Quais meios eu tenho que pegar um Hacker que invadiu um dos meus computadores? [fechadas]


20

SO: Windows 7 Enterprise Edition (versão de teste de 90 dias)

Coloquei meu computador em uma DMZ para poder hospedar um servidor por um tempo. (O Port Forwarding não estava funcionando na minha versão do DD-WRT que eu havia instalado no meu roteador.) Depois de algum tempo, alguém fez uma conexão com o meu computador via Conexão de Área de Trabalho Remota. Na verdade, ele está digitando comigo no computador comprometido, perguntando se "eu licencio" e que devo "esperar 5 minutos". (Escusado será dizer que digitei de volta e disse-lhe para ... empurrá-lo bem.)

Executar um netstatcomando no computador incluído mostrou isso, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDentão acho que ele alterou meu arquivo de hosts para que seu endereço IP estivesse oculto. Ele também alterou a senha do administrador na caixa e rebaixou minha conta para que não seja admin. Posso fazer login na minha própria conta e fazer as coisas que não gosto de administradores, mas é isso.

Ele também volta sempre que ligo o computador, geralmente em cerca de 25 minutos, mas algumas vezes menos de 2 ou 3 depois de ligá-lo. Então, eu tenho a sensação de que ele enviou algo que é executado na inicialização e chama de lar.

Para mim, isso parece o trabalho de um roteirista infantil e de alguém que não fala inglês muito bem. Todas as minhas portas estão abertas, assim como minhas janelas. (Sem trocadilhos.) Eu tinha o RDC ativado para permitir conexões remotas fora da minha rede.

Depois que isso terminar, formato todo o computador, mas eu queria saber se há algo que eu possa fazer para rastrear esse cara, para que eu possa entregar o endereço IP dele às autoridades de crimes cibernéticos na minha área.

[EDIT] Meu roteador tinha o endereço IP do meu computador agora comprometido na rede local definido como o endereço DMZ no meu roteador. Eu sei como configurar o Port Fording, mas como eu disse, ele não funciona na minha versão do DD-WRT, estou usando uma versão beta e instável do DD-WRT. Eu não tinha o Firewall do Windows ativado. Acredito que seja RDC porque o Windows me pergunta se está tudo bem em permitir que o Administator / DESKTOP-PC se conecte. O Task Mangager mostra apenas minha conta, para visualizar o processo sobre as outras contas que eu preciso de Admin, e ele mudou minha senha de administrador. Ele estava digitando para mim através do console de linha de comando aberto que eu tinha aberto para poder executar o comando netstat. Depois de executar o comando netset, eu estava usando outro laptop linux para descobrir se conseguia obter o endereço IP dele a partir do nome do host. Enquanto eu fazia isso, Percebi que havia algum texto no console que não escrevi que dizia "Você licenciará, aguarde 5 minutos". no console da linha de comandos. É por isso que acho que ele está usando o RDC, porque é evidente que ele pode ver a área de trabalho do meu computador. Vou tentar a conexão tcpvcon e testar o CD de inicialização do Hiren. Vou verificar o log do AutoRun depois de recuperar o acesso de administrador à minha conta e usar a versão de 64 bits do Windows 7. E certamente tentarei o NetFlow, mas acho que precisarei atualizar o firmware do meu roteador para uma versão posterior que o que eu já tenho. Obrigado por sua ajuda até agora! Parece que ele pode ver a área de trabalho do meu computador. Vou tentar a conexão tcpvcon e testar o CD de inicialização do Hiren. Vou verificar o log do AutoRun depois de recuperar o acesso de administrador à minha conta e usar a versão de 64 bits do Windows 7. E certamente tentarei o NetFlow, mas acho que precisarei atualizar o firmware do meu roteador para uma versão posterior que o que eu já tenho. Obrigado por sua ajuda até agora! Parece que ele pode ver a área de trabalho do meu computador. Vou tentar a conexão tcpvcon e testar o CD de inicialização do Hiren. Vou verificar o log do AutoRun depois de recuperar o acesso de administrador à minha conta e usar a versão de 64 bits do Windows 7. E certamente tentarei o NetFlow, mas acho que precisarei atualizar o firmware do meu roteador para uma versão posterior que o que eu já tenho. Obrigado por sua ajuda até agora!


Sua pergunta é bastante incompleta, como descrevi na minha resposta. Você pode aprimorá-lo com mais detalhes para que possamos ajudá-lo muito melhor do que especular? Você definir esta aberta como um honeypot , assim você só cair para o primeiro melhor varredura de portas rápida que passa seu sistema ...
Tamara Wijsman

Respostas:


17

coloque meu computador em uma DMZ para que eu possa hospedar um servidor por um tempo.

Você quer dizer cliente, como disse sobre o Windows 7. Quais serviços você está hospedando?


O Port Forwarding não estava funcionando na minha versão do DD-WRT que eu havia instalado no meu roteador.

Leia um guia, porque isso é bastante simples de configurar. Você provavelmente esqueceu de abrir uma porta.

E o Firewall do Windows? Isso está configurado corretamente ou também está aberto?


Depois de algum tempo, alguém fez uma conexão com meu computador via Conexão de Área de Trabalho Remota

Você tem certeza? Você verificou se este é um RDC? Deve revelar uma conexão.

Em que conta ele está logado? Procure no gerenciador de tarefas.

Sua senha é forte o suficiente? Algo como no mínimo 8 caracteres no estilo A-Za-z0-9 ...


Na verdade, ele está me digitando no computador comprometido

Como ele está digitando para você no computador? Através net send?

Você o vê digitando ao vivo para você notepadou algo assim? Porque isso não seria RDC...


então acho que ele mudou meu arquivo de hosts para que seu endereço IP estivesse oculto

Você pode pelo menos verificar suas suposições? Se isso ajudar, é um servidor do Google relacionado aos serviços do Talk ... Além de haver falta de informações, não é possível que exista apenas uma conexão lá.

Experimente a seguinte linha de comando depois de baixar esta útil ferramenta de conexões :

tcpvcon -a -c > connections.csv

O que nos permitiria ter uma idéia melhor de como ele se conectou, além de que você pode tentar a própria GUI.


Ele também alterou a senha de administrador na caixa e rebaixou minha conta para que não seja admin. Posso fazer login na minha própria conta e fazer as coisas que não gosto de administradores, mas é isso.

Use ntpasswd para recuperar sua conta de administrador. Está disponível no CD de inicialização do Hiren .


Então, eu tenho a sensação de que ele enviou algo que é executado na inicialização e chama de lar.

Você verificou isso?

Verifique Autoruns para qualquer coisa anormal (que você também pode salvar se quiser compartilhar).

Verifique também o Rootkitrevealer se você estiver executando um sistema de 32 bits, caso ele seja realmente desagradável ...


Todas as minhas portas estão abertas, assim como minhas janelas. (Sem trocadilhos.) Eu tinha o RDC ativado para permitir conexões remotas fora da minha rede.

Depois que isso terminar, formato todo o computador, mas eu queria saber se há algo que eu possa fazer para rastrear esse cara, para que eu possa entregar o endereço IP dele às autoridades de crimes cibernéticos na minha área.

Se você estiver abrindo o computador para a Internet ampla, pelo menos deve protegê-lo, provavelmente não é o RDC, como eu disse antes. Também não há necessidade de formatar o computador inteiro, pois, uma vez que você evita que as coisas dele funcionem e você faz firewall no computador e faz uma simples sfc /scannowverificação de vírus ao longo do seu computador, você deve ficar bem. Embora você não goste de solucionar problemas, é possível reinstalá-lo.

Se você quer ser a pessoa desagradável, habilite o NetFlow no seu DD-WRT e configure-o para enviá-lo para outro computador que esteja executando o ntop e que esteja configurado para receber do roteador para localizá-lo.

insira a descrição da imagem aqui


Meu roteador tinha o endereço IP do meu computador agora comprometido na rede local definido como o endereço DMZ no meu roteador. Eu sei como configurar o Port Fording, mas como eu disse, ele não funciona na minha versão do DD-WRT, estou usando uma versão beta instável do DD-WRT. Eu não tinha o Firewall do Windows ativado. Acredito que seja RDC, porque o Windows me pergunta se não há problema em permitir a conexão do Administator / DESKTOP-PC. O Task Mangager mostra apenas minha conta, para visualizar o processo sobre as outras contas que eu preciso de Admin, e ele mudou minha senha de administrador.
precisa

Ele estava digitando para mim através do console de linha de comando aberto que eu tinha aberto para poder executar o comando netstat. Depois de executar o comando netset, eu estava usando outro laptop linux para descobrir se conseguia obter o endereço IP dele a partir do nome do host. Enquanto fazia isso, notei que havia algum texto no console que não escrevi que dizia "Você licenciará, espere 5 minutos". no console da linha de comandos. É por isso que acho que ele está usando o RDC, porque é evidente que ele pode ver a área de trabalho do meu computador.
precisa

@ MarkTomlin: Então você deve atualizar para uma versão estável adequada e habilitar seu firewall, além de configurar o log (como o syslog e / ou o ntop baseado para que você possa registrá-lo em um computador inacessível diferente) para saber o que acontece. Se é RDC; netstat, tcpviewE wiresharkdeve chegar ao nome de host ISP ou o endereço IP do hacker ou seu procurador. Por que você está permitindo que ele se conecte, está protegido por uma senha segura? E o resto do meu post?
Tamara Wijsman

Vou tentar a conexão tcpvcon e testar o CD de inicialização do Hiren. Vou verificar o log do AutoRun depois de recuperar o acesso de administrador à minha conta e usar a versão de 64 bits do Windows 7. E certamente tentarei o NetFlow, mas acho que precisarei atualizar o firmware do meu roteador para uma versão posterior que o que eu já tenho. Obrigado por sua ajuda até agora!
precisa

11
@ MarkTomlin: O RDC não compartilha a área de trabalho, rouba a área de trabalho. Então, para você, tanto para digitar ou ver, simultaneamente, ele estaria usando algo mais ...
Tamara Wijsman

11

Se o seu roteador estiver registrando (ou você puder monitorar) o tráfego e você puder obter o endereço IP roteável que ele está usando (em outras palavras, o endereço IP da Internet dele, não o endereço IP 192.168.xx, que é um interno, não endereço IP roteável), você pode mudar isso, mas as chances ainda são muito pequenas de pegá-lo.

Se ele é esperto, está usando um computador infectado como proxy (ou um serviço de proxy pago em outro país com leis negligentes), encaminhando todo esse material ilegal por ele. Em outras palavras, você apenas entregaria o IP de um usuário infectado inocente, mas ingênuo. Mesmo assim, provavelmente é em algum país onde o alcance da lei dos EUA não alcançará, e muito menos eles terão o desejo na maioria dos casos, a menos que os números do dólar sejam altos.

Dito isto, você sempre pode tentar.


11
Como você sabe que o OP é dos EUA?
Thomas Bonini

3
@AndreasBonini: L., NY .
Tamara Wijsman

Eu não diria que o atacante é inteligente o suficiente para cobrir seus rastros. Obviamente, ele não é um profissional e está apenas brincando com o computador dos caras por diversão e isso é muito infantil. Há uma boa chance de que é um garoto correndo um RAT (ferramenta de administração remota) de seu porão pais imo ...
Stoj

Eu sou dos Estados Unidos :).
precisa

3

Use um programa mais detalhado, como tcpview, e desative a opção de resolução do host, para que o endereço IP real seja mostrado em vez do nome do host.

Mas, como o KCotreau diz, a menos que eles sejam um super script infantil, eles estão passando por um proxy, outra máquina comprometida ou pelo Tor, então o endereço IP deles não é rastreável, a menos que você queira tentar enganá-los a fazer algo que o divulgaria, como visitando um flash especialmente criado da página javascript etc. Não tem certeza de que deseja seguir esse caminho.


O Tor é muito lento para conexões VNC, mas ele provavelmente não pode ser rastreado, a menos que seja bastante burro. Embora eu vi as pessoas fazem isso de volta nos velhos tempos, sem cobrindo-se ...
Tamara Wijsman

@Tom Wijsman. OP disse que era RDP, que! = VNC. No entanto, seu argumento provavelmente ainda permanece, embora eu ache que o RDP usa muito menos largura de banda que o VNC, dada a natureza do que é transmitido.
queso

Bem, ele não tinha certeza a princípio até apontar isso. Embora ainda seja estranho que ele fale sobre o uso simultâneo na mesma conta, o que não é possível com o RDP. Quanto ao uso da largura de banda, isso depende das configurações. Poderia ser verdade, mas para a minha experiência, o Tor é muito lento ...
Tamara Wijsman

1
  • Desconecte o cabo de rede do computador.
  • Verifique se há algo incomum na inicialização (iniciar> executar> msconfig> guia "Inicialização")
  • Executar verificações AV
  • Execute varreduras com malwarebytes e spybot
  • Depois que tudo estiver pronto, reinicie e execute o HijackThis! e analise o log que é gerado.
  • Depois que o computador estiver livre de tudo, verifique se o firewall está ativo e se a proteção antivírus está ativada e atualizada. Desative também a DMZ no roteador. Se você não conseguir encaminhar uma porta, use logmein.com para acesso remoto.
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.