ฉันต้องจับแฮ็กเกอร์ที่แตกในคอมพิวเตอร์เครื่องใดของฉันหมายความว่าอย่างไร [ปิด]


20

ระบบปฏิบัติการ: Windows 7 Enterprise Edition (เวอร์ชั่นทดลอง 90 วัน)

ฉันใส่คอมพิวเตอร์ของฉันเป็น DMZ เพื่อให้ฉันสามารถโฮสต์เซิร์ฟเวอร์ได้สักพัก (การส่งต่อพอร์ตไม่ทำงานในรุ่น DD-WRT ที่ฉันติดตั้งบนเราเตอร์ของฉัน) หลังจากนั้นครู่หนึ่งมีคนทำการเชื่อมต่อกับคอมพิวเตอร์ของฉันผ่านการเชื่อมต่อเดสก์ท็อประยะไกล ในความเป็นจริงเขากำลังพิมพ์ให้ฉันบนคอมพิวเตอร์ที่ถูกบุกรุกถามฉันว่า "ฉันจะอนุญาต" และฉันควร "รอ 5 นาที" (ไม่จำเป็นต้องพูดฉันพิมพ์กลับและบอกให้เขา ... เอามันออกไปซะ)

การทำnetstatคำสั่งจากคอมพิวเตอร์ประกอบด้วยแสดงให้เห็นTCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDดังนั้นฉันเดาว่าเขาเปลี่ยนไฟล์โฮสต์ของฉันเป็นที่อยู่ IP ของเขาจะถูกซ่อนอยู่ เขายังเปลี่ยนรหัสผ่านของผู้ดูแลระบบในช่องและลดระดับบัญชีของฉันเพื่อที่จะไม่ใช่ผู้ดูแลระบบ ฉันสามารถเข้าสู่บัญชีของตัวเองและทำสิ่งที่ไม่ใช่ผู้ดูแลระบบที่ฉันชอบ แต่นั่นคือมัน

เขากลับมาทุกครั้งที่ฉันเปิดคอมพิวเตอร์โดยปกติจะใช้เวลาประมาณ 25 นาที แต่บางครั้งก็น้อยเพียง 2 หรือ 3 หลังจากเปิดเครื่อง ดังนั้นฉันจึงรู้สึกว่าเขาอัพโหลดบางอย่างที่ทำงานเมื่อเริ่มต้นและโทรกลับบ้าน

สำหรับฉันแล้วดูเหมือนว่างานของตัวละครสคริปต์และคนที่พูดภาษาอังกฤษได้ไม่ดีนัก ประตูทุกบานของฉันที่เปิดอยู่และหน้าต่างของฉัน (ไม่มีการเล่นสำนวนเจตนา) ฉันเปิดใช้งาน RDC เพื่ออนุญาตการเชื่อมต่อระยะไกลจากนอกเครือข่ายของฉัน

หลังจากนี้เสร็จฉันจะฟอร์แมตคอมพิวเตอร์ทั้งหมด แต่ฉันอยากรู้ว่ามีอะไรที่ฉันสามารถทำได้เพื่อติดตามผู้ชายคนนี้ดังนั้นฉันสามารถส่งที่อยู่ IP ของเขาไปยังเจ้าหน้าที่อาชญากรรมไซเบอร์ในพื้นที่ของฉัน

[EDIT] My router had my now compromised computer's IP address on the local network set to the DMZ address in my router. I know how to setup Port Fording, but like I said, it does not work in my version of DD-WRT, I'm using a beta, unstable version of DD-WRT. I did not have the Windows Firewall turned on at all. I believe that it's RDC because Windows asks me if it's OK to allow Administator/DESKTOP-PC to connect. Task Mangager only shows my account, to view the proceess over the other accounts I need Admin, and he's changed my admin password. He was typing to me through the open command line console I had open so that I could do the netstat command. After I did the netset command, I was using another linux laptop to find out if I could get his IP address from his hostname. While I was doing that, I noticed that there was some text in the console that I did not write that said "You will license, wait 5 minutes." in the command line console. This is why I think he is using RDC, because it's apparent that he can see my computer's desktop. I'll try the tcpvcon connection, and I'll give Hiren's Boot CD a go. I'll check the AutoRun log after I have regained admin access to my account, and I'm using the 64bit version of Windows 7. And I will for sure try NetFlow, but I think I'll have to update my router's Firmware to a later version that what I already have. Thank you for your help so far!


คำถามของคุณไม่สมบูรณ์ตามที่ระบุไว้ในคำตอบของฉัน คุณสามารถปรับปรุงมันด้วยรายละเอียดเพิ่มเติมเพื่อให้เราสามารถช่วยคุณได้ดีกว่าการเก็งกำไร? คุณได้ตั้งค่าการเปิดเช่น honeypotดังนั้นคุณเพียงแค่ตกหลุมสำหรับการสแกนพอร์ตด่วนที่ดีที่สุดครั้งแรกที่ส่งผ่านระบบของคุณ ...
Tamara Wijsman

คำตอบ:


17

ทำให้คอมพิวเตอร์ของฉันอยู่ใน DMZ เพื่อที่ฉันจะได้โฮสต์เซิร์ฟเวอร์สักครู่

คุณหมายถึงลูกค้าอย่างที่คุณบอกว่ามันเกี่ยวกับ Windows 7 บริการใดที่คุณโฮสต์


การส่งต่อพอร์ตไม่ทำงานในรุ่น DD-WRT ที่ฉันติดตั้งบนเราเตอร์ของฉัน

อ่านคำแนะนำเพราะนี่เป็นวิธีการตั้งค่าที่ค่อนข้างง่าย คุณมักจะลืมเปิดพอร์ต

Windows Firewall เป็นอย่างไร มีการกำหนดค่าที่เหมาะสมหรือเปิดกว้างเกินไปหรือไม่


หลังจากนั้นสักครู่มีคนทำการเชื่อมต่อกับคอมพิวเตอร์ของฉันผ่านการเชื่อมต่อเดสก์ท็อประยะไกล

คุณแน่ใจไหม? คุณยืนยันว่านี่เป็น RDC หรือไม่ มันควรเปิดเผยการเชื่อมต่อ

เขาเข้าสู่ระบบบัญชีใด ดูในตัวจัดการงาน

รหัสผ่านของคุณแข็งแกร่งเพียงพอหรือไม่ อย่างน้อย 8 ตัวอักษรในสไตล์ A-Za-z0-9


อันที่จริงเขากำลังพิมพ์ให้ฉันบนคอมพิวเตอร์ที่ถูกบุกรุก

เขาพิมพ์ให้คุณทางคอมพิวเตอร์ได้อย่างไร ผ่านnet send?

คุณเห็นเขากำลังพิมพ์สดให้คุณnotepadหรือเปล่า? เพราะนั่นจะไม่เป็นRDC...


ดังนั้นฉันเดาว่าเขาเปลี่ยนไฟล์โฮสต์ของฉันเป็นที่อยู่ IP ของเขาจะถูกซ่อนไว้

อย่างน้อยคุณสามารถตรวจสอบสมมติฐานของคุณ? ถ้าเป็นเช่นนั้นนั่นก็คือเซิร์ฟเวอร์ของ Google ที่เกี่ยวข้องกับบริการของ Talk ... นอกจากนั้นไม่มีข้อมูลก็ไม่สามารถเป็นไปได้ว่ามีเพียงหนึ่งการเชื่อมต่อที่นั่น

ลองใช้บรรทัดคำสั่งต่อไปนี้หลังจากดาวน์โหลดเครื่องมือการเชื่อมต่อที่มีประโยชน์นี้ :

tcpvcon -a -c > connections.csv

ซึ่งจะช่วยให้เราได้รับเบาะแสที่ดีกว่าวิธีการที่เขาเชื่อมต่อนอกเหนือจากที่คุณสามารถลอง GUI เอง


เขายังเปลี่ยนรหัสผ่านของผู้ดูแลระบบในช่องและลดระดับบัญชีของฉันเพื่อที่จะไม่ใช่ผู้ดูแลระบบ ฉันสามารถเข้าสู่บัญชีของตัวเองและทำสิ่งที่ไม่ใช่ผู้ดูแลระบบที่ฉันชอบ แต่นั่นคือมัน

ใช้ntpasswdเพื่อกู้คืนบัญชีผู้ดูแลระบบของคุณ มันมีอยู่ในแผ่นซีดีบูต Hiren ของ


ดังนั้นฉันจึงรู้สึกว่าเขาอัพโหลดบางอย่างที่ทำงานเมื่อเริ่มต้นและโทรกลับบ้าน

คุณยืนยันแล้วหรือยัง

ตรวจสอบAutorunsสำหรับสิ่งที่ผิดปกติ (ซึ่งคุณยังสามารถบันทึกถ้าคุณต้องการหุ้น)

ตรวจสอบRootkitrevealer ด้วยถ้าคุณใช้ระบบ 32- บิตในกรณีที่เขาน่ารังเกียจจริงๆ ...


ประตูทุกบานของฉันที่เปิดอยู่และหน้าต่างของฉัน (ไม่มีการเล่นสำนวนเจตนา) ฉันเปิดใช้งาน RDC เพื่ออนุญาตการเชื่อมต่อระยะไกลจากนอกเครือข่ายของฉัน

หลังจากนี้เสร็จฉันจะฟอร์แมตคอมพิวเตอร์ทั้งหมด แต่ฉันอยากรู้ว่ามีอะไรที่ฉันสามารถทำได้เพื่อติดตามผู้ชายคนนี้ดังนั้นฉันสามารถส่งที่อยู่ IP ของเขาไปยังเจ้าหน้าที่อาชญากรรมไซเบอร์ในพื้นที่ของฉัน

หากคุณเปิดคอมพิวเตอร์ของคุณไปยังอินเทอร์เน็ตแบบกว้างอย่างน้อยที่สุดคุณก็ควรปกป้องคอมพิวเตอร์ของคุณมันน่าจะไม่ใช่ RDC อย่างที่ฉันเคยพูดไว้ก่อนหน้านี้ นอกจากนี้ยังไม่จำเป็นต้องฟอร์แมตคอมพิวเตอร์ทั้งหมดเพราะเมื่อคุณป้องกันไม่ให้สิ่งต่าง ๆ ของเขาทำงานและคุณไฟร์วอลล์คอมพิวเตอร์และทำตามวิธีที่ง่าย ๆsfc /scannowสแกนไวรัสคอมพิวเตอร์ของคุณคุณควรจะดี แม้ว่าคุณจะไม่ชอบการแก้ไขปัญหาคุณก็อาจติดตั้งเช่นกัน

หากคุณต้องการเป็นคนที่น่ารังเกียจคุณสามารถเปิดใช้งานNetFlowบน DD-WRT ของคุณและกำหนดค่าให้ส่งไปยังคอมพิวเตอร์เครื่องอื่นที่ใช้งานntopและได้รับการกำหนดค่าให้รับจากเราเตอร์เพื่อติดตามเขา

ป้อนคำอธิบายรูปภาพที่นี่


เราเตอร์ของฉันมีที่อยู่ IP ของคอมพิวเตอร์ที่ถูกบุกรุกในขณะนี้บนเครือข่ายท้องถิ่นที่ตั้งค่าเป็นที่อยู่ DMZ ในเราเตอร์ของฉัน ฉันรู้วิธีตั้งค่า Port Fording แต่อย่างที่ฉันพูดมันไม่ทำงานในรุ่น DD-WRT ของฉันฉันใช้เบต้ารุ่น DD-WRT ที่ไม่เสถียร ฉันไม่ได้เปิด Windows Firewall เลย ฉันเชื่อว่าเป็น RDC เพราะ Windows ถามฉันว่าอนุญาตให้ผู้ดูแลระบบ / DESKTOP-PC เชื่อมต่อได้หรือไม่ ตัวจัดการงานจะแสดงเฉพาะบัญชีของฉันเท่านั้นเพื่อดูโพรเซสที่เหนือกว่าบัญชีอื่นที่ฉันต้องการผู้ดูแลระบบและเขาเปลี่ยนรหัสผ่านผู้ดูแลระบบของฉัน
Mark Tomlin

เขาพิมพ์ให้ฉันผ่านคอนโซลบรรทัดคำสั่งเปิดที่ฉันเปิดไว้เพื่อที่ฉันจะได้ทำคำสั่ง netstat หลังจากที่ฉันทำคำสั่ง netset ฉันใช้แล็ปท็อป linux เครื่องอื่นเพื่อค้นหาว่าฉันสามารถรับที่อยู่ IP ของเขาจากชื่อโฮสต์ของเขาได้หรือไม่ ขณะที่ฉันกำลังทำสิ่งนั้นอยู่ฉันสังเกตเห็นว่ามีข้อความบางส่วนในคอนโซลที่ฉันไม่ได้เขียนซึ่งกล่าวว่า "คุณจะได้รับอนุญาตรอ 5 นาที" ในคอนโซลบรรทัดคำสั่ง นี่คือเหตุผลที่ฉันคิดว่าเขาใช้ RDC เพราะเห็นได้ชัดว่าเขาสามารถเห็นเดสก์ท็อปของคอมพิวเตอร์ของฉัน
Mark Tomlin

@MarkTomlin: จากนั้นคุณควรอัพเกรดเป็นเวอร์ชั่นที่เสถียรและเปิดใช้งานไฟร์วอลล์ของคุณรวมถึงตั้งค่าการบันทึก (เช่น syslog และ / หรือ ntop ตามที่กล่าวไว้เพื่อให้คุณสามารถบันทึกลงในคอมพิวเตอร์ที่เข้าถึงไม่ได้) เพื่อให้คุณรู้ว่า ที่เกิดขึ้น ถ้าเป็น RDC netstat, tcpviewและwiresharkควรจะได้รับคุณชื่อโฮสต์ผู้ให้บริการอินเทอร์เน็ตหรือที่อยู่ IP ของแฮ็กเกอร์หรือผู้รับมอบฉันทะของเขา ทำไมคุณถึงอนุญาตให้เขาเชื่อมต่อมันได้รับการป้องกันด้วยรหัสผ่านที่ปลอดภัยหรือไม่? ส่วนที่เหลือของโพสต์ของฉัน
Tamara Wijsman

ฉันจะลองการเชื่อมต่อ tcpvcon และจะให้ Boot CD ของ Hiren หายไป ฉันจะตรวจสอบบันทึกการทำงานอัตโนมัติหลังจากฉันได้สิทธิ์ผู้ดูแลระบบในการเข้าถึงบัญชีของฉันและฉันใช้ Windows 7 รุ่น 64 บิตและฉันจะลองใช้ NetFlow อย่างแน่นอน แต่ฉันคิดว่าฉันจะต้องอัปเดตเฟิร์มแวร์ของเราเตอร์ รุ่นที่ใหม่กว่าที่ฉันมีอยู่แล้ว ขอบคุณสำหรับความช่วยเหลือของคุณจนถึงตอนนี้!
Mark Tomlin

1
@MarkTomlin: RDC ไม่แชร์เดสก์ท็อป แต่เป็นการขโมยเดสก์ท็อป ดังนั้นเพื่อให้คุณพิมพ์หรือดูพร้อมกันเขาจะใช้อย่างอื่น ...
Tamara Wijsman

11

หากเราเตอร์ของคุณกำลังบันทึก (หรือคุณสามารถตรวจสอบ) ปริมาณการใช้งานและคุณสามารถรับที่อยู่ IP ที่กำหนดเส้นทางที่เขาใช้ (กล่าวอีกนัยหนึ่งคือที่อยู่ IP อินเทอร์เน็ตของเขาไม่ใช่ที่อยู่ IP 192.168.xx ซึ่งเป็นภายใน ที่อยู่ IP ที่กำหนดเส้นทางได้) คุณสามารถพลิกกลับมาใหม่ได้ แต่โอกาสยังน้อยมากที่พวกเขาจะจับเขา

หากเขาฉลาดเขาใช้คอมพิวเตอร์ที่ติดเชื้อเป็นพร็อกซี (หรือบริการพร็อกซีแบบชำระเงินในประเทศอื่นที่มีกฎหมายหละหลวม) ซึ่งกำหนดเส้นทางสิ่งผิดกฎหมายทั้งหมดนี้ผ่านทางคอมพิวเตอร์ พูดอีกอย่างก็คือคุณจะเปลี่ยนไอพีของผู้ใช้ที่บริสุทธิ์ แต่ไร้เดียงสา ถึงแม้ว่าในบางประเทศอาจไม่สามารถเข้าถึงกฎหมายของสหรัฐอเมริกาได้แต่ทว่าพวกเขาจะมีความปรารถนาในกรณีส่วนใหญ่ยกเว้นว่าค่าเงินดอลลาร์จะสูง

ที่กล่าวว่าคุณสามารถลอง


1
คุณรู้ได้อย่างไรว่า OP มาจากสหรัฐอเมริกา
โทมัส Bonini

3
@AndreasBonini: แอล, นิวยอร์ก
Tamara Wijsman

ฉันไม่คิดว่าผู้โจมตีฉลาดพอที่จะปกปิดร่องรอยของเขา เห็นได้ชัดว่าเขาไม่ใช่มืออาชีพและเพิ่งล้อเล่นกับคอมพิวเตอร์ของผู้ชายเพื่อความสนุก มีโอกาสพอสมควรที่เด็กบางคนใช้หนู (เครื่องมือบริหารจากระยะไกล) จากพ่อแม่ของเขาที่ชั้นใต้ดิน ...
stoj

ฉันมาจากสหรัฐอเมริกา :)
Mark Tomlin

3

ใช้โปรแกรม verbose เพิ่มเติมเช่น tcpview และปิดตัวเลือกสำหรับการแก้ปัญหาโฮสต์ดังนั้นที่อยู่ IP ที่แท้จริงจะปรากฏขึ้นแทนชื่อโฮสต์

แต่เช่นเดียวกับ KCotreau พูดว่าเว้นแต่พวกเขาจะเป็นตัวละครสุดยอดพวกเขากำลังผ่านพร็อกซีเครื่องอื่นที่ถูกบุกรุกหรือผ่าน Tor ดังนั้นที่อยู่ IP ของพวกเขาจึงไม่สามารถแก้ไขได้เว้นแต่ว่าคุณต้องการลองหลอกพวกเขาให้ทำสิ่งที่จะเปิดเผย การเยี่ยมชมหน้าจาวาสคริปต์ที่สร้างขึ้นเป็นพิเศษและอื่น ๆ ไม่แน่ใจว่าคุณต้องการเดินทางไปในเส้นทางนั้น


Tor ช้าเกินไปสำหรับการเชื่อมต่อ VNC แต่เขาอาจจะไม่สามารถถอดได้เว้นแต่ว่าเขาจะเป็นคนค่อนข้างโง่ แม้ว่าฉันเคยเห็นผู้คนทำสิ่งนี้ย้อนกลับไปในสมัยก่อนโดยไม่ปิดบังตัวเอง ...
Tamara Wijsman

@Tom Wijsman OP บอกว่ามันคือ RDP ซึ่ง! = VNC อย่างไรก็ตามจุดของคุณอาจยังคงอยู่ถึงแม้ว่าฉันพบว่า RDP ใช้แบนด์วิดท์น้อยกว่า VNC ตามลักษณะของสิ่งที่ส่ง
queso

ตอนแรกเขาไม่แน่ใจจนกระทั่งเขาชี้ให้เห็น แม้ว่าจะยังแปลกที่เขาพูดถึงการใช้งานพร้อมกันในบัญชีเดียวกันซึ่งไม่สามารถทำได้ด้วย RDP สำหรับการใช้แบนด์วิดท์นั้นขึ้นอยู่กับการตั้งค่า มันอาจเป็นจริง แต่สำหรับประสบการณ์ของฉัน Tor ช้ามาก ...
Tamara Wijsman

1
  • ถอดสายเคเบิลเครือข่ายออกจากคอมพิวเตอร์
  • ตรวจสอบการเริ่มต้นสำหรับสิ่งผิดปกติ (เริ่ม> เรียกใช้> msconfig> แท็บ "เริ่มต้น")
  • เรียกใช้การสแกน AV
  • เรียกใช้การสแกนด้วย Malwarebytes และ Spybot
  • หลังจากเสร็จสิ้นให้รีบูตและเรียกใช้ HijackThis! และวิเคราะห์บันทึกที่สร้างขึ้น
  • หลังจากที่คอมพิวเตอร์ของคุณไม่มีทุกอย่างตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณพร้อมใช้งานและมีการเปิดใช้งานการป้องกัน AV และทันสมัยอยู่เสมอ ปิดการใช้งาน DMZ ในเราเตอร์ด้วย หากคุณไม่สามารถส่งต่อพอร์ตได้ให้ใช้ logmein.com สำหรับการเข้าถึงระยะไกล
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.