O que significa ter que pegar um hacker que quebrou em um dos meus computadores? [fechadas]

Question

O que significa ter que pegar um hacker que quebrou em um dos meus computadores? [fechadas]

#1 resposta do (17 votos)
#2 resposta do (11 votos)
#3 resposta do (3 votos)
#4 resposta do (1 votos)

20

SO: Windows 7 Enterprise Edition (versão de teste de 90 dias)

Eu coloquei meu computador em um DMZ para que eu pudesse hospedar um servidor por um tempo. (Port Forwarding não estava funcionando na minha versão do DD-WRT que eu tinha instalado no meu roteador.) Depois de algum tempo alguém fez uma conexão com o meu computador via Remote Desktop Connection. Na verdade, ele está digitando para mim no computador comprometido, perguntando se "eu licenciarei" e que eu deveria "esperar 5 minutos". (Escusado será dizer que eu digitei de volta e disse-lhe para ... bem empurrá-lo.)

Executar um comando netstat do computador incluído mostrou esse TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED , por isso acredito que ele tenha alterado meu arquivo de hosts para que o endereço IP dele fique oculto. Ele também mudou a senha do administrador na caixa e rebaixou minha conta para que não seja admin. Eu consigo acessar minha própria conta e fazer as coisas não administrativas que gosto, mas é isso.

Ele também volta toda vez que ligo meu computador, geralmente em cerca de 25 minutos, mas algumas vezes em menos de 2 ou 3 depois de ligá-lo. Então, tenho a sensação de que ele fez o upload de algo que é executado na inicialização e liga para casa.

Para mim, isso parece o trabalho de um script kiddie e alguém que não fala inglês muito bem. Todas as minhas portas estão abertas, assim como minhas janelas. (Sem trocadilhos.) Eu tinha o RDC habilitado para permitir conexões remotas de fora da minha rede.

Depois que isso acabar, eu formatarei todo o computador, mas eu queria saber se há algo que eu possa fazer para rastrear esse cara para que eu possa entregar seu endereço IP para as autoridades do crime cibernético na minha área.

[EDITAR] Meu roteador tinha o endereço IP do meu computador agora comprometido na rede local definido para o endereço DMZ no roteador. Eu sei como configurar o Port Fording, mas como eu disse, ele não funciona na minha versão do DD-WRT, estou usando uma versão beta, instável do DD-WRT. Eu não tinha o Firewall do Windows ligado. Acredito que seja o RDC, porque o Windows me pergunta se não há problema em permitir que o Administrador / DESKTOP-PC se conecte. O Mangager de tarefas só mostra minha conta, para ver o processo sobre as outras contas. Eu preciso do Admin e ele mudou minha senha de administrador. Ele estava digitando para mim através do console de linha de comando aberto que eu tinha aberto para que eu pudesse fazer o comando netstat. Depois que eu fiz o comando netset, eu estava usando outro laptop linux para descobrir se eu poderia obter o seu endereço IP do seu nome de host. Enquanto eu estava fazendo isso, notei que havia algum texto no console que eu não escrevi que dizia: "Você vai licenciar, espere 5 minutos". no console da linha de comando. É por isso que acho que ele está usando o RDC, porque é evidente que ele pode ver a área de trabalho do meu computador. Vou tentar a conexão tcpvcon, e vou dar o CD de inicialização do Hiren. Vou verificar o log AutoRun depois que eu tiver recuperado o acesso de administrador à minha conta e estiver usando a versão de 64 bits do Windows 7. E com certeza vou testar o NetFlow, mas acho que terei que atualizar o firmware do meu roteador para uma versão posterior que já tenho. Obrigado pela sua ajuda até agora!

windows-7 tracking

por Mark Tomlin 23.06.2011 / 07:03

4 respostas

11

Se o seu roteador está registrando (ou você pode monitorar) o tráfego, e você pode obter o endereço IP roteável que ele está usando (em outras palavras, seu endereço IP da Internet, não um endereço IP 192.168.xx, que é interno , endereço IP não roteável), você pode entregar isso, mas as chances ainda são muito pequenas de que eles o peguem.

Se ele for esperto, ele está usando um computador infectado como um proxy (ou um serviço de proxy pago em outro país com leis frouxas), encaminhando todo esse material ilegal através dele. Em outras palavras, você estaria apenas entregando o IP de um inocente, mas ingênuo usuário infectado. Mesmo assim, é provável que em algum país onde o alcance da lei dos EUA não alcance, muito menos que eles tenham o desejo na maioria dos casos a menos que os números em dólares sejam altos.

Dito isso, você sempre pode tentar.

por 23.06.2011 / 07:10

3

Use um programa mais detalhado, como o tcpview, e desative a opção de resolução do host, para que o endereço IP real seja mostrado em vez do nome do host.

Mas, como o KCotreau diz, a menos que sejam um super script, eles estão passando por um proxy, outra máquina comprometida ou pelo Tor, então seu endereço IP não pode ser rastreado, a menos que você tente enganá-los e fazer algo que divulgue como visitar um flash especialmente criado de página de javascript, etc. Não tenho certeza se você quer viajar por esse caminho.

por 23.06.2011 / 08:01

1

Desconecte o cabo de rede do computador.
Verifique se há algo incomum na inicialização (iniciar > executar > msconfig > guia "Inicialização")
Executar verificações AV
Executa varreduras com malwarebytes e spybot
Depois que tudo estiver pronto, reinicie e execute o HijackThis! e analise o log que é gerado.
Depois que o seu computador estiver livre de tudo, verifique se o firewall está ativado e se a proteção antivírus está ativada e atualizada. Também desabilite o DMZ no roteador. Se você não puder fazer um encaminhamento de porta, use logmein.com para acesso remoto.

por 24.06.2011 / 00:15

Tags windows-7 tracking

Por que meu mouse está desmarcando e desmarcando aleatoriamente? Retângulo cinza no canto superior esquerdo da tela

score 17 · Accepted Answer

put my computer into a DMZ so that I could host a server for a little while.

Você quer dizer um cliente, como você disse, é sobre o Windows 7. Quais serviços você está hospedando?

Port Forwarding was not working in my version of DD-WRT that I had installed on my router.

Leia um guia, porque isso é bastante simples de configurar. Você provavelmente esqueceu de abrir uma porta.

E o Firewall do Windows? Está configurado corretamente ou está totalmente aberto também?

After a little while someone made a connection to my computer via Remote Desktop Connection

Tem a certeza? Você verificou que isso é um RDC? Deve revelar uma conexão.

Em que conta ele está logado? Procure no gerenciador de tarefas.

Sua senha é strong o suficiente? Algo como 8 caracteres no mínimo no estilo A-Za-z0-9 ...

In fact, he is typing to me on the compromised computer right

Como ele está digitando para você no computador? Através de net send ?

Você o vê digitando ao vivo em notepad ou algo assim? Porque isso não seria RDC ...

so I'm guessing he changed my hosts file to that his IP address would be hidden

Você pode pelo menos confirmar suas suposições? Se ajudar, é um servidor do Google relacionado aos serviços do Google Talk ... Além disso, há uma falta de informação, não pode ser que haja apenas uma conexão lá.

Experimente a seguinte linha de comando após fazer o download desta ferramenta de conexões úteis :

tcpvcon -a -c > connections.csv

O que nos permitiria ter uma idéia melhor de como ele se conectou, além de você poder experimentar a GUI em si.

He also changed the admin password on box, and demoted my account so that it's not admin. I can login to my own account and do the non-admin things that I like, but that's it.

Use ntpasswd para recuperar sua conta de administrador. Está disponível no CD de inicialização do Hiren .

SO I have a feeling that he uploaded something that runs on startup and calls home.

Você verificou isso?

Verifique se há Autoruns para algo anormal (que você também pode salvar se quiser compartilhar).

Verifique também o Rootkitrevealer se você estiver executando um sistema de 32 bits, caso ele seja realmente desagradável ...

All my doors where open as well as my windows. (No pun intended.) I had RDC enabled to allow remote connections from outside my network.

After this is over I will be formatting the whole computer, but I wanted to know if there is anything I can do to track back this guy so I can hand over his IP address to the cyber crime authorities in my area.

Se você está abrindo o seu computador na internet, você deve pelo menos protegê-lo, provavelmente não é o RDC como eu disse antes. Também não há necessidade de formatar o computador inteiro, uma vez que você evita que as coisas dele sejam executadas e você faz o firewall do computador e faz um simples sfc /scannow ao longo de um antivírus. Você deve estar bem. Embora você não goste de solucionar problemas, também pode reinstalar.

Se você quer ser uma pessoa desagradável, você pode ativar o NetFlow no seu DD-WRT e configurá-lo para enviá-lo para outro computador que esteja executando ntop e está configurado para receber do roteador para rastreá-lo.