¿Qué medios tengo para atrapar a un pirata informático que se rompió en una de mis computadoras? [cerrado]

SO: Windows 7 Enterprise Edition (Versión de prueba de 90 días)

Puse mi computadora en una DMZ para poder alojar un servidor por un tiempo. (El reenvío de puertos no funcionaba en mi versión de DD-WRT que había instalado en mi enrutador). Después de un tiempo, alguien hizo una conexión a mi computadora a través de Conexión a Escritorio remoto. De hecho, me está escribiendo correctamente en la computadora comprometida, preguntándome si "voy a licenciar" y que debería "esperar 5 minutos". (No hace falta decir que escribí de nuevo y le dije que ... bueno, empuje).

Hacer un netstatcomando desde la computadora incluida mostró esto, TCP 192.168.1.50:49198 qy-in-f125:5222 ESTABLISHEDasí que supongo que cambió mi archivo de hosts a que su dirección IP estaría oculta. También cambió la contraseña de administrador en el cuadro y degradó mi cuenta para que no sea admin. Puedo iniciar sesión en mi propia cuenta y hacer las cosas que no son de administrador que me gustan, pero eso es todo.

También regresa cada vez que enciendo mi computadora, por lo general dentro de unos 25 minutos, pero algunas veces tan poco como 2 o 3 después de encenderla. Así que tengo la sensación de que subió algo que se ejecuta en el inicio y llama a casa.

Para mí, esto parece el trabajo de un guión para niños, y alguien que no habla inglés muy bien. Todas mis puertas estaban abiertas, así como mis ventanas. (Sin juego de palabras). Tenía RDC habilitado para permitir conexiones remotas desde fuera de mi red.

Después de que esto termine, formatearé toda la computadora, pero quería saber si hay algo que pueda hacer para rastrear a este tipo para poder entregar su dirección IP a las autoridades de delitos cibernéticos en mi área.

[EDITAR] Mi enrutador tenía la dirección IP de mi computadora ahora comprometida en la red local configurada en la dirección DMZ en mi enrutador. Sé cómo configurar Port Fording, pero como dije, no funciona en mi versión de DD-WRT, estoy usando una versión beta inestable de DD-WRT. No tenía el Firewall de Windows activado en absoluto. Creo que es RDC porque Windows me pregunta si está bien permitir que se conecte Administator / DESKTOP-PC. Task Mangager solo muestra mi cuenta, para ver el proceso sobre las otras cuentas, necesito Admin, y ha cambiado mi contraseña de administrador. Me estaba escribiendo a través de la consola de línea de comandos abierta que había abierto para poder hacer el comando netstat. Después de ejecutar el comando netset, estaba usando otra computadora portátil Linux para averiguar si podía obtener su dirección IP de su nombre de host. Mientras estaba haciendo eso, Noté que había un texto en la consola que no escribí que decía "Tendrás licencia, espera 5 minutos". en la consola de línea de comando. Es por eso que creo que está usando RDC, porque es evidente que puede ver el escritorio de mi computadora. Probaré la conexión tcpvcon y probaré el CD de arranque de Hiren. Revisaré el registro de AutoRun después de recuperar el acceso de administrador a mi cuenta, y estoy usando la versión de 64 bits de Windows 7. Y seguramente intentaré NetFlow, pero creo que tendré que actualizar el firmware de mi enrutador para Una versión posterior que lo que ya tengo. ¡Gracias por su ayuda hasta ahora! Es evidente que puede ver el escritorio de mi computadora. Probaré la conexión tcpvcon y probaré el CD de arranque de Hiren. Revisaré el registro de AutoRun después de recuperar el acceso de administrador a mi cuenta, y estoy usando la versión de 64 bits de Windows 7. Y seguramente intentaré NetFlow, pero creo que tendré que actualizar el firmware de mi enrutador para Una versión posterior que lo que ya tengo. ¡Gracias por su ayuda hasta ahora! Es evidente que puede ver el escritorio de mi computadora. Probaré la conexión tcpvcon y probaré el CD de arranque de Hiren. Revisaré el registro de AutoRun después de recuperar el acceso de administrador a mi cuenta, y estoy usando la versión de 64 bits de Windows 7. Y seguramente intentaré NetFlow, pero creo que tendré que actualizar el firmware de mi enrutador para Una versión posterior que lo que ya tengo. ¡Gracias por su ayuda hasta ahora!

puse mi computadora en una DMZ para poder alojar un servidor por un tiempo.

Te refieres a un cliente, como dijiste que se trata de Windows 7. ¿Qué servicios estás alojando?

El reenvío de puertos no funcionaba en mi versión de DD-WRT que había instalado en mi enrutador.

Lea una guía, porque es bastante simple de configurar. Es muy probable que haya olvidado abrir un puerto.

¿Qué pasa con el Firewall de Windows? ¿Está configurado correctamente o también está bien abierto?

Después de un rato, alguien hizo una conexión a mi computadora a través de Conexión a Escritorio remoto

¿Estás seguro? ¿Verificaste que este es un RDC? Debería revelar una conexión.

¿Bajo qué cuenta está conectado? Mira en el administrador de tareas.

¿Su contraseña es lo suficientemente segura? Algo así como 8 caracteres como mínimo en estilo A-Za-z0-9 ...

De hecho, me está escribiendo a la derecha en la computadora comprometida

¿Cómo te está escribiendo en la computadora? A través de net send?

¿Lo ves escribiendo en vivo para ti notepado algo así? Porque eso no sería RDC...

así que supongo que cambió mi archivo de hosts a que su dirección IP estaría oculta

¿Puedes al menos verificar tus suposiciones? Si ayuda, es un servidor de Google relacionado con los servicios de Talk ... Aparte de eso hay una falta de información, no puede ser que solo haya una conexión allí.

Pruebe la siguiente línea de comando después de descargar esta práctica herramienta de conexiones :

tcpvcon -a -c > connections.csv

Lo que nos permitiría obtener una mejor idea de cómo se conectó, aparte de eso, puede probar la GUI en sí.

También cambió la contraseña de administrador en el cuadro y degradó mi cuenta para que no sea admin. Puedo iniciar sesión en mi propia cuenta y hacer las cosas que no son de administrador que me gustan, pero eso es todo.

Use ntpasswd para recuperar su cuenta de administrador. Está disponible en el CD de arranque de Hiren .

Así que tengo la sensación de que subió algo que se ejecuta en el inicio y llama a casa.

¿Has verificado eso?

Compruebe Autoruns para cualquier cosa anormal (que también podría guardar si desea compartir).

También revise Rootkitrevealer si está ejecutando un sistema de 32 bits, en caso de que sea realmente desagradable ...

Todas mis puertas estaban abiertas, así como mis ventanas. (Sin juego de palabras). Tenía RDC habilitado para permitir conexiones remotas desde fuera de mi red.

Después de que esto termine, formatearé toda la computadora, pero quería saber si hay algo que pueda hacer para rastrear a este tipo para poder entregar su dirección IP a las autoridades de delitos cibernéticos en mi área.

Si está abriendo su computadora a Internet, al menos debería protegerla, lo más probable es que no sea RDC como dije antes. Tampoco hay necesidad de formatear toda la computadora, ya que una vez que evita que sus cosas se ejecuten y corta el firewall de la computadora y hace un simple sfc /scannowanálisis de virus, su computadora debería estar bien. Aunque no le gusta la solución de problemas, también podría reinstalar.

Si desea ser la persona desagradable, puede habilitar NetFlow en su DD-WRT y configurarlo para enviarlo a otra computadora que se ejecute ntop y esté configurado para recibir desde el enrutador para rastrearlo.

Si su enrutador está registrando (o puede monitorear) el tráfico, y puede obtener la dirección IP enrutable que está utilizando (en otras palabras, su dirección IP de Internet, no una dirección IP 192.168.xx, que es una dirección interna no dirección IP enrutable), podría darle la vuelta, pero las posibilidades aún son muy escasas de que lo atrapen.

Si es inteligente, está usando una computadora infectada como un proxy (o un servicio proxy pagado en otro país con leyes laxas), enrutando todas estas cosas ilegales a través de él. En otras palabras, simplemente estaría entregando la IP de un usuario infectado inocente pero ingenuo. Incluso entonces, es probable que sea en algún país donde el alcance de la ley de EE. UU. No alcanzará, y mucho menos tendrán el deseo en la mayoría de los casos a menos que las cifras en dólares sean altas.

Dicho esto, siempre puedes intentarlo.

Use un programa más detallado como tcpview y desactive la opción de resolución de host, de modo que se muestre la dirección IP real en lugar del nombre de host.

Pero, como dice KCotreau, a menos que sean un super script kiddie, están pasando por un proxy, otra máquina comprometida o por Tor, por lo que su dirección IP no se puede rastrear a menos que quieras intentar engañarlos para que hagan algo que lo revele, como visitar una página de JavaScript especialmente diseñada, etc. No estoy seguro de querer viajar por ese camino.

• Desenchufe el cable de red de la computadora.
• Verifique el inicio de cualquier cosa inusual (inicio> ejecutar> msconfig> pestaña "Inicio")
• Ejecute escaneos AV
• Ejecute análisis con malwarebytes y spybot
• Después de que todo esté hecho, reinicie y ejecute HijackThis! y analizar el registro que se genera.
• Después de que su computadora esté libre de todo, asegúrese de que su firewall esté activo y que la protección AV esté habilitada y actualizada. También deshabilite la DMZ en el enrutador. Si no puede hacer un reenvío de puerto, use logmein.com para acceso remoto.