Was bedeutet, dass ich einen Hacker fangen muss, der in einen meiner Computer eingebrochen ist? [geschlossen]

20

Betriebssystem: Windows 7 Enterprise Edition (90-Tage-Testversion)

Ich habe meinen Computer in eine DMZ gestellt, damit ich für eine Weile einen Server hosten kann. (Die Portweiterleitung funktionierte in meiner Version von DD-WRT, die ich auf meinem Router installiert hatte, nicht.) Nach einer Weile stellte jemand über die Remotedesktopverbindung eine Verbindung zu meinem Computer her. Tatsächlich tippt er mir auf dem kompromittierten Computer direkt zu und fragt mich, ob "Ich werde lizenzieren" und dass ich "5 Minuten warten" soll. (Unnötig zu sagen, ich tippte zurück und sagte ihm, er solle ... es gut schieben.)

Die Ausführung eines netstatBefehls auf dem enthaltenen Computer hat dies gezeigt TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED, und ich vermute, er hat meine Hosts-Datei dahingehend geändert, dass seine IP-Adresse verborgen ist. Er hat auch das Administratorkennwort in der Box geändert und mein Konto herabgestuft, sodass es kein Administrator ist. Ich kann mich in mein eigenes Konto einloggen und die Nicht-Admin-Dinge tun, die mir gefallen, aber das war's.

Er kommt auch jedes Mal zurück, wenn ich meinen Computer einschalte, normalerweise innerhalb von 25 Minuten, aber manchmal nur 2 oder 3, nachdem ich ihn eingeschaltet habe. Also ich habe das Gefühl, dass er etwas hochgeladen hat, das beim Start läuft und zu Hause anruft.

Für mich scheint dies die Arbeit eines Drehbuchkindes zu sein, und jemand, der nicht sehr gut Englisch spricht. Alle meine Türen standen offen, genauso wie meine Fenster. (Kein Wortspiel beabsichtigt.) Ich hatte RDC aktiviert, um Remoteverbindungen von außerhalb meines Netzwerks zuzulassen.

Nachdem dies vorbei ist, werde ich den gesamten Computer formatieren, aber ich wollte wissen, ob ich irgendetwas tun kann, um diesen Kerl zurückzuverfolgen, damit ich seine IP-Adresse an die Cyber-Kriminalitätsbehörden in meiner Nähe weitergeben kann.

[BEARBEITEN] Auf meinem Router wurde die IP-Adresse meines jetzt infizierten Computers im lokalen Netzwerk auf die DMZ-Adresse in meinem Router eingestellt. Ich weiß, wie man Port Fording einrichtet, aber wie gesagt, es funktioniert in meiner Version von DD-WRT nicht. Ich verwende eine Beta-Version von DD-WRT, die nicht stabil ist. Ich hatte die Windows-Firewall überhaupt nicht aktiviert. Ich glaube, dass es sich um RDC handelt, da Windows mich fragt, ob die Verbindung zwischen Administrator und DESKTOP-PC zulässig ist. Der Task-Manager zeigt nur mein Konto an, um den Vorgang für die anderen Konten anzuzeigen, die ich als Administrator benötige. Außerdem hat er mein Administratorkennwort geändert. Er tippte über die offene Kommandozeilenkonsole, die ich geöffnet hatte, um den Befehl netstat auszuführen. Nachdem ich den Befehl netset ausgeführt hatte, benutzte ich einen anderen Linux-Laptop, um herauszufinden, ob ich seine IP-Adresse von seinem Hostnamen erhalten konnte. Während ich das tat, Mir ist aufgefallen, dass sich in der Konsole ein Text befand, den ich nicht geschrieben habe: "Sie werden lizenzieren, warten Sie 5 Minuten." in der Kommandozeilenkonsole. Deshalb denke ich, dass er RDC verwendet, weil es offensichtlich ist, dass er den Desktop meines Computers sehen kann. Ich probiere die tcpvcon-Verbindung aus und probiere Hirens Boot-CD aus. Ich werde das AutoRun-Protokoll überprüfen, nachdem ich den Administratorzugriff auf mein Konto wiedererlangt habe und die 64-Bit-Version von Windows 7 verwende. Ich werde es auf jeden Fall mit NetFlow versuchen, aber ich denke, ich muss die Firmware meines Routers aktualisieren eine spätere version das was ich schon habe. Vielen Dank für Ihre Hilfe! Es ist offensichtlich, dass er den Desktop meines Computers sehen kann. Ich probiere die tcpvcon-Verbindung aus und probiere Hirens Boot-CD aus. Ich werde das AutoRun-Protokoll überprüfen, nachdem ich den Administratorzugriff auf mein Konto wiedererlangt habe und die 64-Bit-Version von Windows 7 verwende. Ich werde es auf jeden Fall mit NetFlow versuchen, aber ich denke, ich muss die Firmware meines Routers aktualisieren eine spätere version das was ich schon habe. Vielen Dank für Ihre Hilfe! Es ist offensichtlich, dass er den Desktop meines Computers sehen kann. Ich probiere die tcpvcon-Verbindung aus und probiere Hirens Boot-CD aus. Ich werde das AutoRun-Protokoll überprüfen, nachdem ich den Administratorzugriff auf mein Konto wiedererlangt habe und die 64-Bit-Version von Windows 7 verwende. Ich werde es auf jeden Fall mit NetFlow versuchen, aber ich denke, ich muss die Firmware meines Routers aktualisieren eine spätere version das was ich schon habe. Vielen Dank für Ihre Hilfe!

Mark Tomlin
quelle
Ihre Frage ist ziemlich unvollständig, wie ich in meiner Antwort dargelegt habe. Können Sie es mit mehr Details verbessern, so dass wir Ihnen viel besser helfen können, als nur zu spekulieren? Sie haben diese Option wie ein Honeypot geöffnet , sodass Sie nur auf den ersten schnellen Port-Scan hereinfallen, der an Ihrem System
vorbeigeht

Antworten:

17

Stellen Sie meinen Computer in eine DMZ, damit ich für eine Weile einen Server hosten kann.

Sie meinen einen Kunden, wie Sie sagten, handelt es sich um Windows 7. Welche Dienste hosten Sie?


Die Portweiterleitung funktionierte in meiner Version von DD-WRT, die ich auf meinem Router installiert hatte, nicht.

Lesen Sie eine Anleitung, da diese recht einfach einzurichten ist. Sie haben höchstwahrscheinlich vergessen, einen Hafen zu eröffnen.

Was ist mit der Windows-Firewall? Ist das richtig konfiguriert oder ist es auch weit offen?


Nach einer Weile stellte jemand über die Remotedesktopverbindung eine Verbindung zu meinem Computer her

Bist du sicher? Haben Sie überprüft, dass dies ein RDC ist? Es sollte eine Verbindung aufzeigen.

Unter welchem ​​Account ist er eingeloggt? Schau mal im Task-Manager.

Ist Ihr Passwort stark genug? Mindestens 8 Zeichen im A-Za-z0-9-Stil ...


Tatsächlich tippt er mir auf dem kompromittierten Computer direkt zu

Wie schreibt er dir am Computer? Durch net send?

Siehst du ihn live für dich tippen notepadoder so? Weil das nicht wäre RDC...


Ich vermute, er hat meine Hosts-Datei dahingehend geändert, dass seine IP-Adresse verborgen ist

Können Sie zumindest Ihre Annahmen überprüfen? Wenn es hilft, handelt es sich um einen Google-Server für Talk-Dienste. Abgesehen davon, dass es an Informationen mangelt, kann es nicht sein, dass nur eine Verbindung besteht.

Probieren Sie die folgende Befehlszeile aus, nachdem Sie dieses praktische Verbindungstool heruntergeladen haben :

tcpvcon -a -c > connections.csv

Auf diese Weise können wir besser erkennen, wie er verbunden ist, ansonsten können Sie die GUI selbst ausprobieren.


Er hat auch das Administratorkennwort in der Box geändert und mein Konto herabgestuft, sodass es kein Administrator ist. Ich kann mich in mein eigenes Konto einloggen und die Dinge tun, die mir nicht als Administrator gefallen, aber das war's.

Verwenden Sie ntpasswd , um Ihr Administratorkonto wiederherzustellen. Es ist auf Hirens Boot-CD erhältlich .


Also ich habe das Gefühl, dass er etwas hochgeladen hat, das beim Start läuft und zu Hause anruft.

Haben Sie das überprüft?

Überprüfen Sie die Autoruns auf ungewöhnliche Ereignisse (die Sie auch speichern können, wenn Sie sie freigeben möchten).

Überprüfen Sie auch Rootkitrevealer, wenn Sie ein 32-Bit-System ausführen , nur für den Fall, dass er wirklich böse ist ...


Alle meine Türen standen offen, genauso wie meine Fenster. (Kein Wortspiel beabsichtigt.) Ich hatte RDC aktiviert, um Remoteverbindungen von außerhalb meines Netzwerks zuzulassen.

Nachdem dies vorbei ist, werde ich den gesamten Computer formatieren, aber ich wollte wissen, ob ich irgendetwas tun kann, um diesen Kerl zurückzuverfolgen, damit ich seine IP-Adresse an die Cyber-Kriminalitätsbehörden in meiner Nähe weitergeben kann.

Wenn Sie Ihren Computer für das weite Internet öffnen, sollten Sie ihn zumindest schützen. Wie ich bereits sagte, handelt es sich höchstwahrscheinlich nicht um RDC. Es besteht auch keine Notwendigkeit, den gesamten Computer zu formatieren, da sfc /scannowSie in Ordnung sein sollten, sobald Sie verhindern, dass seine Dinge ausgeführt werden, und Sie den Computer durch eine Firewall schützen und einen einfachen Virenscan Ihres Computers durchführen. Obwohl Sie die Fehlerbehebung nicht mögen, können Sie sie auch neu installieren.

Wenn Sie die unangenehme Person sein möchten, können Sie NetFlow auf Ihrem DD-WRT aktivieren und so konfigurieren, dass es an einen anderen Computer gesendet wird, auf dem ntop ausgeführt wird und der so konfiguriert ist, dass er vom Router empfangen wird, um ihn aufzuspüren.

Bildbeschreibung hier eingeben

Tamara Wijsman
quelle
Bei meinem Router war die IP-Adresse meines jetzt infizierten Computers im lokalen Netzwerk auf die DMZ-Adresse in meinem Router eingestellt. Ich weiß, wie man Port Fording einrichtet, aber wie gesagt, es funktioniert in meiner Version von DD-WRT nicht. Ich verwende eine Beta-Version von DD-WRT, die nicht stabil ist. Ich hatte die Windows-Firewall überhaupt nicht aktiviert. Ich glaube, dass es sich um RDC handelt, da Windows mich fragt, ob die Verbindung zwischen Administrator und DESKTOP-PC zulässig ist. Der Task-Manager zeigt nur mein Konto an, um den Vorgang für die anderen Konten anzuzeigen, die ich als Administrator benötige. Außerdem hat er mein Administratorkennwort geändert.
Mark Tomlin
Er tippte über die offene Kommandozeilenkonsole, die ich geöffnet hatte, um den Befehl netstat auszuführen. Nachdem ich den Befehl netset ausgeführt hatte, benutzte ich einen anderen Linux-Laptop, um herauszufinden, ob ich seine IP-Adresse von seinem Hostnamen erhalten konnte. Während ich das tat, bemerkte ich, dass sich in der Konsole ein Text befand, den ich nicht geschrieben habe und der besagte: "Sie werden lizenzieren, warten Sie 5 Minuten." in der Kommandozeilenkonsole. Deshalb denke ich, dass er RDC verwendet, weil es offensichtlich ist, dass er den Desktop meines Computers sehen kann.
Mark Tomlin
@MarkTomlin: Dann sollten Sie ein Upgrade auf eine korrekte stabile Version durchführen und Ihre Firewall aktivieren sowie die Protokollierung einrichten (wie gesagt Syslog und / oder NTOP-basiert, damit Sie sie auf einem anderen unzugänglichen Computer protokollieren können), damit Sie wissen, was passiert das passiert. Wenn es RDC ist; netstat, tcpviewUnd wiresharksollten Sie mit dem ISP Hostnamen oder die IP - Adresse des Hackers oder sein Stellvertreter erhalten. Warum erlauben Sie ihm, eine Verbindung herzustellen, ist sie durch ein sicheres Passwort geschützt? Was ist mit dem Rest meines Beitrags?
Tamara Wijsman
Ich probiere die tcpvcon-Verbindung aus und probiere Hirens Boot-CD aus. Ich werde das AutoRun-Protokoll überprüfen, nachdem ich den Administratorzugriff auf mein Konto wiedererlangt habe und die 64-Bit-Version von Windows 7 verwende. Ich werde es auf jeden Fall mit NetFlow versuchen, aber ich denke, ich muss die Firmware meines Routers aktualisieren eine spätere version das was ich schon habe. Vielen Dank für Ihre Hilfe!
Mark Tomlin
1
@ MarkTomlin: RDC gibt den Desktop nicht frei, sondern stiehlt ihn. Damit Sie beide gleichzeitig tippen oder sehen können, würde er etwas anderes verwenden ...
Tamara Wijsman
11

Wenn Ihr Router den Datenverkehr protokolliert (oder Sie ihn überwachen können) und Sie die routingfähige IP-Adresse erhalten, die er verwendet (mit anderen Worten, seine Internet-IP-Adresse, keine 192.168.xx-IP-Adresse, die eine interne, nicht routbare IP-Adresse), könnten Sie das umdrehen, aber die Chancen sind immer noch sehr gering, dass sie ihn fangen.

Wenn er schlau ist, verwendet er einen infizierten Computer als Proxy (oder einen bezahlten Proxy-Dienst in einem anderen Land mit laxen Gesetzen) und leitet all diese illegalen Dinge durch diesen. Mit anderen Worten, Sie würden nur die IP eines unschuldigen, aber naiven infizierten Benutzers weitergeben. Selbst dann ist es wahrscheinlich in einem Land, in dem die Reichweite des US-Rechts nicht erreicht wird, geschweige denn, sie haben in den meisten Fällen den Wunsch, es sei denn, die Dollarzahlen sind hoch.

Das heißt, Sie können immer versuchen.

KCotreau
quelle
1
Woher wissen Sie, dass das OP aus den USA stammt?
Thomas Bonini
3
@ AndreasBonini: L., NY .
Tamara Wijsman
Ich würde nicht annehmen, dass der Angreifer schlau genug ist, seine Spuren zu verwischen. Er ist offensichtlich kein Profi und spielt nur zum Spaß mit dem Computer des Mannes und das ist sehr skriptartig. Es besteht eine gute Chance, dass ein Kind eine RAT (Remote Administration Tool) aus dem Keller seiner Eltern
ausführt
Ich bin von der US :).
Mark Tomlin
3

Verwenden Sie ein ausführlicheres Programm wie tcpview und deaktivieren Sie die Option für die Hostauflösung, damit die tatsächliche IP-Adresse anstelle des Hostnamens angezeigt wird.

Aber, wie KCotreau sagt, wenn sie kein Super-Script-Kiddie sind, durchlaufen sie einen Proxy, einen anderen kompromittierten Computer oder über Tor, so dass ihre IP-Adresse nicht zurückverfolgt werden kann, es sei denn, Sie möchten versuchen, sie dazu zu bringen, etwas zu tun, das dies offenbaren würde, wie Besuchen Sie eine speziell gestaltete JavaScript-Flash-Seite usw. Sie sind sich nicht sicher, ob Sie diesen Weg gehen möchten.

queso
quelle
Tor ist zu langsam für VNC-Verbindungen, aber wahrscheinlich ist er nicht auffindbar, es sei denn, er ist ziemlich dumm. Obwohl ich in früheren Zeiten Leute gesehen habe, die das getan haben, ohne sich zu
verdecken
@ Tom Wijsman. OP sagte, es sei RDP, was! = VNC. Ihr Standpunkt bleibt jedoch wahrscheinlich bestehen, obwohl ich finde, dass RDP aufgrund der Art der übertragenen Daten weitaus weniger Bandbreite als VNC verwendet.
Queso
Nun, er war sich zunächst unsicher, bis er darauf hinwies. Obwohl es immer noch seltsam ist, dass er über die gleichzeitige Verwendung auf demselben Konto spricht, was mit RDP nicht möglich ist. Die Bandbreitennutzung hängt von den Einstellungen ab. Es könnte wahr sein, aber meiner Erfahrung nach ist Tor sehr langsam ...
Tamara Wijsman
1
  • Ziehen Sie das Netzwerkkabel vom Computer ab.
  • Überprüfen Sie den Start auf ungewöhnliche Ereignisse (start> run> msconfig> Registerkarte "Startup").
  • Führen Sie AV-Scans durch
  • Führen Sie Scans mit Malwarebytes und Spybot durch
  • Starten Sie anschließend HijackThis! und analysieren Sie das erzeugte Protokoll.
  • Stellen Sie sicher, dass Ihre Firewall aktiviert und der AV-Schutz aktiviert und auf dem neuesten Stand ist, nachdem Ihr Computer von allem befreit ist. Deaktivieren Sie auch die DMZ im Router. Wenn Sie keine Portweiterleitung durchführen können, verwenden Sie logmein.com für den Remotezugriff.
Flow erzwingen
quelle