Cosa significa che devo catturare un hacker che si è rotto in uno dei miei computer? [chiuso]


20

Sistema operativo: Windows 7 Enterprise Edition (versione di prova di 90 giorni)

Ho inserito il mio computer in una DMZ in modo da poter ospitare un server per un po '. (Il port forwarding non funzionava nella mia versione di DD-WRT che avevo installato sul mio router.) Dopo un po 'qualcuno ha effettuato una connessione al mio computer tramite Connessione desktop remoto. In effetti, mi sta scrivendo sul computer compromesso, chiedendomi se "avrò la licenza" e che dovrei "aspettare 5 minuti". (Inutile dire che ho scritto a macchina e gli ho detto di ... beh, lo spingo.)

L'esecuzione di un netstatcomando dal computer compreso lo ha mostrato, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDquindi suppongo che abbia cambiato il mio file host in modo che il suo indirizzo IP fosse nascosto. Ha anche cambiato la password dell'amministratore nella casella e ha retrocesso il mio account in modo che non sia amministratore. Posso accedere al mio account e fare le cose non amministrative che mi piacciono, ma il gioco è fatto.

Ritorna anche ogni volta che accendo il mio computer, di solito entro circa 25 minuti, ma alcune volte appena 2 o 3 dopo averlo acceso. Quindi ho la sensazione che abbia caricato qualcosa che gira all'avvio e chiama a casa.

Per me, questo sembra il lavoro di un kiddie di sceneggiatori e di qualcuno che non parla molto bene l'inglese. Tutte le mie porte erano aperte così come le mie finestre. (Nessun gioco di parole previsto.) Avevo abilitato RDC per consentire connessioni remote dall'esterno della mia rete.

Dopo che avrò finito, formatterò l'intero computer, ma volevo sapere se c'è qualcosa che posso fare per rintracciare questo ragazzo in modo da poter consegnare il suo indirizzo IP alle autorità della criminalità informatica nella mia zona.

[EDIT] Il mio router ora aveva l'indirizzo IP del mio computer compromesso sulla rete locale impostato sull'indirizzo DMZ nel mio router. So come configurare Port Fording, ma come ho detto, non funziona nella mia versione di DD-WRT, sto usando una versione beta instabile di DD-WRT. Windows Firewall non era attivo. Credo che sia RDC perché Windows mi chiede se è OK consentire ad Administator / DESKTOP-PC di connettersi. Task Mangager mostra solo il mio account, per visualizzare il processo sugli altri account che ho bisogno di amministratore, e ha cambiato la mia password di amministratore. Mi stava digitando tramite la console della riga di comando aperta che avevo aperto in modo da poter eseguire il comando netstat. Dopo aver eseguito il comando netset, stavo usando un altro laptop Linux per scoprire se potevo ottenere il suo indirizzo IP dal suo nome host. Mentre lo stavo facendo, Ho notato che nella console c'era del testo che non avevo scritto che diceva "Avrai la licenza, attendi 5 minuti". nella console della riga di comando. Questo è il motivo per cui penso che stia usando RDC, perché è evidente che può vedere il desktop del mio computer. Proverò la connessione tcpvcon e proverò il CD di avvio di Hiren. Controllerò il registro di AutoRun dopo aver riottenuto l'accesso di amministratore al mio account e userò la versione a 64 bit di Windows 7. E proverò sicuramente NetFlow, ma penso che dovrò aggiornare il firmware del mio router a una versione successiva che ho già. Grazie per il tuo aiuto finora! È evidente che può vedere il desktop del mio computer. Proverò la connessione tcpvcon e proverò il CD di avvio di Hiren. Controllerò il registro di AutoRun dopo aver riottenuto l'accesso di amministratore al mio account e userò la versione a 64 bit di Windows 7. E proverò sicuramente NetFlow, ma penso che dovrò aggiornare il firmware del mio router a una versione successiva che ho già. Grazie per il tuo aiuto finora! È evidente che può vedere il desktop del mio computer. Proverò la connessione tcpvcon e proverò il CD di avvio di Hiren. Controllerò il registro di AutoRun dopo aver riottenuto l'accesso di amministratore al mio account e userò la versione a 64 bit di Windows 7. E proverò sicuramente NetFlow, ma penso che dovrò aggiornare il firmware del mio router a una versione successiva che ho già. Grazie per il tuo aiuto finora!


La tua domanda è abbastanza incompleta come ho indicato nella mia risposta. Puoi migliorarlo con più dettagli in modo che possiamo aiutarti molto meglio oltre a speculare? L'hai aperto come un honeypot , quindi cadi per la prima migliore scansione rapida delle porte che passa il tuo sistema ...
Tamara Wijsman,

Risposte:


17

metto il mio computer in una DMZ in modo da poter ospitare un server per un po '.

Intendi un client, come hai detto, riguarda Windows 7. Quali servizi stai ospitando?


Il port forwarding non funzionava nella mia versione di DD-WRT che avevo installato sul mio router.

Leggi una guida, perché è abbastanza semplice da configurare. Molto probabilmente ti sei dimenticato di aprire una porta.

Che dire di Windows Firewall? È configurato correttamente o è troppo aperto?


Dopo un po 'qualcuno ha effettuato una connessione al mio computer tramite Connessione desktop remoto

Sei sicuro? Hai verificato che si tratta di un controller di dominio di sola lettura? Dovrebbe rivelare una connessione.

Con quale account ha effettuato l'accesso? Cerca nel task manager.

La tua password è abbastanza forte? Qualcosa come almeno 8 caratteri in stile A-Za-z0-9 ...


In effetti, mi sta scrivendo sul giusto computer compromesso

Come ti sta scrivendo sul computer? Attraverso net send?

Lo vedi scrivere a macchina dal vivo notepado qualcosa del genere? Perché non sarebbe RDC...


quindi immagino che abbia cambiato il mio file hosts in modo che il suo indirizzo IP fosse nascosto

Puoi almeno verificare i tuoi presupposti? Se aiuta, questo è un server di Google relativo ai servizi Talk ... A parte questo c'è una mancanza di informazioni, non può essere che ci sia solo una connessione lì.

Prova la seguente riga di comando dopo aver scaricato questo utile strumento di connessione :

tcpvcon -a -c > connections.csv

Il che ci permetterebbe di avere una migliore idea di come si è connesso, oltre a quello che potresti provare con la GUI stessa.


Ha anche cambiato la password dell'amministratore nella casella e ha retrocesso il mio account in modo che non sia amministratore. Posso accedere al mio account e fare le cose non amministrative che mi piacciono, ma il gioco è fatto.

Usa ntpasswd per recuperare il tuo account amministratore. È disponibile sul CD di avvio di Hiren .


Quindi ho la sensazione che abbia caricato qualcosa che gira all'avvio e chiama a casa.

L'hai verificato?

Controlla Autoruns per qualsiasi cosa anomala (che puoi anche salvare se vuoi condividere).

Controlla anche Rootkitrevealer se stai eseguendo un sistema a 32 bit, nel caso in cui sia davvero cattivo ...


Tutte le mie porte erano aperte così come le mie finestre. (Nessun gioco di parole previsto.) Avevo abilitato RDC per consentire connessioni remote dall'esterno della mia rete.

Dopo che avrò finito, formatterò l'intero computer, ma volevo sapere se c'è qualcosa che posso fare per rintracciare questo ragazzo in modo da poter consegnare il suo indirizzo IP alle autorità della criminalità informatica nella mia zona.

Se stai aprendo il tuo computer su Internet, dovresti almeno proteggerlo, molto probabilmente non è RDC come ho detto prima. Non è inoltre necessario formattare l'intero computer in quanto una volta che si impedisce l'esecuzione delle sue cose e si esegue il firewall del computer e si esegue una semplice sfc /scannowscansione antivirus, il computer dovrebbe andare bene. Anche se non ti piace la risoluzione dei problemi, potresti reinstallare.

Se vuoi essere la persona cattiva, puoi abilitare NetFlow sul tuo DD-WRT e configurarlo per inviarlo a un altro computer che esegue ntop ed è configurato per ricevere dal router per rintracciarlo.

inserisci qui la descrizione dell'immagine


Il mio router aveva l'indirizzo IP del mio computer ora compromesso sulla rete locale impostato sull'indirizzo DMZ nel mio router. So come configurare Port Fording, ma come ho detto, non funziona nella mia versione di DD-WRT, sto usando una versione beta instabile di DD-WRT. Windows Firewall non era attivo. Credo che sia RDC perché Windows mi chiede se è OK consentire ad Administator / DESKTOP-PC di connettersi. Task Mangager mostra solo il mio account, per visualizzare il processo sugli altri account che ho bisogno di amministratore, e ha cambiato la mia password di amministratore.
Mark Tomlin,

Mi stava scrivendo tramite la console della riga di comando aperta che avevo aperto in modo da poter eseguire il comando netstat. Dopo aver eseguito il comando netset, stavo usando un altro laptop Linux per scoprire se potevo ottenere il suo indirizzo IP dal suo nome host. Mentre lo facevo, notai che nella console c'era del testo che non avevo scritto che diceva "Avrai la licenza, attendi 5 minuti". nella console della riga di comando. Questo è il motivo per cui penso che stia usando RDC, perché è evidente che può vedere il desktop del mio computer.
Mark Tomlin,

@MarkTomlin: Quindi dovresti passare a una versione stabile corretta e abilitare il tuo firewall, nonché impostare la registrazione (come detto syslog e / o basato su ntop in modo da poterlo accedere a un altro computer inaccessibile) in modo da sapere cosa accade. Se è RDC; netstat, tcpviewE wiresharkdovrebbe arrivare al nome host provider di servizi Internet o l'indirizzo IP del hacker o suo delegato. Perché gli stai permettendo di connettersi, è protetto da una password sicura? E il resto del mio post?
Tamara Wijsman,

Proverò la connessione tcpvcon e proverò il CD di avvio di Hiren. Controllerò il registro di AutoRun dopo aver riottenuto l'accesso di amministratore al mio account e userò la versione a 64 bit di Windows 7. E proverò sicuramente NetFlow, ma penso che dovrò aggiornare il firmware del mio router a una versione successiva che ho già. Grazie per il tuo aiuto finora!
Mark Tomlin,

1
@MarkTomlin: RDC non condivide il desktop, ruba il desktop. Quindi, per poter scrivere o vedere contemporaneamente,
userebbe

11

Se il tuo router sta registrando (o puoi monitorare) il traffico e puoi ottenere l'indirizzo IP instradabile che sta usando (in altre parole, il suo indirizzo IP Internet, non un indirizzo IP 192.168.xx, che è un interno, non indirizzo IP instradabile), potresti capovolgerlo, ma le possibilità sono ancora molto scarse di catturarlo.

Se è intelligente, sta usando un computer infetto come proxy (o un servizio proxy a pagamento in un altro paese con leggi lassiste), instradando tutta questa roba illegale attraverso di essa. In altre parole, potresti semplicemente capovolgere l'IP di un utente infetto innocente, ma ingenuo. Anche allora, è probabilmente in qualche paese in cui la portata della legge statunitense non raggiungerà, figuriamoci avranno il desiderio nella maggior parte dei casi a meno che le cifre del dollaro non siano alte.

Detto questo, puoi sempre provare.


1
Come fai a sapere che l'OP proviene dagli Stati Uniti?
Thomas Bonini,

3
@AndreasBonini: L., NY .
Tamara Wijsman,

Non darei per scontato che l'attaccante sia abbastanza intelligente da coprire le sue tracce. Ovviamente non è un professionista e sta solo scherzando con il computer dei ragazzi per divertimento e questo è molto simile a uno script kiddie. C'è una buona probabilità che alcuni bambini
stiano

Vengo dagli Stati Uniti :).
Mark Tomlin,

3

Utilizzare un programma più dettagliato come tcpview e disattivare l'opzione per la risoluzione dell'host, quindi verrà visualizzato l'indirizzo IP effettivo anziché il nome host.

Ma, come dice KCotreau, a meno che non siano un kiddie super script stanno attraversando un proxy, un'altra macchina compromessa o su Tor, quindi il loro indirizzo IP non è rintracciabile a meno che non si voglia provare a indurli a fare qualcosa che lo svelerebbe, come visitando un lampo appositamente creato della pagina javascript, ecc. Non sei sicuro di voler percorrere quel sentiero.


Tor è troppo lento per le connessioni VNC, ma molto probabilmente potrebbe non essere rintracciabile a meno che non sia piuttosto stupido. Anche se ho visto persone farlo ai vecchi tempi senza coprirsi ...
Tamara Wijsman,

@Tom Wijsman. OP ha detto che era RDP, che! = VNC. Tuttavia, il tuo punto probabilmente è ancora valido, anche se trovo che RDP utilizzi una larghezza di banda molto inferiore rispetto a VNC data la natura di ciò che viene trasmesso.
queso

Beh, all'inizio non era sicuro fino a quando non lo ha sottolineato. Anche se è ancora strano parlare dell'uso simultaneo sullo stesso account, cosa impossibile con RDP. Per quanto riguarda l'utilizzo della larghezza di banda, ciò dipende dalle impostazioni. Potrebbe essere vero, ma per la mia esperienza Tor è molto lento ...
Tamara Wijsman,

1
  • Scollegare il cavo di rete dal computer.
  • Controlla l'avvio per qualcosa di insolito (start> esegui> msconfig> scheda "Avvio")
  • Esegui scansioni AV
  • Esegui scansioni con malwarebytes e spybot
  • Al termine, riavvia ed esegui HijackThis! e analizzare il registro che viene generato.
  • Dopo che il tuo computer è libero da tutto, assicurati che il tuo firewall sia attivo e che la protezione AV sia abilitata e aggiornata. Disabilitare anche la DMZ nel router. Se non è possibile eseguire il port forwarding, utilizzare logmein.com per l'accesso remoto.
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.