ฉันต้องจับแฮ็กเกอร์ที่แตกในคอมพิวเตอร์เครื่องใดของฉันหมายความว่าอย่างไร [ปิด]

ระบบปฏิบัติการ: Windows 7 Enterprise Edition (เวอร์ชั่นทดลอง 90 วัน)

ฉันใส่คอมพิวเตอร์ของฉันเป็น DMZ เพื่อให้ฉันสามารถโฮสต์เซิร์ฟเวอร์ได้สักพัก (การส่งต่อพอร์ตไม่ทำงานในรุ่น DD-WRT ที่ฉันติดตั้งบนเราเตอร์ของฉัน) หลังจากนั้นครู่หนึ่งมีคนทำการเชื่อมต่อกับคอมพิวเตอร์ของฉันผ่านการเชื่อมต่อเดสก์ท็อประยะไกล ในความเป็นจริงเขากำลังพิมพ์ให้ฉันบนคอมพิวเตอร์ที่ถูกบุกรุกถามฉันว่า "ฉันจะอนุญาต" และฉันควร "รอ 5 นาที" (ไม่จำเป็นต้องพูดฉันพิมพ์กลับและบอกให้เขา ... เอามันออกไปซะ)

การทำnetstatคำสั่งจากคอมพิวเตอร์ประกอบด้วยแสดงให้เห็นTCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDดังนั้นฉันเดาว่าเขาเปลี่ยนไฟล์โฮสต์ของฉันเป็นที่อยู่ IP ของเขาจะถูกซ่อนอยู่ เขายังเปลี่ยนรหัสผ่านของผู้ดูแลระบบในช่องและลดระดับบัญชีของฉันเพื่อที่จะไม่ใช่ผู้ดูแลระบบ ฉันสามารถเข้าสู่บัญชีของตัวเองและทำสิ่งที่ไม่ใช่ผู้ดูแลระบบที่ฉันชอบ แต่นั่นคือมัน

เขากลับมาทุกครั้งที่ฉันเปิดคอมพิวเตอร์โดยปกติจะใช้เวลาประมาณ 25 นาที แต่บางครั้งก็น้อยเพียง 2 หรือ 3 หลังจากเปิดเครื่อง ดังนั้นฉันจึงรู้สึกว่าเขาอัพโหลดบางอย่างที่ทำงานเมื่อเริ่มต้นและโทรกลับบ้าน

สำหรับฉันแล้วดูเหมือนว่างานของตัวละครสคริปต์และคนที่พูดภาษาอังกฤษได้ไม่ดีนัก ประตูทุกบานของฉันที่เปิดอยู่และหน้าต่างของฉัน (ไม่มีการเล่นสำนวนเจตนา) ฉันเปิดใช้งาน RDC เพื่ออนุญาตการเชื่อมต่อระยะไกลจากนอกเครือข่ายของฉัน

หลังจากนี้เสร็จฉันจะฟอร์แมตคอมพิวเตอร์ทั้งหมด แต่ฉันอยากรู้ว่ามีอะไรที่ฉันสามารถทำได้เพื่อติดตามผู้ชายคนนี้ดังนั้นฉันสามารถส่งที่อยู่ IP ของเขาไปยังเจ้าหน้าที่อาชญากรรมไซเบอร์ในพื้นที่ของฉัน

[EDIT] My router had my now compromised computer's IP address on the local network set to the DMZ address in my router. I know how to setup Port Fording, but like I said, it does not work in my version of DD-WRT, I'm using a beta, unstable version of DD-WRT. I did not have the Windows Firewall turned on at all. I believe that it's RDC because Windows asks me if it's OK to allow Administator/DESKTOP-PC to connect. Task Mangager only shows my account, to view the proceess over the other accounts I need Admin, and he's changed my admin password. He was typing to me through the open command line console I had open so that I could do the netstat command. After I did the netset command, I was using another linux laptop to find out if I could get his IP address from his hostname. While I was doing that, I noticed that there was some text in the console that I did not write that said "You will license, wait 5 minutes." in the command line console. This is why I think he is using RDC, because it's apparent that he can see my computer's desktop. I'll try the tcpvcon connection, and I'll give Hiren's Boot CD a go. I'll check the AutoRun log after I have regained admin access to my account, and I'm using the 64bit version of Windows 7. And I will for sure try NetFlow, but I think I'll have to update my router's Firmware to a later version that what I already have. Thank you for your help so far!

ทำให้คอมพิวเตอร์ของฉันอยู่ใน DMZ เพื่อที่ฉันจะได้โฮสต์เซิร์ฟเวอร์สักครู่

คุณหมายถึงลูกค้าอย่างที่คุณบอกว่ามันเกี่ยวกับ Windows 7 บริการใดที่คุณโฮสต์

การส่งต่อพอร์ตไม่ทำงานในรุ่น DD-WRT ที่ฉันติดตั้งบนเราเตอร์ของฉัน

อ่านคำแนะนำเพราะนี่เป็นวิธีการตั้งค่าที่ค่อนข้างง่าย คุณมักจะลืมเปิดพอร์ต

Windows Firewall เป็นอย่างไร มีการกำหนดค่าที่เหมาะสมหรือเปิดกว้างเกินไปหรือไม่

หลังจากนั้นสักครู่มีคนทำการเชื่อมต่อกับคอมพิวเตอร์ของฉันผ่านการเชื่อมต่อเดสก์ท็อประยะไกล

คุณแน่ใจไหม? คุณยืนยันว่านี่เป็น RDC หรือไม่ มันควรเปิดเผยการเชื่อมต่อ

เขาเข้าสู่ระบบบัญชีใด ดูในตัวจัดการงาน

รหัสผ่านของคุณแข็งแกร่งเพียงพอหรือไม่ อย่างน้อย 8 ตัวอักษรในสไตล์ A-Za-z0-9

อันที่จริงเขากำลังพิมพ์ให้ฉันบนคอมพิวเตอร์ที่ถูกบุกรุก

เขาพิมพ์ให้คุณทางคอมพิวเตอร์ได้อย่างไร ผ่านnet send?

คุณเห็นเขากำลังพิมพ์สดให้คุณnotepadหรือเปล่า? เพราะนั่นจะไม่เป็นRDC...

ดังนั้นฉันเดาว่าเขาเปลี่ยนไฟล์โฮสต์ของฉันเป็นที่อยู่ IP ของเขาจะถูกซ่อนไว้

อย่างน้อยคุณสามารถตรวจสอบสมมติฐานของคุณ? ถ้าเป็นเช่นนั้นนั่นก็คือเซิร์ฟเวอร์ของ Google ที่เกี่ยวข้องกับบริการของ Talk ... นอกจากนั้นไม่มีข้อมูลก็ไม่สามารถเป็นไปได้ว่ามีเพียงหนึ่งการเชื่อมต่อที่นั่น

ลองใช้บรรทัดคำสั่งต่อไปนี้หลังจากดาวน์โหลดเครื่องมือการเชื่อมต่อที่มีประโยชน์นี้ :

tcpvcon -a -c > connections.csv

ซึ่งจะช่วยให้เราได้รับเบาะแสที่ดีกว่าวิธีการที่เขาเชื่อมต่อนอกเหนือจากที่คุณสามารถลอง GUI เอง

เขายังเปลี่ยนรหัสผ่านของผู้ดูแลระบบในช่องและลดระดับบัญชีของฉันเพื่อที่จะไม่ใช่ผู้ดูแลระบบ ฉันสามารถเข้าสู่บัญชีของตัวเองและทำสิ่งที่ไม่ใช่ผู้ดูแลระบบที่ฉันชอบ แต่นั่นคือมัน

ใช้ntpasswdเพื่อกู้คืนบัญชีผู้ดูแลระบบของคุณ มันมีอยู่ในแผ่นซีดีบูต Hiren ของ

ดังนั้นฉันจึงรู้สึกว่าเขาอัพโหลดบางอย่างที่ทำงานเมื่อเริ่มต้นและโทรกลับบ้าน

คุณยืนยันแล้วหรือยัง

ตรวจสอบAutorunsสำหรับสิ่งที่ผิดปกติ (ซึ่งคุณยังสามารถบันทึกถ้าคุณต้องการหุ้น)

ตรวจสอบRootkitrevealer ด้วยถ้าคุณใช้ระบบ 32- บิตในกรณีที่เขาน่ารังเกียจจริงๆ ...

ประตูทุกบานของฉันที่เปิดอยู่และหน้าต่างของฉัน (ไม่มีการเล่นสำนวนเจตนา) ฉันเปิดใช้งาน RDC เพื่ออนุญาตการเชื่อมต่อระยะไกลจากนอกเครือข่ายของฉัน

หลังจากนี้เสร็จฉันจะฟอร์แมตคอมพิวเตอร์ทั้งหมด แต่ฉันอยากรู้ว่ามีอะไรที่ฉันสามารถทำได้เพื่อติดตามผู้ชายคนนี้ดังนั้นฉันสามารถส่งที่อยู่ IP ของเขาไปยังเจ้าหน้าที่อาชญากรรมไซเบอร์ในพื้นที่ของฉัน

หากคุณเปิดคอมพิวเตอร์ของคุณไปยังอินเทอร์เน็ตแบบกว้างอย่างน้อยที่สุดคุณก็ควรปกป้องคอมพิวเตอร์ของคุณมันน่าจะไม่ใช่ RDC อย่างที่ฉันเคยพูดไว้ก่อนหน้านี้ นอกจากนี้ยังไม่จำเป็นต้องฟอร์แมตคอมพิวเตอร์ทั้งหมดเพราะเมื่อคุณป้องกันไม่ให้สิ่งต่าง ๆ ของเขาทำงานและคุณไฟร์วอลล์คอมพิวเตอร์และทำตามวิธีที่ง่าย ๆsfc /scannowสแกนไวรัสคอมพิวเตอร์ของคุณคุณควรจะดี แม้ว่าคุณจะไม่ชอบการแก้ไขปัญหาคุณก็อาจติดตั้งเช่นกัน

หากคุณต้องการเป็นคนที่น่ารังเกียจคุณสามารถเปิดใช้งานNetFlowบน DD-WRT ของคุณและกำหนดค่าให้ส่งไปยังคอมพิวเตอร์เครื่องอื่นที่ใช้งานntopและได้รับการกำหนดค่าให้รับจากเราเตอร์เพื่อติดตามเขา

หากเราเตอร์ของคุณกำลังบันทึก (หรือคุณสามารถตรวจสอบ) ปริมาณการใช้งานและคุณสามารถรับที่อยู่ IP ที่กำหนดเส้นทางที่เขาใช้ (กล่าวอีกนัยหนึ่งคือที่อยู่ IP อินเทอร์เน็ตของเขาไม่ใช่ที่อยู่ IP 192.168.xx ซึ่งเป็นภายใน ที่อยู่ IP ที่กำหนดเส้นทางได้) คุณสามารถพลิกกลับมาใหม่ได้ แต่โอกาสยังน้อยมากที่พวกเขาจะจับเขา

หากเขาฉลาดเขาใช้คอมพิวเตอร์ที่ติดเชื้อเป็นพร็อกซี (หรือบริการพร็อกซีแบบชำระเงินในประเทศอื่นที่มีกฎหมายหละหลวม) ซึ่งกำหนดเส้นทางสิ่งผิดกฎหมายทั้งหมดนี้ผ่านทางคอมพิวเตอร์ พูดอีกอย่างก็คือคุณจะเปลี่ยนไอพีของผู้ใช้ที่บริสุทธิ์ แต่ไร้เดียงสา ถึงแม้ว่าในบางประเทศอาจไม่สามารถเข้าถึงกฎหมายของสหรัฐอเมริกาได้แต่ทว่าพวกเขาจะมีความปรารถนาในกรณีส่วนใหญ่ยกเว้นว่าค่าเงินดอลลาร์จะสูง

ที่กล่าวว่าคุณสามารถลอง

ใช้โปรแกรม verbose เพิ่มเติมเช่น tcpview และปิดตัวเลือกสำหรับการแก้ปัญหาโฮสต์ดังนั้นที่อยู่ IP ที่แท้จริงจะปรากฏขึ้นแทนชื่อโฮสต์

แต่เช่นเดียวกับ KCotreau พูดว่าเว้นแต่พวกเขาจะเป็นตัวละครสุดยอดพวกเขากำลังผ่านพร็อกซีเครื่องอื่นที่ถูกบุกรุกหรือผ่าน Tor ดังนั้นที่อยู่ IP ของพวกเขาจึงไม่สามารถแก้ไขได้เว้นแต่ว่าคุณต้องการลองหลอกพวกเขาให้ทำสิ่งที่จะเปิดเผย การเยี่ยมชมหน้าจาวาสคริปต์ที่สร้างขึ้นเป็นพิเศษและอื่น ๆ ไม่แน่ใจว่าคุณต้องการเดินทางไปในเส้นทางนั้น

• ถอดสายเคเบิลเครือข่ายออกจากคอมพิวเตอร์
• ตรวจสอบการเริ่มต้นสำหรับสิ่งผิดปกติ (เริ่ม> เรียกใช้> msconfig> แท็บ "เริ่มต้น")
• เรียกใช้การสแกน AV
• เรียกใช้การสแกนด้วย Malwarebytes และ Spybot
• หลังจากเสร็จสิ้นให้รีบูตและเรียกใช้ HijackThis! และวิเคราะห์บันทึกที่สร้างขึ้น
• หลังจากที่คอมพิวเตอร์ของคุณไม่มีทุกอย่างตรวจสอบให้แน่ใจว่าไฟร์วอลล์ของคุณพร้อมใช้งานและมีการเปิดใช้งานการป้องกัน AV และทันสมัยอยู่เสมอ ปิดการใช้งาน DMZ ในเราเตอร์ด้วย หากคุณไม่สามารถส่งต่อพอร์ตได้ให้ใช้ logmein.com สำหรับการเข้าถึงระยะไกล