操作系统:Windows 7 企业版(90天试用版)
我将我的电脑放入 DMZ,这样我就可以托管一段时间的服务器。(我安装在路由器上的 DD-WRT 版本中的端口转发功能无法正常工作。)过了一会儿,有人通过远程桌面连接连接到了我的电脑。事实上,他正在受感染的电脑上给我打字,问我是否“要获得许可”,并让我“等 5 分钟”。(不用说,我回复了他,告诉他……算了。)
netstat从受感染的计算机执行命令时出现了这种情况TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED,所以我猜他更改了我的主机文件,以便隐藏他的 IP 地址。他还更改了 box 上的管理员密码,并将我的帐户降级,使其不再是管理员。我可以登录自己的帐户并执行我喜欢的非管理员操作,但仅此而已。
每次我打开电脑时,他都会回来,通常在 25 分钟内,但有时开机后 2 或 3 分钟就会回来。所以我感觉他上传了一些东西,在启动时运行并呼叫家里。
在我看来,这似乎是脚本小子和英语不太好的人干的。我所有的门和窗户都开着。(没有双关语的意思。)我启用了 RDC 以允许来自网络外部的远程连接。
这一切结束后,我将格式化整台电脑,但我想知道我是否可以做些什么来追踪这个家伙,以便我可以把他的 IP 地址交给我所在地区的网络犯罪部门。
[编辑] 我的路由器将我现在受感染的计算机在本地网络上的 IP 地址设置为路由器中的 DMZ 地址。我知道如何设置 Port Fording,但就像我说的,它在我的 DD-WRT 版本中不起作用,我使用的是测试版,不稳定的 DD-WRT 版本。我根本没有打开 Windows 防火墙。我相信这是 RDC,因为 Windows 询问我是否可以允许管理员/DESKTOP-PC 连接。任务管理器只显示我的帐户,要查看其他帐户的进程,我需要管理员,他更改了我的管理员密码。他通过我打开的命令行控制台向我输入,以便我可以执行 netstat 命令。在我执行 netset 命令后,我使用另一台 Linux 笔记本电脑来查明我是否可以从他的主机名获取他的 IP 地址。在我这样做的时候,我注意到控制台中有一些我没有写的文本,上面写着“您将获得许可,请等待 5 分钟。”在命令行控制台中。这就是我认为他使用 RDC 的原因,因为很明显他可以看到我的电脑桌面。我将尝试 tcpvcon 连接,并尝试使用 Hiren 的启动 CD。我将在重新获得帐户管理员访问权限后检查自动运行日志,我使用的是 64 位版本的 Windows 7。我肯定会尝试 NetFlow,但我想我必须将路由器的固件更新到比现有版本更高的版本。感谢您迄今为止的帮助!
答案1
将我的计算机放入 DMZ,以便我可以暂时托管服务器。
您的意思是客户端,正如您所说,它是关于 Windows 7 的。您托管什么服务?
我路由器上安装的 DD-WRT 版本中的端口转发功能不起作用。
阅读指南,因为设置起来相当简单。您很可能忘记打开端口。
Windows 防火墙怎么样?它的配置正确吗?还是也完全开放?
过了一会儿,有人通过远程桌面连接连接到了我的电脑
你确定吗?你确认这是 RDC 了吗?它应该会显示一种联系。
他用什么账户登录的?在任务管理器里找找。
你的密码够强吗?至少 8 个字符,采用 A-Za-z0-9 格式...
事实上,他正在被入侵的电脑上给我打字
他是如何通过电脑给你打字的?通过net send?
你看到他实时给你打字了notepad吗?因为那不会是RDC……
所以我猜他修改了我的 hosts 文件,这样他的 IP 地址就被隐藏了
您至少可以验证一下您的假设吗?如果有帮助的话,那就是与 Talk 服务相关的 Google 服务器...除此之外,缺乏信息,不可能只有一个连接。
尝试以下命令行下载这个方便的连接工具:
tcpvcon -a -c > connections.csv
这将使我们能够更好地了解他是如何连接的,除此之外,您还可以尝试 GUI 本身。
他还更改了 box 上的管理员密码,并将我的帐户降级,使其不再是管理员。我可以登录自己的帐户并执行我喜欢的非管理员操作,但仅此而已。
使用密码恢复您的管理员帐户。Hiren 的启动 CD。
所以我感觉他上传了一些在启动时运行并呼叫家里的东西。
你证实过吗?
查看自动运行对于任何异常情况(如果您想分享,也可以保存)。
另请检查Rootkit揭露工具如果你正在运行 32 位系统,以防他真的很讨厌......
我的所有门窗都打开了。(没有双关语的意思。)我启用了 RDC 以允许来自网络外部的远程连接。
这一切结束后,我将格式化整台电脑,但我想知道我是否可以做些什么来追踪这个家伙,以便我可以把他的 IP 地址交给我所在地区的网络犯罪部门。
如果你将你的电脑开放给广泛的互联网,你至少应该保护它,它很可能不是我之前说的 RDC。也没有必要格式化整个电脑,因为一旦你阻止他的程序运行,并且你为电脑设置防火墙,并对sfc /scannow你的电脑进行简单的病毒扫描,你应该没问题。虽然你不喜欢故障排除,但你不妨重新安装。
如果你想成为一个令人讨厌的人,你可以网络流在你的 DD-WRT 上,配置它来将数据发送到另一台运行ntop并配置为从路由器接收信息以追踪他。
答案2
如果您的路由器正在记录(或者您可以监控)流量,并且您可以获得他正在使用的可路由 IP 地址(换句话说,他的 Internet IP 地址,而不是 192.168.xx IP 地址,后者是内部的、不可路由的 IP 地址),您可以将其转交,但抓住他的机会仍然非常渺茫。
如果他聪明的话,他会使用受感染的计算机作为代理(或使用法律宽松的其他国家的付费代理服务),通过它路由所有这些非法内容。换句话说,你只是交出了一个无辜但天真的受感染用户的 IP。即便如此,它也可能位于美国法律无法触及的某些国家,更不用说在大多数情况下他们不会有这个意愿,除非金额很高。
话虽如此,你还是可以尝试的。
答案3
使用更详细的程序(如 tcpview)并关闭主机解析选项,这样将显示实际的 IP 地址而不是主机名。
但是,就像 KCotreau 所说的那样,除非他们是超级脚本小子,否则他们会通过代理、另一台受感染的机器或 Tor,所以他们的 IP 地址是无法追踪的,除非你想尝试诱骗他们做一些会泄露它的事情,比如访问特制的 JavaScript 页面的 flash 等。不确定你是否想走这条路。
答案4
- 从计算机上拔下网线。
- 检查启动是否有任何异常(开始 > 运行 > msconfig > “启动”选项卡)
- 运行 AV 扫描
- 使用 malwarebytes 和 spybot 运行扫描
- 完成所有操作后,重新启动并运行 HijackThis!并分析生成的日志。
- 在您的计算机上清除所有文件后,请确保防火墙已启动,AV 保护已启用且为最新状态。还要禁用路由器中的 DMZ。如果您无法进行端口转发,请使用 logmein.com 进行远程访问。