मेरे पास एक हैकर को पकड़ने का क्या मतलब है जो मेरे कंप्यूटर में फटा है? [बन्द है]


20

ओएस: विंडोज 7 एंटरप्राइज संस्करण (90 दिन परीक्षण संस्करण)

मैंने अपने कंप्यूटर को एक DMZ में रखा, ताकि मैं थोड़ी देर के लिए एक सर्वर की मेजबानी कर सकूं। (पोर्ट अग्रेषण डीडी-WRT के मेरे संस्करण में काम नहीं कर रहा था जिसे मैंने अपने राउटर पर स्थापित किया था।) थोड़ी देर बाद किसी ने रिमोट डेस्कटॉप कनेक्शन के माध्यम से मेरे कंप्यूटर से एक कनेक्शन बनाया। वास्तव में, वह मुझसे समझौता किए हुए कंप्यूटर पर टाइप कर रहा है, मुझसे पूछ रहा है कि क्या "मैं लाइसेंस दूंगा", और मुझे "कुछ मिनट इंतजार करना चाहिए"। (कहने की ज़रूरत नहीं है, मैंने वापस टाइप किया और उससे कहा ... अच्छा इसे हिलाओ।)

सम्मिलित netstatकंप्यूटर से एक कमांड करने से यह प्रदर्शित होता है TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDइसलिए मैं अनुमान लगा रहा हूं कि उसने मेरी मेजबानों की फाइल को बदल दिया है कि उसका आईपी पता छिपा दिया जाएगा। उसने बॉक्स पर व्यवस्थापक पासवर्ड भी बदल दिया, और मेरे खाते को डीमोट कर दिया ताकि यह व्यवस्थापक न हो। मैं अपने खाते में लॉगिन कर सकता हूं और गैर-व्यवस्थापक चीजें कर सकता हूं जो मुझे पसंद हैं, लेकिन यह है।

वह भी हर बार जब मैं अपने कंप्यूटर को चालू करता हूं, तो वह लगभग 25 मिनट के भीतर वापस आ जाता है, लेकिन कुछ समय बाद जब मैं इसे चालू करता हूं तो 2 या 3 जितना कम होता है। इसलिए मुझे इस बात का अहसास है कि उसने कुछ ऐसा अपलोड किया है जो स्टार्टअप पर चलता है और घर पर कॉल करता है।

मेरे लिए, यह एक स्क्रिप्ट किडी के काम की तरह लगता है, और कोई ऐसा व्यक्ति जो अंग्रेजी नहीं बोलता है। मेरे सारे दरवाजे जहाँ मेरी खिड़कियों के साथ-साथ खुलते हैं। (कोई सज़ा का इरादा नहीं है।) मैंने अपने नेटवर्क के बाहर से दूरस्थ कनेक्शन की अनुमति देने के लिए आरडीसी को सक्षम किया था।

इसके खत्म होने के बाद मैं पूरे कंप्यूटर को फॉर्मेट करूंगा, लेकिन मैं जानना चाहता था कि क्या कुछ है जो मैं इस आदमी को वापस ट्रैक कर सकता हूं, इसलिए मैं अपने आईपी पते को अपने क्षेत्र में साइबर अपराध अधिकारियों को सौंप सकता हूं।

[संपादित करें] मेरे राउटर ने मेरे राउटर में डीएमजेड के पते पर स्थानीय नेटवर्क पर कंप्यूटर के आईपी पते से छेड़छाड़ की। मुझे पता है कि पोर्ट फोर्जिंग को कैसे सेटअप किया जाए, लेकिन जैसा मैंने कहा, यह डीडी-डब्ल्यूआरटी के मेरे संस्करण में काम नहीं करता है, मैं डीडी-डब्ल्यूआरटी के बीटा, अस्थिर संस्करण का उपयोग कर रहा हूं। मेरे पास विंडोज फ़ायरवॉल बिल्कुल भी चालू नहीं था। मेरा मानना ​​है कि यह आरडीसी है क्योंकि विंडोज मुझसे पूछता है कि क्या प्रशासक / DESKTOP-PC को कनेक्ट करने की अनुमति देना ठीक है। टास्क मांगेगर केवल मेरे खाते को दिखाता है, अन्य खातों पर जिन्हें मुझे प्रशासन की आवश्यकता है, पर भविष्यवाणी देखने के लिए, और उन्होंने अपना व्यवस्थापक पासवर्ड बदल दिया है। वह मेरे द्वारा खोले गए ओपन कमांड लाइन कंसोल के माध्यम से टाइप कर रहा था ताकि मैं नेटस्टैट कमांड कर सकूं। नेटसेट कमांड करने के बाद, मैं यह पता लगाने के लिए एक अन्य लिनक्स लैपटॉप का उपयोग कर रहा था कि क्या मुझे उसके होस्टनाम से उसका आईपी पता मिल सकता है। जब मैं ऐसा कर रहा था, मैंने देखा कि कंसोल में कुछ पाठ था जो मैंने नहीं लिखा था कि "आप लाइसेंस देंगे, 5 मिनट प्रतीक्षा करें।" कमांड लाइन कंसोल में। यही कारण है कि मुझे लगता है कि वह आरडीसी का उपयोग कर रहा है, क्योंकि यह स्पष्ट है कि वह मेरे कंप्यूटर का डेस्कटॉप देख सकता है। मैं tcpvcon कनेक्शन की कोशिश करूँगा, और मैं हिरेन के बूट सीडी को एक बार दे दूँगा। मैं अपने खाते में व्यवस्थापकीय पहुँच प्राप्त करने के बाद ऑटोरन लॉग की जाँच करूँगा, और मैं विंडोज 7. के 64 बिट संस्करण का उपयोग कर रहा हूँ और मैं नेटफ्लो की कोशिश ज़रूर करूँगा, लेकिन मुझे लगता है कि मुझे अपने राउटर के फ़र्मवेयर को अपडेट करना होगा बाद का संस्करण जो मेरे पास पहले से है। अब तक आपकी मदद के लिए धन्यवाद! स्पष्ट है कि वह मेरे कंप्यूटर का डेस्कटॉप देख सकता है। मैं tcpvcon कनेक्शन की कोशिश करूँगा, और मैं हिरेन के बूट सीडी को एक बार दे दूँगा। मैं अपने खाते में व्यवस्थापकीय पहुँच प्राप्त करने के बाद ऑटोरन लॉग की जाँच करूँगा, और मैं विंडोज 7. के 64 बिट संस्करण का उपयोग कर रहा हूँ और मैं नेटफ्लो की कोशिश ज़रूर करूँगा, लेकिन मुझे लगता है कि मुझे अपने राउटर के फ़र्मवेयर को अपडेट करना होगा बाद का संस्करण जो मेरे पास पहले से है। अब तक आपकी मदद के लिए धन्यवाद! स्पष्ट है कि वह मेरे कंप्यूटर का डेस्कटॉप देख सकता है। मैं tcpvcon कनेक्शन की कोशिश करूँगा, और मैं हिरेन के बूट सीडी को एक बार दे दूँगा। मैं अपने खाते में व्यवस्थापकीय पहुँच प्राप्त करने के बाद ऑटोरन लॉग की जाँच करूँगा, और मैं विंडोज 7. के 64 बिट संस्करण का उपयोग कर रहा हूँ और मैं नेटफ्लो की कोशिश ज़रूर करूँगा, लेकिन मुझे लगता है कि मुझे अपने राउटर के फ़र्मवेयर को अपडेट करना होगा बाद का संस्करण जो मेरे पास पहले से है। अब तक आपकी मदद के लिए धन्यवाद!


आपका प्रश्न काफी अधूरा है क्योंकि मैंने अपने उत्तर में उल्लिखित किया है। क्या आप इसे अधिक विवरण के साथ सुधार सकते हैं ताकि हम आपको अटकलें लगाने के अलावा अन्य बेहतर मदद कर सकें? आपने इस ओपन को एक हनीपॉट की तरह सेट किया है , इसलिए आप बस अपने सिस्टम को पास करने वाले पहले सबसे अच्छे क्विक पोर्ट स्कैन के लिए आते हैं ...
तमारा विजसमैन

जवाबों:


17

अपने कंप्यूटर को एक DMZ में रखें ताकि मैं थोड़ी देर के लिए एक सर्वर की मेजबानी कर सकूं।

आपका मतलब एक ग्राहक है, जैसा कि आपने कहा कि यह विंडोज 7 के बारे में है। आप किन सेवाओं की मेजबानी कर रहे हैं?


पोर्ट अग्रेषण मेरे डीडी-WRT के संस्करण में काम नहीं कर रहा था जो मैंने अपने राउटर पर स्थापित किया था।

एक गाइड पढ़ें, क्योंकि यह स्थापित करने के लिए काफी सरल है। आप सबसे अधिक संभावना है कि एक पोर्ट खोलना भूल गए हैं।

विंडोज फ़ायरवॉल के बारे में क्या? क्या यह ठीक से कॉन्फ़िगर किया गया है या यह व्यापक रूप से खुला है?


थोड़ी देर बाद किसी ने रिमोट डेस्कटॉप कनेक्शन के माध्यम से मेरे कंप्यूटर से एक कनेक्शन बनाया

क्या आपको यकीन है? क्या आपने सत्यापित किया कि यह एक आरडीसी है? यह एक कनेक्शन प्रकट करना चाहिए।

वह किस खाते में लॉग इन है? टास्क मैनेजर में देखें।

क्या आपका पासवर्ड काफी मजबूत है? A-Za-z0-9 शैली में न्यूनतम 8 वर्णों की तरह कुछ ...


वास्तव में, वह मुझसे समझौता कंप्यूटर पर टाइप कर रहा है

वह आपको कंप्यूटर पर कैसे टाइप कर रहा है? के माध्यम से net send?

क्या आप उसे अपने साथ notepadया कुछ में लाइव टाइप करते हुए देखते हैं ? क्योंकि ऐसा नहीं होगा RDC...


इसलिए मैं अनुमान लगा रहा हूं कि उसने मेरी मेजबानों की फाइल को बदल दिया है कि उसका आईपी पता छिपा दिया जाएगा

क्या आप कम से कम अपनी मान्यताओं को सत्यापित कर सकते हैं? यदि यह मदद करता है, तो यह टॉक सेवाओं से संबंधित एक Google सर्वर है ... इसके अलावा अन्य जानकारी की कमी है, ऐसा नहीं हो सकता है कि वहां सिर्फ एक कनेक्शन है।

इस आसान कनेक्शन टूल को डाउनलोड करने के बाद निम्न कमांड लाइन आज़माएं :

tcpvcon -a -c > connections.csv

जो हमें एक बेहतर सुराग प्राप्त करने की अनुमति देगा कि वह कैसे जुड़ा है, इसके अलावा आप स्वयं जीयूआई की कोशिश कर सकते हैं।


उसने बॉक्स पर व्यवस्थापक पासवर्ड भी बदल दिया, और मेरे खाते को डीमोट कर दिया ताकि यह व्यवस्थापक न हो। मैं अपने खाते में लॉगिन कर सकता हूं और गैर-व्यवस्थापक चीजें कर सकता हूं जो मुझे पसंद हैं, लेकिन यह है।

अपने व्यवस्थापक खाते को पुनर्प्राप्त करने के लिए ntpasswd का उपयोग करें । यह हिरेन के बूट सीडी पर उपलब्ध है ।


इसलिए मुझे इस बात का अहसास है कि उसने कुछ ऐसा अपलोड किया है जो स्टार्टअप पर चलता है और घर पर कॉल करता है।

क्या आपने इसे सत्यापित किया है?

कुछ भी असामान्य के लिए ऑटोरन की जांच करें (जिसे आप साझा करना चाहते हैं तो आप भी बचा सकते हैं)।

इसके अलावा अगर आप 32-बिट सिस्टम चला रहे हैं, तो रूटकिट्रेविलेर की जांच करें, अगर वह वास्तव में बुरा है ...


मेरे सारे दरवाजे जहाँ मेरी खिड़कियों के साथ-साथ खुलते हैं। (कोई सज़ा का इरादा नहीं है।) मैंने अपने नेटवर्क के बाहर से दूरस्थ कनेक्शन की अनुमति देने के लिए आरडीसी को सक्षम किया था।

इसके खत्म होने के बाद मैं पूरे कंप्यूटर को फॉर्मेट करूंगा, लेकिन मैं जानना चाहता था कि क्या कुछ है जो मैं इस आदमी को वापस ट्रैक कर सकता हूं, इसलिए मैं अपने आईपी पते को अपने क्षेत्र में साइबर अपराध अधिकारियों को सौंप सकता हूं।

यदि आप अपने कंप्यूटर को विस्तृत इंटरनेट पर खोल रहे हैं, तो आपको कम से कम इसकी सुरक्षा करनी चाहिए, यह सबसे अधिक संभावना है कि आरडीसी नहीं है जैसा कि मैंने पहले कहा था। पूरे कंप्यूटर को फॉर्मेट करने की भी आवश्यकता नहीं है क्योंकि एक बार जब आप उसकी चीज़ों को चलने से रोकते हैं और आप कंप्यूटर को फ़ायरवॉल कर देते हैं और sfc /scannowएक वायरस के साथ एक साधारण स्कैन करते हैं जिससे आपका कंप्यूटर ठीक होना चाहिए। यद्यपि आपको समस्या निवारण पसंद नहीं है, फिर भी आप पुनः स्थापित कर सकते हैं।

यदि आप चाहते हैं कि आप अपने डीडी-डब्ल्यूआरटी पर नेटफ्लो को सक्षम कर सकें और इसे दूसरे कंप्यूटर पर भेजने के लिए कॉन्फ़िगर किया जा सके जो कि नेटॉप चल रहा है और उसे ट्रैक करने के लिए राउटर से प्राप्त करने के लिए कॉन्फ़िगर किया गया है।

यहाँ छवि विवरण दर्ज करें


मेरे राउटर ने मेरे राउटर में DMZ पते पर स्‍थानीय नेटवर्क पर कंप्‍यूटर के IP पते से छेड़छाड़ की। मुझे पता है कि पोर्ट फोर्जिंग को कैसे सेटअप किया जाए, लेकिन जैसा मैंने कहा, यह डीडी-डब्ल्यूआरटी के मेरे संस्करण में काम नहीं करता है, मैं डीडी-डब्ल्यूआरटी के बीटा, अस्थिर संस्करण का उपयोग कर रहा हूं। मेरे पास विंडोज फ़ायरवॉल बिल्कुल भी चालू नहीं था। मेरा मानना ​​है कि यह आरडीसी है क्योंकि विंडोज मुझसे पूछता है कि क्या प्रशासक / DESKTOP-PC को कनेक्ट करने की अनुमति देना ठीक है। टास्क मांगेगर केवल मेरे खाते को दिखाता है, अन्य खातों पर जिन्हें मुझे प्रशासन की आवश्यकता है, पर भविष्यवाणी देखने के लिए, और उन्होंने अपना व्यवस्थापक पासवर्ड बदल दिया है।
मार्क टॉमलिन

वह मेरे द्वारा खोले गए ओपन कमांड लाइन कंसोल के माध्यम से टाइप कर रहा था ताकि मैं नेटस्टैट कमांड कर सकूं। नेटसेट कमांड करने के बाद, मैं यह पता लगाने के लिए एक अन्य लिनक्स लैपटॉप का उपयोग कर रहा था कि क्या मुझे उसके होस्टनाम से उसका आईपी पता मिल सकता है। जब मैं ऐसा कर रहा था, मैंने देखा कि कंसोल में कुछ पाठ था जो मैंने नहीं लिखा था कि "आप लाइसेंस देंगे, कुछ मिनट प्रतीक्षा करें।" कमांड लाइन कंसोल में। यही कारण है कि मुझे लगता है कि वह आरडीसी का उपयोग कर रहा है, क्योंकि यह स्पष्ट है कि वह मेरे कंप्यूटर का डेस्कटॉप देख सकता है।
मार्क टॉमलिन

@MarkTomlin: फिर आपको एक उचित स्थिर संस्करण में अपग्रेड करना चाहिए और अपने फ़ायरवॉल को सक्षम करना चाहिए, साथ ही लॉगिंग सेट करना चाहिए (जैसा कि कहा गया है कि syslog और / या ntop आधारित है ताकि आप इसे एक अलग दुर्गम कंप्यूटर पर लॉग इन कर सकें) जो आपको पता है कि क्या है हो जाता। यदि यह आरडीसी है; netstat, tcpviewऔर wiresharkआपको हैकर या उसके प्रॉक्सी के आईएसपी होस्ट नाम या आईपी पते पर ले जाना चाहिए। आप उसे कनेक्ट करने की अनुमति क्यों दे रहे हैं, क्या यह एक सुरक्षित पासवर्ड द्वारा संरक्षित है? मेरे बाकी पोस्ट के बारे में क्या?
तमारा विज्समैन

मैं tcpvcon कनेक्शन की कोशिश करूँगा, और मैं हिरेन के बूट सीडी को एक बार दे दूँगा। मैं अपने खाते में व्यवस्थापकीय पहुँच प्राप्त करने के बाद ऑटोरन लॉग की जाँच करूँगा, और मैं विंडोज 7 के 64 बिट संस्करण का उपयोग कर रहा हूँ। और मैं नेटफ्लो की कोशिश ज़रूर करूँगा, लेकिन मुझे लगता है कि मुझे अपने राउटर के फ़र्मवेयर को अपडेट करना होगा बाद का संस्करण जो मेरे पास पहले से है। अब तक आपकी मदद के लिए धन्यवाद!
मार्क टॉमलिन

1
@MarkTomlin: RDC डेस्कटॉप साझा नहीं करता है, यह डेस्कटॉप चोरी करता है। तो आप दोनों को टाइप करने या एक साथ देखने के लिए वह कुछ और प्रयोग कर रहा होगा ...
तमारा विज्समैन

11

यदि आपका राउटर ट्रैफ़िक लॉग कर रहा है (या आप निगरानी कर सकते हैं), और आप उसके द्वारा उपयोग किए जा सकने योग्य IP पता प्राप्त कर सकते हैं (दूसरे शब्दों में, उसका इंटरनेट IP पता, न कि 192.168.xx IP एड्रेस, जो एक आंतरिक, गैर- है निष्क्रिय IP पता), आप इसे बदल सकते हैं, लेकिन संभावना अभी भी बहुत पतली है कि वे उसे पकड़ लें।

यदि वह होशियार है, तो वह एक संक्रमित कंप्यूटर को प्रॉक्सी के रूप में उपयोग कर रहा है (या किसी अन्य देश में पैक्स कानूनों के साथ एक पेड प्रॉक्सी सेवा), इसके माध्यम से इस सभी अवैध सामानों को पार कर रहा है। दूसरे शब्दों में, आप बस एक निर्दोष, लेकिन भोले संक्रमित उपयोगकर्ता के आईपी पर बदल रहे होंगे। फिर भी, यह संभवत: किसी ऐसे देश में है जहां अमेरिकी कानून की पहुंच नहीं होगी, चलो, ज्यादातर मामलों में उनकी इच्छा होगी जब तक कि डॉलर के आंकड़े अधिक न हों।

उन्होंने कहा, आप हमेशा कोशिश कर सकते हैं।


1
आप कैसे जानते हैं कि ओपी अमेरिका से है?
थॉमस बोनी


मैं यह नहीं मानूंगा कि हमलावर अपनी पटरियों को कवर करने के लिए पर्याप्त स्मार्ट है। वह स्पष्ट रूप से एक समर्थक नहीं है और सिर्फ मनोरंजन के लिए दोस्तों के कंप्यूटर के साथ खिलवाड़ कर रहा है और यह बहुत ही स्क्रिप्ट किडी है। एक उचित मौका है कि यह कुछ बच्चा अपने माता-पिता के तहखाने imo से एक RAT (दूरस्थ प्रशासन उपकरण) चला रहा है ...
stoj

मैं यूएस से हूँ :)।
मार्क टॉमलिन

3

Tcpview जैसे अधिक वर्बोज़ प्रोग्राम का उपयोग करें और होस्ट रिज़ॉल्यूशन के लिए विकल्प बंद करें, इसलिए होस्ट नाम के बजाय वास्तविक IP पता दिखाया जाएगा।

लेकिन, जैसा कि केकेत्रु कहते हैं, जब तक कि वे एक सुपर स्क्रिप्ट किडी नहीं हैं, जब तक कि वे एक प्रॉक्सी, किसी अन्य समझौता मशीन, या टॉर से गुजर रहे हों, इसलिए उनका आईपी पता अप्राप्य है, जब तक आप कोशिश नहीं करते और उन्हें ऐसा करने में प्रवृत्त नहीं करते हैं, जैसे कि यह जावास्क्रिप्ट पेज आदि की विशेष रूप से तैयार की गई फ्लैश पर जाकर सुनिश्चित करें कि आप उस रास्ते से यात्रा करना नहीं चाहते हैं।


टो वीएनसी कनेक्शन के लिए बहुत धीमा है, लेकिन जब तक वह बहुत गूंगा नहीं हो जाता, तब तक वह सबसे अधिक अप्राप्य हो सकता है। हालाँकि मैंने देखा है कि लोग पुराने दिनों में इसे बिना कवर किए करते हैं ...
तमारा विज्समैन

@ वोम्समैन। ओपी ने कहा कि यह RDP था, जो! = ​​VNC। हालाँकि, आपकी बात शायद अभी भी कायम है, हालांकि मुझे लगता है कि RDP VNC की तुलना में कहीं कम बैंडविड्थ का उपयोग करता है जिसे प्रकृति द्वारा प्रेषित किया गया है।
queso

खैर, जब तक उन्होंने बताया कि वह पहली बार में अनिश्चित था। हालांकि यह अभी भी अजीब है कि वह उसी खाते पर एक साथ उपयोग की बात करता है जो आरडीपी के साथ संभव नहीं है। बैंडविड्थ उपयोग के लिए, यह सेटिंग्स पर निर्भर करता है। यह सच हो सकता है लेकिन मेरे अनुभव के लिए तोर बहुत धीमा है ...
तमारा विज्समैन

1
  • कंप्यूटर से नेटवर्क केबल अनप्लग करें।
  • कुछ भी असामान्य के लिए स्टार्टअप की जाँच करें (प्रारंभ> रन> msconfig> "स्टार्टअप" टैब)
  • एवी स्कैन चलाएं
  • मालवेयरबाइट्स और स्पाइबॉट के साथ स्कैन चलाएं
  • उसके बाद सब हो गया, रिबूट करें और हाइजैक करें! और जो लॉग जनरेट होता है उसका विश्लेषण करें।
  • आपका कंप्यूटर सब कुछ मुक्त होने के बाद, सुनिश्चित करें कि आपका फ़ायरवॉल ऊपर है और AV सुरक्षा सक्षम है और अद्यतित है। राउटर में DMZ को भी अक्षम करें। यदि आप पोर्ट आगे नहीं कर सकते हैं, तो रिमोट एक्सेस के लिए logmein.com का उपयोग करें।
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.