Якими засобами мені потрібно зловити хакера, який тріснув на одному з моїх комп'ютерів? [зачинено]


20

ОС: Windows 7 Enterprise Edition (90-денна пробна версія)

Я помістив свій комп'ютер у DMZ, щоб я міг трохи розмістити сервер. (Переадресація портів не працює в моїй версії DD-WRT, яку я встановив на маршрутизаторі.) Через деякий час хтось зробив підключення до мого комп'ютера через підключення до віддаленого робочого столу. Насправді він набирає мене на компрометованому комп’ютерному праві, питає, чи "я отримаю ліцензію", і що я повинен "почекати 5 хвилин". (Потрібно сказати, що я набрав назад і сказав йому ... добре засунути його.)

Виконання netstatкоманди з комп'ютера, що складається, показало це, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDтому я гадаю, що він змінив файл мого хоста на те, що його IP-адреса буде прихована. Він також змінив пароль адміністратора у вікні та демотував мій обліковий запис, щоб він не був адміністратором. Я можу увійти до власного акаунту та робити непомітні речі, які мені подобаються, але це все.

Він також повертається кожен раз, коли я включаю комп'ютер, як правило, протягом приблизно 25 хвилин, але іноді лише 2 або 3 після того, як я його включаю. Так у мене є відчуття, що він завантажив щось, що працює при запуску, і дзвонить додому.

Мені це здається роботою сценарію малюка, і того, хто не дуже добре розмовляє англійською. Всі мої двері, де відкриті, а також мої вікна. (Не призначено каламбур.) У мене було включено RDC, щоб дозволяти віддалені з'єднання з моєї мережі.

Після закінчення я відформатую весь комп’ютер, але я хотів знати, чи є щось, що я можу зробити, щоб відстежити цього хлопця, щоб я міг передати його IP-адресу органам кіберзлочинності в моєму районі.

[EDIT] Мій маршрутизатор встановив IP-адресу мого комп'ютера в локальній мережі, встановлену на адресу DMZ в моєму маршрутизаторі. Я знаю, як налаштувати порт Фордінг, але, як я вже сказав, це не працює у моїй версії DD-WRT, я використовую бета-нестабільну версію DD-WRT. У мене взагалі не було включено брандмауер Windows. Я вважаю, що це RDC, тому що Windows запитує мене, чи нормально дозволити Administator / DESKTOP-PC підключатися. Завдання Mangager показує лише мій обліковий запис, щоб переглянути доступ до інших облікових записів, які мені потрібні адміністратору, і він змінив мій пароль адміністратора. Він набирав мене через відкриту консоль командного рядка, яку я відкрив, щоб я міг виконувати команду netstat. Після того як я виконав команду netset, я використовував інший ноутбук Linux, щоб дізнатися, чи можу я отримати його IP-адресу від імені хоста. Поки я робив це, Я помітив, що в консолі був якийсь текст, який я не написав, який сказав: "Ви отримаєте ліцензію, зачекайте 5 хвилин". в консолі командного рядка. Ось чому я думаю, що він використовує RDC, оскільки очевидно, що він може бачити робочий стіл мого комп’ютера. Я спробую підключити tcpvcon, і дам компакт-диска з Hiren's Boot. Я перевіряю журнал AutoRun після того, як я відновив доступ адміністратора до свого облікового запису, і я використовую 64-бітну версію Windows 7. І я обов'язково спробую NetFlow, але, думаю, мені доведеться оновити прошивку мого маршрутизатора на пізніша версія, що я вже маю. Дякую за допомогу поки що! Зрозуміло, що він може бачити робочий стіл мого комп’ютера. Я спробую підключити tcpvcon, і дам компакт-диска з Hiren's Boot. Я перевіряю журнал AutoRun після того, як я відновив доступ адміністратора до свого облікового запису, і я використовую 64-бітну версію Windows 7. І я обов'язково спробую NetFlow, але, думаю, мені доведеться оновити прошивку мого маршрутизатора на пізніша версія, що я вже маю. Дякую за допомогу поки що! Зрозуміло, що він може бачити робочий стіл мого комп’ютера. Я спробую підключити tcpvcon, і дам компакт-диска з Hiren's Boot. Я перевіряю журнал AutoRun після того, як я відновив доступ адміністратора до свого облікового запису, і я використовую 64-бітну версію Windows 7. І я обов'язково спробую NetFlow, але, думаю, мені доведеться оновити прошивку мого маршрутизатора на пізніша версія, що я вже маю. Дякую за допомогу поки що!


Ваше запитання досить неповне, як я окреслив у своїй відповіді. Чи можете ви покращити це детальніше, щоб ми могли допомогти вам набагато краще, ніж спекуляції? Ви відкрили це як медовий горщик , тож ви просто потрапляєте на перше найкраще швидке сканування портів, яке проходить вашу систему ...
Tamara Wijsman

Відповіді:


17

поклав мій комп'ютер у DMZ, щоб я міг трохи розмістити сервер.

Ви маєте на увазі клієнта, як ви сказали, що це стосується Windows 7. Які послуги ви хостите?


Переадресація портів не працює в моїй версії DD-WRT, яку я встановив на маршрутизаторі.

Прочитайте посібник, адже це досить просто. Ви, швидше за все, забули відкрити порт.

Що з брандмауером Windows? Це правильно налаштовано чи він також широко відкритий?


Через деякий час хтось зробив зв’язок із моїм комп’ютером через підключення до віддаленого робочого столу

Ти впевнений? Ви переконалися, що це RDC? Це повинно виявити зв’язок.

Під яким обліковим записом він увійшов? Подивіться у менеджера завдань.

Ваш пароль досить міцний? Щось як мінімум 8 символів у стилі A-Za-z0-9 ...


Насправді він набирає мене на компрометованому комп’ютерному праві

Як він набирає вас на комп’ютері? Через net send?

Ви бачите, як він набирає вас у прямому ефірі notepadчи щось таке? Тому що це не було б RDC...


тому я здогадуюсь, що він змінив файл мого хоста, щоб його IP-адреса була прихована

Чи можете ви хоча б підтвердити свої припущення? Якщо це допомагає, це сервер Google, пов’язаний із послугами Talk ... Крім того, що бракує інформації, не може бути, що там є лише одне з'єднання.

Спробуйте наступний командний рядок після завантаження цього зручного інструменту підключення :

tcpvcon -a -c > connections.csv

Що дозволило б нам зрозуміти, як він підключився, крім того, що ви можете спробувати сам графічний інтерфейс.


Він також змінив пароль адміністратора у вікні та знизив мій обліковий запис, щоб він не був адміністратором. Я можу увійти до свого власного акаунту та робити непомітні речі, які мені подобаються, але це все.

Використовуйте ntpasswd, щоб відновити обліковий запис адміністратора. Він доступний на завантажувальному CD Hiren .


Так у мене є відчуття, що він завантажив щось, що працює при запуску, і дзвонить додому.

Ви це підтвердили?

Перевірте Autoruns на наявність нічого ненормального (яке ви також можете зберегти, якщо хочете поділитися).

Також перевірте Rootkitrevealer, якщо у вас 32-бітна система, на випадок, якщо він справді неприємний ...


Всі мої двері, де відкриті, а також мої вікна. (Не призначено каламбур.) У мене було включено RDC, щоб дозволяти віддалені з'єднання з моєї мережі.

Після закінчення я відформатую весь комп’ютер, але я хотів знати, чи є щось, що я можу зробити, щоб відстежити цього хлопця, щоб я міг передати його IP-адресу органам кіберзлочинності в моєму районі.

Якщо ви відкриваєте свій комп’ютер для широкого Інтернету, вам слід принаймні захистити його, швидше за все це не RDC, як я вже говорив раніше. Також немає необхідності форматувати весь комп'ютер, як тільки ви заважаєте йому запускати свої речі, і ви брандмауер комп'ютера і робити простий sfc /scannowвздовж сканування вірусу ваш комп'ютер, ви повинні бути добре. Хоча вам не подобається усунення несправностей, ви також можете перевстановити.

Якщо ви хочете бути бридкою людиною, ви можете ввімкнути NetFlow на своєму DD-WRT і налаштувати його для відправки на інший комп'ютер, на якому працює ntop і налаштований на отримання від маршрутизатора для його відстеження.

введіть тут опис зображення


Мій маршрутизатор встановив IP-адресу мого комп'ютера в локальній мережі, встановлену на адресу DMZ в моєму маршрутизаторі. Я знаю, як налаштувати порт Фордінг, але, як я вже сказав, це не працює у моїй версії DD-WRT, я використовую бета-нестабільну версію DD-WRT. У мене взагалі не було включено брандмауер Windows. Я вважаю, що це RDC, тому що Windows запитує мене, чи нормально дозволити Administator / DESKTOP-PC підключатися. Завдання Mangager показує лише мій обліковий запис, щоб переглянути доступ до інших облікових записів, які мені потрібні адміністратору, і він змінив мій пароль адміністратора.
Марк Томлін

Він набирав мене через відкриту консоль командного рядка, яку я відкрив, щоб я міг виконувати команду netstat. Після того як я виконав команду netset, я використовував інший ноутбук Linux, щоб дізнатися, чи можу я отримати його IP-адресу від імені хоста. Поки я робив це, я помітив, що в консолі був якийсь текст, який я не написав, який сказав: "Ви отримаєте ліцензію, зачекайте 5 хвилин". в консолі командного рядка. Ось чому я думаю, що він використовує RDC, оскільки очевидно, що він може бачити робочий стіл мого комп’ютера.
Марк Томлін

@MarkTomlin: Тоді вам слід оновити належну стабільну версію та включити брандмауер, а також налаштувати ведення журналу (як було сказано у системному журналі та / або на ntop, щоб ви могли ввійти в нього на іншому недоступному комп'ютері), щоб ви могли знати, що буває. Якщо це RDC; netstat, tcpviewі wiresharkповинен отримати вас до імені хоста ISP або IP-адреси хакера або його проксі. Чому ви дозволяєте йому підключатися, чи захищений він захищеним паролем? Що з рештою моєї посади?
Тамара Війсман

Я спробую підключити tcpvcon, і дам компакт-диска з Hiren's Boot. Я перевіряю журнал AutoRun після того, як я відновив доступ адміністратора до свого облікового запису, і я використовую 64-бітну версію Windows 7. І я обов'язково спробую NetFlow, але, думаю, мені доведеться оновити прошивку мого маршрутизатора на пізніша версія, що я вже маю. Дякую за допомогу поки що!
Марк Томлін

1
@MarkTomlin: RDC не ділиться робочим столом, він краде робочий стіл. Тож для того, щоб ви обидва вводили або бачили одночасно, він би використовував щось інше ...
Tamara Wijsman

11

Якщо ваш маршрутизатор реєструє (або ви можете відстежувати) трафік, і ви можете отримати IP-адресу маршрутизованого маршруту, який він використовує (іншими словами, його IP-адресу в Інтернеті, а не IP-адресу 192.168.xx, яка є внутрішньою, маршрутизовану IP-адресу), ви могли б перевернути це, але шанси все ще дуже малі, що вони його впіймають.

Якщо він розумний, він використовує заражений комп'ютер як проксі-сервер (або платну проксі-сервіс в іншій країні з розслабленим законодавством), проправляючи через це всі незаконні речі. Іншими словами, ви просто переходите через IP невинного, але наївно зараженого користувача. Навіть тоді, ймовірно, в якійсь країні, де законодавство США не досягне, не кажучи вже про те, що вони матимуть бажання у більшості випадків, якщо цифри долара не будуть високими.

Однак, ви завжди можете спробувати.


1
Як ви знаєте, що ОП з США?
Томас Боніні

3
@AndreasBonini: L., NY .
Тамара Війсман

Я б не припускав, що зловмисник досить розумний, щоб покрити свої сліди. Він, очевидно, не професіонал і просто возиться з комп'ютером для хлопців для розваги, і це дуже подобається дитячому сценарію. Є велика ймовірність, що це якась дитина, яка працює на RAT (інструмент віддаленого адміністрування) з підвалу своїх батьків imo ...
stoj

Я з США :).
Марк Томлін

3

Використовуйте більш детальну програму, наприклад tcpview, і вимкніть опцію для роздільної здатності хоста, так що замість імені хоста буде показана фактична IP-адреса.

Але, як каже KCotreau, якщо вони не є дитиною супер сценарію, вони проходять через проксі-сервер, іншу компрометовану машину або через Tor, тому їх IP-адресу не можна відслідковувати, якщо ви не хочете спробувати їх і не обдурити їх робити щось таке, як, наприклад, відвідування спеціально створеної спалаху сторінки javascript тощо. Не впевнений, що ти хочеш подорожувати цим шляхом.


Tor занадто повільний для підключення до VNC, але він, швидше за все, може бути не відстежуваним, якщо він не дуже тупий. Хоча я бачив, як люди робили це ще за старих часів, не покриваючи себе ...
Тамара Війсман

@Tom Wijsman. ОП заявила, що це RDP, який! = ВНК. Однак, напевно, ваша думка все-таки стоїть, хоча я вважаю, що RDP використовує набагато меншу пропускну здатність, ніж VNC, враховуючи характер переданої інформації.
Queso

Ну, спочатку він був не впевнений, поки не зазначив цього. Хоча все ще дивно, що він говорить про одночасне використання в одному і тому ж акаунті, що неможливо з RDP. Що стосується використання пропускної здатності, то це залежить від налаштувань. Це може бути правдою, але, на мій досвід, Тор дуже повільний ...
Тамара Війсман

1
  • Відключіть мережевий кабель від комп'ютера.
  • Перевірте запуск на наявність нічого незвичайного (пуск> запуск> msconfig> вкладка "Запуск")
  • Запустити AV-сканування
  • Запустіть сканування зі зловмисними програмами та шпигуном
  • Після цього все перезавантажте та запустіть HijackThis! та проаналізувати створений журнал.
  • Після того, як на вашому комп’ютері не буде нічого, переконайтеся, що ваш брандмауер встановлений, а захист аудіозаписів увімкнено та оновлено. Також відключіть DMZ в маршрутизаторі. Якщо ви не можете зробити порт вперед, тоді використовуйте logmein.com для віддаленого доступу.
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.