被黑客入侵 - 有问题 :-)

被黑客入侵 - 有问题 :-)

我从 1972 年开始从事计算机工作。从电传打字机开始,到点播终端、大型机、小型机、微型机、超级计算机——我都做过。我的妻子喜欢玩在线游戏、Limewire 等——她给我们带来了病毒、恶意软件和其他一切。我和她谈过——她现在还在这么做。我还运行着一个 Web 服务器、电子邮件服务器、FTP 服务器,我们每天都会受到各方的攻击。其中一个人通过了,或者我的妻子下载了一些东西,导致这种情况发生。这就是我的背景信息。

当我注意到我们的路由器疯狂地传输文件时,我第一次意识到出了问题。我立即关闭了路由器。在对系统进行全面检查后,我发现了以下奇怪的事情:

  1. TCPView 已从所有系统中删除。
  2. 文件共享已恢复(我已将其关闭)。
  3. 离线文件共享已启用(我也已将其关闭)。

除上述内容外,我找不到任何其他帐户、组、位置、分区、病毒、恶意软件,没有任何东西可以解释为什么或如何发生这种情况。

我去了 majorgeeks.com 并且我们进行了恶意软件清除工作 —— 但没有检测到任何恶意软件。

我有五台 Windows 电脑。它们分别是:服务器、图形、开发、妻子和电视。只有妻子、开发、图形和服务器受到影响。将文件共享和离线文件重置为关闭后,我妻子的电脑和我的电脑现在工作正常。我还将操作系统恢复到几周前的备份版本。

图形计算机必须重新安装操作系统,因为出于未知原因,系统备份不包含操作系统。除非我将其重新插入备份外部 USB 驱动器,否则服务器将不再与互联网通信 - 然后它会尝试通过互联网将信息发送到某个未知位置,并重新设置文件共享和脱机文件选项。

有一次我设法进入本地安全策略并查看我拒绝哪些人登录系统,发现有一个名为 MININT 的新位置。该位置已经消失,到目前为止我无法让它恢复。

我不愿意重新安装操作系统,因为我想找出是谁干的,而最好的办法就是找出他们做了什么并撤销它。但是,在我解决问题之前,我们收不到任何电子邮件。所以我可能不得不重新安装操作系统。

今天早上,在 majorgeeks.com 上发布更新后,我去查看网络上发生了什么,发现 TCPView 又被删除了。所以我的 Developer 系统上也还有些东西。所以我可能也必须在那里重新安装操作系统才能摆脱这些问题。

知道可能发生了什么事吗?(除了黑客在我的系统上安装了一些东西,而似乎没人能弄清楚那个“东西”是什么?)

答案1

我真的不知道从哪儿开始。

为什么要这么偏执?楼主决心要找到“黑客”入侵他电脑的证据——尽管有大量证据表明事实并非如此。

让我们分解一下:

该路由器上的网络流量完美普通的

有 5 个系统连接到路由器。就后台网络活动而言,它们可能正在下载 Windows 更新、应用程序更新、防病毒定义更新,或者 OP 的妻子可能正在后台运行 Limewire/流媒体广播。就其他网络活动而言:妻子可能正在使用 Netflix、流媒体视频 - 或者基本上您可以在互联网上进行的任何其他操作。

现在我们永远都不会知道了。“可疑”的网络活动不再发生,系统也被清除了。

那么无线呢?问题中没有提到 OP 已经排除了这种可能性。

OP 做出了一些大胆的假设并将其视为事实。

网络活动并不一定意味着“文件传输速度太快”。如果不知道网络活动是什么,你怎么能说它具体是由于文件传输引起的呢?使用互联网连接,你可以做很多事情,而这些事情并不是文件传输。

以下是原帖应该如果他想追踪这个活动,他需要做以下事情:

  • 冷静下来,不要惊慌失措,不要拔掉电源,看看哪个路由器上的活动 LED 处于活动状态。记下哪些端口正在通信。这将告诉您涉及哪些计算机 - 这是跟踪网络活动的基本第一步。基本的东西 - 看看漂亮的闪烁的灯光。

  • 下一步:转到正在通信的计算机,打开任务管理器,在“网络”选项卡中查看实际传输的数据量(显示为 NIC 最大带宽的百分比)。这个方法快速而粗略,但可以让您在几秒钟内很好地了解正在发生的事情。现在您真的开始了解发生了什么:您会知道涉及哪台计算机,以及大约传输了多少数据。

  • 下一步是看看什么这些数据实际上是什么以及它来自哪里:在命令提示符中运行“netstat -a”,并检查输出。这样就可以让某人回答 OP 的问题(如果他自己无法解释这些信息的话)

如果 OP 这样做了,他可以在大约 10-15 分钟内解决这个小谜团。

相反,他惊慌失措,使网络脱机,清除了没有可恢复的系统映像的系统,并使电子邮件服务器脱机。更不用说中断了他想要识别的网络活动,并通过清除系统来消除任何找到问题证据的机会。

总结一下:

如果其他人注意到自己的网络上有任何异常网络活动,请采取确切措施对面的你应该没事的。

相关内容