Моим компьютером управляли удалённо. Как доказать это?
Кто-то своими хакерскими навыками умудрился взломать мой компьютер, и мне очень нужно доказать это. Можно ли хоть как-то найти следы этого удалённого управления моим компьютером извне? Как доказать, что мой компьютер взломали?
Читай также
Лучшие комментарии
Доказать, что компьютер взломали довольно сложно. Например: Если личные данные всплыли где-то в сети, нужно сначала доказать, что не ты их выложил. Если пропали деньги со счета одной из платежных систем (webmonwy, yandex-деньги и т.д.) следует обратиться в службу поддержки и объяснить ситуацию.
Если же последствия взлома не критичны (деньги не пропали, важную информацию не украли и т.д.) лучше всего обратится к мастеру по настройке компьютеров (лучше к частным лицам) и рассказать что случилось. Многие из людей, которые подрабатывают настройкой компьютеров на дому, сами не лыком шиты и могут помочь вычислить обидчика.
Аналогичную информацию может дать лист клиентов DHCP, но в случае, если время аренды IP-адреса ещё не истелко (маловероятно):
И аналогично статистика подключений:
Так на моём роутере, на твоём может не быть каких-то из этих опций, а могут и быть другие/под другим названием. Однако лог есть лог, если прошло не так много времени, то он ещё не затёрт.
Это информация для начала. Далее действуем исходя из того, подозрения на какие неправомерные/вредоносные действия имеются. Собсно, откуда подозрения на взлом?
-пишем в техподдержку Steam о неправомерных транзакциях, которые мы не совершали — возможно, откажут в том, чтобы сделать их откат или потребуют доказательства, и вероятно, для этого вы сюда и пишете;
-можно обратиться к провайдеру с запросом о входящих соединениях по протоколам удалённого администрирования — например, RDP (проверка соединений по TCP на порт 3389) — для этого обращаемся в саппорт провайдера, изложив во всех подробностях проблему. Должны дать, ибо это тоже логируется у них, логи хранятся ограниченное время. Однако если у вас не белый IP (NAT у провайдера, динамический IP и всё такое прочее), то это будет весьма затруднительно — на одном IP могут висеть несколько клиентов вроде вас.
-самый, пожалуй, эффективный вариант, но работает в случае осуществления удалённого доступа по RDP: Панель управления — Администрирование — просмотр событий — Безопасность — фильтруем события с ИД события под номером 682 (для входа) или 683 (для выхода). Либо там же, в просмотре событий, но немного в другой ветке (тут отмечается и IP, с которого входили, так что этот способ предпочтительнее):
Windows у меня английская, в русской версии этот раздел будет именоваться примерно как «Терминальные сервисы — удалённый доступ».
Однако проблема в том, что по сути, это не доказывает сам факт вредоносного вторжения. Боюсь, для саппорта Steam этого будет недостаточно, но увы, большего получить и не получится, скорее всего.
Если головы на плечах не, то ничего не спасет)
Заметил выше упоминание, что установлен TeamViewer. Маловероятно, что использовался именно он, но поправлю автора: даже если выгрузить сам TeamViewer, его сервис-процесс всё равно висит в памяти и им можно воспользоваться:
Однако я, честно говоря, не припомню, куда TewmViewer логирует соединения, если он вообще это делает (должен, по идее).
Касательно дальнейших действий на самом компьютере: RDP закрываем нафиг, качаем свежий CureIt и сканируем ПК на наличие заразы, ставим файрвол. В роутере локальный менеджмент переводим на собственные компьютеры (то есть, чтобы роутером можно было управлять только с компьютера(ов) с определённым(и) MAC-адресом/адресами), и настраиваем безопасность роутера.
15 миллионов максимум? И то спорно. Сертификацию CEH проходило явно не 15 человек. Других сертификаций полно, которые получены явно не единицами. Самоучек тоже хватает, знакомых с архитектурами разных ОС вплоть до нулевого кольца.
Брандмауэры и антивирусы не всегда спасут — если головы на плечах нет, они только прикроют часть заразы, уж поверьте мему опыту работы с такими людьми.
— Если я отключу возможность удаленно пользования компьютером, возможно ли удаленно его включить?
— Как на 100% выключить удаленное управление компьютером?
Это сможет сделать только мега-хакер (каких в мире человек 15 максимум).
На 100% не удастся ( те 15 человек, о которых я упоминал выше все равно смогут взломать). Но это все «лирика».
Для защиты достаточно включить Брандмауэр. Ну и антивирус не помешает. Если не будешь выкладывать в сеть «лишнюю» информацию, качать «подозрительные» программы и посещать «сомнительные» сайты все будет ОК.
Полностью — никак. Удалённое администрирование можно повесить хоть на 80\8080 порт, а это банальный HTTP. Межсетевой экран или хотя бы программный файрволл поможет снизить вероятность проникновения, но если бездумно работать с компьютером — не поможет. Наличие антивируса почти не показатель, как ни странно. От тупых вирусов спасёт, от серьёзных — бесполезно. Вредоносный код можно воткнуть куда угодно, скрыв его код при помощи неизвестного антивирусу криптора, который можно написать самостоятельно при определённых навыках. То есть, от случайной атаки защитит, от нацеленной — не всегда.