Système d'exploitation: Windows 7 Enterprise Edition (version d'essai de 90 jours)
J'ai mis mon ordinateur dans une DMZ pour pouvoir héberger un serveur pendant un petit moment. (La redirection de port ne fonctionnait pas dans ma version de DD-WRT que j'avais installée sur mon routeur.) Au bout d'un moment, quelqu'un s'est connecté à mon ordinateur via la connexion Bureau à distance. En fait, il me tape sur l'ordinateur compromis à droite, me demandant si "je vais sous licence", et que je dois "attendre 5 minutes". (Inutile de dire que j'ai tapé en arrière et lui ai dit de bien le pousser.)
Faire une netstat
commande à partir de l'ordinateur composé l'a montré TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED
donc je suppose qu'il a changé mon fichier d'hôtes pour que son adresse IP soit cachée. Il a également changé le mot de passe administrateur sur la boîte et rétrogradé mon compte afin qu'il ne soit pas administrateur. Je peux me connecter à mon propre compte et faire les choses non-admin que j'aime, mais c'est tout.
Il revient également chaque fois que j'allume mon ordinateur, généralement dans un délai d'environ 25 minutes, mais parfois aussi peu que 2 ou 3 après l'avoir allumé. Donc j'ai le sentiment qu'il a téléchargé quelque chose qui s'exécute au démarrage et appelle à la maison.
Pour moi, cela ressemble au travail d'un script kiddie et de quelqu'un qui ne parle pas très bien anglais. Toutes mes portes étaient ouvertes ainsi que mes fenêtres. (Sans jeu de mots.) J'avais RDC activé pour autoriser les connexions à distance depuis l'extérieur de mon réseau.
Après cela, je formaterai tout l'ordinateur, mais je voulais savoir s'il y avait quelque chose que je pouvais faire pour retrouver ce gars afin que je puisse transmettre son adresse IP aux autorités de la cybercriminalité de ma région.
[MODIFIER] Mon routeur avait l'adresse IP de mon ordinateur désormais compromise sur le réseau local définie sur l'adresse DMZ de mon routeur. Je sais comment configurer Port Fording, mais comme je l'ai dit, cela ne fonctionne pas dans ma version de DD-WRT, j'utilise une version bêta instable de DD-WRT. Je n'ai pas du tout activé le pare-feu Windows. Je crois que c'est RDC parce que Windows me demande si c'est OK pour permettre à Administator / DESKTOP-PC de se connecter. Le gestionnaire de tâches n'affiche que mon compte, pour afficher la procédure sur les autres comptes dont j'ai besoin, et il a changé mon mot de passe administrateur. Il me tapait sur la console de ligne de commande ouverte que j'avais ouverte pour que je puisse exécuter la commande netstat. Après avoir exécuté la commande netset, j'utilisais un autre ordinateur portable Linux pour savoir si je pouvais obtenir son adresse IP à partir de son nom d'hôte. Pendant que je faisais ça, J'ai remarqué qu'il y avait du texte dans la console que je n'ai pas écrit qui disait "Vous allez obtenir une licence, attendez 5 minutes." dans la console de ligne de commande. C'est pourquoi je pense qu'il utilise RDC, car il est évident qu'il peut voir le bureau de mon ordinateur. Je vais essayer la connexion tcpvcon et je vais essayer Hiren's Boot CD. Je vérifierai le journal AutoRun après avoir regagné l'accès administrateur à mon compte, et j'utiliserai la version 64 bits de Windows 7. Et je vais certainement essayer NetFlow, mais je pense que je devrai mettre à jour le firmware de mon routeur pour une version ultérieure que ce que j'ai déjà. Merci pour votre aide jusqu'à présent! Il est évident qu'il peut voir le bureau de mon ordinateur. Je vais essayer la connexion tcpvcon, et je vais essayer le CD de démarrage d'Hiren. Je vérifierai le journal AutoRun après avoir regagné l'accès administrateur à mon compte, et j'utiliserai la version 64 bits de Windows 7. Et je vais certainement essayer NetFlow, mais je pense que je devrai mettre à jour le firmware de mon routeur pour une version ultérieure que ce que j'ai déjà. Merci pour votre aide jusqu'à présent! Il est évident qu'il peut voir le bureau de mon ordinateur. Je vais essayer la connexion tcpvcon, et je vais essayer le CD de démarrage d'Hiren. Je vérifierai le journal AutoRun après avoir regagné l'accès administrateur à mon compte, et j'utiliserai la version 64 bits de Windows 7. Et je vais certainement essayer NetFlow, mais je pense que je devrai mettre à jour le firmware de mon routeur pour une version ultérieure que ce que j'ai déjà. Merci pour votre aide jusqu'à présent!
Réponses:
Vous voulez dire un client, comme vous l'avez dit, il s'agit de Windows 7. Quels services hébergez-vous?
Lisez un guide, car il est assez simple à configurer. Vous avez probablement oublié d'ouvrir un port.
Qu'en est-il du pare-feu Windows? Est-ce correctement configuré ou est-il également grand ouvert?
Êtes-vous sûr? Avez-vous vérifié qu'il s'agit d'un RDC? Cela devrait révéler une connexion.
Sous quel compte est-il connecté? Regardez dans le gestionnaire de tâches.
Votre mot de passe est-il assez fort? Quelque chose comme 8 caractères minimum dans le style A-Za-z0-9 ...
Comment vous tape-t-il sur l'ordinateur? À travers
net send
?Le voyez-vous taper en direct pour vous
notepad
ou quelque chose comme ça? Parce que ce ne serait pasRDC
...Pouvez-vous au moins vérifier vos hypothèses? Si cela aide, c'est un serveur Google lié aux services Talk ... En dehors de cela, il y a un manque d'informations, il ne peut pas y avoir qu'une seule connexion.
Essayez la ligne de commande suivante après avoir téléchargé cet outil de connexion pratique :
Ce qui nous permettrait d'avoir une meilleure idée de la façon dont il s'est connecté, à part cela, vous pouvez essayer l'interface graphique elle-même.
Utilisez ntpasswd pour récupérer votre compte administrateur. Il est disponible sur le CD de démarrage d'Hiren .
L'avez-vous vérifié?
Vérifiez les Autoruns pour tout élément anormal (que vous pouvez également enregistrer si vous souhaitez le partager).
Vérifiez également Rootkitrevealer si vous utilisez un système 32 bits, juste au cas où il serait vraiment méchant ...
Si vous ouvrez votre ordinateur au large Internet, vous devez au moins le protéger, ce n'est probablement pas RDC comme je l'ai dit auparavant. Il n'est pas non plus nécessaire de formater tout l'ordinateur car une fois que vous empêchez ses choses de fonctionner et que vous pare-feu l'ordinateur et faites un simple
sfc /scannow
balayage de virus sur votre ordinateur, tout devrait bien se passer . Bien que vous n'aimiez pas le dépannage, vous pouvez tout aussi bien réinstaller.Si vous voulez être la personne méchante, vous pouvez activer NetFlow sur votre DD-WRT et le configurer pour l'envoyer à un autre ordinateur qui exécute ntop et est configuré pour recevoir du routeur pour le retrouver.
la source
netstat
,tcpview
Etwireshark
vous devriez le nom d'hôte du fournisseur d' accès Internet ou l' adresse IP du pirate ou son mandataire. Pourquoi lui permettez-vous de se connecter, est-il protégé par un mot de passe sécurisé? Qu'en est-il du reste de mon message?Si votre routeur enregistre (ou vous pouvez surveiller) le trafic, et vous pouvez obtenir l'adresse IP routable qu'il utilise (en d'autres termes, son adresse IP Internet, pas une adresse IP 192.168.xx, qui est une adresse IP interne non adresse IP routable), vous pouvez retourner cela, mais les chances sont encore très minces qu'ils l'attrapent.
S'il est intelligent, il utilise un ordinateur infecté comme proxy (ou un service proxy payant dans un autre pays avec des lois laxistes), acheminant toutes ces choses illégales à travers lui. En d'autres termes, vous retourneriez simplement l'IP d'un utilisateur infecté innocent, mais naïf. Même alors, c'est probablement dans un pays où la portée de la loi américaine n'atteindra pas, et encore moins auront-ils le désir dans la plupart des cas à moins que les chiffres en dollars ne soient élevés.
Cela dit, vous pouvez toujours essayer.
la source
Utilisez un programme plus détaillé comme tcpview et désactivez l'option de résolution d'hôte, de sorte que l'adresse IP réelle sera affichée à la place du nom d'hôte.
Mais, comme le dit KCotreau, à moins qu'ils ne soient un super-script kiddie, ils passent par un proxy, une autre machine compromise ou via Tor, donc leur adresse IP est introuvable à moins que vous ne vouliez essayer de les inciter à faire quelque chose qui le divulguerait, comme visiter un flash spécialement conçu de page javascript, etc. Je ne suis pas sûr de vouloir emprunter ce chemin.
la source
la source