System operacyjny: Windows 7 Enterprise Edition (90-dniowa wersja próbna)
Umieściłem komputer w strefie DMZ, aby przez chwilę móc obsługiwać serwer. (Przekazywanie portów nie działało w mojej wersji DD-WRT, którą zainstalowałem na routerze). Po pewnym czasie ktoś nawiązał połączenie z moim komputerem za pośrednictwem Remote Desktop Connection. W rzeczywistości pisze do mnie na skompromitowanym komputerze, pytając, czy „wydam licencję”, i że powinienem „poczekać 5 minut”. (Nie trzeba dodawać, że napisałem na maszynie i powiedziałem mu, żeby ... no cóż.)
Wykonanie netstat
polecenia z wbudowanego komputera pokazało to, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED
więc zgaduję, że zmienił mój plik hosts na to, że jego adres IP będzie ukryty. Zmienił także hasło administratora na pudełku i zdegradował moje konto, aby nie było adminem. Mogę zalogować się na własne konto i robić rzeczy inne niż administracyjne, które lubię, ale to wszystko.
Wraca również za każdym razem, gdy włączam komputer, zwykle w ciągu około 25 minut, ale czasami nawet 2 lub 3 po jego włączeniu. Więc mam wrażenie, że przesłał coś, co działa przy starcie i dzwoni do domu.
Wydaje mi się, że to dzieło skrypciarza i kogoś, kto nie mówi zbyt dobrze po angielsku. Wszystkie moje drzwi były otwarte, a także moje okna. (Nie przewidziano gry słów). Włączyłem RDC, aby umożliwić zdalne połączenia spoza mojej sieci.
Po zakończeniu będę formatować cały komputer, ale chciałem wiedzieć, czy mogę coś zrobić, aby wyśledzić tego faceta, aby móc przekazać jego adres IP organom ds. Cyberprzestępczości w mojej okolicy.
[EDYCJA] Mój router ma teraz zainfekowany adres IP komputera w sieci lokalnej ustawiony na adres DMZ w moim routerze. Wiem, jak skonfigurować Port Fording, ale jak powiedziałem, nie działa w mojej wersji DD-WRT, używam wersji beta, niestabilnej DD-WRT. W ogóle nie miałem włączonej Zapory systemu Windows. Uważam, że jest to RDC, ponieważ system Windows pyta mnie, czy zezwalam na połączenie Administratora / DESKTOP-PC. Menedżer zadań pokazuje tylko moje konto, aby wyświetlić proces na innych kontach, potrzebuję administratora, a on zmienił moje hasło administratora. Pisał do mnie przez otwartą konsolę wiersza poleceń, którą otworzyłem, abym mógł wykonać polecenie netstat. Po wykonaniu polecenia netset korzystałem z innego laptopa z systemem Linux, aby dowiedzieć się, czy mogę uzyskać jego adres IP z jego nazwy hosta. Kiedy to robiłem, Zauważyłem, że w konsoli jest jakiś tekst, którego nie napisałem, z napisem „Licencjonujesz, poczekaj 5 minut”. w konsoli wiersza poleceń. Dlatego myślę, że używa RDC, ponieważ widać, że widzi pulpit mojego komputera. Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory! widać, że widzi pulpit mojego komputera. Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory! Widać, że widzi pulpit mojego komputera. Spróbuję połączenia tcpvcon i dam Hiren's Boot CD. Sprawdzę dziennik AutoRun po odzyskaniu dostępu administratora do mojego konta i używam 64-bitowej wersji systemu Windows 7. I na pewno spróbuję NetFlow, ale myślę, że będę musiał zaktualizować oprogramowanie wewnętrzne routera, aby późniejsza wersja tego, co już mam. Dziękujemy za pomoc do tej pory!
Odpowiedzi:
Masz na myśli klienta, tak jak powiedziałeś, że chodzi o system Windows 7. Jakie usługi udostępniasz?
Przeczytaj przewodnik, ponieważ jest to dość prosty w konfiguracji. Najprawdopodobniej zapomniałeś otworzyć port.
Co z Zaporą systemu Windows? Czy to jest odpowiednio skonfigurowane, czy też jest szeroko otwarte?
Jesteś pewny? Czy sprawdziłeś, że jest to RDC? Powinien ujawnić połączenie.
Na jakim koncie jest zalogowany? Zajrzyj do menedżera zadań.
Czy twoje hasło jest wystarczająco silne? Coś co najmniej 8 znaków w stylu A-Za-z0-9 ...
Jak on pisze do ciebie na komputerze? Przez
net send
?Widzisz, jak pisze na żywo dla Ciebie
notepad
? Ponieważ to nie byłobyRDC
...Czy potrafisz przynajmniej zweryfikować swoje założenia? Jeśli to pomaga, to jest serwer Google związany z usługami Talk ... Poza tym, że brakuje informacji, nie może być tak, że jest tam tylko jedno połączenie.
Spróbuj pobrać następujący wiersz poleceń po pobraniu tego poręcznego narzędzia do połączeń :
Co pozwoliłoby nam uzyskać lepszą wskazówkę, w jaki sposób się połączył, poza tym, że możesz wypróbować sam GUI.
Użyj ntpasswd, aby odzyskać swoje konto administratora. Jest dostępny na płycie rozruchowej Hiren's .
Czy to sprawdziłeś?
Sprawdź Autoruns pod kątem nieprawidłowości (które możesz również zapisać, jeśli chcesz udostępnić).
Sprawdź także Rootkitrevealer, jeśli używasz systemu 32-bitowego, na wypadek, gdyby był naprawdę paskudny ...
Jeśli otwierasz swój komputer na szeroki Internet, powinieneś przynajmniej go zabezpieczyć, najprawdopodobniej nie jest to RDC, jak powiedziałem wcześniej. Nie ma również potrzeby formatowania całego komputera, ponieważ gdy tylko uniemożliwisz jego działanie i zapora zapora komputera i wykonasz proste
sfc /scannow
skanowanie antywirusowe komputera, wszystko powinno być w porządku. Chociaż nie lubisz rozwiązywania problemów, równie dobrze możesz zainstalować ponownie.Jeśli chcesz być paskudną osobą, możesz włączyć NetFlow na swoim DD-WRT i skonfigurować go tak, aby wysyłał go do innego komputera, na którym działa ntop i jest skonfigurowany do odbierania z routera, aby go wyśledzić.
źródło
netstat
,tcpview
iwireshark
powinien doprowadzić cię do nazwy hosta ISP lub adresu IP hakera lub jego proxy. Dlaczego pozwalasz mu się łączyć, czy jest chroniony bezpiecznym hasłem? Co z resztą mojego postu?Jeśli router rejestruje (lub możesz monitorować) ruch i możesz uzyskać routowalny adres IP, którego używa (innymi słowy, jego internetowy adres IP, a nie 192.168.xx, który jest wewnętrznym, innym niż routowalny adres IP), możesz to odwrócić, ale szanse na to, że go złapią, są nadal bardzo niewielkie.
Jeśli jest sprytny, używa zainfekowanego komputera jako serwera proxy (lub płatnej usługi proxy w innym kraju z niedbałymi przepisami), przekierowując przez to wszystkie nielegalne rzeczy. Innymi słowy, po prostu zmieniłbyś adres IP niewinnego, ale naiwnego zainfekowanego użytkownika. Nawet wtedy prawdopodobnie jest to w jakimś kraju, w którym zasięg prawa amerykańskiego nie osiągnie, nie mówiąc już o tym, że będą mieli taką potrzebę w większości przypadków, chyba że wartości w dolarach są wysokie.
To powiedziawszy, zawsze możesz spróbować.
źródło
Użyj bardziej szczegółowego programu, takiego jak tcpview, i wyłącz opcję rozpoznawania hosta, aby zamiast nazwy hosta wyświetlany był rzeczywisty adres IP.
Ale, jak mówi KCotreau, jeśli nie są super-skryptowym dzieckiem, przechodzą przez serwer proxy, inną zainfekowaną maszynę lub przez Tora, więc ich adres IP jest niemożliwy do wyśledzenia, chyba że chcesz spróbować nakłonić ich do zrobienia czegoś, co by to ujawniło, na przykład odwiedzając specjalnie spreparowany flash strony javascript itp. Nie jestem pewien, czy chcesz podróżować tą ścieżką.
źródło
źródło