Что мне нужно, чтобы поймать хакера, взломавшего один из моих компьютеров?

Question

ОС: Windows 7 Enterprise Edition (90-дневная пробная версия)

Я поместил свой компьютер в демилитаризованную зону, чтобы на некоторое время разместить сервер. (Переадресация портов не работала в моей версии DD-WRT, которую я установил на своем маршрутизаторе.) Через некоторое время кто-то установил соединение с моим компьютером через Remote Desktop Connection. На самом деле, он печатает мне прямо на скомпрометированном компьютере и спрашивает, "лицензирую ли я", и что мне следует "подождать 5 минут". (Само собой разумеется, я напечатал назад и сказал ему ... хорошо пихайте это.)

Выполнение команды netstat с входящего в комплект компьютера показало этот TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED поэтому я предполагаю, что он изменил мой файл hosts так, что его IP-адрес будет скрыт. Он также изменил пароль администратора на коробке и понижал мою учетную запись, чтобы он не был администратором. Я могу войти в свою учетную запись и делать то, что мне не нравится, но это все.

Он также возвращается каждый раз, когда я включаю свой компьютер, обычно в течение примерно 25 минут, но иногда через 2 или 3 раза после его включения. У меня такое ощущение, что он загрузил что-то, что запускается при запуске и звонит домой.

Для меня это похоже на работу сценариста-детишки и человека, который не очень хорошо говорит по-английски. Все мои двери открыты так же, как и мои окна. (Не каламбур предназначен.) У меня был включен RDC для разрешения удаленных подключений за пределами моей сети.

После того, как это закончится, я отформатирую весь компьютер, но я хотел узнать, могу ли я что-нибудь сделать, чтобы отследить этого парня, чтобы я мог передать его IP-адрес органам по борьбе с киберпреступностью в моем районе.

[ПРАВКА] В моем маршрутизаторе IP-адрес моего теперь скомпрометированного компьютера в локальной сети был установлен на адрес DMZ в моем маршрутизаторе. Я знаю, как настроить Port Fording, но, как я уже сказал, он не работает в моей версии DD-WRT, я использую бета-версию нестабильной версии DD-WRT. У меня вообще не был включен брандмауэр Windows. Я считаю, что это RDC, потому что Windows спрашивает меня, можно ли разрешить подключение администратора /DESKTOP-PC. Task Mangager показывает только мою учетную запись, чтобы просмотреть процесс по другим учетным записям, мне нужен Admin, и он изменил мой пароль администратора. Он печатал мне через открытую консоль командной строки, которую я открыл, чтобы я мог выполнить команду netstat. После того, как я выполнил команду netset, я использовал другой ноутбук linux, чтобы узнать, смогу ли я получить его IP-адрес по его имени хоста. Пока я делал это, я заметил, что в консоли был какой-то текст, который я не написал, который сказал: «Вы получите лицензию, подождите 5 минут». в консоли командной строки. Вот почему я думаю, что он использует RDC, потому что очевидно, что он видит рабочий стол моего компьютера. Я попробую соединение tcpvcon и попробую загрузочный CD Hiren. Я проверю журнал AutoRun после того, как восстановлю доступ администратора к своей учетной записи, и я использую 64-битную версию Windows 7. И я обязательно попробую NetFlow, но я думаю, что мне придется обновить прошивку моего маршрутизатора до более поздней версии, чем у меня уже есть. Спасибо за вашу помощь до сих пор!

Answer 1

положить мой компьютер в DMZ, чтобы я мог разместить сервер на некоторое время.

Вы имеете в виду клиента, как вы сказали, это о Windows 7. Какие услуги вы предоставляете?

---

Переадресация портов не работала в моей версии DD-WRT, которую я установил на своем маршрутизаторе.

Прочитайте руководство, потому что это довольно просто настроить. Скорее всего, вы забыли открыть порт.

А как насчет брандмауэра Windows? Это правильно настроено или оно тоже широко открыто?

---

Через некоторое время кто-то установил соединение с моим компьютером через Remote Desktop Connection

Уверены ли вы? Вы убедились, что это RDC? Это должно выявить связь.

Под каким аккаунтом он залогинен? Посмотри в диспетчере задач.

Ваш пароль достаточно надежный? Что-то вроде минимум 8 символов в стиле A-Za-z0-9 ...

---

На самом деле, он пишет мне на скомпрометированном праве компьютера

Как он печатает тебе на компьютере? Через net send?

Вы видите, как он печатает вживую для вас в notepad или что-то в этом роде? Потому что это не было бы RDC ...

---

так что я предполагаю, что он изменил мой файл hosts так, что его IP-адрес будет скрыт

Можете ли вы хотя бы проверить свои предположения? Если это поможет, то это сервер Google, связанный со службами Talk ... Кроме того, что не хватает информации, не может быть, чтобы там была только одна связь.

Попробуйте следующую командную строку после загрузки этого удобного инструмента соединений:

tcpvcon -a -c > connections.csv

Что позволило бы нам лучше понять, как он подключен, кроме того, что вы можете попробовать сам графический интерфейс.

---

Он также изменил пароль администратора на коробке и понижал мою учетную запись, чтобы он не был администратором. Я могу войти в свою учетную запись и делать то, что мне не нравится, но это все.

Используйте ntpasswd для восстановления учетной записи администратора. Он доступен на загрузочном CD Hiren.

---

У меня такое ощущение, что он загрузил что-то, что запускается при запуске и звонит домой.

Вы это подтвердили?

Проверьте автозапуск на наличие каких-либо ненормальных (которые вы также можете сохранить, если вы хотите поделиться).

Также проверьте Rootkitrevealer, если вы используете 32-битную систему, на случай, если он действительно противный ...

---

Все мои двери открыты так же, как и мои окна. (Не каламбур предназначен.) У меня был включен RDC для разрешения удаленных подключений за пределами моей сети.

После того, как это закончится, я отформатирую весь компьютер, но я хотел узнать, могу ли я что-нибудь сделать, чтобы отследить этого парня, чтобы я мог передать его IP-адрес органам по борьбе с киберпреступностью в моем районе.

Если вы открываете свой компьютер для широкого интернета, вы должны по крайней мере защитить его, скорее всего, это не RDC, как я уже говорил ранее. Кроме того, нет необходимости форматировать весь компьютер, так как после того, как вы запретите запускать его вещи, а затем включите брандмауэр компьютера и выполните простой sfc /scannow время сканирования компьютера на вирусы, все будет в порядке. Несмотря на то, что вам не нравится устранение неполадок, вы можете также переустановить.

Если вы хотите быть злобным человеком, вы можете включить NetFlow на своем DD-WRT и настроить его для отправки на другой компьютер, на котором запущен ntop и настроен на прием от маршрутизатора, чтобы отследить его.

Answer 2

Если ваш маршрутизатор регистрирует (или вы можете отслеживать) трафик, и вы можете получить маршрутизируемый IP-адрес, который он использует (другими словами, его IP-адрес в Интернете, а не IP-адрес 192.168.xx, который является внутренним, не маршрутизируемый IP-адрес), вы могли бы перевернуть это, но шансы все еще очень малы, что они ловят его.

Если он умен, он использует зараженный компьютер в качестве прокси-сервера (или платного прокси-сервера в другой стране с неаккуратными законами), направляя все эти нелегальные вещи через него. Другими словами, вы бы просто передавали IP невинного, но наивного зараженного пользователя. Даже в этом случае, вероятно, в какой-то стране охват закона США не будет достигнут, не говоря уже о том, что у них будет желание в большинстве случаев, если показатели доллара не будут высокими.

Тем не менее, вы всегда можете попробовать.

Answer 3

Используйте более подробную программу, такую как tcpview, и отключите опцию разрешения хоста, чтобы вместо имени хоста отображался фактический IP-адрес.

Но, как говорит Котро, если они не супер-сценарист, они проходят через прокси-сервер, другую взломанную машину или через Tor, поэтому их IP-адрес не будет отслеживаться, если вы не захотите заставить их сделать что-то, что могло бы раскрыть его, например посещение специально созданной флэш-страницы javascript и т. д. Не уверен, что вы хотите идти по этому пути.

Answer 4

• Отключите сетевой кабель от компьютера.
• Проверьте запуск на наличие чего-либо необычного (start> run> msconfig> вкладка "Startup")
• Запустить AV-сканирование
• Запустите сканирование с вредоносными байтами и шпионами
• После того, как это все сделано, перезагрузите компьютер и запустите HijackThis! и проанализировать журнал, который генерируется.
• После того, как ваш компьютер свободен от всего, убедитесь, что ваш брандмауэр включен и антивирусная защита включена и обновлена. Также отключите DMZ в роутере. Если вы не можете сделать переадресацию портов, используйте logmein.com для удаленного доступа.