Co oznacza, że ​​muszę złapać hakera, który włamał się na jeden z moich komputerów? [Zamknięte]


20

System operacyjny: Windows 7 Enterprise Edition (90-dniowa wersja próbna)

Umieściłem komputer w strefie DMZ, aby przez chwilę móc obsługiwać serwer. (Przekazywanie portów nie działało w mojej wersji DD-WRT, którą zainstalowałem na routerze). Po pewnym czasie ktoś nawiązał połączenie z moim komputerem za pośrednictwem Remote Desktop Connection. W rzeczywistości pisze do mnie na skompromitowanym komputerze, pytając, czy „wydam licencję”, i że powinienem „poczekać 5 minut”. (Nie trzeba dodawać, że napisałem na maszynie i powiedziałem mu, żeby ... no cóż.)

Wykonanie netstatpolecenia z wbudowanego komputera pokazało to, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDwięc zgaduję, że zmienił mój plik hosts na to, że jego adres IP będzie ukryty. Zmienił także hasło administratora na pudełku i zdegradował moje konto, aby nie było adminem. Mogę zalogować się na własne konto i robić rzeczy inne niż administracyjne, które lubię, ale to wszystko.

Wraca również za każdym razem, gdy włączam komputer, zwykle w ciągu około 25 minut, ale czasami nawet 2 lub 3 po jego włączeniu. Więc mam wrażenie, że przesłał coś, co działa przy starcie i dzwoni do domu.

Wydaje mi się, że to dzieło skrypciarza i kogoś, kto nie mówi zbyt dobrze po angielsku. Wszystkie moje drzwi były otwarte, a także moje okna. (Nie przewidziano gry słów). Włączyłem RDC, aby umożliwić zdalne połączenia spoza mojej sieci.

Po zakończeniu będę formatować cały komputer, ale chciałem wiedzieć, czy mogę coś zrobić, aby wyśledzić tego faceta, aby móc przekazać jego adres IP organom ds. Cyberprzestępczości w mojej okolicy.

[EDYCJA] Mój router ma teraz zainfekowany adres IP komputera w sieci lokalnej ustawiony na adres DMZ w moim routerze. Wiem, jak skonfigurować Port Fording, ale jak powiedziałem, nie działa w mojej wersji DD-WRT, używam wersji beta, niestabilnej DD-WRT. W ogóle nie miałem włączonej Zapory systemu Windows. Uważam, że jest to RDC, ponieważ system Windows pyta mnie, czy zezwalam na połączenie Administratora / DESKTOP-PC. Menedżer zadań pokazuje tylko moje konto, aby wyświetlić proces na innych kontach, potrzebuję administratora, a on zmienił moje hasło administratora. Pisał do mnie przez otwartą konsolę wiersza poleceń, którą otworzyłem, abym mógł wykonać polecenie netstat. Po wykonaniu polecenia netset korzystałem z innego laptopa z systemem Linux, aby dowiedzieć się, czy mogę uzyskać jego adres IP z jego nazwy hosta. Kiedy to robiłem, Zauważyłem, że w konsoli jest jakiś tekst, którego nie napisałem, z napisem „Licencjonujesz, poczekaj 5 minut”. w konsoli wiersza poleceń. Dlatego myślę, że używa RDC, ponieważ widać, że widzi pulpit mojego komputera. Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory! widać, że widzi pulpit mojego komputera. Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory! Widać, że widzi pulpit mojego komputera. Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory!


Twoje pytanie jest dość niepełne, jak wskazałem w mojej odpowiedzi. Czy możesz to poprawić, wprowadzając więcej szczegółów, abyśmy mogli Ci pomóc znacznie lepiej niż spekulacje? Ustawiłeś to jak honeypot , więc po prostu zakochujesz się w pierwszym najlepszym szybkim skanowaniu portów, który mija twój system ...
Tamara Wijsman,

Odpowiedzi:


17

umieść mój komputer w strefie DMZ, abym mógł przez chwilę hostować serwer.

Masz na myśli klienta, tak jak powiedziałeś, że chodzi o system Windows 7. Jakie usługi udostępniasz?


Przekazywanie portów nie działało w mojej wersji DD-WRT, którą zainstalowałem na routerze.

Przeczytaj przewodnik, ponieważ jest to dość prosty w konfiguracji. Najprawdopodobniej zapomniałeś otworzyć port.

Co z Zaporą systemu Windows? Czy to jest odpowiednio skonfigurowane, czy też jest szeroko otwarte?


Po krótkiej chwili ktoś nawiązał połączenie z moim komputerem przez połączenie pulpitu zdalnego

Jesteś pewny? Czy sprawdziłeś, że jest to RDC? Powinien ujawnić połączenie.

Na jakim koncie jest zalogowany? Zajrzyj do menedżera zadań.

Czy twoje hasło jest wystarczająco silne? Coś co najmniej 8 znaków w stylu A-Za-z0-9 ...


W rzeczywistości pisze do mnie na skompromitowanym komputerze

Jak on pisze do ciebie na komputerze? Przez net send?

Widzisz, jak pisze na żywo dla Ciebie notepad? Ponieważ to nie byłoby RDC...


więc zgaduję, że zmienił mój plik hosts na to, że jego adres IP byłby ukryty

Czy potrafisz przynajmniej zweryfikować swoje założenia? Jeśli to pomaga, to jest serwer Google związany z usługami Talk ... Poza tym, że brakuje informacji, nie może być tak, że jest tam tylko jedno połączenie.

Spróbuj pobrać następujący wiersz poleceń po pobraniu tego poręcznego narzędzia do połączeń :

tcpvcon -a -c > connections.csv

Co pozwoliłoby nam uzyskać lepszą wskazówkę, w jaki sposób się połączył, poza tym, że możesz wypróbować sam GUI.


Zmienił także hasło administratora na pudełku i zdegradował moje konto, aby nie było adminem. Mogę zalogować się na własne konto i robić rzeczy inne niż administracyjne, które lubię, ale to wszystko.

Użyj ntpasswd, aby odzyskać swoje konto administratora. Jest dostępny na płycie rozruchowej Hiren's .


Więc mam wrażenie, że przesłał coś, co działa przy starcie i dzwoni do domu.

Czy to sprawdziłeś?

Sprawdź Autoruns pod kątem nieprawidłowości (które możesz również zapisać, jeśli chcesz udostępnić).

Sprawdź także Rootkitrevealer, jeśli używasz systemu 32-bitowego, na wypadek, gdyby był naprawdę paskudny ...


Wszystkie moje drzwi były otwarte, a także moje okna. (Nie przewidziano gry słów). Włączyłem RDC, aby umożliwić zdalne połączenia spoza mojej sieci.

Po zakończeniu będę formatować cały komputer, ale chciałem wiedzieć, czy mogę coś zrobić, aby wyśledzić tego faceta, aby móc przekazać jego adres IP organom ds. Cyberprzestępczości w mojej okolicy.

Jeśli otwierasz swój komputer na szeroki Internet, powinieneś przynajmniej go zabezpieczyć, najprawdopodobniej nie jest to RDC, jak powiedziałem wcześniej. Nie ma również potrzeby formatowania całego komputera, ponieważ gdy tylko uniemożliwisz jego działanie i zapora zapora komputera i wykonasz proste sfc /scannowskanowanie antywirusowe komputera, wszystko powinno być w porządku. Chociaż nie lubisz rozwiązywania problemów, równie dobrze możesz zainstalować ponownie.

Jeśli chcesz być paskudną osobą, możesz włączyć NetFlow na swoim DD-WRT i skonfigurować go tak, aby wysyłał go do innego komputera, na którym działa ntop i jest skonfigurowany do odbierania z routera, aby go wyśledzić.

wprowadź opis zdjęcia tutaj


Mój router ma teraz skompromitowany adres IP komputera w sieci lokalnej ustawiony na adres DMZ w moim routerze. Wiem, jak skonfigurować Port Fording, ale jak powiedziałem, nie działa w mojej wersji DD-WRT, używam wersji beta, niestabilnej DD-WRT. W ogóle nie miałem włączonej Zapory systemu Windows. Uważam, że jest to RDC, ponieważ system Windows pyta mnie, czy zezwalam na połączenie Administratora / DESKTOP-PC. Menedżer zadań pokazuje tylko moje konto, aby wyświetlić proces na innych kontach, potrzebuję administratora, a on zmienił moje hasło administratora.
Mark Tomlin

Pisał do mnie przez otwartą konsolę wiersza poleceń, którą otworzyłem, abym mógł wykonać polecenie netstat. Po wykonaniu polecenia netset korzystałem z innego laptopa z systemem Linux, aby dowiedzieć się, czy mogę uzyskać jego adres IP z jego nazwy hosta. Kiedy to robiłem, zauważyłem, że w konsoli jest jakiś tekst, którego nie napisałem, z napisem „Licencjonujesz, poczekaj 5 minut”. w konsoli wiersza poleceń. Dlatego myślę, że używa RDC, ponieważ widać, że widzi pulpit mojego komputera.
Mark Tomlin

@MarkTomlin: Następnie należy uaktualnić do odpowiedniej stabilnej wersji i włączyć zaporę ogniową, a także skonfigurować rejestrowanie (jak wspomniany syslog i / lub ntop, aby można było zalogować się na innym niedostępnym komputerze), aby wiedzieć, co dzieje się. Jeśli to RDC; netstat, tcpviewi wiresharkpowinien doprowadzić cię do nazwy hosta ISP lub adresu IP hakera lub jego proxy. Dlaczego pozwalasz mu się łączyć, czy jest chroniony bezpiecznym hasłem? Co z resztą mojego postu?
Tamara Wijsman,

Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory!
Mark Tomlin

1
@MarkTomlin: RDC nie udostępnia pulpitu, kradnie pulpit. Aby więc oboje pisać i jednocześnie widzieć, używałby czegoś innego ...
Tamara Wijsman,

11

Jeśli router rejestruje (lub możesz monitorować) ruch i możesz uzyskać routowalny adres IP, którego używa (innymi słowy, jego internetowy adres IP, a nie 192.168.xx, który jest wewnętrznym, innym niż routowalny adres IP), możesz to odwrócić, ale szanse na to, że go złapią, są nadal bardzo niewielkie.

Jeśli jest sprytny, używa zainfekowanego komputera jako serwera proxy (lub płatnej usługi proxy w innym kraju z niedbałymi przepisami), przekierowując przez to wszystkie nielegalne rzeczy. Innymi słowy, po prostu zmieniłbyś adres IP niewinnego, ale naiwnego zainfekowanego użytkownika. Nawet wtedy prawdopodobnie jest to w jakimś kraju, w którym zasięg prawa amerykańskiego nie osiągnie, nie mówiąc już o tym, że będą mieli taką potrzebę w większości przypadków, chyba że wartości w dolarach są wysokie.

To powiedziawszy, zawsze możesz spróbować.


1
Skąd wiesz, że OP pochodzi z USA?
Thomas Bonini,

3
@AndreasBonini: L., NY .
Tamara Wijsman

Nie przypuszczałbym, że atakujący jest wystarczająco sprytny, by zatrzeć ślady. On oczywiście nie jest zawodowcem i po prostu bawi się z komputerem dla facetów dla zabawy, a to bardzo dziecinny scenariusz. Istnieje spora szansa, że ​​jakiś dzieciak uruchamia RAT (narzędzie do zdalnej administracji) z piwnicy rodziców imo ...
stoj

Jestem z USA :).
Mark Tomlin

3

Użyj bardziej szczegółowego programu, takiego jak tcpview, i wyłącz opcję rozpoznawania hosta, aby zamiast nazwy hosta wyświetlany był rzeczywisty adres IP.

Ale, jak mówi KCotreau, jeśli nie są super-skryptowym dzieckiem, przechodzą przez serwer proxy, inną zainfekowaną maszynę lub przez Tora, więc ich adres IP jest niemożliwy do wyśledzenia, chyba że chcesz spróbować nakłonić ich do zrobienia czegoś, co by to ujawniło, na przykład odwiedzając specjalnie spreparowany flash strony javascript itp. Nie jestem pewien, czy chcesz podróżować tą ścieżką.


Tor jest zbyt wolny dla połączeń VNC, ale najprawdopodobniej nie da się go wyśledzić, chyba że jest dość głupi. Chociaż widziałem, jak ludzie robili to w dawnych czasach, nie kryjąc się ...
Tamara Wijsman,

@Tom Wijsman. OP powiedział, że to RDP, co! = VNC. Jednak twój punkt prawdopodobnie nadal jest słuszny, chociaż uważam, że RDP używa znacznie mniejszej przepustowości niż VNC, biorąc pod uwagę naturę tego, co jest przesyłane.
queso

Na początku nie był pewien, dopóki tego nie zauważył. Chociaż nadal jest dziwne, że mówi o jednoczesnym korzystaniu z tego samego konta, co nie jest możliwe w przypadku RDP. Jeśli chodzi o wykorzystanie przepustowości, zależy to od ustawień. To może być prawda, ale z mojego doświadczenia Tor jest bardzo powolny ...
Tamara Wijsman,

1
  • Odłącz kabel sieciowy od komputera.
  • Sprawdź uruchomienie pod kątem wszelkich nietypowych zdarzeń (start> uruchom> msconfig> karta „Uruchamianie”)
  • Uruchom skanowanie AV
  • Uruchom skanowanie za pomocą złośliwego oprogramowania i spybota
  • Po tym wszystkim zrestartuj i uruchom HijackThis! i przeanalizuj wygenerowany dziennik.
  • Gdy komputer będzie wolny od wszystkiego, upewnij się, że zapora jest uruchomiona, a ochrona AV jest włączona i aktualna. Wyłącz także strefę DMZ w routerze. Jeśli nie możesz wykonać przekierowania portów, użyj logmein.com do zdalnego dostępu.
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.