SO: Windows 7 Enterprise Edition (versão de teste de 90 dias)
Coloquei meu computador em uma DMZ para poder hospedar um servidor por um tempo. (O Port Forwarding não estava funcionando na minha versão do DD-WRT que eu havia instalado no meu roteador.) Depois de algum tempo, alguém fez uma conexão com o meu computador via Conexão de Área de Trabalho Remota. Na verdade, ele está digitando comigo no computador comprometido, perguntando se "eu licencio" e que devo "esperar 5 minutos". (Escusado será dizer que digitei de volta e disse-lhe para ... empurrá-lo bem.)
Executar um netstatcomando no computador incluído mostrou isso, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDentão acho que ele alterou meu arquivo de hosts para que seu endereço IP estivesse oculto. Ele também alterou a senha do administrador na caixa e rebaixou minha conta para que não seja admin. Posso fazer login na minha própria conta e fazer as coisas que não gosto de administradores, mas é isso.
Ele também volta sempre que ligo o computador, geralmente em cerca de 25 minutos, mas algumas vezes menos de 2 ou 3 depois de ligá-lo. Então, eu tenho a sensação de que ele enviou algo que é executado na inicialização e chama de lar.
Para mim, isso parece o trabalho de um roteirista infantil e de alguém que não fala inglês muito bem. Todas as minhas portas estão abertas, assim como minhas janelas. (Sem trocadilhos.) Eu tinha o RDC ativado para permitir conexões remotas fora da minha rede.
Depois que isso terminar, formato todo o computador, mas eu queria saber se há algo que eu possa fazer para rastrear esse cara, para que eu possa entregar o endereço IP dele às autoridades de crimes cibernéticos na minha área.
[EDIT] Meu roteador tinha o endereço IP do meu computador agora comprometido na rede local definido como o endereço DMZ no meu roteador. Eu sei como configurar o Port Fording, mas como eu disse, ele não funciona na minha versão do DD-WRT, estou usando uma versão beta e instável do DD-WRT. Eu não tinha o Firewall do Windows ativado. Acredito que seja RDC porque o Windows me pergunta se está tudo bem em permitir que o Administator / DESKTOP-PC se conecte. O Task Mangager mostra apenas minha conta, para visualizar o processo sobre as outras contas que eu preciso de Admin, e ele mudou minha senha de administrador. Ele estava digitando para mim através do console de linha de comando aberto que eu tinha aberto para poder executar o comando netstat. Depois de executar o comando netset, eu estava usando outro laptop linux para descobrir se conseguia obter o endereço IP dele a partir do nome do host. Enquanto eu fazia isso, Percebi que havia algum texto no console que não escrevi que dizia "Você licenciará, aguarde 5 minutos". no console da linha de comandos. É por isso que acho que ele está usando o RDC, porque é evidente que ele pode ver a área de trabalho do meu computador. Vou tentar a conexão tcpvcon e testar o CD de inicialização do Hiren. Vou verificar o log do AutoRun depois de recuperar o acesso de administrador à minha conta e usar a versão de 64 bits do Windows 7. E certamente tentarei o NetFlow, mas acho que precisarei atualizar o firmware do meu roteador para uma versão posterior que o que eu já tenho. Obrigado por sua ajuda até agora! Parece que ele pode ver a área de trabalho do meu computador. Vou tentar a conexão tcpvcon e testar o CD de inicialização do Hiren. Vou verificar o log do AutoRun depois de recuperar o acesso de administrador à minha conta e usar a versão de 64 bits do Windows 7. E certamente tentarei o NetFlow, mas acho que precisarei atualizar o firmware do meu roteador para uma versão posterior que o que eu já tenho. Obrigado por sua ajuda até agora! Parece que ele pode ver a área de trabalho do meu computador. Vou tentar a conexão tcpvcon e testar o CD de inicialização do Hiren. Vou verificar o log do AutoRun depois de recuperar o acesso de administrador à minha conta e usar a versão de 64 bits do Windows 7. E certamente tentarei o NetFlow, mas acho que precisarei atualizar o firmware do meu roteador para uma versão posterior que o que eu já tenho. Obrigado por sua ajuda até agora!
Respostas:
Você quer dizer cliente, como disse sobre o Windows 7. Quais serviços você está hospedando?
Leia um guia, porque isso é bastante simples de configurar. Você provavelmente esqueceu de abrir uma porta.
E o Firewall do Windows? Isso está configurado corretamente ou também está aberto?
Você tem certeza? Você verificou se este é um RDC? Deve revelar uma conexão.
Em que conta ele está logado? Procure no gerenciador de tarefas.
Sua senha é forte o suficiente? Algo como no mínimo 8 caracteres no estilo A-Za-z0-9 ...
Como ele está digitando para você no computador? Através
net send?Você o vê digitando ao vivo para você
notepadou algo assim? Porque isso não seriaRDC...Você pode pelo menos verificar suas suposições? Se isso ajudar, é um servidor do Google relacionado aos serviços do Talk ... Além de haver falta de informações, não é possível que exista apenas uma conexão lá.
Experimente a seguinte linha de comando depois de baixar esta útil ferramenta de conexões :
O que nos permitiria ter uma idéia melhor de como ele se conectou, além de que você pode tentar a própria GUI.
Use ntpasswd para recuperar sua conta de administrador. Está disponível no CD de inicialização do Hiren .
Você verificou isso?
Verifique Autoruns para qualquer coisa anormal (que você também pode salvar se quiser compartilhar).
Verifique também o Rootkitrevealer se você estiver executando um sistema de 32 bits, caso ele seja realmente desagradável ...
Se você estiver abrindo o computador para a Internet ampla, pelo menos deve protegê-lo, provavelmente não é o RDC, como eu disse antes. Também não há necessidade de formatar o computador inteiro, pois, uma vez que você evita que as coisas dele funcionem e você faz firewall no computador e faz uma simples
sfc /scannowverificação de vírus ao longo do seu computador, você deve ficar bem. Embora você não goste de solucionar problemas, é possível reinstalá-lo.Se você quer ser a pessoa desagradável, habilite o NetFlow no seu DD-WRT e configure-o para enviá-lo para outro computador que esteja executando o ntop e que esteja configurado para receber do roteador para localizá-lo.
fonte
netstat,tcpviewEwiresharkdeve chegar ao nome de host ISP ou o endereço IP do hacker ou seu procurador. Por que você está permitindo que ele se conecte, está protegido por uma senha segura? E o resto do meu post?Se o seu roteador estiver registrando (ou você puder monitorar) o tráfego e você puder obter o endereço IP roteável que ele está usando (em outras palavras, o endereço IP da Internet dele, não o endereço IP 192.168.xx, que é um interno, não endereço IP roteável), você pode mudar isso, mas as chances ainda são muito pequenas de pegá-lo.
Se ele é esperto, está usando um computador infectado como proxy (ou um serviço de proxy pago em outro país com leis negligentes), encaminhando todo esse material ilegal por ele. Em outras palavras, você apenas entregaria o IP de um usuário infectado inocente, mas ingênuo. Mesmo assim, provavelmente é em algum país onde o alcance da lei dos EUA não alcançará, e muito menos eles terão o desejo na maioria dos casos, a menos que os números do dólar sejam altos.
Dito isto, você sempre pode tentar.
fonte
Use um programa mais detalhado, como tcpview, e desative a opção de resolução do host, para que o endereço IP real seja mostrado em vez do nome do host.
Mas, como o KCotreau diz, a menos que eles sejam um super script infantil, eles estão passando por um proxy, outra máquina comprometida ou pelo Tor, então o endereço IP deles não é rastreável, a menos que você queira tentar enganá-los a fazer algo que o divulgaria, como visitando um flash especialmente criado da página javascript etc. Não tem certeza de que deseja seguir esse caminho.
fonte
fonte