Sistema operativo: Windows 7 Enterprise Edition (versione di prova di 90 giorni)
Ho inserito il mio computer in una DMZ in modo da poter ospitare un server per un po '. (Il port forwarding non funzionava nella mia versione di DD-WRT che avevo installato sul mio router.) Dopo un po 'qualcuno ha effettuato una connessione al mio computer tramite Connessione desktop remoto. In effetti, mi sta scrivendo sul computer compromesso, chiedendomi se "avrò la licenza" e che dovrei "aspettare 5 minuti". (Inutile dire che ho scritto a macchina e gli ho detto di ... beh, lo spingo.)
L'esecuzione di un netstat
comando dal computer compreso lo ha mostrato, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED
quindi suppongo che abbia cambiato il mio file host in modo che il suo indirizzo IP fosse nascosto. Ha anche cambiato la password dell'amministratore nella casella e ha retrocesso il mio account in modo che non sia amministratore. Posso accedere al mio account e fare le cose non amministrative che mi piacciono, ma il gioco è fatto.
Ritorna anche ogni volta che accendo il mio computer, di solito entro circa 25 minuti, ma alcune volte appena 2 o 3 dopo averlo acceso. Quindi ho la sensazione che abbia caricato qualcosa che gira all'avvio e chiama a casa.
Per me, questo sembra il lavoro di un kiddie di sceneggiatori e di qualcuno che non parla molto bene l'inglese. Tutte le mie porte erano aperte così come le mie finestre. (Nessun gioco di parole previsto.) Avevo abilitato RDC per consentire connessioni remote dall'esterno della mia rete.
Dopo che avrò finito, formatterò l'intero computer, ma volevo sapere se c'è qualcosa che posso fare per rintracciare questo ragazzo in modo da poter consegnare il suo indirizzo IP alle autorità della criminalità informatica nella mia zona.
[EDIT] Il mio router ora aveva l'indirizzo IP del mio computer compromesso sulla rete locale impostato sull'indirizzo DMZ nel mio router. So come configurare Port Fording, ma come ho detto, non funziona nella mia versione di DD-WRT, sto usando una versione beta instabile di DD-WRT. Windows Firewall non era attivo. Credo che sia RDC perché Windows mi chiede se è OK consentire ad Administator / DESKTOP-PC di connettersi. Task Mangager mostra solo il mio account, per visualizzare il processo sugli altri account che ho bisogno di amministratore, e ha cambiato la mia password di amministratore. Mi stava digitando tramite la console della riga di comando aperta che avevo aperto in modo da poter eseguire il comando netstat. Dopo aver eseguito il comando netset, stavo usando un altro laptop Linux per scoprire se potevo ottenere il suo indirizzo IP dal suo nome host. Mentre lo stavo facendo, Ho notato che nella console c'era del testo che non avevo scritto che diceva "Avrai la licenza, attendi 5 minuti". nella console della riga di comando. Questo è il motivo per cui penso che stia usando RDC, perché è evidente che può vedere il desktop del mio computer. Proverò la connessione tcpvcon e proverò il CD di avvio di Hiren. Controllerò il registro di AutoRun dopo aver riottenuto l'accesso di amministratore al mio account e userò la versione a 64 bit di Windows 7. E proverò sicuramente NetFlow, ma penso che dovrò aggiornare il firmware del mio router a una versione successiva che ho già. Grazie per il tuo aiuto finora! È evidente che può vedere il desktop del mio computer. Proverò la connessione tcpvcon e proverò il CD di avvio di Hiren. Controllerò il registro di AutoRun dopo aver riottenuto l'accesso di amministratore al mio account e userò la versione a 64 bit di Windows 7. E proverò sicuramente NetFlow, ma penso che dovrò aggiornare il firmware del mio router a una versione successiva che ho già. Grazie per il tuo aiuto finora! È evidente che può vedere il desktop del mio computer. Proverò la connessione tcpvcon e proverò il CD di avvio di Hiren. Controllerò il registro di AutoRun dopo aver riottenuto l'accesso di amministratore al mio account e userò la versione a 64 bit di Windows 7. E proverò sicuramente NetFlow, ma penso che dovrò aggiornare il firmware del mio router a una versione successiva che ho già. Grazie per il tuo aiuto finora!