Quels moyens dois-je attraper un pirate informatique qui s'est fissuré dans l'un de mes ordinateurs? [fermé]

20

Système d'exploitation: Windows 7 Enterprise Edition (version d'essai de 90 jours)

J'ai mis mon ordinateur dans une DMZ pour pouvoir héberger un serveur pendant un petit moment. (La redirection de port ne fonctionnait pas dans ma version de DD-WRT que j'avais installée sur mon routeur.) Au bout d'un moment, quelqu'un s'est connecté à mon ordinateur via la connexion Bureau à distance. En fait, il me tape sur l'ordinateur compromis à droite, me demandant si "je vais sous licence", et que je dois "attendre 5 minutes". (Inutile de dire que j'ai tapé en arrière et lui ai dit de bien le pousser.)

Faire une netstatcommande à partir de l'ordinateur composé l'a montré TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDdonc je suppose qu'il a changé mon fichier d'hôtes pour que son adresse IP soit cachée. Il a également changé le mot de passe administrateur sur la boîte et rétrogradé mon compte afin qu'il ne soit pas administrateur. Je peux me connecter à mon propre compte et faire les choses non-admin que j'aime, mais c'est tout.

Il revient également chaque fois que j'allume mon ordinateur, généralement dans un délai d'environ 25 minutes, mais parfois aussi peu que 2 ou 3 après l'avoir allumé. Donc j'ai le sentiment qu'il a téléchargé quelque chose qui s'exécute au démarrage et appelle à la maison.

Pour moi, cela ressemble au travail d'un script kiddie et de quelqu'un qui ne parle pas très bien anglais. Toutes mes portes étaient ouvertes ainsi que mes fenêtres. (Sans jeu de mots.) J'avais RDC activé pour autoriser les connexions à distance depuis l'extérieur de mon réseau.

Après cela, je formaterai tout l'ordinateur, mais je voulais savoir s'il y avait quelque chose que je pouvais faire pour retrouver ce gars afin que je puisse transmettre son adresse IP aux autorités de la cybercriminalité de ma région.

[MODIFIER] Mon routeur avait l'adresse IP de mon ordinateur désormais compromise sur le réseau local définie sur l'adresse DMZ de mon routeur. Je sais comment configurer Port Fording, mais comme je l'ai dit, cela ne fonctionne pas dans ma version de DD-WRT, j'utilise une version bêta instable de DD-WRT. Je n'ai pas du tout activé le pare-feu Windows. Je crois que c'est RDC parce que Windows me demande si c'est OK pour permettre à Administator / DESKTOP-PC de se connecter. Le gestionnaire de tâches n'affiche que mon compte, pour afficher la procédure sur les autres comptes dont j'ai besoin, et il a changé mon mot de passe administrateur. Il me tapait sur la console de ligne de commande ouverte que j'avais ouverte pour que je puisse exécuter la commande netstat. Après avoir exécuté la commande netset, j'utilisais un autre ordinateur portable Linux pour savoir si je pouvais obtenir son adresse IP à partir de son nom d'hôte. Pendant que je faisais ça, J'ai remarqué qu'il y avait du texte dans la console que je n'ai pas écrit qui disait "Vous allez obtenir une licence, attendez 5 minutes." dans la console de ligne de commande. C'est pourquoi je pense qu'il utilise RDC, car il est évident qu'il peut voir le bureau de mon ordinateur. Je vais essayer la connexion tcpvcon et je vais essayer Hiren's Boot CD. Je vérifierai le journal AutoRun après avoir regagné l'accès administrateur à mon compte, et j'utiliserai la version 64 bits de Windows 7. Et je vais certainement essayer NetFlow, mais je pense que je devrai mettre à jour le firmware de mon routeur pour une version ultérieure que ce que j'ai déjà. Merci pour votre aide jusqu'à présent! Il est évident qu'il peut voir le bureau de mon ordinateur. Je vais essayer la connexion tcpvcon, et je vais essayer le CD de démarrage d'Hiren. Je vérifierai le journal AutoRun après avoir regagné l'accès administrateur à mon compte, et j'utiliserai la version 64 bits de Windows 7. Et je vais certainement essayer NetFlow, mais je pense que je devrai mettre à jour le firmware de mon routeur pour une version ultérieure que ce que j'ai déjà. Merci pour votre aide jusqu'à présent! Il est évident qu'il peut voir le bureau de mon ordinateur. Je vais essayer la connexion tcpvcon, et je vais essayer le CD de démarrage d'Hiren. Je vérifierai le journal AutoRun après avoir regagné l'accès administrateur à mon compte, et j'utiliserai la version 64 bits de Windows 7. Et je vais certainement essayer NetFlow, mais je pense que je devrai mettre à jour le firmware de mon routeur pour une version ultérieure que ce que j'ai déjà. Merci pour votre aide jusqu'à présent!

Mark Tomlin
la source
Votre question est assez incomplète, comme je l'ai indiqué dans ma réponse. Pouvez-vous l'améliorer avec plus de détails afin que nous puissions vous aider beaucoup mieux que de spéculer? Vous l'avez défini comme un pot de miel , alors vous tombez juste pour le premier meilleur scan de port rapide qui passe votre système ...
Tamara Wijsman

Réponses:

17

mettre mon ordinateur dans une DMZ pour pouvoir héberger un serveur pendant un petit moment.

Vous voulez dire un client, comme vous l'avez dit, il s'agit de Windows 7. Quels services hébergez-vous?


La redirection de port ne fonctionnait pas dans ma version de DD-WRT que j'avais installée sur mon routeur.

Lisez un guide, car il est assez simple à configurer. Vous avez probablement oublié d'ouvrir un port.

Qu'en est-il du pare-feu Windows? Est-ce correctement configuré ou est-il également grand ouvert?


Au bout d'un moment, quelqu'un s'est connecté à mon ordinateur via la connexion Bureau à distance

Êtes-vous sûr? Avez-vous vérifié qu'il s'agit d'un RDC? Cela devrait révéler une connexion.

Sous quel compte est-il connecté? Regardez dans le gestionnaire de tâches.

Votre mot de passe est-il assez fort? Quelque chose comme 8 caractères minimum dans le style A-Za-z0-9 ...


En fait, il me tape sur le droit de l'ordinateur compromis

Comment vous tape-t-il sur l'ordinateur? À travers net send?

Le voyez-vous taper en direct pour vous notepadou quelque chose comme ça? Parce que ce ne serait pas RDC...


donc je suppose qu'il a changé mon fichier d'hôtes pour que son adresse IP soit cachée

Pouvez-vous au moins vérifier vos hypothèses? Si cela aide, c'est un serveur Google lié aux services Talk ... En dehors de cela, il y a un manque d'informations, il ne peut pas y avoir qu'une seule connexion.

Essayez la ligne de commande suivante après avoir téléchargé cet outil de connexion pratique :

tcpvcon -a -c > connections.csv

Ce qui nous permettrait d'avoir une meilleure idée de la façon dont il s'est connecté, à part cela, vous pouvez essayer l'interface graphique elle-même.


Il a également changé le mot de passe administrateur sur la boîte et rétrogradé mon compte afin qu'il ne soit pas administrateur. Je peux me connecter à mon propre compte et faire les choses non-admin que j'aime, mais c'est tout.

Utilisez ntpasswd pour récupérer votre compte administrateur. Il est disponible sur le CD de démarrage d'Hiren .


Donc j'ai le sentiment qu'il a téléchargé quelque chose qui s'exécute au démarrage et appelle à la maison.

L'avez-vous vérifié?

Vérifiez les Autoruns pour tout élément anormal (que vous pouvez également enregistrer si vous souhaitez le partager).

Vérifiez également Rootkitrevealer si vous utilisez un système 32 bits, juste au cas où il serait vraiment méchant ...


Toutes mes portes étaient ouvertes ainsi que mes fenêtres. (Sans jeu de mots.) J'avais RDC activé pour autoriser les connexions à distance depuis l'extérieur de mon réseau.

Après cela, je formaterai tout l'ordinateur, mais je voulais savoir s'il y avait quelque chose que je pouvais faire pour retrouver ce gars afin que je puisse transmettre son adresse IP aux autorités de la cybercriminalité de ma région.

Si vous ouvrez votre ordinateur au large Internet, vous devez au moins le protéger, ce n'est probablement pas RDC comme je l'ai dit auparavant. Il n'est pas non plus nécessaire de formater tout l'ordinateur car une fois que vous empêchez ses choses de fonctionner et que vous pare-feu l'ordinateur et faites un simple sfc /scannowbalayage de virus sur votre ordinateur, tout devrait bien se passer . Bien que vous n'aimiez pas le dépannage, vous pouvez tout aussi bien réinstaller.

Si vous voulez être la personne méchante, vous pouvez activer NetFlow sur votre DD-WRT et le configurer pour l'envoyer à un autre ordinateur qui exécute ntop et est configuré pour recevoir du routeur pour le retrouver.

entrez la description de l'image ici

Tamara Wijsman
la source
Mon routeur avait l'adresse IP de mon ordinateur compromise sur le réseau local définie sur l'adresse DMZ de mon routeur. Je sais comment configurer Port Fording, mais comme je l'ai dit, cela ne fonctionne pas dans ma version de DD-WRT, j'utilise une version bêta instable de DD-WRT. Je n'ai pas du tout activé le pare-feu Windows. Je crois que c'est RDC parce que Windows me demande si c'est OK pour permettre à Administator / DESKTOP-PC de se connecter. Le gestionnaire de tâches n'affiche que mon compte, pour afficher la procédure sur les autres comptes dont j'ai besoin, et il a changé mon mot de passe administrateur.
Mark Tomlin
Il me tapait sur la console de ligne de commande ouverte que j'avais ouverte pour que je puisse exécuter la commande netstat. Après avoir exécuté la commande netset, j'utilisais un autre ordinateur portable Linux pour savoir si je pouvais obtenir son adresse IP à partir de son nom d'hôte. Pendant que je faisais cela, j'ai remarqué qu'il y avait du texte dans la console que je n'ai pas écrit qui disait "Vous allez obtenir une licence, attendez 5 minutes." dans la console de ligne de commande. C'est pourquoi je pense qu'il utilise RDC, car il est évident qu'il peut voir le bureau de mon ordinateur.
Mark Tomlin
@MarkTomlin: Ensuite, vous devez mettre à niveau vers une version stable appropriée et activer votre pare-feu, ainsi que configurer la journalisation (comme dit syslog et / ou ntop pour que vous puissiez le connecter à un autre ordinateur inaccessible) afin de savoir quoi arrive. Si c'est RDC; netstat, tcpviewEt wiresharkvous devriez le nom d'hôte du fournisseur d' accès Internet ou l' adresse IP du pirate ou son mandataire. Pourquoi lui permettez-vous de se connecter, est-il protégé par un mot de passe sécurisé? Qu'en est-il du reste de mon message?
Tamara Wijsman
Je vais essayer la connexion tcpvcon et je vais essayer Hiren's Boot CD. Je vérifierai le journal AutoRun après avoir regagné l'accès administrateur à mon compte, et j'utiliserai la version 64 bits de Windows 7. Et je vais certainement essayer NetFlow, mais je pense que je devrai mettre à jour le firmware de mon routeur pour une version ultérieure que ce que j'ai déjà. Merci pour votre aide jusqu'à présent!
Mark Tomlin
1
@MarkTomlin: RDC ne partage pas le bureau, il vole le bureau. Donc, pour que vous puissiez tous les deux taper ou voir simultanément, il utiliserait autre chose ...
Tamara Wijsman
11

Si votre routeur enregistre (ou vous pouvez surveiller) le trafic, et vous pouvez obtenir l'adresse IP routable qu'il utilise (en d'autres termes, son adresse IP Internet, pas une adresse IP 192.168.xx, qui est une adresse IP interne non adresse IP routable), vous pouvez retourner cela, mais les chances sont encore très minces qu'ils l'attrapent.

S'il est intelligent, il utilise un ordinateur infecté comme proxy (ou un service proxy payant dans un autre pays avec des lois laxistes), acheminant toutes ces choses illégales à travers lui. En d'autres termes, vous retourneriez simplement l'IP d'un utilisateur infecté innocent, mais naïf. Même alors, c'est probablement dans un pays où la portée de la loi américaine n'atteindra pas, et encore moins auront-ils le désir dans la plupart des cas à moins que les chiffres en dollars ne soient élevés.

Cela dit, vous pouvez toujours essayer.

KCotreau
la source
1
Comment savez-vous que l'OP vient des États-Unis?
Thomas Bonini
3
@AndreasBonini: L., NY .
Tamara Wijsman
Je ne suppose pas que l'attaquant est assez intelligent pour couvrir ses traces. Il n'est visiblement pas un pro et il est juste en train de jouer avec l'ordinateur des gars pour le plaisir et c'est comme un script kiddie. Il y a de fortes chances que ce soit un gamin qui exécute un RAT (outil d'administration à distance) depuis le sous-sol de ses parents ...
stoj
Je suis des États-Unis :).
Mark Tomlin
3

Utilisez un programme plus détaillé comme tcpview et désactivez l'option de résolution d'hôte, de sorte que l'adresse IP réelle sera affichée à la place du nom d'hôte.

Mais, comme le dit KCotreau, à moins qu'ils ne soient un super-script kiddie, ils passent par un proxy, une autre machine compromise ou via Tor, donc leur adresse IP est introuvable à moins que vous ne vouliez essayer de les inciter à faire quelque chose qui le divulguerait, comme visiter un flash spécialement conçu de page javascript, etc. Je ne suis pas sûr de vouloir emprunter ce chemin.

queso
la source
Tor est trop lent pour les connexions VNC, mais il pourrait très probablement être introuvable à moins qu'il ne soit assez stupide. Même si j'ai vu des gens faire ça dans le passé sans se couvrir ...
Tamara Wijsman
@Tom Wijsman. OP a dit que c'était RDP, qui! = VNC. Cependant, votre argument est probablement toujours valable, bien que je trouve que RDP utilise beaucoup moins de bande passante que VNC étant donné la nature de ce qui est transmis.
queso
Eh bien, il n'était pas sûr au début jusqu'à ce qu'il le souligne. Bien qu'il soit toujours étrange qu'il parle d'une utilisation simultanée sur le même compte, ce qui n'est pas possible avec RDP. Quant à l'utilisation de la bande passante, cela dépend des paramètres. Cela pourrait être vrai, mais d'après mon expérience, Tor est très lent ...
Tamara Wijsman
1
  • Débranchez le câble réseau de l'ordinateur.
  • Vérifiez le démarrage pour tout élément inhabituel (démarrer> exécuter> msconfig> onglet "Démarrage")
  • Exécuter des analyses AV
  • Exécuter des analyses avec malwarebytes et spybot
  • Une fois que tout est terminé, redémarrez et exécutez HijackThis! et analyser le journal généré.
  • Une fois que votre ordinateur est libre de tout, assurez-vous que votre pare-feu est activé et que la protection AV est activée et à jour. Désactivez également la DMZ dans le routeur. Si vous ne pouvez pas faire de transfert de port, utilisez logmein.com pour l'accès à distance.
Flux de force
la source