我必须抓住一个在我的一台计算机上破解的黑客，这意味着什么？

Question

操作系统：Windows 7 企业版（90 天试用版）

我将我的计算机放入 DMZ，以便我可以托管服务器一段时间。（端口转发在我安装在路由器上的 DD-WRT 版本中不起作用。）过了一会儿，有人通过远程桌面连接连接到我的计算机。事实上，他正在受感染的计算机上给我打字，问我是否“我将获得许可”，并说我应该“等待 5 分钟”。（不用说，我回过头来告诉他……好吧。）

netstat从组成的计算机执行命令显示了这一点，TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHED所以我猜他将我的主机文件更改为他的 IP 地址将被隐藏。他还更改了盒子上的管理员密码，并将我的帐户降级，使其不是管理员。我可以登录到我自己的帐户并执行我喜欢的非管理员操作，但仅此而已。

每次我打开电脑他也会回来，通常在大约 25 分钟内，但有时我打开电脑后 2 或 3 分钟。所以我有一种感觉，他上传了一些在启动时运行并打电话回家的东西。

对我来说，这似乎是一个脚本小子的作品，而且是一个不会说英语的人。我所有的门和窗户都打开。（没有双关语。）我启用了 RDC 以允许从我的网络外部进行远程连接。

这一切结束后，我将格式化整个计算机，但我想知道我是否可以做任何事情来追踪这个人，以便我可以将他的 IP 地址交给我所在地区的网络犯罪机构。

[编辑] 我的路由器将我现在受到攻击的计算机在本地网络上的 IP 地址设置为路由器中的 DMZ 地址。我知道如何设置 Port Fording，但就像我说的，它在我的 DD-WRT 版本中不起作用，我使用的是 DD-WRT 的 beta 不稳定版本。我根本没有打开 Windows 防火墙。我相信它是 RDC，因为 Windows 询问我是否允许管理员/桌面-PC 连接。任务管理器只显示我的帐户，以查看我需要管理员的其他帐户的过程，并且他更改了我的管理员密码。他通过我打开的开放命令行控制台给我打字，以便我可以执行 netstat 命令。执行完 netset 命令后，我使用另一台 linux 笔记本电脑来查看是否可以从他的主机名中获取他的 IP 地址。当我这样做的时候，我注意到控制台中有一些我没有写的文字，上面写着“您将获得许可，等待 5 分钟”。在命令行控制台中。这就是为什么我认为他在使用 RDC，因为很明显他可以看到我电脑的桌面。我将尝试 tcpvcon 连接，并尝试使用 Hiren 的引导 CD。在我重新获得对帐户的管理员访问权限后，我将检查 AutoRun 日志，并且我使用的是 64 位版本的 Windows 7。我肯定会尝试 NetFlow，但我想我必须将路由器的固件更新为我已经拥有的更高版本。感谢您到目前为止的帮助！很明显他可以看到我电脑的桌面。我将尝试 tcpvcon 连接，并尝试使用 Hiren 的引导 CD。在我重新获得对帐户的管理员访问权限后，我将检查 AutoRun 日志，并且我使用的是 64 位版本的 Windows 7。我肯定会尝试 NetFlow，但我想我必须将路由器的固件更新为我已经拥有的更高版本。感谢您到目前为止的帮助！很明显他可以看到我电脑的桌面。我将尝试 tcpvcon 连接，并尝试使用 Hiren 的引导 CD。在我重新获得对帐户的管理员访问权限后，我将检查 AutoRun 日志，并且我使用的是 64 位版本的 Windows 7。我肯定会尝试 NetFlow，但我想我必须将路由器的固件更新为我已经拥有的更高版本。感谢您到目前为止的帮助！

Answer 1

将我的计算机放入 DMZ，以便我可以托管服务器一段时间。

您的意思是客户，正如您所说的 Windows 7。您托管哪些服务？

端口转发在我安装在路由器上的 DD-WRT 版本中不起作用。

阅读指南，因为这很容易设置。您很可能忘记了打开端口。

Windows 防火墙呢？那是正确配置的还是完全开放的？

过了一会儿，有人通过远程桌面连接连接到我的电脑

你确定吗？你确认这是一个 RDC 吗？它应该揭示一种联系。

他是用什么账号登录的？在任务管理器中查看。

你的密码足够强吗？像 A-Za-z0-9 样式中最少 8 个字符的东西......

事实上，他正在受感染的计算机上给我打字

他怎么在电脑上给你打字？通过net send？

你看到他在里面给你打字notepad吗？因为那不会是RDC...

所以我猜他将我的主机文件更改为他的 IP 地址将被隐藏

你能至少验证你的假设吗？如果有帮助，那就是与 Talk 服务相关的 Google 服务器......除了缺乏信息之外，不可能只有一个连接。

下载这个方便的连接工具后，尝试以下命令行：

tcpvcon -a -c > connections.csv

这将使我们能够更好地了解他是如何连接的，除此之外，您可以尝试 GUI 本身。

他还更改了盒子上的管理员密码，并将我的帐户降级，使其不是管理员。我可以登录到我自己的帐户并执行我喜欢的非管理员操作，但仅此而已。

使用ntpasswd恢复您的管理员帐户。它可以在Hiren 的引导 CD 上找到。

所以我有一种感觉，他上传了一些在启动时运行并打电话回家的东西。

你验证过吗？

检查Autoruns是否有任何异常（如果您想共享，也可以保存）。

如果您运行的是 32 位系统，还要检查Rootkitrevealer，以防万一他真的很讨厌......

我所有的门和窗户都打开。（没有双关语。）我启用了 RDC 以允许从我的网络外部进行远程连接。

这一切结束后，我将格式化整个计算机，但我想知道我是否可以做任何事情来追踪这个人，以便我可以将他的 IP 地址交给我所在地区的网络犯罪机构。

如果您要向广泛的互联网开放您的计算机，您至少应该保护它，它很可能不是我之前所说的 RDC。也没有必要格式化整个计算机，因为一旦你阻止他的东西运行并且你对计算机设置了防火墙并在你的计算机上做一个简单sfc /scannow的病毒扫描你应该没问题。尽管您不喜欢进行故障排除，但您最好重新安装。

如果你想成为讨厌的人，你可以在你的 DD-WRT 上启用NetFlow并将其配置为将其发送到另一台运行ntop并配置为从路由器接收以跟踪他的计算机。

Answer 2

如果您的路由器正在记录（或者您可以监控）流量，并且您可以获得他正在使用的可路由 IP 地址（换句话说，他的 Internet IP 地址，而不是 192.168.xx IP 地址，这是一个内部的、非可路由的 IP 地址），你可以把它翻过来，但他们抓住他的机会仍然很小。

如果他很聪明，他会使用受感染的计算机作为代理（或在另一个法律松懈的国家使用付费代理服务），通过它路由所有这些非法内容。换句话说，您只是在转交一个无辜但天真的受感染用户的 IP。即便如此，也可能是在美国法律无法触及的某些国家/地区，更不用说在大多数情况下他们会有这种愿望，除非美元数字很高。

也就是说，您可以随时尝试。