我必须抓住一个闯入我的计算机的黑客,这意味着什么?[关闭]


20

操作系统:Windows 7 Enterprise Edition(90天试用版)

我将计算机放入DMZ,以便可以将服务器托管一会儿。(端口转发在我安装在路由器上的DD-WRT版本中不起作用。)过了一会儿,有人通过远程桌面连接与我的计算机建立了连接。实际上,他是在受感染的计算机上向我键入内容,问我是否“我将许可”,我应该“等待5分钟”。(不用说,我打了回电话,告诉他...推开它。)

netstat从组成的计算机执行命令显示了这一点,TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED因此我猜测他将我的主机文件更改为他的IP地址将被隐藏。他还更改了框中的管理员密码,并降级了我的帐户,使其成为非管理员帐户。我可以登录自己的帐户并执行我喜欢的非管理员操作,仅此而已。

每次我打开计算机时,他也都会回来,通常是在25分钟左右,但有时会在打开计算机后2到3秒钟之内返回。因此,我感到他上传了一些可以在启动时运行并返回首页的内容。

在我看来,这就像是一个脚本小朋友的工作,并且那个人的英语说得不太好。我所有打开的门以及窗户。(没有双关语。)我启用了RDC,以允许来自网络外部的远程连接。

完成此操作后,我将格式化整个计算机,但我想知道是否有什么办法可以追查此人,以便将他的IP地址移交给我所在地区的网络犯罪主管部门。

[编辑]我的路由器将我现在在本地网络上遭到入侵的计算机的IP地址设置为我的路由器中的DMZ地址。我知道如何设置Port Fording,但是就像我说的那样,它在我的DD-WRT版本中不起作用,我使用的是Beta版,不稳定的DD-WRT版本。我根本没有打开Windows防火墙。我认为它是RDC,因为Windows询问是否可以允许Administator / DESKTOP-PC连接。任务管理员仅显示我的帐户,以查看我需要管理员管理的其他帐户的过程,而他已更改了我的管理员密码。他正在通过我打开的开放命令行控制台向我键入内容,以便可以执行netstat命令。执行netset命令后,我正在使用另一台linux笔记本电脑来确定是否可以从他的主机名中获取他的IP地址。我这样做的时候 我注意到控制台中有一些我没有写的文字,说“您将许可,请等待5分钟”。在命令行控制台中。这就是为什么我认为他使用RDC的原因,因为很明显他可以看到我计算机的桌面。我将尝试tcpvcon连接,然后尝试一下Hiren的启动CD。重新获得对帐户的管理员访问权限后,我将检查AutoRun日志,并且使用的是Windows 7的64位版本。我肯定会尝试使用NetFlow,但是我认为必须将路由器的固件更新为我已经拥有的更高版本。到目前为止,谢谢您的帮助!很明显,他可以看到我计算机的桌面。我将尝试tcpvcon连接,然后尝试Hiren的启动CD。重新获得对帐户的管理员访问权限后,我将检查AutoRun日志,并且使用的是Windows 7的64位版本。我肯定会尝试NetFlow,但我认为必须将路由器的固件更新为我已经拥有的更高版本。到目前为止,谢谢您的帮助!很明显,他可以看到我计算机的桌面。我将尝试tcpvcon连接,然后尝试Hiren的启动CD。重新获得对帐户的管理员访问权限后,我将检查AutoRun日志,并且使用的是Windows 7的64位版本。我肯定会尝试NetFlow,但我认为必须将路由器的固件更新为我已经拥有的更高版本。到目前为止,谢谢您的帮助!


正如我在回答中所概述的,您的问题还很不完整。您是否可以通过提供更多详细信息来改进它,以便我们能够比猜测更好地帮助您?您已将其设置为像蜜罐一样的开放状态,因此您就陷入了通过系统的第一个最佳快速端口扫描……
Tamara Wijsman

Answers:


17

将我的计算机放入DMZ,以便可以将服务器托管一会儿。

正如您所说的那样,您指的是Windows 7客户。您托管的服务是什么?


在路由器上安装的DD-WRT版本中,端口转发不起作用。

阅读指南,因为这很容易设置。您最有可能忘记打开端口。

那么Windows防火墙呢?是否配置正确或是否也可以打开?


不久后,有人通过“远程桌面连接”连接到我的计算机

你确定吗?您是否确认这是RDC?它应该显示一个连接。

他以什么帐户登录?在任务管理器中查看。

您的密码足够安全吗?像是A-Za-z0-9样式中的最少8个字符...


实际上,他是在受感染的计算机上向我打字

他如何在计算机上打给你?通过net send

您看到他在现场打字notepad吗?因为那不是RDC...


所以我猜他将我的主机文件更改为他的IP地址将被隐藏

您至少可以验证您的假设吗?如果有帮助,那就是与Talk服务相关的Google服务器...除了缺少信息之外,不能只是那里只有一个连接。

下载此方便的连接工具后,请尝试以下命令行:

tcpvcon -a -c > connections.csv

除了您可以尝试使用GUI本身之外,这将使我们能够更好地了解他的连接方式。


他还更改了框中的管理员密码,并降级了我的帐户,使其成为非管理员帐户。我可以登录自己的帐户并执行我喜欢的非管理员操作,仅此而已。

使用ntpasswd恢复您的管理员帐户。它可以在Hiren's Boot CD上找到


因此,我感到他上传了一些可以在启动时运行并返回首页的内容。

你证实了吗?

检查自动运行任何东西异常(你也可以,如果你想分享保存)。

如果您正在运行32位系统,还请检查Rootkitrevealer,以防万一他真的很讨厌...


我所有打开的门以及窗户。(没有双关语。)我启用了RDC,以允许来自网络外部的远程连接。

完成此操作后,我将格式化整个计算机,但我想知道是否有什么办法可以追查此人,以便将他的IP地址移交给我所在地区的网络犯罪主管部门。

如果您要开放计算机访问互联网,则至少应该保护它,就像我之前说的那样,它很可能不是RDC。您也无需格式化整个计算机,因为一旦您阻止他的东西运行并且对计算机进行了防火墙保护并且对sfc /scannow病毒进行了简单的扫描就可以了。尽管您不喜欢进行故障排除,但您最好重新安装。

如果您想成为讨厌的人,则可以在DD-WRT上启用NetFlow并将其配置为将其发送到另一台运行ntop的计算机,该计算机配置为从路由器接收以跟踪他。

在此处输入图片说明


我的路由器将本地网络上现在受到入侵的计算机的IP地址设置为路由器中的DMZ地址。我知道如何设置Port Fording,但是就像我说的那样,它在我的DD-WRT版本中不起作用,我使用的是Beta版,不稳定的DD-WRT版本。我根本没有打开Windows防火墙。我认为它是RDC,因为Windows询问是否可以允许Administator / DESKTOP-PC连接。任务管理员仅显示我的帐户,以查看我需要管理员管理的其他帐户的过程,而他已更改了我的管理员密码。
Mark Tomlin

他正在通过我打开的开放命令行控制台向我键入内容,以便可以执行netstat命令。执行netset命令后,我正在使用另一台linux笔记本电脑来确定是否可以从他的主机名中获取他的IP地址。在执行此操作时,我注意到控制台中有一些我没有写的文字,说“您将许可,请等待5分钟”。在命令行控制台中。这就是为什么我认为他使用RDC的原因,因为很明显他可以看到我计算机的桌面。
Mark Tomlin

@MarkTomlin:然后,您应该升级到适当的稳定版本并启用防火墙,并设置日志记录(如基于syslog和/或ntop的记录,以便您可以将其记录到其他无法访问的计算机上),以便您确实知道发生。如果是RDC;netstattcpviewwireshark应使您获得黑客或其代理的ISP主机名或IP地址。为什么要允许他连接,是否受到安全密码的保护?那剩下的帖子呢?
Tamara Wijsman

我将尝试tcpvcon连接,然后尝试Hiren的启动CD。重新获得对帐户的管理员访问权限后,我将检查AutoRun日志,并且使用的是Windows 7的64位版本。我肯定会尝试NetFlow,但我认为必须将路由器的固件更新为我已经拥有的更高版本。到目前为止,谢谢您的帮助!
Mark Tomlin

1
@MarkTomlin:RDC不共享桌面,它确实窃取了桌面。因此,为了让您同时打字或看到他,他将使用其他方式...
Tamara Wijsman

11

如果您的路由器正在记录(或可以监视)流量,则可以获取他正在使用的可路由IP地址(换句话说,是他的Internet IP地址,而不是192.168.xx IP地址,它是内部非可路由的IP地址),您可以将其翻转过来,但是被他抓住的机会仍然很小。

如果他很聪明,那么他就是将受感染的计算机用作代理服务器(或法律不严格的其他国家/地区提供的付费代理服务),并通过它路由所有这些非法物品。换句话说,您只需要交出一个无辜但天真的感染用户的IP。即使到那时,也可能是在某些国家,美国法律的影响力将达不到,除非美元汇率很高,否则在大多数情况下,他们不会有这种愿望。

也就是说,您可以随时尝试。


1
您如何知道OP来自美国?
Thomas Bonini 2011年

3
@AndreasBonini:L.,NY
Tamara Wijsman

我不认为攻击者足够聪明,足以掩盖他的踪迹。他显然不是专业人士,他只是在和男生电脑玩弄而已,这很像脚本小子。很有可能是某个孩子从他父母的地下室imo运行RAT(远程管理工具)...
stoj 2011年

我来自美国:)。
Mark Tomlin

3

使用更详细的程序(例如tcpview)并关闭主机解析选项,这样将显示实际IP地址而不是主机名。

但是,就像KCotreau所说的那样,除非他们是超级脚本小子,否则他们将通过代理服务器,另一台受感染的计算机或通过Tor进行访问,因此除非您想诱使他们做一些可以泄露它的事情,否则它们的IP地址是无法追踪的。访问特制的javascript页面Flash等。不确定您要沿着那条路旅行。


对于VNC连接,Tor太慢,但是除非他很笨,否则他很可能无法追踪。尽管我曾经看到人们在过去做这些事情时并没有掩饰自己的意思……
Tamara Wijsman

@汤姆·维斯曼 OP表示这是RDP,即!= VNC。但是,尽管我发现鉴于传输内容的性质,RDP使用的带宽远少于VNC的带宽,但您的观点可能仍然成立。
queso

好吧,他一开始不确定,直到他指出。尽管他谈论在同一个帐户上同时使用RDP无法实现同时使用还是很奇怪。至于带宽使用情况,取决于设置。可能是事实,但以我的经验,Tor非常慢……
Tamara Wijsman

1
  • 从计算机上拔下网络电缆。
  • 检查启动是否有异常(“开始”>“运行”>“ msconfig”>““启动””选项卡)
  • 运行AV扫描
  • 使用恶意软件字节和spybot运行扫描
  • 完成之后,重新启动并运行HijackThis!并分析生成的日志。
  • 清除计算机上的所有内容之后,请确保防火墙已启动并且AV保护已启用且是最新的。同时禁用路由器中的DMZ。如果您无法进行端口转发,请使用logmein.com进行远程访问。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.