Betriebssystem: Windows 7 Enterprise Edition (90-Tage-Testversion)
Ich habe meinen Computer in eine DMZ gestellt, damit ich für eine Weile einen Server hosten kann. (Die Portweiterleitung funktionierte in meiner Version von DD-WRT, die ich auf meinem Router installiert hatte, nicht.) Nach einer Weile stellte jemand über die Remotedesktopverbindung eine Verbindung zu meinem Computer her. Tatsächlich tippt er mir auf dem kompromittierten Computer direkt zu und fragt mich, ob "Ich werde lizenzieren" und dass ich "5 Minuten warten" soll. (Unnötig zu sagen, ich tippte zurück und sagte ihm, er solle ... es gut schieben.)
Die Ausführung eines netstat
Befehls auf dem enthaltenen Computer hat dies gezeigt TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED
, und ich vermute, er hat meine Hosts-Datei dahingehend geändert, dass seine IP-Adresse verborgen ist. Er hat auch das Administratorkennwort in der Box geändert und mein Konto herabgestuft, sodass es kein Administrator ist. Ich kann mich in mein eigenes Konto einloggen und die Nicht-Admin-Dinge tun, die mir gefallen, aber das war's.
Er kommt auch jedes Mal zurück, wenn ich meinen Computer einschalte, normalerweise innerhalb von 25 Minuten, aber manchmal nur 2 oder 3, nachdem ich ihn eingeschaltet habe. Also ich habe das Gefühl, dass er etwas hochgeladen hat, das beim Start läuft und zu Hause anruft.
Für mich scheint dies die Arbeit eines Drehbuchkindes zu sein, und jemand, der nicht sehr gut Englisch spricht. Alle meine Türen standen offen, genauso wie meine Fenster. (Kein Wortspiel beabsichtigt.) Ich hatte RDC aktiviert, um Remoteverbindungen von außerhalb meines Netzwerks zuzulassen.
Nachdem dies vorbei ist, werde ich den gesamten Computer formatieren, aber ich wollte wissen, ob ich irgendetwas tun kann, um diesen Kerl zurückzuverfolgen, damit ich seine IP-Adresse an die Cyber-Kriminalitätsbehörden in meiner Nähe weitergeben kann.
[BEARBEITEN] Auf meinem Router wurde die IP-Adresse meines jetzt infizierten Computers im lokalen Netzwerk auf die DMZ-Adresse in meinem Router eingestellt. Ich weiß, wie man Port Fording einrichtet, aber wie gesagt, es funktioniert in meiner Version von DD-WRT nicht. Ich verwende eine Beta-Version von DD-WRT, die nicht stabil ist. Ich hatte die Windows-Firewall überhaupt nicht aktiviert. Ich glaube, dass es sich um RDC handelt, da Windows mich fragt, ob die Verbindung zwischen Administrator und DESKTOP-PC zulässig ist. Der Task-Manager zeigt nur mein Konto an, um den Vorgang für die anderen Konten anzuzeigen, die ich als Administrator benötige. Außerdem hat er mein Administratorkennwort geändert. Er tippte über die offene Kommandozeilenkonsole, die ich geöffnet hatte, um den Befehl netstat auszuführen. Nachdem ich den Befehl netset ausgeführt hatte, benutzte ich einen anderen Linux-Laptop, um herauszufinden, ob ich seine IP-Adresse von seinem Hostnamen erhalten konnte. Während ich das tat, Mir ist aufgefallen, dass sich in der Konsole ein Text befand, den ich nicht geschrieben habe: "Sie werden lizenzieren, warten Sie 5 Minuten." in der Kommandozeilenkonsole. Deshalb denke ich, dass er RDC verwendet, weil es offensichtlich ist, dass er den Desktop meines Computers sehen kann. Ich probiere die tcpvcon-Verbindung aus und probiere Hirens Boot-CD aus. Ich werde das AutoRun-Protokoll überprüfen, nachdem ich den Administratorzugriff auf mein Konto wiedererlangt habe und die 64-Bit-Version von Windows 7 verwende. Ich werde es auf jeden Fall mit NetFlow versuchen, aber ich denke, ich muss die Firmware meines Routers aktualisieren eine spätere version das was ich schon habe. Vielen Dank für Ihre Hilfe! Es ist offensichtlich, dass er den Desktop meines Computers sehen kann. Ich probiere die tcpvcon-Verbindung aus und probiere Hirens Boot-CD aus. Ich werde das AutoRun-Protokoll überprüfen, nachdem ich den Administratorzugriff auf mein Konto wiedererlangt habe und die 64-Bit-Version von Windows 7 verwende. Ich werde es auf jeden Fall mit NetFlow versuchen, aber ich denke, ich muss die Firmware meines Routers aktualisieren eine spätere version das was ich schon habe. Vielen Dank für Ihre Hilfe! Es ist offensichtlich, dass er den Desktop meines Computers sehen kann. Ich probiere die tcpvcon-Verbindung aus und probiere Hirens Boot-CD aus. Ich werde das AutoRun-Protokoll überprüfen, nachdem ich den Administratorzugriff auf mein Konto wiedererlangt habe und die 64-Bit-Version von Windows 7 verwende. Ich werde es auf jeden Fall mit NetFlow versuchen, aber ich denke, ich muss die Firmware meines Routers aktualisieren eine spätere version das was ich schon habe. Vielen Dank für Ihre Hilfe!
Antworten:
Sie meinen einen Kunden, wie Sie sagten, handelt es sich um Windows 7. Welche Dienste hosten Sie?
Lesen Sie eine Anleitung, da diese recht einfach einzurichten ist. Sie haben höchstwahrscheinlich vergessen, einen Hafen zu eröffnen.
Was ist mit der Windows-Firewall? Ist das richtig konfiguriert oder ist es auch weit offen?
Bist du sicher? Haben Sie überprüft, dass dies ein RDC ist? Es sollte eine Verbindung aufzeigen.
Unter welchem Account ist er eingeloggt? Schau mal im Task-Manager.
Ist Ihr Passwort stark genug? Mindestens 8 Zeichen im A-Za-z0-9-Stil ...
Wie schreibt er dir am Computer? Durch
net send
?Siehst du ihn live für dich tippen
notepad
oder so? Weil das nicht wäreRDC
...Können Sie zumindest Ihre Annahmen überprüfen? Wenn es hilft, handelt es sich um einen Google-Server für Talk-Dienste. Abgesehen davon, dass es an Informationen mangelt, kann es nicht sein, dass nur eine Verbindung besteht.
Probieren Sie die folgende Befehlszeile aus, nachdem Sie dieses praktische Verbindungstool heruntergeladen haben :
Auf diese Weise können wir besser erkennen, wie er verbunden ist, ansonsten können Sie die GUI selbst ausprobieren.
Verwenden Sie ntpasswd , um Ihr Administratorkonto wiederherzustellen. Es ist auf Hirens Boot-CD erhältlich .
Haben Sie das überprüft?
Überprüfen Sie die Autoruns auf ungewöhnliche Ereignisse (die Sie auch speichern können, wenn Sie sie freigeben möchten).
Überprüfen Sie auch Rootkitrevealer, wenn Sie ein 32-Bit-System ausführen , nur für den Fall, dass er wirklich böse ist ...
Wenn Sie Ihren Computer für das weite Internet öffnen, sollten Sie ihn zumindest schützen. Wie ich bereits sagte, handelt es sich höchstwahrscheinlich nicht um RDC. Es besteht auch keine Notwendigkeit, den gesamten Computer zu formatieren, da
sfc /scannow
Sie in Ordnung sein sollten, sobald Sie verhindern, dass seine Dinge ausgeführt werden, und Sie den Computer durch eine Firewall schützen und einen einfachen Virenscan Ihres Computers durchführen. Obwohl Sie die Fehlerbehebung nicht mögen, können Sie sie auch neu installieren.Wenn Sie die unangenehme Person sein möchten, können Sie NetFlow auf Ihrem DD-WRT aktivieren und so konfigurieren, dass es an einen anderen Computer gesendet wird, auf dem ntop ausgeführt wird und der so konfiguriert ist, dass er vom Router empfangen wird, um ihn aufzuspüren.
quelle
netstat
,tcpview
Undwireshark
sollten Sie mit dem ISP Hostnamen oder die IP - Adresse des Hackers oder sein Stellvertreter erhalten. Warum erlauben Sie ihm, eine Verbindung herzustellen, ist sie durch ein sicheres Passwort geschützt? Was ist mit dem Rest meines Beitrags?Wenn Ihr Router den Datenverkehr protokolliert (oder Sie ihn überwachen können) und Sie die routingfähige IP-Adresse erhalten, die er verwendet (mit anderen Worten, seine Internet-IP-Adresse, keine 192.168.xx-IP-Adresse, die eine interne, nicht routbare IP-Adresse), könnten Sie das umdrehen, aber die Chancen sind immer noch sehr gering, dass sie ihn fangen.
Wenn er schlau ist, verwendet er einen infizierten Computer als Proxy (oder einen bezahlten Proxy-Dienst in einem anderen Land mit laxen Gesetzen) und leitet all diese illegalen Dinge durch diesen. Mit anderen Worten, Sie würden nur die IP eines unschuldigen, aber naiven infizierten Benutzers weitergeben. Selbst dann ist es wahrscheinlich in einem Land, in dem die Reichweite des US-Rechts nicht erreicht wird, geschweige denn, sie haben in den meisten Fällen den Wunsch, es sei denn, die Dollarzahlen sind hoch.
Das heißt, Sie können immer versuchen.
quelle
Verwenden Sie ein ausführlicheres Programm wie tcpview und deaktivieren Sie die Option für die Hostauflösung, damit die tatsächliche IP-Adresse anstelle des Hostnamens angezeigt wird.
Aber, wie KCotreau sagt, wenn sie kein Super-Script-Kiddie sind, durchlaufen sie einen Proxy, einen anderen kompromittierten Computer oder über Tor, so dass ihre IP-Adresse nicht zurückverfolgt werden kann, es sei denn, Sie möchten versuchen, sie dazu zu bringen, etwas zu tun, das dies offenbaren würde, wie Besuchen Sie eine speziell gestaltete JavaScript-Flash-Seite usw. Sie sind sich nicht sicher, ob Sie diesen Weg gehen möchten.
quelle
quelle