Apa artinya saya harus menangkap seorang Peretas yang retak di salah satu komputer saya? [Tutup]


20

OS: Windows 7 Enterprise Edition (Versi Uji Coba 90 Hari)

Saya memasukkan komputer saya ke DMZ sehingga saya bisa meng-host server untuk sementara waktu. (Port Forwarding tidak berfungsi dalam versi DD-WRT yang saya instal pada router saya.) Setelah beberapa saat seseorang membuat koneksi ke komputer saya melalui Remote Desktop Connection. Bahkan, dia mengetik kepada saya di komputer yang dikompromikan, bertanya kepada saya apakah "saya akan lisensi", dan bahwa saya harus "menunggu 5 menit". (Tak perlu dikatakan, saya mengetik kembali dan menyuruhnya ... mendorongnya dengan baik.)

Melakukan a netstat perintah dari komputer yang terdiri menunjukkan ini TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED jadi saya kira dia mengubah file host saya ke alamat IP-nya akan disembunyikan. Dia juga mengubah kata sandi admin pada kotak, dan menurunkan akun saya sehingga bukan admin. Saya dapat masuk ke akun saya sendiri dan melakukan hal-hal non-admin yang saya sukai, tetapi hanya itu.

Dia juga kembali setiap kali saya menyalakan komputer saya, biasanya dalam waktu sekitar 25 menit, tetapi beberapa kali sesedikit 2 atau 3 setelah saya menyalakannya. JADI, saya merasa dia mengunggah sesuatu yang berjalan saat startup dan menelepon ke rumah.

Bagi saya, ini seperti karya script kiddie, dan seseorang yang tidak bisa berbahasa Inggris dengan baik. Semua pintu saya terbuka dan juga jendela saya. (No pun intended). RDC saya diaktifkan untuk memungkinkan koneksi jarak jauh dari luar jaringan saya.

Setelah ini selesai saya akan memformat seluruh komputer, tetapi saya ingin tahu apakah ada yang bisa saya lakukan untuk melacak kembali orang ini sehingga saya bisa menyerahkan alamat IP-nya ke otoritas kejahatan cyber di daerah saya.

[EDIT] Router saya memiliki alamat IP komputer saya yang sekarang telah dikompromikan pada jaringan lokal yang disetel ke alamat DMZ di router saya. Saya tahu cara mengatur Port Fording, tetapi seperti yang saya katakan, itu tidak berfungsi dalam versi DD-WRT saya, saya menggunakan versi beta, versi DD-WRT yang tidak stabil. Saya tidak mengaktifkan Windows Firewall sama sekali. Saya percaya bahwa ini RDC karena Windows bertanya apakah OK untuk mengizinkan Administrator / DESKTOP-PC terhubung. Task Mangager hanya menampilkan akun saya, untuk melihat proses dibandingkan akun lain yang saya butuhkan Admin, dan dia mengubah kata sandi admin saya. Dia mengetik kepada saya melalui konsol baris perintah terbuka yang saya buka sehingga saya bisa melakukan perintah netstat. Setelah saya melakukan perintah netset, saya menggunakan laptop linux lain untuk mengetahui apakah saya bisa mendapatkan alamat IP-nya dari nama hostnya. Sementara saya melakukan itu, saya perhatikan bahwa ada beberapa teks di konsol yang saya tidak menulis yang mengatakan "Anda akan melisensikan, tunggu 5 menit." di konsol baris perintah. Inilah mengapa saya pikir dia menggunakan RDC, karena jelas dia bisa melihat desktop komputer saya. Saya akan mencoba koneksi tcpvcon, dan saya akan mencoba Hiren's Boot CD. Saya akan memeriksa log AutoRun setelah saya mendapatkan kembali akses admin ke akun saya, dan saya menggunakan versi 64bit Windows 7. Dan saya pasti akan mencoba NetFlow, tapi saya pikir saya harus memperbarui Firmware router saya untuk versi nanti yang sudah saya miliki. Terima kasih atas bantuan Anda sejauh ini!


Pertanyaan Anda tidak lengkap seperti yang saya uraikan dalam jawaban saya. Bisakah Anda memperbaikinya dengan lebih banyak detail sehingga kami dapat membantu Anda lebih baik selain berspekulasi? Anda telah mengatur ini buka seperti honeypot , jadi Anda cukup terpikat untuk pemindaian port cepat terbaik pertama yang melewati sistem Anda ...
Tom Wijsman

Jawaban:


17

letakkan komputer saya di DMZ sehingga saya bisa meng-host server untuk sementara waktu.

Maksud Anda klien, seperti yang Anda katakan tentang Windows 7. Layanan apa yang Anda hosting?


Port Forwarding tidak berfungsi dalam versi DD-WRT yang saya instal di router saya.

Baca panduan, karena ini cukup mudah untuk diatur. Anda kemungkinan besar lupa membuka porta.

Bagaimana dengan Windows Firewall? Apakah itu dikonfigurasi dengan benar atau apakah terbuka lebar juga?


Setelah beberapa saat seseorang membuat koneksi ke komputer saya melalui Remote Desktop Connection

Apakah kamu yakin Apakah Anda memverifikasi bahwa ini adalah RDC? Itu harus mengungkapkan koneksi.

Di bawah akun apa dia login? Lihat di task manager.

Apakah kata sandi Anda cukup kuat? Sesuatu seperti minimal 8 karakter dalam gaya A-Za-z0-9 ...


Bahkan, dia mengetik kepada saya di komputer yang dikompromikan kanan

Bagaimana dia mengetik kepada Anda di komputer? Melalui net send?

Apakah Anda melihat dia mengetik langsung kepada Anda? notepad atau sesuatu? Karena itu tidak akan terjadi RDC...


jadi saya kira dia mengubah file host saya ke alamat IP-nya akan disembunyikan

Bisakah Anda setidaknya memverifikasi asumsi Anda? Jika ini membantu, itu adalah server Google yang terkait dengan layanan Talk ... Selain itu ada kekurangan informasi, tidak mungkin hanya ada satu koneksi di sana.

Coba baris perintah berikut setelah mengunduh alat koneksi praktis ini :

tcpvcon -a -c > connections.csv

Yang akan memungkinkan kami untuk mendapatkan petunjuk yang lebih baik tentang bagaimana dia terhubung, selain itu Anda bisa mencoba GUI itu sendiri.


Dia juga mengubah kata sandi admin pada kotak, dan menurunkan akun saya sehingga bukan admin. Saya dapat masuk ke akun saya sendiri dan melakukan hal-hal non-admin yang saya sukai, tetapi hanya itu.

Menggunakan ntpasswd untuk memulihkan akun admin Anda. Sudah tersedia di CD Boot Hiren .


JADI, saya merasa dia mengunggah sesuatu yang berjalan saat startup dan menelepon rumah.

Sudahkah Anda memverifikasi itu?

Memeriksa Autoruns untuk sesuatu yang tidak normal (yang juga bisa Anda simpan jika Anda ingin berbagi).

Periksa juga Rootkitrevealer jika Anda menjalankan sistem 32-bit, kalau-kalau dia benar-benar jahat ...


Semua pintu saya terbuka dan juga jendela saya. (No pun intended). RDC saya diaktifkan untuk memungkinkan koneksi jarak jauh dari luar jaringan saya.

Setelah ini selesai saya akan memformat seluruh komputer, tetapi saya ingin tahu apakah ada yang bisa saya lakukan untuk melacak kembali orang ini sehingga saya bisa menyerahkan alamat IP-nya ke otoritas kejahatan cyber di daerah saya.

Jika Anda membuka komputer Anda ke internet luas Anda setidaknya harus melindunginya, kemungkinan besar itu bukan RDC seperti yang saya katakan sebelumnya. Juga tidak perlu memformat seluruh komputer karena sekali Anda mencegah hal-hal dari berjalan dan Anda firewall komputer dan lakukan yang sederhana sfc /scannow sepanjang virus memindai komputer Anda, Anda akan baik-baik saja. Meskipun Anda tidak suka pemecahan masalah, Anda mungkin juga menginstal ulang.

Jika Anda ingin menjadi orang jahat yang dapat Anda aktifkan NetFlow pada DD-WRT Anda dan konfigurasikan untuk mengirimkannya ke komputer lain yang sedang berjalan tidak dan dikonfigurasi untuk menerima dari router untuk melacaknya.

enter image description here


Router saya memiliki alamat IP komputer saya yang sekarang telah dikompromikan pada jaringan lokal yang disetel ke alamat DMZ di router saya. Saya tahu cara mengatur Port Fording, tetapi seperti yang saya katakan, itu tidak bekerja di versi DD-WRT saya, saya menggunakan beta, versi tidak stabil dari DD-WRT. Saya tidak mengaktifkan Windows Firewall sama sekali. Saya percaya bahwa ini RDC karena Windows bertanya apakah OK untuk mengizinkan Administrator / DESKTOP-PC terhubung. Task Mangager hanya menampilkan akun saya, untuk melihat proses dibandingkan akun lain yang saya butuhkan Admin, dan dia mengubah kata sandi admin saya.
Mark Tomlin

Dia mengetik kepada saya melalui konsol baris perintah terbuka yang saya buka sehingga saya bisa melakukan perintah netstat. Setelah saya melakukan perintah netset, saya menggunakan laptop linux lain untuk mengetahui apakah saya bisa mendapatkan alamat IP-nya dari nama hostnya. Ketika saya melakukan itu, saya perhatikan ada beberapa teks di konsol yang tidak saya tulis yang mengatakan "Anda akan melisensikan, tunggu 5 menit." di konsol baris perintah. Inilah mengapa saya pikir dia menggunakan RDC, karena jelas dia bisa melihat desktop komputer saya.
Mark Tomlin

@MarkTomlin: Maka Anda harus meningkatkan ke versi stabil yang tepat dan mengaktifkan firewall Anda, serta mengatur logging (seperti kata syslog dan / atau ntop berbasis sehingga Anda dapat login ke komputer yang tidak dapat diakses berbeda) sehingga Anda tahu terjadi Jika itu RDC; netstat, tcpview dan wireshark harus membawa Anda ke nama host ISP atau alamat IP peretas atau kuasanya. Mengapa Anda mengizinkannya terhubung, apakah dilindungi oleh kata sandi yang aman? Bagaimana dengan sisa posting saya?
Tom Wijsman

Saya akan mencoba koneksi tcpvcon, dan saya akan mencoba Hiren's Boot CD. Saya akan memeriksa log AutoRun setelah saya mendapatkan kembali akses admin ke akun saya, dan saya menggunakan versi 64bit Windows 7. Dan saya pasti akan mencoba NetFlow, tapi saya pikir saya harus memperbarui Firmware router saya untuk versi nanti yang sudah saya miliki. Terima kasih atas bantuan Anda sejauh ini!
Mark Tomlin

1
@MarkTomlin: RDC tidak berbagi desktop, ia mencuri desktop. Jadi agar Anda berdua mengetik atau melihat secara bersamaan ia akan menggunakan sesuatu yang lain ...
Tom Wijsman

11

Jika router Anda mencatat (atau Anda dapat memonitor) lalu lintas, dan Anda bisa mendapatkan alamat IP routable yang ia gunakan (dengan kata lain, alamat IP Internetnya, bukan alamat IP 192.168.xx, yang merupakan alamat internal, bukan alamat IP routable), Anda bisa membalikkan itu, tetapi kemungkinannya masih sangat tipis bahwa mereka menangkapnya.

Jika dia pintar, dia menggunakan komputer yang terinfeksi sebagai proxy (atau layanan proxy berbayar di negara lain dengan hukum lemah), merutekan semua hal ilegal ini melaluinya. Dengan kata lain, Anda hanya akan membalik IP pengguna yang tidak bersalah, tetapi naif. Bahkan kemudian, mungkin di beberapa negara di mana jangkauan hukum AS tidak akan mencapai, apalagi mereka memiliki keinginan dalam kebanyakan kasus kecuali angka dolar tinggi.

Yang mengatakan, Anda selalu dapat mencoba.


1
Bagaimana Anda tahu OP berasal dari AS?
Andreas Bonini

3
@AndreasBonini: L., NY .
Tom Wijsman

Saya tidak akan berasumsi bahwa penyerang cukup pintar untuk menutupi jejaknya. Dia jelas bukan pro dan hanya bermain-main dengan komputer orang-orang untuk bersenang-senang dan ini sangat mirip naskah anak-anak. Ada kemungkinan adil bahwa beberapa anak menjalankan RAT (alat administrasi jarak jauh) dari orang tuanya ...
stoj

Saya dari AS :).
Mark Tomlin

3

Gunakan program yang lebih verbose seperti tcpview dan matikan opsi untuk resolusi host, sehingga alamat IP yang sebenarnya akan ditampilkan dan bukan nama host.

Tapi, seperti kata KCotreau, kecuali mereka adalah script super kiddie, mereka akan melalui proxy, mesin kompromi lain, atau lebih dari Tor, sehingga alamat IP mereka tidak bisa dilacak kecuali jika Anda ingin mencoba dan menipu mereka untuk melakukan sesuatu yang akan mengungkapkannya, seperti mengunjungi flash halaman javascript yang dibuat khusus, dll. Tidak yakin Anda ingin menempuh jalan itu.


Tor terlalu lambat untuk koneksi VNC, tetapi dia kemungkinan besar tidak bisa dilacak kecuali dia cukup bodoh. Meskipun saya telah melihat orang melakukan ini kembali di masa lalu tanpa menutupi diri mereka sendiri ...
Tom Wijsman

@ Tom Wijsman. OP mengatakan itu RDP, yang! = VNC. Namun, poin Anda mungkin masih berlaku, meskipun saya menemukan bahwa RDP menggunakan bandwidth yang jauh lebih sedikit daripada VNC mengingat sifat dari apa yang ditransmisikan.
queso

Yah, pada awalnya dia tidak yakin sampai dia menunjukkannya. Meskipun masih aneh bahwa ia berbicara tentang penggunaan simultan pada akun yang sama yang tidak mungkin dengan RDP. Adapun penggunaan bandwidth, itu tergantung pada pengaturan. Bisa jadi benar tetapi untuk pengalaman saya Tor sangat lambat ...
Tom Wijsman

1
  • Cabut kabel jaringan dari komputer.
  • Periksa startup untuk hal yang tidak biasa (mulai & gt; jalankan & gt; msconfig & gt; "Startup" tab)
  • Jalankan pemindaian AV
  • Jalankan pemindaian dengan malwarebytes dan spybot
  • Setelah semua selesai, reboot dan jalankan HijackThis! dan menganalisis log yang dihasilkan.
  • Setelah komputer Anda bebas dari segalanya, pastikan firewall Anda menyala dan perlindungan AV diaktifkan dan mutakhir. Nonaktifkan DMZ di router. Jika Anda tidak dapat melakukan port forward, maka gunakan logmein.com untuk akses jarak jauh.
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.