Điều gì có nghĩa là tôi phải bắt một Hacker bị bẻ khóa trong một trong các máy tính của tôi? [đóng cửa]


20

HĐH: Windows 7 Enterprise Edition (Phiên bản dùng thử 90 ngày)

Tôi đặt máy tính của mình vào DMZ để có thể lưu trữ máy chủ trong một thời gian ngắn. (Chuyển tiếp cổng không hoạt động trong phiên bản DD-WRT mà tôi đã cài đặt trên bộ định tuyến của mình.) Sau một lúc, ai đó đã thực hiện kết nối với máy tính của tôi thông qua Remote Desktop Connection. Trên thực tế, anh ta đang gõ máy tính cho tôi ngay trên máy tính bị xâm nhập, hỏi tôi rằng "tôi sẽ cấp phép" hay không và tôi nên "chờ 5 phút". (Không cần phải nói, tôi đã gõ lại và bảo anh ta ... cũng xô nó đi.)

Thực hiện một netstatlệnh từ máy tính bao gồm đã cho thấy điều này TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDvì vậy tôi đoán anh ấy đã thay đổi tệp máy chủ của tôi thành địa chỉ IP của anh ấy sẽ bị ẩn. Anh ta cũng thay đổi mật khẩu quản trị viên trên hộp và hạ cấp tài khoản của tôi để nó không phải là quản trị viên. Tôi có thể đăng nhập vào tài khoản của mình và làm những việc không phải quản trị viên mà tôi thích, nhưng đó là nó.

Anh ấy cũng quay lại mỗi lần tôi bật máy tính, thường trong khoảng 25 phút, nhưng đôi khi chỉ 2 hoặc 3 lần sau khi tôi bật máy. VÌ tôi có cảm giác rằng anh ấy đã tải lên một cái gì đó chạy khi khởi động và gọi về nhà.

Đối với tôi, đây có vẻ như là tác phẩm của một đứa trẻ kịch bản và một người không nói tiếng Anh tốt. Tất cả các cửa của tôi nơi mở cũng như cửa sổ của tôi. (Không có ý định chơi chữ.) Tôi đã bật RDC để cho phép kết nối từ xa bên ngoài mạng của mình.

Sau khi kết thúc, tôi sẽ định dạng toàn bộ máy tính, nhưng tôi muốn biết liệu tôi có thể làm gì để theo dõi anh chàng này để tôi có thể giao địa chỉ IP của anh ta cho cơ quan tội phạm mạng trong khu vực của tôi không.

[EDIT] Bộ định tuyến của tôi đã có địa chỉ IP của máy tính hiện đã bị xâm phạm trên mạng cục bộ được đặt thành địa chỉ DMZ trong bộ định tuyến của tôi. Tôi biết cách thiết lập Cổng từ, nhưng như tôi đã nói, nó không hoạt động trong phiên bản DD-WRT của tôi, tôi đang sử dụng phiên bản beta, không ổn định của DD-WRT. Tôi hoàn toàn không bật Tường lửa Windows. Tôi tin rằng đó là RDC vì Windows hỏi tôi liệu có ổn không khi cho phép Quản trị viên / DESKTOP-PC kết nối. Trình quản lý tác vụ chỉ hiển thị tài khoản của tôi, để xem quy trình trên các tài khoản khác mà tôi cần Quản trị viên và anh ấy đã thay đổi mật khẩu quản trị viên của tôi. Anh ấy đang gõ cho tôi thông qua bảng điều khiển dòng lệnh mở mà tôi đã mở để tôi có thể thực hiện lệnh netstat. Sau khi tôi thực hiện lệnh Netset, tôi đang sử dụng một máy tính xách tay linux khác để tìm hiểu xem tôi có thể lấy địa chỉ IP của anh ấy từ tên máy chủ của anh ấy không. Trong khi tôi đang làm điều đó, Tôi nhận thấy rằng có một số văn bản trong bảng điều khiển mà tôi không viết có nội dung "Bạn sẽ cấp phép, đợi 5 phút". trong bảng điều khiển dòng lệnh. Đây là lý do tại sao tôi nghĩ rằng anh ta đang sử dụng RDC, vì rõ ràng anh ta có thể thấy máy tính để bàn của máy tính của tôi. Tôi sẽ thử kết nối tcpvcon và tôi sẽ cho CD Boot của Hiren đi. Tôi sẽ kiểm tra nhật ký AutoRun sau khi tôi lấy lại quyền truy cập của quản trị viên vào tài khoản của mình và tôi đang sử dụng phiên bản 64 bit của Windows 7. Và tôi chắc chắn sẽ dùng thử NetFlow, nhưng tôi nghĩ rằng tôi sẽ phải cập nhật Firmware cho bộ định tuyến của mình một phiên bản mới hơn những gì tôi đã có. Cảm ơn vì sự giúp đỡ của bạn cho đến nay! Rõ ràng là anh ta có thể thấy máy tính để bàn của tôi. Tôi sẽ thử kết nối tcpvcon và tôi sẽ cho CD Boot của Hiren đi. Tôi sẽ kiểm tra nhật ký AutoRun sau khi tôi lấy lại quyền truy cập của quản trị viên vào tài khoản của mình và tôi đang sử dụng phiên bản 64 bit của Windows 7. Và tôi chắc chắn sẽ dùng thử NetFlow, nhưng tôi nghĩ rằng tôi sẽ phải cập nhật Firmware cho bộ định tuyến của mình một phiên bản mới hơn những gì tôi đã có. Cảm ơn vì sự giúp đỡ của bạn cho đến nay! Rõ ràng là anh ta có thể thấy máy tính để bàn của tôi. Tôi sẽ thử kết nối tcpvcon và tôi sẽ cho CD khởi động của Hiren. Tôi sẽ kiểm tra nhật ký AutoRun sau khi tôi lấy lại quyền truy cập của quản trị viên vào tài khoản của mình và tôi đang sử dụng phiên bản 64 bit của Windows 7. Và tôi chắc chắn sẽ thử NetFlow, nhưng tôi nghĩ rằng tôi sẽ phải cập nhật Firmware cho bộ định tuyến của mình một phiên bản mới hơn những gì tôi đã có. Cảm ơn vì sự giúp đỡ của bạn cho đến nay!


Câu hỏi của bạn khá chưa đầy đủ như tôi đã nêu trong câu trả lời của mình. Bạn có thể cải thiện nó với nhiều chi tiết hơn để chúng tôi có thể giúp bạn tốt hơn nhiều so với suy đoán không? Bạn đã mở cửa này như một honeypot , vì vậy bạn chỉ cần quét cổng nhanh nhất đầu tiên vượt qua hệ thống của bạn ...
Tamara Wijsman

Câu trả lời:


17

đặt máy tính của tôi vào DMZ để tôi có thể lưu trữ máy chủ trong một thời gian ngắn.

Bạn có nghĩa là một khách hàng, như bạn đã nói về Windows 7. Bạn đang lưu trữ những dịch vụ nào?


Chuyển tiếp cổng không hoạt động trong phiên bản DD-WRT mà tôi đã cài đặt trên bộ định tuyến của mình.

Đọc một hướng dẫn, bởi vì điều này khá đơn giản để thiết lập. Bạn rất có thể đã quên mở một cổng.

Tường lửa Windows thì sao? Được cấu hình đúng hay nó cũng mở rộng?


Sau một thời gian, ai đó đã thực hiện kết nối với máy tính của tôi thông qua Remote Desktop Connection

Bạn có chắc không? Bạn đã xác minh rằng đây là RDC? Nó sẽ tiết lộ một kết nối.

Anh ấy đăng nhập vào tài khoản nào? Nhìn vào trình quản lý tác vụ.

Mật khẩu của bạn có đủ mạnh không? Một cái gì đó giống như tối thiểu 8 ký tự theo kiểu A-Za-z0-9 ...


Thực tế, anh ta đang gõ máy tính cho tôi

Làm thế nào là anh ấy gõ cho bạn trên máy tính? Qua net send?

Bạn có thấy anh ấy gõ trực tiếp với bạn notepadhay không? Bởi vì điều đó sẽ không RDC...


vì vậy tôi đoán anh ấy đã thay đổi tập tin máy chủ của tôi thành địa chỉ IP của anh ấy sẽ bị ẩn

Bạn có thể ít nhất xác minh các giả định của bạn? Nếu nó giúp, đó là một máy chủ Google liên quan đến các dịch vụ Talk ... Khác với việc thiếu thông tin, không thể chỉ có một kết nối ở đó.

Hãy thử dòng lệnh sau sau khi tải xuống công cụ kết nối tiện dụng này :

tcpvcon -a -c > connections.csv

Điều này sẽ cho phép chúng tôi có được manh mối tốt hơn về cách anh ấy kết nối, ngoài việc bạn có thể thử GUI.


Anh ta cũng thay đổi mật khẩu quản trị viên trên hộp và hạ cấp tài khoản của tôi để không phải là quản trị viên. Tôi có thể đăng nhập vào tài khoản của mình và làm những việc không phải quản trị viên mà tôi thích, nhưng đó là nó.

Sử dụng ntpasswd để khôi phục tài khoản quản trị viên của bạn. Nó có sẵn trên CD Boot của Hiren .


VÌ tôi có cảm giác rằng anh ấy đã tải lên một cái gì đó chạy khi khởi động và gọi về nhà.

Bạn đã xác minh điều đó?

Kiểm tra Autorun xem có gì bất thường không (mà bạn cũng có thể lưu nếu muốn chia sẻ).

Đồng thời kiểm tra Rootkitrevealer nếu bạn đang chạy hệ thống 32 bit, trong trường hợp anh ta thực sự khó chịu ...


Tất cả các cửa của tôi nơi mở cũng như cửa sổ của tôi. (Không có ý định chơi chữ.) Tôi đã bật RDC để cho phép kết nối từ xa bên ngoài mạng của mình.

Sau khi kết thúc, tôi sẽ định dạng toàn bộ máy tính, nhưng tôi muốn biết liệu tôi có thể làm gì để theo dõi anh chàng này để tôi có thể giao địa chỉ IP của anh ta cho cơ quan tội phạm mạng trong khu vực của tôi không.

Nếu bạn đang mở máy tính của mình lên mạng internet, ít nhất bạn nên bảo vệ nó, rất có thể đó không phải là RDC như tôi đã nói trước đây. Cũng không cần phải định dạng toàn bộ máy tính vì một khi bạn ngăn chặn những thứ của anh ta chạy và bạn tường lửa máy tính và thực hiện một cách đơn giản sfc /scannowcùng với virus quét máy tính của bạn, bạn sẽ ổn thôi. Mặc dù bạn không thích xử lý sự cố nhưng bạn cũng có thể cài đặt lại.

Nếu bạn muốn trở thành người khó chịu, bạn có thể kích hoạt NetFlow trên DD-WRT của mình và định cấu hình để gửi nó đến một máy tính khác đang chạy ntop và được định cấu hình để nhận từ bộ định tuyến để theo dõi anh ta.

nhập mô tả hình ảnh ở đây


Bộ định tuyến của tôi có địa chỉ IP máy tính hiện đã bị xâm phạm trên mạng cục bộ được đặt thành địa chỉ DMZ trong bộ định tuyến của tôi. Tôi biết cách thiết lập Cổng từ, nhưng như tôi đã nói, nó không hoạt động trong phiên bản DD-WRT của tôi, tôi đang sử dụng phiên bản beta, không ổn định của DD-WRT. Tôi hoàn toàn không bật Tường lửa Windows. Tôi tin rằng đó là RDC vì Windows hỏi tôi liệu có ổn không khi cho phép Quản trị viên / DESKTOP-PC kết nối. Trình quản lý tác vụ chỉ hiển thị tài khoản của tôi, để xem quy trình trên các tài khoản khác mà tôi cần Quản trị viên và anh ấy đã thay đổi mật khẩu quản trị viên của tôi.
Đánh dấu Tomlin

Anh ấy đang gõ cho tôi thông qua bảng điều khiển dòng lệnh mở mà tôi đã mở để tôi có thể thực hiện lệnh netstat. Sau khi tôi thực hiện lệnh Netset, tôi đang sử dụng một máy tính xách tay linux khác để tìm hiểu xem tôi có thể lấy địa chỉ IP của anh ấy từ tên máy chủ của anh ấy không. Trong khi tôi đang làm điều đó, tôi nhận thấy rằng có một số văn bản trong bảng điều khiển mà tôi không viết mà nói rằng "Bạn sẽ cấp phép, chờ 5 phút." trong bảng điều khiển dòng lệnh. Đây là lý do tại sao tôi nghĩ rằng anh ta đang sử dụng RDC, vì rõ ràng anh ta có thể thấy máy tính để bàn của máy tính của tôi.
Đánh dấu Tomlin

@MarkTomlin: Sau đó, bạn nên nâng cấp lên phiên bản ổn định phù hợp và bật tường lửa của mình, cũng như thiết lập ghi nhật ký (như syslog và / hoặc ntop đã nói để bạn có thể đăng nhập nó vào một máy tính không thể truy cập khác) để bạn biết những gì xảy ra. Nếu đó là RDC; netstat, tcpviewwiresharknên giúp bạn có được tên máy chủ ISP hoặc địa chỉ IP của các hacker hoặc proxy của mình. Tại sao bạn cho phép anh ta kết nối, nó có được bảo vệ bằng mật khẩu an toàn không? Phần còn lại của bài viết của tôi thì sao?
Tamara Wijsman

Tôi sẽ thử kết nối tcpvcon và tôi sẽ cho CD Boot của Hiren đi. Tôi sẽ kiểm tra nhật ký AutoRun sau khi tôi lấy lại quyền truy cập của quản trị viên vào tài khoản của mình và tôi đang sử dụng phiên bản 64 bit của Windows 7. Và tôi chắc chắn sẽ dùng thử NetFlow, nhưng tôi nghĩ rằng tôi sẽ phải cập nhật Firmware cho bộ định tuyến của mình một phiên bản mới hơn những gì tôi đã có. Cảm ơn vì sự giúp đỡ của bạn cho đến nay!
Đánh dấu Tomlin

1
@MarkTomlin: RDC không chia sẻ máy tính để bàn, nó ăn cắp máy tính để bàn. Vì vậy, để cả hai bạn gõ hoặc xem đồng thời, anh ấy sẽ sử dụng thứ khác ...
Tamara Wijsman

11

Nếu bộ định tuyến của bạn đang ghi nhật ký (hoặc bạn có thể giám sát) lưu lượng và bạn có thể nhận được địa chỉ IP có thể định tuyến mà anh ấy đang sử dụng (nói cách khác, địa chỉ IP Internet của anh ấy, không phải là địa chỉ IP 192.168.xx, là địa chỉ nội bộ, không phải địa chỉ IP có thể định tuyến), bạn có thể lật lại, nhưng cơ hội vẫn rất mong manh khi họ bắt được anh ta.

Nếu anh ta thông minh, anh ta đang sử dụng một máy tính bị nhiễm như một proxy (hoặc một dịch vụ proxy được trả tiền ở một quốc gia khác có luật lỏng lẻo), định tuyến tất cả những thứ bất hợp pháp này thông qua nó. Nói cách khác, bạn sẽ chuyển qua IP của một người dùng bị nhiễm vô tội nhưng ngây thơ. Ngay cả khi đó, có lẽ ở một số quốc gia nơi mà luật pháp Hoa Kỳ sẽ không đạt được, hãy để một mình họ có mong muốn trong hầu hết các trường hợp trừ khi con số đô la cao.

Điều đó nói rằng, bạn luôn có thể cố gắng.


1
Làm thế nào để bạn biết OP đến từ Mỹ?
Thomas Bonini

3
@AndreasBonini: L., NY .
Tamara Wijsman

Tôi sẽ không cho rằng kẻ tấn công đủ thông minh để che dấu vết của mình. Anh ấy rõ ràng không phải là dân chuyên nghiệp và chỉ làm phiền với máy tính của những kẻ cho vui và đây là kịch bản rất kiddie thích. Có một cơ hội công bằng đó là một đứa trẻ đang chạy RAT (công cụ quản trị từ xa) từ tầng hầm của cha mẹ mình ...
stoj

Tôi đến từ Mỹ :).
Đánh dấu Tomlin

3

Sử dụng một chương trình dài dòng hơn như tcpview và tắt tùy chọn cho độ phân giải của máy chủ, vì vậy địa chỉ IP thực tế sẽ được hiển thị thay vì tên máy chủ.

Nhưng, như KCotreau nói, trừ khi họ là một siêu nhân kịch bản, họ sẽ thông qua một proxy, một máy bị xâm nhập khác hoặc qua Tor, vì vậy địa chỉ IP của họ không thể truy cập được trừ khi bạn muốn thử và lừa họ làm điều gì đó sẽ tiết lộ nó, như truy cập một đèn flash được tạo thủ công đặc biệt của trang javascript, v.v. Không chắc chắn bạn muốn đi theo con đường đó.


Tor quá chậm đối với các kết nối VNC, nhưng rất có thể anh ta không thể truy cập được trừ khi anh ta khá ngu ngốc. Mặc dù tôi đã thấy mọi người làm điều này trở lại vào thời xưa mà không che đậy bản thân ...
Tamara Wijsman

@Tom Wijsman. OP cho biết đó là RDP, mà! = VNC. Tuy nhiên, quan điểm của bạn có lẽ vẫn đứng vững, mặc dù tôi thấy rằng RDP sử dụng băng thông ít hơn nhiều so với VNC do bản chất của những gì được truyền đi.
queso

Chà, ban đầu anh không chắc chắn cho đến khi anh chỉ ra điều đó. Mặc dù vẫn còn lạ khi anh ấy nói về việc sử dụng đồng thời trên cùng một tài khoản mà RDP không thể thực hiện được. Đối với việc sử dụng băng thông, điều đó phụ thuộc vào các cài đặt. Điều đó có thể đúng nhưng theo kinh nghiệm của tôi thì Tor rất chậm ...
Tamara Wijsman

1
  • Rút cáp mạng ra khỏi máy tính.
  • Kiểm tra khởi động xem có gì bất thường không (bắt đầu> chạy> msconfig> tab "Khởi động")
  • Chạy quét AV
  • Chạy quét với malwarebytes và spybot
  • Sau khi hoàn thành, khởi động lại và chạy Hijack This! và phân tích nhật ký được tạo ra.
  • Sau khi máy tính của bạn không có mọi thứ, hãy đảm bảo rằng tường lửa của bạn đã được bật và bảo vệ AV được bật và cập nhật. Cũng vô hiệu hóa DMZ trong bộ định tuyến. Nếu bạn không thể thực hiện chuyển tiếp cổng, thì hãy sử dụng logmein.com để truy cập từ xa.
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.