeś, że jest to RDC? Powinien ujawnić połączenie.

Na jakim koncie jest zalogowany? Zajrzyj do menedżera zadań.

Czy twoje hasło jest wystarczająco silne? Coś co najmniej 8 znaków w stylu A-Za-z0-9 ...

W rzeczywistości pisze do mnie na skompromitowanym komputerze

Jak on pisze do ciebie na komputerze? Przez net send?

Widzisz, jak pisze na żywo dla Ciebie notepad? Ponieważ to nie byłoby RDC...

więc zgaduję, że zmienił mój plik hosts na to, że jego adres IP byłby ukryty

Czy potrafisz przynajmniej zweryfikować swoje założenia? Jeśli to pomaga, to jest serwer Google związany z usługami Talk ... Poza tym, że brakuje informacji, nie może być tak, że jest tam tylko jedno połączenie.

Spróbuj pobrać następujący wiersz poleceń po pobraniu tego poręcznego narzędzia do połączeń :

tcpvcon -a -c > connections.csv

Co pozwoliłoby nam uzyskać lepszą wskazówkę, w jaki sposób się połączył, poza tym, że możesz wypróbować sam GUI.

Zmienił także hasło administratora na pudełku i zdegradował moje konto, aby nie było adminem. Mogę zalogować się na własne konto i robić rzeczy inne niż administracyjne, które lubię, ale to wszystko.

Użyj ntpasswd, aby odzyskać swoje konto administratora. Jest dostępny na płycie rozruchowej Hiren's .

Więc mam wrażenie, że przesłał coś, co działa przy starcie i dzwoni do domu.

Czy to sprawdziłeś?

Sprawdź Autoruns pod kątem nieprawidłowości (które możesz również zapisać, jeśli chcesz udostępnić).

Sprawdź także Rootkitrevealer, jeśli używasz systemu 32-bitowego, na wypadek, gdyby był naprawdę paskudny ...

Wszystkie moje drzwi były otwarte, a także moje okna. (Nie przewidziano gry słów). Włączyłem RDC, aby umożliwić zdalne połączenia spoza mojej sieci.

Po zakończeniu będę formatować cały komputer, ale chciałem wiedzieć, czy mogę coś zrobić, aby wyśledzić tego faceta, aby móc przekazać jego adres IP organom ds. Cyberprzestępczości w mojej okolicy.

Jeśli otwierasz swój komputer na szeroki Internet, powinieneś przynajmniej go zabezpieczyć, najprawdopodobniej nie jest to RDC, jak powiedziałem wcześniej. Nie ma również potrzeby formatowania całego komputera, ponieważ gdy tylko uniemożliwisz jego działanie i zapora zapora komputera i wykonasz proste sfc /scannowskanowanie antywirusowe komputera, wszystko powinno być w porządku. Chociaż nie lubisz rozwiązywania problemów, równie dobrze możesz zainstalować ponownie.

Jeśli chcesz być paskudną osobą, możesz włączyć NetFlow na swoim DD-WRT i skonfigurować go tak, aby wysyłał go do innego komputera, na którym działa ntop i jest skonfigurowany do odbierania z routera, aby go wyśledzić.

Jeśli router rejestruje (lub możesz monitorować) ruch i możesz uzyskać routowalny adres IP, którego używa (innymi słowy, jego internetowy adres IP, a nie 192.168.xx, który jest wewnętrznym, innym niż routowalny adres IP), możesz to odwrócić, ale szanse na to, że go złapią, są nadal bardzo niewielkie.

Jeśli jest sprytny, używa zainfekowanego komputera jako serwera proxy (lub płatnej usługi proxy w innym kraju z niedbałymi przepisami), przekierowując przez to wszystkie nielegalne rzeczy. Innymi słowy, po prostu zmieniłbyś adres IP niewinnego, ale naiwnego zainfekowanego użytkownika. Nawet wtedy prawdopodobnie jest to w jakimś kraju, w którym zasięg prawa amerykańskiego nie osiągnie, nie mówiąc już o tym, że będą mieli taką potrzebę w większości przypadków, chyba że wartości w dolarach są wysokie.

To powiedziawszy, zawsze możesz spróbować.

Użyj bardziej szczegółowego programu, takiego jak tcpview, i wyłącz opcję rozpoznawania hosta, aby zamiast nazwy hosta wyświetlany był rzeczywisty adres IP.

Ale, jak mówi KCotreau, jeśli nie są super-skryptowym dzieckiem, przechodzą przez serwer proxy, inną zainfekowaną maszynę lub przez Tora, więc ich adres IP jest niemożliwy do wyśledzenia, chyba że chcesz spróbować nakłonić ich do zrobienia czegoś, co by to ujawniło, na przykład odwiedzając specjalnie spreparowany flash strony javascript itp. Nie jestem pewien, czy chcesz podróżować tą ścieżką.

• Odłącz kabel sieciowy od komputera.
• Sprawdź uruchomienie pod kątem wszelkich nietypowych zdarzeń (start> uruchom> msconfig> karta „Uruchamianie”)
• Uruchom skanowanie AV
• Uruchom skanowanie za pomocą złośliwego oprogramowania i spybota
• Po tym wszystkim zrestartuj i uruchom HijackThis! i przeanalizuj wygenerowany dziennik.
• Gdy komputer będzie wolny od wszystkiego, upewnij się, że zapora jest uruchomiona, a ochrona AV jest włączona i aktualna. Wyłącz także strefę DMZ w routerze. Jeśli nie możesz wykonać przekierowania portów, użyj logmein.com do zdalnego dostępu.