Bilgisayarlarımdan birinde kırılmış bir Hacker'ı yakalamam ne anlama geliyor? [kapalı]

İşletim Sistemi: Windows 7 Enterprise Edition (90 Günlük Deneme Sürümü)

Bilgisayarımı bir DMZ'ye koydum, böylece bir süre daha bir sunucuyu barındırabildim. (Port Yönlendirme, yönlendiricime yüklediğim DD-WRT sürümümde çalışmıyordu.) Bir süre sonra birileri Bilgisayarımla Uzak Masaüstü Bağlantısı üzerinden bir bağlantı kurdu. Aslında, bana "bilgisayar lisansı alıp vermeyeceğimi" ve "5 dakika beklememi" isteyip istemediğini soruyor. (Söylemeye gerek yok, geri yazdım ve ona ... itip kakma demiştim.)

Oluşan netstatbilgisayardan bir komut yapmak , bunu gösterdi TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDki ana bilgisayarımı IP adresinin gizleneceği şeklinde değiştirdi. Ayrıca kutudaki yönetici şifresini değiştirdi ve hesabımın yönetici olmadığını göstermek için indirgeme yaptı. Kendi hesabımla giriş yapabilirim ve sevmediğim yönetici olmayan işleri yapabilirim, hepsi bu.

Ayrıca bilgisayarımı her açtığımda, genellikle yaklaşık 25 dakika içinde, ancak açtıktan sonra 2 veya 3 kadar az bir sürede geri geliyor. SO başlangıçta çalışan ve eve çağıran bir şey yüklediğini hissediyorum.

Bana göre bu senaryo kiddie'nin işi ve çok iyi İngilizce bilen biri gibi görünüyor. Bütün kapılarım, pencerelerimin yanı sıra açık. (Herhangi bir program amaçlanmamıştır.) Ağımın dışından uzak bağlantılara izin vermek için RDC'yi etkinleştirdim.

Bu bittikten sonra tüm bilgisayarı biçimlendireceğim, ama bu adamı izlemek için yapabileceğim bir şey olup olmadığını bilmek istedim, böylece IP adresini bölgemdeki siber suç yetkililerine teslim edebilirim.

[EDIT] Yönlendiricim şimdi yönlendirici bilgisayarımdaki DMZ adresine ayarlanmış olan yerel ağ üzerindeki IP adresimi tehlikeye attı. Port Fording'un nasıl kurulduğunu biliyorum, fakat dediğim gibi, DD-WRT versiyonumda çalışmıyor, DD-WRT'nin beta versiyonunu kullanıyorum. Windows Güvenlik Duvarı'nı hiç açmamıştım. Bunun RDC olduğuna inanıyorum, çünkü Windows, Yönetici / DESKTOP-PC'nin bağlanmasına izin vermenin uygun olup olmadığını soruyor. Task Mangager sadece hesabımı gösterir, prosedürü Yönetici'ye ihtiyaç duyduğum diğer hesaplara göre gösterir ve yönetici şifremi değiştirdi. Netstat komutunu yapabilmem için bana açtığım açık komut satırı konsolundan yazıyordu. Netset komutunu yaptıktan sonra, IP adresini ana bilgisayar adından alıp alamayacağımı bulmak için başka bir linux dizüstü bilgisayar kullanıyordum. Bunu yaparken Konsolda, "Lisans alacaksın, 5 dakika bekleyeceksin" yazan bir metin yazmadığımı fark ettim. komut satırı konsolunda. Bu yüzden RDC kullandığını düşünüyorum, çünkü bilgisayarımın masaüstünü görebildiği açıkça görülüyor. Tcpvcon bağlantısını deneyeceğim ve Hiren'in Boot CD'sini deneyeceğim. Hesabıma yeniden erişim sağladıktan ve Windows 7'nin 64bit sürümünü kullandıktan sonra AutoRun günlüğünü kontrol edeceğim. Ve kesinlikle NetFlow’u deneyeceğim, ancak yönlendiricimin Firmware’ini güncellemem gerekecek. daha sonraki bir sürümde zaten sahip olduğum şey. Şimdiye kadar yardımlarınız için teşekkürler! Bilgisayarımın masaüstünü görebildiği anlaşılıyor. Tcpvcon bağlantısını deneyeceğim ve Hiren'in Boot CD'sini deneyeceğim. Hesabıma yeniden erişim sağladıktan ve Windows 7'nin 64bit sürümünü kullandıktan sonra AutoRun günlüğünü kontrol edeceğim. Ve kesinlikle NetFlow’u deneyeceğim, ancak yönlendiricimin Firmware’ini güncellemem gerekecek. daha sonraki bir sürümde zaten sahip olduğum şey. Şimdiye kadar yardımlarınız için teşekkürler! Bilgisayarımın masaüstünü görebildiği anlaşılıyor. Tcpvcon bağlantısını deneyeceğim ve Hiren'in Boot CD'sini deneyeceğim. Hesabıma yeniden erişim sağladıktan ve Windows 7'nin 64bit sürümünü kullandıktan sonra AutoRun günlüğünü kontrol edeceğim. Ve kesinlikle NetFlow’u deneyeceğim, ancak yönlendiricimin Firmware’ini güncellemem gerekecek. daha sonraki bir sürümde zaten sahip olduğum şey. Şimdiye kadar yardımlarınız için teşekkürler!

bilgisayarımı bir DMZ'ye koydum, böylece bir süre daha bir sunucuyu barındırabildim.

Windows 7 ile ilgili olarak söylediğiniz gibi bir müşteri demek. Hangi servisleri barındırıyorsunuz?

Port Yönlendirme, yönlendiricime yüklediğim DD-WRT versiyonumda çalışmıyordu.

Bir kılavuz okuyun, çünkü bu kurulumu oldukça basittir. Büyük olasılıkla bir liman açmayı unutmuşsunuz.

Peki ya Windows Güvenlik Duvarı? Bu doğru yapılandırılmış mı, yoksa geniş açık mı?

Kısa bir süre sonra birisi Uzak Masaüstü Bağlantısı üzerinden bilgisayarımla bağlantı kurdu

Emin misiniz? Bunun bir RDC olduğunu doğruladınız mı? Bir bağlantı ortaya çıkarmalı.

Hangi hesaba giriş yaptı? Görev yöneticisine bak.

Şifreniz yeterince güçlü mü? A-Za-z0-9 tarzında minimum 8 karakter gibi bir şey ...

Aslında, bana tehlikeye düşmüş bilgisayarda yazıyor.

Sana bilgisayarda nasıl yazıyor? İçinden net send?

Sana yazarken canlı mı notepadyoksa bir şey mi görüyor musun ? Çünkü bu olmazdı RDC...

Bu yüzden, host dosyamı onun IP adresinin gizleneceği şekilde değiştirdiğini tahmin ediyorum.

En azından varsayımlarını doğrulayabilir misin? İşe yararsa, bu Talk servisleriyle ilgili bir Google sunucusudur ... Bunun dışında bilgi eksikliği olduğu halde, orada sadece tek bir bağlantı olduğu söylenemez.

Bu kullanışlı bağlantı aracını indirdikten sonra aşağıdaki komut satırını deneyin :

tcpvcon -a -c > connections.csv

GUI'nin kendisinin deneyebileceğinden başka, onun nasıl bağlanacağı hakkında daha iyi bir ipucu elde etmemizi sağlar.

Ayrıca kutudaki yönetici şifresini değiştirdi ve hesabımın yönetici olmadığını göstermek için indirgeme yaptı. Kendi hesabımla giriş yapabilirim ve sevmediğim yönetici olmayan işleri yapabilirim, hepsi bu.

Yönetici hesabınızı kurtarmak için ntpasswd kullanın . Bu bulunanlarda Hiren Boot CD .

SO başlangıçta çalışan ve eve çağıran bir şey yüklediğini hissediyorum.

Bunu doğruladın mı?

Autoruns'a anormal bir şey olup olmadığını kontrol edin (paylaşmak istersen kaydedebilirsin).

Ayrıca 32 bitlik bir sistem kullanıyorsanız Rootkitrevealer'ı kontrol edin .

Bütün kapılarım, pencerelerimin yanı sıra açık. (Herhangi bir program amaçlanmamıştır.) Ağımın dışından uzak bağlantılara izin vermek için RDC'yi etkinleştirdim.

Bu bittikten sonra tüm bilgisayarı biçimlendireceğim, ama bu adamı izlemek için yapabileceğim bir şey olup olmadığını bilmek istedim, böylece IP adresini bölgemdeki siber suç yetkililerine teslim edebilirim.

Bilgisayarınızı geniş bir internete açıyorsanız en azından korumalısınız, muhtemelen daha önce dediğim gibi RDC değil. Ayrıca, bilgisayarının çalışmasını engellediğinizde ve bilgisayarı güvenlik duvarından çıkardığınızda ve sfc /scannowbir virüs taraması yaparken basit bir şekilde bilgisayarınızı iyi taramanız gerektiğinden , tüm bilgisayarı biçimlendirmeye gerek yoktur . Sorun gidermeyi sevmiyor olsanız da, yeniden yükleyebilirsiniz.

Eğer kötü etkinleştirmek olabilir bir insan olmak istiyorsanız NetFlow sizin DD-WRT ve yapılandırmak üzerinde çalışmakta olan başka bir bilgisayara göndermek için Ntop'u ve onun yerini belirlemeye yönlendiricinizden alacak şekilde yapılandırılmıştır.

Yönlendiriciniz trafiği kaydediyorsa (veya izleyebiliyorsanız) ve kullandığı yönlendirilebilir IP adresini (diğer bir deyişle, İnternet IP adresini değil, 192.168.xx IP adresini değil yönlendirilebilir IP adresi), bunu ters çevirebilirsin, ama şansı onu yakalamaları için hala çok zayıf.

Zeki biri ise, virüslü bir bilgisayarı proxy olarak kullanıyor (veya başka bir ülkedeki gevşek yasalarla ücretli bir proxy servisi), tüm bu yasadışı olayları içinden geçiriyor. Başka bir deyişle, sadece masum, fakat saf bir virüs bulaştırılmış kullanıcının IP'sini çeviriyor olacaksınız. O zaman bile, muhtemelen ABD yasalarının ulaşamayacağı bir ülkede, dolar rakamları yüksek olmadığı sürece çoğu durumda arzusu olsa bile.

Bu, her zaman deneyebilirsiniz dedi.

Tcpview gibi daha ayrıntılı bir program kullanın ve ana bilgisayar çözünürlüğü seçeneğini kapatın, böylece ana bilgisayar adı yerine gerçek IP adresi gösterilecektir.

Ancak, KCotreau'nun dediği gibi, onlar bir süper senaryo çocuğu olmadıkça, bir proxy, başka bir tehlikeye atılmış makine veya Tor üzerinden geçiyorlarsa, IP adresleri, ifşa edecek bir şeyi yapmalarını istemediğiniz sürece kandırılamaz. javascript sayfasının özel hazırlanmış bir flaşını ziyaret etmek, vs.

• Ağ kablosunu bilgisayardan çıkarın.
• Olağandışı bir şey olup olmadığını kontrol edin (başlat> çalıştır> msconfig> "Başlangıç" sekmesi)
• AV taramalarını çalıştır
• Malwarebytes ve spybot ile taramaları çalıştırın
• Tüm bunlar bittikten sonra, yeniden başlatın ve HijackThis'i çalıştırın! ve üretilen kütüğü analiz eder.
• Bilgisayarınız her şeyden özgür olduktan sonra, güvenlik duvarınızın açık olduğundan ve AV korumasının etkin ve güncel olduğundan emin olun. Ayrıca yönlendiricideki DMZ'yi devre dışı bırakın. İleriye doğru bir bağlantı noktası yapamıyorsanız, uzaktan erişim için logmein.com kullanın.