Bilgisayarlarımdan birinde kırılmış bir Hacker'ı yakalamam ne anlama geliyor? [kapalı]


20

İşletim Sistemi: Windows 7 Enterprise Edition (90 Günlük Deneme Sürümü)

Bilgisayarımı bir DMZ'ye koydum, böylece bir süre daha bir sunucuyu barındırabildim. (Port Yönlendirme, yönlendiricime yüklediğim DD-WRT sürümümde çalışmıyordu.) Bir süre sonra birileri Bilgisayarımla Uzak Masaüstü Bağlantısı üzerinden bir bağlantı kurdu. Aslında, bana "bilgisayar lisansı alıp vermeyeceğimi" ve "5 dakika beklememi" isteyip istemediğini soruyor. (Söylemeye gerek yok, geri yazdım ve ona ... itip kakma demiştim.)

Oluşan netstatbilgisayardan bir komut yapmak , bunu gösterdi TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDki ana bilgisayarımı IP adresinin gizleneceği şeklinde değiştirdi. Ayrıca kutudaki yönetici şifresini değiştirdi ve hesabımın yönetici olmadığını göstermek için indirgeme yaptı. Kendi hesabımla giriş yapabilirim ve sevmediğim yönetici olmayan işleri yapabilirim, hepsi bu.

Ayrıca bilgisayarımı her açtığımda, genellikle yaklaşık 25 dakika içinde, ancak açtıktan sonra 2 veya 3 kadar az bir sürede geri geliyor. SO başlangıçta çalışan ve eve çağıran bir şey yüklediğini hissediyorum.

Bana göre bu senaryo kiddie'nin işi ve çok iyi İngilizce bilen biri gibi görünüyor. Bütün kapılarım, pencerelerimin yanı sıra açık. (Herhangi bir program amaçlanmamıştır.) Ağımın dışından uzak bağlantılara izin vermek için RDC'yi etkinleştirdim.

Bu bittikten sonra tüm bilgisayarı biçimlendireceğim, ama bu adamı izlemek için yapabileceğim bir şey olup olmadığını bilmek istedim, böylece IP adresini bölgemdeki siber suç yetkililerine teslim edebilirim.

[EDIT] Yönlendiricim şimdi yönlendirici bilgisayarımdaki DMZ adresine ayarlanmış olan yerel ağ üzerindeki IP adresimi tehlikeye attı. Port Fording'un nasıl kurulduğunu biliyorum, fakat dediğim gibi, DD-WRT versiyonumda çalışmıyor, DD-WRT'nin beta versiyonunu kullanıyorum. Windows Güvenlik Duvarı'nı hiç açmamıştım. Bunun RDC olduğuna inanıyorum, çünkü Windows, Yönetici / DESKTOP-PC'nin bağlanmasına izin vermenin uygun olup olmadığını soruyor. Task Mangager sadece hesabımı gösterir, prosedürü Yönetici'ye ihtiyaç duyduğum diğer hesaplara göre gösterir ve yönetici şifremi değiştirdi. Netstat komutunu yapabilmem için bana açtığım açık komut satırı konsolundan yazıyordu. Netset komutunu yaptıktan sonra, IP adresini ana bilgisayar adından alıp alamayacağımı bulmak için başka bir linux dizüstü bilgisayar kullanıyordum. Bunu yaparken Konsolda, "Lisans alacaksın, 5 dakika bekleyeceksin" yazan bir metin yazmadığımı fark ettim. komut satırı konsolunda. Bu yüzden RDC kullandığını düşünüyorum, çünkü bilgisayarımın masaüstünü görebildiği açıkça görülüyor. Tcpvcon bağlantısını deneyeceğim ve Hiren'in Boot CD'sini deneyeceğim. Hesabıma yeniden erişim sağladıktan ve Windows 7'nin 64bit sürümünü kullandıktan sonra AutoRun günlüğünü kontrol edeceğim. Ve kesinlikle NetFlow’u deneyeceğim, ancak yönlendiricimin Firmware’ini güncellemem gerekecek. daha sonraki bir sürümde zaten sahip olduğum şey. Şimdiye kadar yardımlarınız için teşekkürler! Bilgisayarımın masaüstünü görebildiği anlaşılıyor. Tcpvcon bağlantısını deneyeceğim ve Hiren'in Boot CD'sini deneyeceğim. Hesabıma yeniden erişim sağladıktan ve Windows 7'nin 64bit sürümünü kullandıktan sonra AutoRun günlüğünü kontrol edeceğim. Ve kesinlikle NetFlow’u deneyeceğim, ancak yönlendiricimin Firmware’ini güncellemem gerekecek. daha sonraki bir sürümde zaten sahip olduğum şey. Şimdiye kadar yardımlarınız için teşekkürler! Bilgisayarımın masaüstünü görebildiği anlaşılıyor. Tcpvcon bağlantısını deneyeceğim ve Hiren'in Boot CD'sini deneyeceğim. Hesabıma yeniden erişim sağladıktan ve Windows 7'nin 64bit sürümünü kullandıktan sonra AutoRun günlüğünü kontrol edeceğim. Ve kesinlikle NetFlow’u deneyeceğim, ancak yönlendiricimin Firmware’ini güncellemem gerekecek. daha sonraki bir sürümde zaten sahip olduğum şey. Şimdiye kadar yardımlarınız için teşekkürler!


Cevabımda belirttiğim gibi sorunuz oldukça eksik. Spekülasyon dışında size daha iyi yardımcı olabilmemiz için daha fazla ayrıntıyla geliştirebilir misiniz? Bunu bir bal küpü gibi açtınız , bu yüzden sisteminizi geçen ilk en hızlı port taramasına düşersiniz ...
Tamara Wijsman

Yanıtlar:


17

bilgisayarımı bir DMZ'ye koydum, böylece bir süre daha bir sunucuyu barındırabildim.

Windows 7 ile ilgili olarak söylediğiniz gibi bir müşteri demek. Hangi servisleri barındırıyorsunuz?


Port Yönlendirme, yönlendiricime yüklediğim DD-WRT versiyonumda çalışmıyordu.

Bir kılavuz okuyun, çünkü bu kurulumu oldukça basittir. Büyük olasılıkla bir liman açmayı unutmuşsunuz.

Peki ya Windows Güvenlik Duvarı? Bu doğru yapılandırılmış mı, yoksa geniş açık mı?


Kısa bir süre sonra birisi Uzak Masaüstü Bağlantısı üzerinden bilgisayarımla bağlantı kurdu

Emin misiniz? Bunun bir RDC olduğunu doğruladınız mı? Bir bağlantı ortaya çıkarmalı.

Hangi hesaba giriş yaptı? Görev yöneticisine bak.

Şifreniz yeterince güçlü mü? A-Za-z0-9 tarzında minimum 8 karakter gibi bir şey ...


Aslında, bana tehlikeye düşmüş bilgisayarda yazıyor.

Sana bilgisayarda nasıl yazıyor? İçinden net send?

Sana yazarken canlı mı notepadyoksa bir şey mi görüyor musun ? Çünkü bu olmazdı RDC...


Bu yüzden, host dosyamı onun IP adresinin gizleneceği şekilde değiştirdiğini tahmin ediyorum.

En azından varsayımlarını doğrulayabilir misin? İşe yararsa, bu Talk servisleriyle ilgili bir Google sunucusudur ... Bunun dışında bilgi eksikliği olduğu halde, orada sadece tek bir bağlantı olduğu söylenemez.

Bu kullanışlı bağlantı aracını indirdikten sonra aşağıdaki komut satırını deneyin :

tcpvcon -a -c > connections.csv

GUI'nin kendisinin deneyebileceğinden başka, onun nasıl bağlanacağı hakkında daha iyi bir ipucu elde etmemizi sağlar.


Ayrıca kutudaki yönetici şifresini değiştirdi ve hesabımın yönetici olmadığını göstermek için indirgeme yaptı. Kendi hesabımla giriş yapabilirim ve sevmediğim yönetici olmayan işleri yapabilirim, hepsi bu.

Yönetici hesabınızı kurtarmak için ntpasswd kullanın . Bu bulunanlarda Hiren Boot CD .


SO başlangıçta çalışan ve eve çağıran bir şey yüklediğini hissediyorum.

Bunu doğruladın mı?

Autoruns'a anormal bir şey olup olmadığını kontrol edin (paylaşmak istersen kaydedebilirsin).

Ayrıca 32 bitlik bir sistem kullanıyorsanız Rootkitrevealer'ı kontrol edin .


Bütün kapılarım, pencerelerimin yanı sıra açık. (Herhangi bir program amaçlanmamıştır.) Ağımın dışından uzak bağlantılara izin vermek için RDC'yi etkinleştirdim.

Bu bittikten sonra tüm bilgisayarı biçimlendireceğim, ama bu adamı izlemek için yapabileceğim bir şey olup olmadığını bilmek istedim, böylece IP adresini bölgemdeki siber suç yetkililerine teslim edebilirim.

Bilgisayarınızı geniş bir internete açıyorsanız en azından korumalısınız, muhtemelen daha önce dediğim gibi RDC değil. Ayrıca, bilgisayarının çalışmasını engellediğinizde ve bilgisayarı güvenlik duvarından çıkardığınızda ve sfc /scannowbir virüs taraması yaparken basit bir şekilde bilgisayarınızı iyi taramanız gerektiğinden , tüm bilgisayarı biçimlendirmeye gerek yoktur . Sorun gidermeyi sevmiyor olsanız da, yeniden yükleyebilirsiniz.

Eğer kötü etkinleştirmek olabilir bir insan olmak istiyorsanız NetFlow sizin DD-WRT ve yapılandırmak üzerinde çalışmakta olan başka bir bilgisayara göndermek için Ntop'u ve onun yerini belirlemeye yönlendiricinizden alacak şekilde yapılandırılmıştır.

görüntü tanımını buraya girin


Yönelticim şimdi yönlendiricimdeki DMZ adresine ayarlanmış yerel ağdaki bilgisayarın IP adresini tehlikeye attı. Port Fording'un nasıl ayarlanacağını biliyorum, ancak dediğim gibi, DD-WRT sürümünde çalışmıyor, DD-WRT'nin beta sürümündeki bir sürümünü kullanıyorum. Windows Güvenlik Duvarı'nı hiç açmamıştım. Bunun RDC olduğuna inanıyorum, çünkü Windows, Yönetici / DESKTOP-PC'nin bağlanmasına izin vermenin uygun olup olmadığını soruyor. Task Mangager sadece hesabımı gösterir, takibimi Yönetici'ye ihtiyaç duyduğum diğer hesaplara göre gösterir ve yönetici şifremi değiştirdi.
Mark Tomlin

Netstat komutunu yapabilmem için bana açtığım açık komut satırı konsolundan yazıyordu. Netset komutunu yaptıktan sonra, IP adresini ana bilgisayar adından alıp alamayacağımı bulmak için başka bir linux dizüstü bilgisayar kullanıyordum. Bunu yaparken, konsolda "Lisanslayacaksın, 5 dakika bekleyeceksin" yazan bir yazı yazmadığımı fark ettim. komut satırı konsolunda. Bu yüzden RDC kullandığını düşünüyorum, çünkü bilgisayarımın masaüstünü görebildiği açıkça görülüyor.
Mark Tomlin

@MarkTomlin: O zaman uygun bir sürüme yükseltme yapmalı ve güvenlik duvarınızı etkinleştirmeli, ayrıca günlüğe kaydetmeyi ayarlamalısınız (söylenen syslog ve / veya ntop tabanlı olduğundan, farklı bir erişilemez bilgisayara kaydedebilmeniz için) olur. RDC ise; netstat, tcpviewVe wiresharkISS ana bilgisayar adını veya hacker ya da vekili IP adresine götürmeliyiz. Neden bağlanmasına izin veriyorsun, güvenli bir şifre ile korunuyor mu? Ya görevimin geri kalanı?
Tamara Wijsman

Tcpvcon bağlantısını deneyeceğim ve Hiren'in Boot CD'sini deneyeceğim. Hesabıma yeniden erişim sağladıktan ve Windows 7'nin 64bit sürümünü kullandıktan sonra AutoRun günlüğünü kontrol edeceğim. Ve kesinlikle NetFlow’u deneyeceğim, ancak yönlendiricimin Firmware’ini güncellemem gerekecek. daha sonraki bir sürümde zaten sahip olduklarım. Şimdiye kadar yardımlarınız için teşekkürler!
Mark Tomlin

1
@MarkTomlin: RDC masaüstünü paylaşmıyor, masaüstünü çalıyor. Yani, hem yazmanız hem de aynı anda görmeniz için, başka bir şey kullanıyor olacaktı ...
Tamara Wijsman

11

Yönlendiriciniz trafiği kaydediyorsa (veya izleyebiliyorsanız) ve kullandığı yönlendirilebilir IP adresini (diğer bir deyişle, İnternet IP adresini değil, 192.168.xx IP adresini değil yönlendirilebilir IP adresi), bunu ters çevirebilirsin, ama şansı onu yakalamaları için hala çok zayıf.

Zeki biri ise, virüslü bir bilgisayarı proxy olarak kullanıyor (veya başka bir ülkedeki gevşek yasalarla ücretli bir proxy servisi), tüm bu yasadışı olayları içinden geçiriyor. Başka bir deyişle, sadece masum, fakat saf bir virüs bulaştırılmış kullanıcının IP'sini çeviriyor olacaksınız. O zaman bile, muhtemelen ABD yasalarının ulaşamayacağı bir ülkede, dolar rakamları yüksek olmadığı sürece çoğu durumda arzusu olsa bile.

Bu, her zaman deneyebilirsiniz dedi.


1
OP’nin ABD’li olduğunu nereden biliyorsunuz?
Thomas Bonini

3
@AndreasBonini: L., NY .
Tamara Wijsman

Saldırganın izlerini örtecek kadar zeki olduğunu varsaymıyorum. Açıkçası bir profesyonel değil ve sadece çocuklar bilgisayarla eğlenmek için uğraşıyor ve bu çok senaryo kiddie gibi. Bir çocuğun RAT (uzaktan yönetim aracı) ailesinden bodrum katında koşması gibi bir şans var ...
stoj

ABD'liyim :).
Mark Tomlin

3

Tcpview gibi daha ayrıntılı bir program kullanın ve ana bilgisayar çözünürlüğü seçeneğini kapatın, böylece ana bilgisayar adı yerine gerçek IP adresi gösterilecektir.

Ancak, KCotreau'nun dediği gibi, onlar bir süper senaryo çocuğu olmadıkça, bir proxy, başka bir tehlikeye atılmış makine veya Tor üzerinden geçiyorlarsa, IP adresleri, ifşa edecek bir şeyi yapmalarını istemediğiniz sürece kandırılamaz. javascript sayfasının özel hazırlanmış bir flaşını ziyaret etmek, vs.


Tor, VNC bağlantıları için çok yavaş, ama oldukça aptal olmadıkça büyük olasılıkla takip edilemez olabilir. Her ne kadar insanlar bunu eski günlerde kendilerini
örtmeden

@ Tom Wijsman. OP, RDP olduğunu söyledi! Ancak, amacınız hala geçerli olsa da, RDP'nin iletilenlerin niteliği göz önüne alındığında VNC'den çok daha az bant genişliği kullandığını buldum.
Queso

Şunu işaret edene kadar ilk başta emin değildi. RDP ile mümkün olmayan aynı hesapta eşzamanlı kullanım hakkında konuşması hala garip olmasına rağmen. Bant genişliği kullanımına gelince, bu ayarlara bağlıdır. Doğru olabilirdi ama deneyimime göre Tor çok yavaş ...
Tamara Wijsman

1
  • Ağ kablosunu bilgisayardan çıkarın.
  • Olağandışı bir şey olup olmadığını kontrol edin (başlat> çalıştır> msconfig> "Başlangıç" sekmesi)
  • AV taramalarını çalıştır
  • Malwarebytes ve spybot ile taramaları çalıştırın
  • Tüm bunlar bittikten sonra, yeniden başlatın ve HijackThis'i çalıştırın! ve üretilen kütüğü analiz eder.
  • Bilgisayarınız her şeyden özgür olduktan sonra, güvenlik duvarınızın açık olduğundan ve AV korumasının etkin ve güncel olduğundan emin olun. Ayrıca yönlendiricideki DMZ'yi devre dışı bırakın. İleriye doğru bir bağlantı noktası yapamıyorsanız, uzaktan erişim için logmein.com kullanın.
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.