Что мне нужно, чтобы поймать хакера, взломавшего один из моих компьютеров? [закрыто]

20

ОС: Windows 7 Enterprise Edition (90-дневная пробная версия)

Я поместил свой компьютер в демилитаризованную зону, чтобы на некоторое время разместить сервер. (Переадресация портов не работала в моей версии DD-WRT, которую я установил на своем маршрутизаторе.) Через некоторое время кто-то установил соединение с моим компьютером через Remote Desktop Connection. На самом деле, он печатает мне прямо на скомпрометированном компьютере, спрашивая, «лицензирую ли я», и что мне следует «подождать 5 минут». (Само собой разумеется, я напечатал назад и сказал ему ... хорошо пихайте это.)

Выполнение netstatкоманды с входящего в комплект компьютера показало это, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDпоэтому я предполагаю, что он изменил мой файл hosts так, что его IP-адрес будет скрыт. Он также изменил пароль администратора на коробке и понижал мою учетную запись, чтобы он не был администратором. Я могу войти в свою учетную запись и делать то, что мне не нравится, но это все.

Он также возвращается каждый раз, когда я включаю свой компьютер, обычно в течение примерно 25 минут, но иногда через 2 или 3 раза после его включения. У меня такое ощущение, что он загрузил что-то, что запускается при запуске и звонит домой.

Для меня это похоже на работу сценариста-детишки и человека, который не очень хорошо говорит по-английски. Все мои двери открыты так же, как и мои окна. (Не каламбур предназначен.) У меня был включен RDC для разрешения удаленных подключений за пределами моей сети.

После того, как это закончится, я отформатирую весь компьютер, но я хотел знать, могу ли я что-нибудь сделать, чтобы отследить этого парня, чтобы я мог передать его IP-адрес органам по борьбе с киберпреступностью в моем районе.

[РЕДАКТИРОВАТЬ] В моем маршрутизаторе IP-адрес моего теперь скомпрометированного компьютера в локальной сети был установлен на адрес DMZ в моем маршрутизаторе. Я знаю, как настроить Port Fording, но, как я уже сказал, он не работает в моей версии DD-WRT, я использую бета-версию нестабильной версии DD-WRT. У меня вообще не был включен брандмауэр Windows. Я считаю, что это RDC, потому что Windows спрашивает меня, можно ли разрешить подключение администратора / DESKTOP-PC. Task Mangager показывает только мою учетную запись, чтобы просмотреть процесс по другим учетным записям, мне нужен Admin, и он изменил мой пароль администратора. Он печатал мне через открытую консоль командной строки, которую я открыл, чтобы я мог выполнить команду netstat. После того, как я выполнил команду netset, я использовал другой ноутбук linux, чтобы узнать, смогу ли я получить его IP-адрес по его имени хоста. Пока я это делал, Я заметил, что в консоли был какой-то текст, который я не написал: «Вы будете лицензировать, подождите 5 минут». в консоли командной строки. Вот почему я думаю, что он использует RDC, потому что очевидно, что он видит рабочий стол моего компьютера. Я попробую соединение tcpvcon и попробую загрузочный CD Hiren. Я проверю журнал AutoRun после того, как восстановлю доступ администратора к своей учетной записи, и я использую 64-битную версию Windows 7. И я обязательно попробую NetFlow, но я думаю, что мне придется обновить прошивку моего маршрутизатора до более поздняя версия, что у меня уже есть. Спасибо за вашу помощь до сих пор! Очевидно, что он видит рабочий стол моего компьютера. Я попробую соединение tcpvcon и попробую загрузочный CD Hiren. Я проверю журнал AutoRun после того, как восстановлю доступ администратора к своей учетной записи, и я использую 64-битную версию Windows 7. И я обязательно попробую NetFlow, но я думаю, что мне придется обновить прошивку моего маршрутизатора до более поздняя версия, что у меня уже есть. Спасибо за вашу помощь до сих пор! Очевидно, что он видит рабочий стол моего компьютера. Я попробую соединение tcpvcon и попробую загрузочный CD Hiren. Я проверю журнал AutoRun после того, как восстановлю доступ администратора к своей учетной записи, и я использую 64-битную версию Windows 7. И я обязательно попробую NetFlow, но я думаю, что мне придется обновить прошивку моего маршрутизатора до более поздняя версия, что у меня уже есть. Спасибо за вашу помощь до сих пор!

Марк Томлин
источник
Ваш вопрос довольно неполный, как я изложил в своем ответе. Можете ли вы улучшить его с помощью более подробной информации, чтобы мы могли помочь вам гораздо лучше, чем спекулировать? Вы настроили это как приманку , так что вы просто
влюбляетесь

Ответы:

17

положить мой компьютер в DMZ, чтобы я мог разместить сервер на некоторое время.

Вы имеете в виду клиента, как вы сказали, это о Windows 7. Какие сервисы вы размещаете?


Переадресация портов не работала в моей версии DD-WRT, которую я установил на своем маршрутизаторе.

Прочитайте руководство, потому что это довольно просто настроить. Скорее всего, вы забыли открыть порт.

А как насчет брандмауэра Windows? Это правильно настроено или оно тоже широко открыто?


Через некоторое время кто-то установил соединение с моим компьютером через Remote Desktop Connection

Вы уверены? Вы убедились, что это RDC? Это должно выявить связь.

Под каким аккаунтом он залогинен? Посмотри в диспетчере задач.

Ваш пароль достаточно силен? Примерно 8 символов минимум в стиле A-Za-z0-9 ...


На самом деле, он пишет мне на скомпрометированном праве компьютера

Как он печатает тебе на компьютере? Через net send?

Ты видишь, как он печатает вживую notepad? Потому что этого не было бы RDC...


так что я предполагаю, что он изменил мой файл hosts так, что его IP-адрес будет скрыт

Можете ли вы хотя бы проверить свои предположения? Если это помогает, то это сервер Google, связанный с сервисами Talk ... Кроме того, что не хватает информации, не может быть, чтобы там было только одно соединение.

Попробуйте следующую командную строку после загрузки этого удобного инструмента соединений :

tcpvcon -a -c > connections.csv

Что позволило бы нам лучше понять, как он подключен, кроме того, что вы можете попробовать сам графический интерфейс.


Он также изменил пароль администратора на коробке и понижал мою учетную запись, чтобы он не был администратором. Я могу войти в свою учетную запись и делать то, что мне не нравится, но это все.

Используйте ntpasswd для восстановления учетной записи администратора. Он доступен на загрузочном CD Hiren .


У меня такое ощущение, что он загрузил что-то, что запускается при запуске и звонит домой.

Вы это подтвердили?

Проверьте автозапуск на наличие каких-либо ненормальных (которые вы также можете сохранить, если вы хотите поделиться).

Также проверьте Rootkitrevealer, если вы используете 32-битную систему, на случай, если он действительно противный ...


Все мои двери открыты так же, как и мои окна. (Не каламбур предназначен.) У меня был включен RDC для разрешения удаленных подключений за пределами моей сети.

После того, как это закончится, я отформатирую весь компьютер, но я хотел знать, могу ли я что-нибудь сделать, чтобы отследить этого парня, чтобы я мог передать его IP-адрес органам по борьбе с киберпреступностью в моем районе.

Если вы открываете свой компьютер для широкого интернета, вы должны хотя бы защитить его, скорее всего, это не RDC, как я уже говорил ранее. Также нет необходимости форматировать весь компьютер, так как после того, как вы запретите запускать его вещи, а затем включите брандмауэр компьютера и выполните простую sfc /scannowпроверку компьютера на вирусы, все будет в порядке. Несмотря на то, что вам не нравится устранение неполадок, вы можете также переустановить.

Если вы хотите быть злобным человеком, вы можете включить NetFlow на своем DD-WRT и настроить его для отправки на другой компьютер, на котором запущен ntop и настроен на прием от маршрутизатора, чтобы отследить его.

введите описание изображения здесь

Тамара Вийсман
источник
В моем маршрутизаторе IP-адрес моего теперь скомпрометированного компьютера в локальной сети был установлен на адрес DMZ в моем маршрутизаторе. Я знаю, как настроить Port Fording, но, как я уже сказал, он не работает в моей версии DD-WRT, я использую бета-версию нестабильной версии DD-WRT. У меня вообще не был включен брандмауэр Windows. Я считаю, что это RDC, потому что Windows спрашивает меня, можно ли разрешить подключение администратора / DESKTOP-PC. Task Mangager показывает только мою учетную запись, чтобы просмотреть процесс по другим учетным записям, мне нужен Admin, и он изменил мой пароль администратора.
Марк Томлин
Он печатал мне через открытую консоль командной строки, которую я открыл, чтобы я мог выполнить команду netstat. После того, как я выполнил команду netset, я использовал другой ноутбук linux, чтобы узнать, смогу ли я получить его IP-адрес по его имени хоста. Пока я делал это, я заметил, что в консоли был какой-то текст, который я не написал и который сказал: «Вы получите лицензию, подождите 5 минут». в консоли командной строки. Вот почему я думаю, что он использует RDC, потому что очевидно, что он видит рабочий стол моего компьютера.
Марк Томлин
@MarkTomlin: Затем вам следует перейти на надлежащую стабильную версию и включить брандмауэр, а также настроить ведение журнала (как указано в syslog и / или на основе ntop, чтобы вы могли регистрировать его на другом недоступном компьютере), чтобы вы знали, что случается. Если это RDC; netstat, tcpviewИ wiresharkдолжен заставить вас имя хоста провайдера или IP - адрес хакера или его доверенным лицом. Почему вы позволяете ему подключиться, защищен ли он безопасным паролем? Как насчет остальной части моего поста?
Тамара Вийсман
Я попробую соединение tcpvcon и попробую загрузочный CD Hiren. Я проверю журнал AutoRun после того, как восстановлю доступ администратора к своей учетной записи, и я использую 64-битную версию Windows 7. И я обязательно попробую NetFlow, но я думаю, что мне придется обновить прошивку моего маршрутизатора до более поздняя версия, что у меня уже есть. Спасибо за вашу помощь до сих пор!
Марк Томлин
1
@MarkTomlin: RDC не разделяет рабочий стол, а ворует его. Так что для того, чтобы вы оба
печатали
11

Если ваш маршрутизатор регистрирует (или вы можете отслеживать) трафик, и вы можете получить используемый маршрутизируемый IP-адрес (иными словами, его IP-адрес в Интернете, а не IP-адрес 192.168.xx, который является внутренним, не маршрутизируемый IP-адрес), вы могли бы перевернуть это, но шансы все еще очень малы, что они ловят его.

Если он умен, он использует зараженный компьютер в качестве прокси-сервера (или платного прокси-сервера в другой стране со слабыми законами), направляя через него все эти нелегальные вещи. Другими словами, вы бы просто передавали IP невинного, но наивного зараженного пользователя. Даже в этом случае, вероятно, в какой-то стране, где действие закона США не будет достигнуто, не говоря уже о том, что у них будет желание в большинстве случаев, если показатели доллара не будут высокими.

Тем не менее, вы всегда можете попробовать.

KCotreau
источник
1
Откуда ты знаешь, что ОП из США?
Томас Бонини
3
@AndreasBonini: L., NY .
Тамара Вийсман
Я бы не предположил, что злоумышленник достаточно умен, чтобы скрыть свои следы. Он, очевидно, не профессионал и просто забавляется с компьютером парней ради забавы, и это очень похоже на сценарий, детка. Есть большая вероятность, что какой-то ребенок управляет RAT (инструментом удаленного администрирования) из его родительского подвала, имо ...
Stoj
Я из США :).
Марк Томлин
3

Используйте более подробную программу, такую ​​как tcpview, и отключите опцию разрешения хоста, чтобы вместо имени хоста отображался фактический IP-адрес.

Но, как говорит Котро, если они не супер-сценарист, они проходят через прокси, другую скомпрометированную машину или через Tor, поэтому их IP-адрес не будет отслеживаться, если вы не захотите заставить их сделать что-то, что могло бы раскрыть его, например посещение специально созданной флэш-страницы javascript и т. д. Не уверен, что вы хотите идти по этому пути.

Queso
источник
Tor слишком медленный для соединений VNC, но он, скорее всего, не будет отслеживаться, если он не будет довольно тупым. Хотя я видел, как люди делали это в прежние времена, не прикрываясь собой ...
Тамара Вийсман
@ Том Вийсман. ОП сказал, что это был RDP, который! = VNC. Тем не менее, ваша точка зрения, вероятно, остается в силе, хотя я считаю, что RDP использует гораздо меньшую полосу пропускания, чем VNC, учитывая характер передаваемых данных.
Кесо
Ну, сначала он не был уверен, пока не указал на это. Хотя по-прежнему странно, что он говорит об одновременном использовании одной учетной записи, что невозможно с RDP. Что касается использования пропускной способности, это зависит от настроек. Это может быть правдой, но, по моему опыту, Tor очень медленный ...
Тамара Вийсман
1
  • Отключите сетевой кабель от компьютера.
  • Проверьте запуск на наличие чего-либо необычного (Пуск> Выполнить> msconfig> вкладка «Запуск»)
  • Запустить AV-сканирование
  • Запустите сканирование с вредоносными байтами и шпионами
  • После того, как это все сделано, перезагрузите компьютер и запустите HijackThis! и проанализировать журнал, который генерируется.
  • После того, как ваш компьютер свободен от всего, убедитесь, что ваш брандмауэр включен и защита AV включена и обновлена. Также отключите DMZ в роутере. Если вы не можете сделать переадресацию портов, используйте logmein.com для удаленного доступа.
Поток силы
источник