Esta es la conversación que mantuve con el sujeto en un documento de texto:
"Hola?
Qué tal te lo pasas? Ves algo de tu interés?SI No tengo
datos personales que puedan servir de mucho por lo menos en este pc.NOLETENESAFECTOALSYSTEM
se lo tengo a las ip dinámicas."
Y en ese momento desconecté el cable y me conecte con el modem.
Intuí que estaba controlando el ordenador porque me cerro una página del navegador y accedió al menú inicio durante la conversación se fue a inicio y escribió cmd así que decidí desconectar el cable.
Como puedo rastrear al individuo? Lo más raro es que no é encontrado ningún software rsro y durante el tiempo que estuvo el individuo en mi ordenador no encontré ninguna tarea sospechosa ni ninguna cambio la utilización de memoria al desconectar el cable. Revisé la conexión los puertos y mil cosas más y nada raro, ni siquiera mi conexión se volvió mas lenta ni tampoco el ratón pero si el teclado sufrió un retardo. Empiezo a pensar que mi teclado tiene algún tipo de malware o algo, nunca me e encontrado con un ataque similar, y en teoría al desconectar el cable tuvo que quedar algo. Espero que me podáis ayudar.
Cita de: OmarHack en 21 Febrero 2013, 19:19 PM
Esta es la conversación que mantuve con el sujeto en un documento de texto:
"Hola?
Qué tal te lo pasas? Ves algo de tu interés?SI No tengo
datos personales que puedan servir de mucho por lo menos en este pc.NOLETENESAFECTOALSYSTEM
se lo tengo a las ip dinámicas."
Y en ese momento desconecté el cable y me conecte con el modem.
Intuí que estaba controlando el ordenador porque me cerro una página del navegador y accedió al menú inicio durante la conversación se fue a inicio y escribió cmd así que decidí desconectar el cable.
Como puedo rastrear al individuo? Lo más raro es que no é encontrado ningún software rsro y durante el tiempo que estuvo el individuo en mi ordenador no encontré ninguna tarea sospechosa ni ninguna cambio la utilización de memoria al desconectar el cable. Revisé la conexión los puertos y mil cosas más y nada raro, ni siquiera mi conexión se volvió mas lenta ni tampoco el ratón pero si el teclado sufrió un retardo. Empiezo a pensar que mi teclado tiene algún tipo de malware o algo, nunca me e encontrado con un ataque similar, y en teoría al desconectar el cable tuvo que quedar algo. Espero que me podáis ayudar.
netstat -nb y te sale el proceso y la conexion.
Todos los puertos son utilizados por google chrome y estoy 100% seguro de que el individuo no pudo conseguir el acceso por el navegador.
troyano... el proceso también debe estar con el nombre de otro
Hola.
Citarnetstat -nb y te sale el proceso y la conexion.
No necesariamente.
Analiza tu equipo en busca de rootkits y rats.
Saludos.
Cita de: HdM en 22 Febrero 2013, 09:33 AM
Hola.
No necesariamente.
Analiza tu equipo en busca de rootkits y rats.
Saludos.
Ahora mismo estoy descargando un software, gracias por losl consejos que yo en "auto-seguridad" ando un poco retarded porque no me suelen atacar xDD Tengo el firewall activado, el panda para analizar discos externos en los que no confíe (ya se que no es de lo mejor pero me hace 2 x 1). Me ayuda a protegerme más por la web y el navegador lo tengo aislado con una sandbox para algún pop-up rarito y descargas de las que no me fie demasiado. El único problemilla es que no tengo ningún proxy para ocultar mi ip, aunque normalmente me conecto desde el módem y se me va la conexión cada 10 minutos y al ser la ip dinámica... De todas formas instalaré el tor en un par de días no vaya a ser que por vagancia... ¿Me recomendáis algo para mejorar mi seguridad o alguna observación? Como consiga averiguar quien es va a saber lo que es un copy paste al estilo slammer xDDD
para discos externos desacticva el autorun, a los av se le saltan muchos :-\...
el firewall de poco sirve ya que los ataques muchas veces se hace con conexión inversa
aunque normalmente me conecto desde el módem y se me va la conexión cada 10 minutos y al ser la ip dinámica...
más o menos que conexión es esa? :s normalmente ip dinámica es que no se te asigna una fija, así que si te desconectas por un par de minutos (que el pool DHCP de tu ip desenlace tu ip) y te conectas te asignan una ip nueva... que violentamente te la cambien es una locura, no podrías descargar nada grande mas que por p2p D:
tor, buena opción + maquina virtual con cambios temporales mejor opción (así si se te infecta, solo le dices que no guarde la ultima sesión y queda como si no la hubieras encendido)
buena opción, no meterte con tu isp... casi sin importar cuanta seguridad tengas no es tan difícil que lleguen a ti XD
Es conexión 3g de banda ancha. La ip si me la cambia que cada vez que se me desconecta reinicio el moden me piden el pin y todo. Es un problema que tengo pero si necesito alguna aplicación pesada me la descargan y me la traen.
Uso virtualbox pero eso no me libra de tener windows abierto :S
Cita de: engelx en 22 Febrero 2013, 17:54 PM
el firewall de poco sirve ya que los ataques muchas veces se hace con conexión inversa
y eso que tiene que ver? o.O
OmarHack no solo Windows, Virtual box también tiene vulnerabilidades
Cita de: Luna71c0 en 22 Febrero 2013, 23:58 PM
y eso que tiene que ver? o.O
OmarHack no solo Windows, Virtual box también tiene vulnerabilidades
Si es un troyano de conexion inversa el firewall no importa si esta activado porque el que tiene que tener desactivado el firewall es el atacante, porque se crea la conexion desde la pc victima hacia el pc atacante.
Lo que tienes que hacer es mirar los procesos que tienes y las conexiones que hay en tu pc. Si localizas una conexion, te dira la ip la que podras buscar informacion sobre algunas cosas como de donde es (suponiendo que no esta usando un proxy). Si ya no se conecta mas a ti, entonces no tendras ninguna conexion, pero puedes buscar con un antivirus o manualmente el troyano, para luego analizarlo con herramientas como Olly o muchas mas para encontrar a donde se crea la conexion, que tal vez indicara un dominio por ejemplo "hola.no-ip.org", y lo que te toca es hacer un ping a ese dominio para saber a que ip esta respondiendo.
Los firewalls "modernos" controlan tanto el trafico de entrada como el de salida. Así que el firewall si sirve... de hecho, muchas veces es mucho mejor que un antivirus. Eso si.. tiene que ser un firewall de verdad... no el de windows xD
No entiendo que tiene que ver TOR con todo esto. Si el troyano es de conexión inversa (que seguro que lo es.. hoy en día nadie hace conexión directa), eres tu el que hace la conexión.. por tanto al atacante se la suda la IP que vayas a tener. Lo único que vas a conseguir es que tu conexión vaya como el pto culo (seamos sinceros... TOR es lento) y mas si dices que se te va cada 10 min.
Lo que necesitas, es aislar las conexiones y buscar rootkits.. a partir de ahí bloqueas cualquier cosa sospechosa y ya esta...
Saludos
Ya miré absolutamente todo, y nada de nada. '-- Voy a dejarlo estar y si vuelvo a tener problemas pongo una denuncia. xD
Paso de perder todo lo que tengo en el ordenador porque alguien se aburra y lo controle, lo que si que tengo que hacer es conseguir un firewall de esos de entrada y salida, recomendáis alguno?
Cita de: OmarHack en 23 Febrero 2013, 16:07 PM
Ya miré absolutamente todo, y nada de nada. '-- Voy a dejarlo estar y si vuelvo a tener problemas pongo una denuncia. xD
Paso de perder todo lo que tengo en el ordenador porque alguien se aburra y lo controle, lo que si que tengo que hacer es conseguir un firewall de esos de entrada y salida, recomendáis alguno?
Comodo Firewall siempre me funciono perfecto :)
Gracias :)
Que bueno, jajaja. Me ha recordado hace años una vez que entré a un pc
de un tio con el metodo netbios.. tenia un grupo 20
y con IPC$ acceso a todo el pc y pude ver que tenia un negocio de hosting y alojamiento,
las facturas de los clientes, el script pagado del hosting..
las fotos de la novia en bolas y esas cosas.
Le dejé un txt en el escritorio diciéndole que tenia via libre
para lammers, y le dije como tapar el agujero y un email.
Afortunadamente me escribió muy agradecido a mi email.
Yo si fuera tu formateaba echando ostias xD
JAJAJAJA muy bueno, menos mal que fuiste buena persona pero las fotos seguramente las tienes en una carpeta oculta. xDDDD
jjajajja No amigo, las borré. La tia tenia un chocho feo.
Es broma9 :xD
Jajajajajajajajaja, menos mal que yo no guardo nada personal en el ordenador, solo tengo 2 contraseñas en el navegador una del tuenti que lo quiero borrar y no puedo por tener una tarjeta de "tu" y la otra de una página de descargas que ya ni uso. xD
.
Yo también haría lo mismo, causándole daño no se gana nada.
.
Que va :S Está vacío, lo normal es que quedara algo al detener la conexión de golpe, pero miré todo de arriba a abajo y nada. '--
.
Espero no tener ningún problemas más, si pasa algo pongo una denuncia. xD