SO: Windows 7 Enterprise Edition (Versión de prueba de 90 días)
Puse mi computadora en una DMZ para poder alojar un servidor por un tiempo. (El reenvío de puertos no funcionaba en mi versión de DD-WRT que había instalado en mi enrutador). Después de un tiempo, alguien hizo una conexión a mi computadora a través de Conexión a Escritorio remoto. De hecho, me está escribiendo correctamente en la computadora comprometida, preguntándome si "voy a licenciar" y que debería "esperar 5 minutos". (No hace falta decir que escribí de nuevo y le dije que ... bueno, empuje).
Hacer un netstatcomando desde la computadora incluida mostró esto, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDasí que supongo que cambió mi archivo de hosts a que su dirección IP estaría oculta. También cambió la contraseña de administrador en el cuadro y degradó mi cuenta para que no sea admin. Puedo iniciar sesión en mi propia cuenta y hacer las cosas que no son de administrador que me gustan, pero eso es todo.
También regresa cada vez que enciendo mi computadora, por lo general dentro de unos 25 minutos, pero algunas veces tan poco como 2 o 3 después de encenderla. Así que tengo la sensación de que subió algo que se ejecuta en el inicio y llama a casa.
Para mí, esto parece el trabajo de un guión para niños, y alguien que no habla inglés muy bien. Todas mis puertas estaban abiertas, así como mis ventanas. (Sin juego de palabras). Tenía RDC habilitado para permitir conexiones remotas desde fuera de mi red.
Después de que esto termine, formatearé toda la computadora, pero quería saber si hay algo que pueda hacer para rastrear a este tipo para poder entregar su dirección IP a las autoridades de delitos cibernéticos en mi área.
[EDITAR] Mi enrutador tenía la dirección IP de mi computadora ahora comprometida en la red local configurada en la dirección DMZ en mi enrutador. Sé cómo configurar Port Fording, pero como dije, no funciona en mi versión de DD-WRT, estoy usando una versión beta inestable de DD-WRT. No tenía el Firewall de Windows activado en absoluto. Creo que es RDC porque Windows me pregunta si está bien permitir que se conecte Administator / DESKTOP-PC. Task Mangager solo muestra mi cuenta, para ver el proceso sobre las otras cuentas, necesito Admin, y ha cambiado mi contraseña de administrador. Me estaba escribiendo a través de la consola de línea de comandos abierta que había abierto para poder hacer el comando netstat. Después de ejecutar el comando netset, estaba usando otra computadora portátil Linux para averiguar si podía obtener su dirección IP de su nombre de host. Mientras estaba haciendo eso, Noté que había un texto en la consola que no escribí que decía "Tendrás licencia, espera 5 minutos". en la consola de línea de comando. Es por eso que creo que está usando RDC, porque es evidente que puede ver el escritorio de mi computadora. Probaré la conexión tcpvcon y probaré el CD de arranque de Hiren. Revisaré el registro de AutoRun después de recuperar el acceso de administrador a mi cuenta, y estoy usando la versión de 64 bits de Windows 7. Y seguramente intentaré NetFlow, pero creo que tendré que actualizar el firmware de mi enrutador para Una versión posterior que lo que ya tengo. ¡Gracias por su ayuda hasta ahora! Es evidente que puede ver el escritorio de mi computadora. Probaré la conexión tcpvcon y probaré el CD de arranque de Hiren. Revisaré el registro de AutoRun después de recuperar el acceso de administrador a mi cuenta, y estoy usando la versión de 64 bits de Windows 7. Y seguramente intentaré NetFlow, pero creo que tendré que actualizar el firmware de mi enrutador para Una versión posterior que lo que ya tengo. ¡Gracias por su ayuda hasta ahora! Es evidente que puede ver el escritorio de mi computadora. Probaré la conexión tcpvcon y probaré el CD de arranque de Hiren. Revisaré el registro de AutoRun después de recuperar el acceso de administrador a mi cuenta, y estoy usando la versión de 64 bits de Windows 7. Y seguramente intentaré NetFlow, pero creo que tendré que actualizar el firmware de mi enrutador para Una versión posterior que lo que ya tengo. ¡Gracias por su ayuda hasta ahora!
Respuestas:
Te refieres a un cliente, como dijiste que se trata de Windows 7. ¿Qué servicios estás alojando?
Lea una guía, porque es bastante simple de configurar. Es muy probable que haya olvidado abrir un puerto.
¿Qué pasa con el Firewall de Windows? ¿Está configurado correctamente o también está bien abierto?
¿Estás seguro? ¿Verificaste que este es un RDC? Debería revelar una conexión.
¿Bajo qué cuenta está conectado? Mira en el administrador de tareas.
¿Su contraseña es lo suficientemente segura? Algo así como 8 caracteres como mínimo en estilo A-Za-z0-9 ...
¿Cómo te está escribiendo en la computadora? A través de
net send?¿Lo ves escribiendo en vivo para ti
notepado algo así? Porque eso no seríaRDC...¿Puedes al menos verificar tus suposiciones? Si ayuda, es un servidor de Google relacionado con los servicios de Talk ... Aparte de eso hay una falta de información, no puede ser que solo haya una conexión allí.
Pruebe la siguiente línea de comando después de descargar esta práctica herramienta de conexiones :
Lo que nos permitiría obtener una mejor idea de cómo se conectó, aparte de eso, puede probar la GUI en sí.
Use ntpasswd para recuperar su cuenta de administrador. Está disponible en el CD de arranque de Hiren .
¿Has verificado eso?
Compruebe Autoruns para cualquier cosa anormal (que también podría guardar si desea compartir).
También revise Rootkitrevealer si está ejecutando un sistema de 32 bits, en caso de que sea realmente desagradable ...
Si está abriendo su computadora a Internet, al menos debería protegerla, lo más probable es que no sea RDC como dije antes. Tampoco hay necesidad de formatear toda la computadora, ya que una vez que evita que sus cosas se ejecuten y corta el firewall de la computadora y hace un simple
sfc /scannowanálisis de virus, su computadora debería estar bien. Aunque no le gusta la solución de problemas, también podría reinstalar.Si desea ser la persona desagradable, puede habilitar NetFlow en su DD-WRT y configurarlo para enviarlo a otra computadora que se ejecute ntop y esté configurado para recibir desde el enrutador para rastrearlo.
fuente
netstat,tcpviewywiresharkdebería llevarlo al nombre de host del ISP o la dirección IP del hacker o su proxy. ¿Por qué le permite conectarse? ¿Está protegido por una contraseña segura? ¿Qué pasa con el resto de mi publicación?Si su enrutador está registrando (o puede monitorear) el tráfico, y puede obtener la dirección IP enrutable que está utilizando (en otras palabras, su dirección IP de Internet, no una dirección IP 192.168.xx, que es una dirección interna no dirección IP enrutable), podría darle la vuelta, pero las posibilidades aún son muy escasas de que lo atrapen.
Si es inteligente, está usando una computadora infectada como un proxy (o un servicio proxy pagado en otro país con leyes laxas), enrutando todas estas cosas ilegales a través de él. En otras palabras, simplemente estaría entregando la IP de un usuario infectado inocente pero ingenuo. Incluso entonces, es probable que sea en algún país donde el alcance de la ley de EE. UU. No alcanzará, y mucho menos tendrán el deseo en la mayoría de los casos a menos que las cifras en dólares sean altas.
Dicho esto, siempre puedes intentarlo.
fuente
Use un programa más detallado como tcpview y desactive la opción de resolución de host, de modo que se muestre la dirección IP real en lugar del nombre de host.
Pero, como dice KCotreau, a menos que sean un super script kiddie, están pasando por un proxy, otra máquina comprometida o por Tor, por lo que su dirección IP no se puede rastrear a menos que quieras intentar engañarlos para que hagan algo que lo revele, como visitar una página de JavaScript especialmente diseñada, etc. No estoy seguro de querer viajar por ese camino.
fuente
fuente