HĐH: Windows 7 Enterprise Edition (Phiên bản dùng thử 90 ngày)
Tôi đặt máy tính của mình vào DMZ để có thể lưu trữ máy chủ trong một thời gian ngắn. (Chuyển tiếp cổng không hoạt động trong phiên bản DD-WRT mà tôi đã cài đặt trên bộ định tuyến của mình.) Sau một lúc, ai đó đã thực hiện kết nối với máy tính của tôi thông qua Remote Desktop Connection. Trên thực tế, anh ta đang gõ máy tính cho tôi ngay trên máy tính bị xâm nhập, hỏi tôi rằng "tôi sẽ cấp phép" hay không và tôi nên "chờ 5 phút". (Không cần phải nói, tôi đã gõ lại và bảo anh ta ... cũng xô nó đi.)
Thực hiện một netstat
lệnh từ máy tính bao gồm đã cho thấy điều này TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED
vì vậy tôi đoán anh ấy đã thay đổi tệp máy chủ của tôi thành địa chỉ IP của anh ấy sẽ bị ẩn. Anh ta cũng thay đổi mật khẩu quản trị viên trên hộp và hạ cấp tài khoản của tôi để nó không phải là quản trị viên. Tôi có thể đăng nhập vào tài khoản của mình và làm những việc không phải quản trị viên mà tôi thích, nhưng đó là nó.
Anh ấy cũng quay lại mỗi lần tôi bật máy tính, thường trong khoảng 25 phút, nhưng đôi khi chỉ 2 hoặc 3 lần sau khi tôi bật máy. VÌ tôi có cảm giác rằng anh ấy đã tải lên một cái gì đó chạy khi khởi động và gọi về nhà.
Đối với tôi, đây có vẻ như là tác phẩm của một đứa trẻ kịch bản và một người không nói tiếng Anh tốt. Tất cả các cửa của tôi nơi mở cũng như cửa sổ của tôi. (Không có ý định chơi chữ.) Tôi đã bật RDC để cho phép kết nối từ xa bên ngoài mạng của mình.
Sau khi kết thúc, tôi sẽ định dạng toàn bộ máy tính, nhưng tôi muốn biết liệu tôi có thể làm gì để theo dõi anh chàng này để tôi có thể giao địa chỉ IP của anh ta cho cơ quan tội phạm mạng trong khu vực của tôi không.
[EDIT] Bộ định tuyến của tôi đã có địa chỉ IP của máy tính hiện đã bị xâm phạm trên mạng cục bộ được đặt thành địa chỉ DMZ trong bộ định tuyến của tôi. Tôi biết cách thiết lập Cổng từ, nhưng như tôi đã nói, nó không hoạt động trong phiên bản DD-WRT của tôi, tôi đang sử dụng phiên bản beta, không ổn định của DD-WRT. Tôi hoàn toàn không bật Tường lửa Windows. Tôi tin rằng đó là RDC vì Windows hỏi tôi liệu có ổn không khi cho phép Quản trị viên / DESKTOP-PC kết nối. Trình quản lý tác vụ chỉ hiển thị tài khoản của tôi, để xem quy trình trên các tài khoản khác mà tôi cần Quản trị viên và anh ấy đã thay đổi mật khẩu quản trị viên của tôi. Anh ấy đang gõ cho tôi thông qua bảng điều khiển dòng lệnh mở mà tôi đã mở để tôi có thể thực hiện lệnh netstat. Sau khi tôi thực hiện lệnh Netset, tôi đang sử dụng một máy tính xách tay linux khác để tìm hiểu xem tôi có thể lấy địa chỉ IP của anh ấy từ tên máy chủ của anh ấy không. Trong khi tôi đang làm điều đó, Tôi nhận thấy rằng có một số văn bản trong bảng điều khiển mà tôi không viết có nội dung "Bạn sẽ cấp phép, đợi 5 phút". trong bảng điều khiển dòng lệnh. Đây là lý do tại sao tôi nghĩ rằng anh ta đang sử dụng RDC, vì rõ ràng anh ta có thể thấy máy tính để bàn của máy tính của tôi. Tôi sẽ thử kết nối tcpvcon và tôi sẽ cho CD Boot của Hiren đi. Tôi sẽ kiểm tra nhật ký AutoRun sau khi tôi lấy lại quyền truy cập của quản trị viên vào tài khoản của mình và tôi đang sử dụng phiên bản 64 bit của Windows 7. Và tôi chắc chắn sẽ dùng thử NetFlow, nhưng tôi nghĩ rằng tôi sẽ phải cập nhật Firmware cho bộ định tuyến của mình một phiên bản mới hơn những gì tôi đã có. Cảm ơn vì sự giúp đỡ của bạn cho đến nay! Rõ ràng là anh ta có thể thấy máy tính để bàn của tôi. Tôi sẽ thử kết nối tcpvcon và tôi sẽ cho CD Boot của Hiren đi. Tôi sẽ kiểm tra nhật ký AutoRun sau khi tôi lấy lại quyền truy cập của quản trị viên vào tài khoản của mình và tôi đang sử dụng phiên bản 64 bit của Windows 7. Và tôi chắc chắn sẽ dùng thử NetFlow, nhưng tôi nghĩ rằng tôi sẽ phải cập nhật Firmware cho bộ định tuyến của mình một phiên bản mới hơn những gì tôi đã có. Cảm ơn vì sự giúp đỡ của bạn cho đến nay! Rõ ràng là anh ta có thể thấy máy tính để bàn của tôi. Tôi sẽ thử kết nối tcpvcon và tôi sẽ cho CD khởi động của Hiren. Tôi sẽ kiểm tra nhật ký AutoRun sau khi tôi lấy lại quyền truy cập của quản trị viên vào tài khoản của mình và tôi đang sử dụng phiên bản 64 bit của Windows 7. Và tôi chắc chắn sẽ thử NetFlow, nhưng tôi nghĩ rằng tôi sẽ phải cập nhật Firmware cho bộ định tuyến của mình một phiên bản mới hơn những gì tôi đã có. Cảm ơn vì sự giúp đỡ của bạn cho đến nay!