OS: Windows 7 Enterprise Edition (Versi Uji Coba 90 Hari)
Saya memasukkan komputer saya ke DMZ sehingga saya bisa meng-host server untuk sementara waktu. (Port Forwarding tidak berfungsi dalam versi DD-WRT yang saya instal pada router saya.) Setelah beberapa saat seseorang membuat koneksi ke komputer saya melalui Remote Desktop Connection. Bahkan, dia mengetik kepada saya di komputer yang dikompromikan, bertanya kepada saya apakah "saya akan lisensi", dan bahwa saya harus "menunggu 5 menit". (Tak perlu dikatakan, saya mengetik kembali dan menyuruhnya ... mendorongnya dengan baik.)
Melakukan a netstat perintah dari komputer yang terdiri menunjukkan ini TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED jadi saya kira dia mengubah file host saya ke alamat IP-nya akan disembunyikan. Dia juga mengubah kata sandi admin pada kotak, dan menurunkan akun saya sehingga bukan admin. Saya dapat masuk ke akun saya sendiri dan melakukan hal-hal non-admin yang saya sukai, tetapi hanya itu.
Dia juga kembali setiap kali saya menyalakan komputer saya, biasanya dalam waktu sekitar 25 menit, tetapi beberapa kali sesedikit 2 atau 3 setelah saya menyalakannya. JADI, saya merasa dia mengunggah sesuatu yang berjalan saat startup dan menelepon ke rumah.
Bagi saya, ini seperti karya script kiddie, dan seseorang yang tidak bisa berbahasa Inggris dengan baik. Semua pintu saya terbuka dan juga jendela saya. (No pun intended). RDC saya diaktifkan untuk memungkinkan koneksi jarak jauh dari luar jaringan saya.
Setelah ini selesai saya akan memformat seluruh komputer, tetapi saya ingin tahu apakah ada yang bisa saya lakukan untuk melacak kembali orang ini sehingga saya bisa menyerahkan alamat IP-nya ke otoritas kejahatan cyber di daerah saya.
[EDIT] Router saya memiliki alamat IP komputer saya yang sekarang telah dikompromikan pada jaringan lokal yang disetel ke alamat DMZ di router saya. Saya tahu cara mengatur Port Fording, tetapi seperti yang saya katakan, itu tidak berfungsi dalam versi DD-WRT saya, saya menggunakan versi beta, versi DD-WRT yang tidak stabil. Saya tidak mengaktifkan Windows Firewall sama sekali. Saya percaya bahwa ini RDC karena Windows bertanya apakah OK untuk mengizinkan Administrator / DESKTOP-PC terhubung. Task Mangager hanya menampilkan akun saya, untuk melihat proses dibandingkan akun lain yang saya butuhkan Admin, dan dia mengubah kata sandi admin saya. Dia mengetik kepada saya melalui konsol baris perintah terbuka yang saya buka sehingga saya bisa melakukan perintah netstat. Setelah saya melakukan perintah netset, saya menggunakan laptop linux lain untuk mengetahui apakah saya bisa mendapatkan alamat IP-nya dari nama hostnya. Sementara saya melakukan itu, saya perhatikan bahwa ada beberapa teks di konsol yang saya tidak menulis yang mengatakan "Anda akan melisensikan, tunggu 5 menit." di konsol baris perintah. Inilah mengapa saya pikir dia menggunakan RDC, karena jelas dia bisa melihat desktop komputer saya. Saya akan mencoba koneksi tcpvcon, dan saya akan mencoba Hiren's Boot CD. Saya akan memeriksa log AutoRun setelah saya mendapatkan kembali akses admin ke akun saya, dan saya menggunakan versi 64bit Windows 7. Dan saya pasti akan mencoba NetFlow, tapi saya pikir saya harus memperbarui Firmware router saya untuk versi nanti yang sudah saya miliki. Terima kasih atas bantuan Anda sejauh ini!
Jawaban:
Maksud Anda klien, seperti yang Anda katakan tentang Windows 7. Layanan apa yang Anda hosting?
Baca panduan, karena ini cukup mudah untuk diatur. Anda kemungkinan besar lupa membuka porta.
Bagaimana dengan Windows Firewall? Apakah itu dikonfigurasi dengan benar atau apakah terbuka lebar juga?
Apakah kamu yakin Apakah Anda memverifikasi bahwa ini adalah RDC? Itu harus mengungkapkan koneksi.
Di bawah akun apa dia login? Lihat di task manager.
Apakah kata sandi Anda cukup kuat? Sesuatu seperti minimal 8 karakter dalam gaya A-Za-z0-9 ...
Bagaimana dia mengetik kepada Anda di komputer? Melalui
net send?Apakah Anda melihat dia mengetik langsung kepada Anda?
notepadatau sesuatu? Karena itu tidak akan terjadiRDC...Bisakah Anda setidaknya memverifikasi asumsi Anda? Jika ini membantu, itu adalah server Google yang terkait dengan layanan Talk ... Selain itu ada kekurangan informasi, tidak mungkin hanya ada satu koneksi di sana.
Coba baris perintah berikut setelah mengunduh alat koneksi praktis ini :
Yang akan memungkinkan kami untuk mendapatkan petunjuk yang lebih baik tentang bagaimana dia terhubung, selain itu Anda bisa mencoba GUI itu sendiri.
Menggunakan ntpasswd untuk memulihkan akun admin Anda. Sudah tersedia di CD Boot Hiren .
Sudahkah Anda memverifikasi itu?
Memeriksa Autoruns untuk sesuatu yang tidak normal (yang juga bisa Anda simpan jika Anda ingin berbagi).
Periksa juga Rootkitrevealer jika Anda menjalankan sistem 32-bit, kalau-kalau dia benar-benar jahat ...
Jika Anda membuka komputer Anda ke internet luas Anda setidaknya harus melindunginya, kemungkinan besar itu bukan RDC seperti yang saya katakan sebelumnya. Juga tidak perlu memformat seluruh komputer karena sekali Anda mencegah hal-hal dari berjalan dan Anda firewall komputer dan lakukan yang sederhana
sfc /scannowsepanjang virus memindai komputer Anda, Anda akan baik-baik saja. Meskipun Anda tidak suka pemecahan masalah, Anda mungkin juga menginstal ulang.Jika Anda ingin menjadi orang jahat yang dapat Anda aktifkan NetFlow pada DD-WRT Anda dan konfigurasikan untuk mengirimkannya ke komputer lain yang sedang berjalan tidak dan dikonfigurasi untuk menerima dari router untuk melacaknya.
sumber
netstat,tcpviewdanwiresharkharus membawa Anda ke nama host ISP atau alamat IP peretas atau kuasanya. Mengapa Anda mengizinkannya terhubung, apakah dilindungi oleh kata sandi yang aman? Bagaimana dengan sisa posting saya?Jika router Anda mencatat (atau Anda dapat memonitor) lalu lintas, dan Anda bisa mendapatkan alamat IP routable yang ia gunakan (dengan kata lain, alamat IP Internetnya, bukan alamat IP 192.168.xx, yang merupakan alamat internal, bukan alamat IP routable), Anda bisa membalikkan itu, tetapi kemungkinannya masih sangat tipis bahwa mereka menangkapnya.
Jika dia pintar, dia menggunakan komputer yang terinfeksi sebagai proxy (atau layanan proxy berbayar di negara lain dengan hukum lemah), merutekan semua hal ilegal ini melaluinya. Dengan kata lain, Anda hanya akan membalik IP pengguna yang tidak bersalah, tetapi naif. Bahkan kemudian, mungkin di beberapa negara di mana jangkauan hukum AS tidak akan mencapai, apalagi mereka memiliki keinginan dalam kebanyakan kasus kecuali angka dolar tinggi.
Yang mengatakan, Anda selalu dapat mencoba.
sumber
Gunakan program yang lebih verbose seperti tcpview dan matikan opsi untuk resolusi host, sehingga alamat IP yang sebenarnya akan ditampilkan dan bukan nama host.
Tapi, seperti kata KCotreau, kecuali mereka adalah script super kiddie, mereka akan melalui proxy, mesin kompromi lain, atau lebih dari Tor, sehingga alamat IP mereka tidak bisa dilacak kecuali jika Anda ingin mencoba dan menipu mereka untuk melakukan sesuatu yang akan mengungkapkannya, seperti mengunjungi flash halaman javascript yang dibuat khusus, dll. Tidak yakin Anda ingin menempuh jalan itu.
sumber
sumber