|
|
|
¿Como detectar a un hacker? |
|
Windows 7 (6.1) 32b, Chrome 18.0 Hola a todos en el foro, estoy de vuelta luego de un largo tiempo de inactividad por cuestión de trabajo en bases de datos de registros de mi ciudad y más aún por ser jefe del centro de computo. Bueno para empezar esta pregunta me surgió por el motivo de que no solo a mi hermana si no a otros amigos han tenido un intruso que ha estado sabiendo información personal de cada uno de ellos, pero lo que más me sorprende es que, no cambia las claves, no altera información, sólo se pone a leer cada una de las cosas que se escriben entre ellos y ahora los está como acosando y jugando a lo psicológico para ver como caen. El asunto es si pudiera o hubiera algún comando en el cmd que me ayude a encontrarlo silenciosamente para mas o menos rastrearlo y así dar con esa persona mediante especulaciones que se han hecho, ya que es de mi propia ciudad. PD: A penas me enteré de este asunto le cambié la contraseña a mi hermana en cuanto a las redes sociales con letras, números y códigos ASCII, por la ayuda dada les quedo agradecido. Pasos Importantes para cuando alguién te ayuda. Paso 1: Vota positivo o negativo por la ayuda. Paso 2: Dar las gracias. Paso 3: Da referencia a si se solucionó o no tu problema. Ten Un Buen día. Saludos. Toritex |
#1 Godmol (44.456 Posts) - 17/05/2012 09:22:07 | ||
Hola Toritex, normalmente este tipo de individuos usa programas llamados keyloggers, este tipo de programas se activan y envían a un determinado correo electrónico o IP todo, absolutamente todo lo que se teclea, incluidos usuarios y claves.
Además si los afectados por este tipo de programas son poco cuidadosos en los datos que comparten en redes sociales, se hace uso de lo que se denomina \ "Ingeniería Social\ ", eso permite hacerse con gran cantidad de información relevante de cualquier persona y suplantarle en fraudes o aprovechar su ausencia para desvalijar sus pertenencias. Lo que comentas de que no cambia claves, fíjate que es lógico, lo que le interesa es recopilar la mayor cantidad posible de información, si manipula las cuentas pierde el anonimato y descubre su actividad, estos elementos sospechosos son discretos y no les interesa alertar a sus víctimas porque cuanto mas información mayores beneficios pueden sacar Las medidas correctas son las que has comentado, cambiar claves y además intentar tener actualizados los programas anti Spyware, respecto a tratar de verificar si alguien está conectado a una máquina es difícil, solo se me ocurre un programa de monitorización de la res que te permita hacer un resumen de las direcciones IP con las que intercambias información, lo normal es que se trate de servidores públicos de páginas webs, pero también se puede ver direcciones a las que se envía información que no son servidores webs o usando puertos no habituales, ahñi es donde se puede detectar este tipo de intrusos Salu2 | ||
Bajar - Subir | ||
#2 bacter (20.410 Posts) - 17/05/2012 12:25:56 | ||
Para empezar, conviene aclarar si realmente se trata de un intruso, ya sea en algun(os) equipo(s) de tu hermana y/o de amigos, o de uno de los \ 'amigos\ ', que posiblemente use otra identidad o sufra de doble personalidad. Muchas veces se sospecha erróneamente de intrusos o hacker malos donde ni siquiera los hay.
Primero indicas \ "ha estado sabiendo información personal\ " y \ "se pone a leer cada una de las cosas que se escriben entre ellos y ahora los está como acosando y jugando a lo psicológico para ver como caen\ ". y ademas indicas que el posible intruso es de tu propia ciudad. Esta información debes desgranar para averiguar por donde se extravía información y no tomar por la tremenda afirmaciones que pueden ser fruto de cierta paranoia. - La información personal: ¿procede necesariamente de correo, chat, redes sociales o de intrusión en un equipo? o se trata de información que puede tener un (ex)novio o (ex)marido. - Las cosas que escriben entre ellos: ¿en que medio, correos, redes sociales, chat? - está como acosando: ¿El acoso en qué consiste, y por que medio? Para acosar, habitualmente, se necesita alguna identidad, aunque sea falsa, pero que muy probablemente deja rastro. Si se trata de correos por ejemplo, se puede conocer la ip del remitente y la información relacionada con la ip y programa usado. - jugando a lo psicológico: Trata de averiguar en que consiste y si existe \ "el juego\ " realmente, y no todo se deba a malentendidos por falta de higiene mental de los integrantes del grupo de \ "afectados\ ". Y también para este \ "juego\ " hace falta tomar alguna identidad para participar en el juego, que seguramente deja rastros. Si se trata de acoso (amenazas, acoso sexual etc.) lo mas prudente es guardar las pruebas (logs de chat, copia de pantallazos, correos etc.) y denunciarlo a la policía o en el juzgado. Lógicamente, si hay sospecha fundada de intruso, ademas de cambiar contraseñas (desde un ciber o equipo ajeno!) revisar el equipo por existencia de keylogger, troyanos y virus, y reescribir sector de arranque del equipo, en equipos windows verificar que exista y cambiar la contraseña del administrador (no del usuario con derecho de administrador!). Para registrar las conexiones que se efectuan desde un equipo como te sugiere Godmol, puedes usar: Desde DOS (ejecutar cmd): netstat -n 10 > test.txt esto te genera un archivo test.txt que registra las conexiones IP cada 10 segundos (debes terminarlo pulsanco crtl-c ). filtras todas las lineas cuya dirección remota no sea de la red local (127.0.0.1 y 192.168.x.x), y compruebas los destinatarios restantes. Aunque resulte laborioso, de esta manera puedes detectar si hay una conexión que no sea a google, anunciantes, facebook, microsoft live etc. y localizar una ip particular. | ||
Bajar - Subir | ||
#3 Toritex (657 Posts) - 18/05/2012 03:23:01 | ||
Hola que tal? este fue el resultado. si me puedes orientar un poco mucho mejor, este campo no es mi fuerte.
conexiones activas proto direcci¢n local direcci¢n remota estado tcp 127.0.0.1:1110 127.0.0.1:49253 established tcp 127.0.0.1:1110 127.0.0.1:49257 established tcp 127.0.0.1:1110 127.0.0.1:49259 established tcp 127.0.0.1:1110 127.0.0.1:49261 established tcp 127.0.0.1:1110 127.0.0.1:49263 established tcp 127.0.0.1:1110 127.0.0.1:49267 established tcp 127.0.0.1:1110 127.0.0.1:49269 time_wait tcp 127.0.0.1:1110 127.0.0.1:49270 time_wait tcp 127.0.0.1:1110 127.0.0.1:49271 time_wait tcp 127.0.0.1:1110 127.0.0.1:49272 time_wait tcp 127.0.0.1:1110 127.0.0.1:49289 time_wait tcp 127.0.0.1:1110 127.0.0.1:49290 time_wait tcp 127.0.0.1:1110 127.0.0.1:49294 established tcp 127.0.0.1:1110 127.0.0.1:49297 established tcp 127.0.0.1:1110 127.0.0.1:49302 time_wait tcp 127.0.0.1:1110 127.0.0.1:49311 time_wait tcp 127.0.0.1:1110 127.0.0.1:49313 time_wait tcp 127.0.0.1:1110 127.0.0.1:49319 established tcp 127.0.0.1:1110 127.0.0.1:49326 time_wait tcp 127.0.0.1:1110 127.0.0.1:49327 time_wait tcp 127.0.0.1:1110 127.0.0.1:49335 established tcp 127.0.0.1:1110 127.0.0.1:49338 time_wait tcp 127.0.0.1:1110 127.0.0.1:49340 established tcp 127.0.0.1:1110 127.0.0.1:49341 established tcp 127.0.0.1:1110 127.0.0.1:49344 established tcp 127.0.0.1:1110 127.0.0.1:49348 established tcp 127.0.0.1:1110 127.0.0.1:49354 time_wait tcp 127.0.0.1:1110 127.0.0.1:49356 time_wait tcp 127.0.0.1:1110 127.0.0.1:49357 time_wait tcp 127.0.0.1:1110 127.0.0.1:49360 established tcp 127.0.0.1:1110 127.0.0.1:49363 time_wait tcp 127.0.0.1:1110 127.0.0.1:49366 established tcp 127.0.0.1:1110 127.0.0.1:49373 established tcp 127.0.0.1:1110 127.0.0.1:49375 established tcp 127.0.0.1:1110 127.0.0.1:49377 established tcp 127.0.0.1:1110 127.0.0.1:49379 time_wait tcp 127.0.0.1:1110 127.0.0.1:49381 time_wait tcp 127.0.0.1:1110 127.0.0.1:49408 time_wait tcp 127.0.0.1:1110 127.0.0.1:49410 time_wait tcp 127.0.0.1:1110 127.0.0.1:49412 established tcp 127.0.0.1:1110 127.0.0.1:49415 established tcp 127.0.0.1:1110 127.0.0.1:49419 established tcp 127.0.0.1:1110 127.0.0.1:49422 established tcp 127.0.0.1:1110 127.0.0.1:49426 established tcp 127.0.0.1:1110 127.0.0.1:49428 established tcp 127.0.0.1:49253 127.0.0.1:1110 established tcp 127.0.0.1:49257 127.0.0.1:1110 established tcp 127.0.0.1:49259 127.0.0.1:1110 established tcp 127.0.0.1:49261 127.0.0.1:1110 established tcp 127.0.0.1:49263 127.0.0.1:1110 established tcp 127.0.0.1:49267 127.0.0.1:1110 established tcp 127.0.0.1:49273 127.0.0.1:1110 time_wait tcp 127.0.0.1:49274 127.0.0.1:1110 time_wait tcp 127.0.0.1:49275 127.0.0.1:1110 time_wait tcp 127.0.0.1:49276 127.0.0.1:1110 time_wait tcp 127.0.0.1:49277 127.0.0.1:1110 time_wait tcp 127.0.0.1:49278 127.0.0.1:1110 time_wait tcp 127.0.0.1:49294 127.0.0.1:1110 established tcp 127.0.0.1:49297 127.0.0.1:1110 established tcp 127.0.0.1:49298 127.0.0.1:1110 time_wait tcp 127.0.0.1:49305 127.0.0.1:1110 time_wait tcp 127.0.0.1:49306 127.0.0.1:1110 time_wait tcp 127.0.0.1:49319 127.0.0.1:1110 established tcp 127.0.0.1:49321 127.0.0.1:1110 time_wait tcp 127.0.0.1:49322 127.0.0.1:1110 time_wait tcp 127.0.0.1:49323 127.0.0.1:1110 time_wait tcp 127.0.0.1:49324 127.0.0.1:1110 time_wait tcp 127.0.0.1:49325 127.0.0.1:1110 time_wait tcp 127.0.0.1:49335 127.0.0.1:1110 established tcp 127.0.0.1:49340 127.0.0.1:1110 established tcp 127.0.0.1:49341 127.0.0.1:1110 established tcp 127.0.0.1:49344 127.0.0.1:1110 established tcp 127.0.0.1:49346 127.0.0.1:1110 time_wait tcp 127.0.0.1:49348 127.0.0.1:1110 established tcp 127.0.0.1:49360 127.0.0.1:1110 established tcp 127.0.0.1:49366 127.0.0.1:1110 established tcp 127.0.0.1:49369 127.0.0.1:1110 time_wait tcp 127.0.0.1:49373 127.0.0.1:1110 established tcp 127.0.0.1:49375 127.0.0.1:1110 established tcp 127.0.0.1:49377 127.0.0.1:1110 established tcp 127.0.0.1:49383 127.0.0.1:1110 time_wait tcp 127.0.0.1:49384 127.0.0.1:1110 time_wait tcp 127.0.0.1:49385 127.0.0.1:1110 time_wait tcp 127.0.0.1:49386 127.0.0.1:1110 time_wait tcp 127.0.0.1:49391 127.0.0.1:1110 time_wait tcp 127.0.0.1:49392 127.0.0.1:1110 time_wait tcp 127.0.0.1:49393 127.0.0.1:1110 time_wait tcp 127.0.0.1:49394 127.0.0.1:1110 time_wait tcp 127.0.0.1:49395 127.0.0.1:1110 time_wait tcp 127.0.0.1:49396 127.0.0.1:1110 time_wait tcp 127.0.0.1:49403 127.0.0.1:1110 time_wait tcp 127.0.0.1:49404 127.0.0.1:1110 time_wait tcp 127.0.0.1:49412 127.0.0.1:1110 established tcp 127.0.0.1:49414 127.0.0.1:1110 time_wait tcp 127.0.0.1:49415 127.0.0.1:1110 established tcp 127.0.0.1:49419 127.0.0.1:1110 established tcp 127.0.0.1:49422 127.0.0.1:1110 established tcp 127.0.0.1:49424 127.0.0.1:1110 time_wait tcp 127.0.0.1:49426 127.0.0.1:1110 established tcp 127.0.0.1:49428 127.0.0.1:1110 established tcp 192.168.1.2:49160 66.31.52.28:8864 established tcp 192.168.1.2:49161 201.231.204.219:20073 established tcp 192.168.1.2:49162 68.2.193.97:31538 established tcp 192.168.1.2:49186 177.80.75.160:52214 established tcp 192.168.1.2:49188 186.65.211.148:60139 established tcp 192.168.1.2:49254 74.125.45.95:443 established tcp 192.168.1.2:49258 74.125.229.212:443 established tcp 192.168.1.2:49260 74.125.229.207:443 established tcp 192.168.1.2:49262 69.63.190.74:80 established tcp 192.168.1.2:49264 74.125.229.198:443 established tcp 192.168.1.2:49268 74.125.229.223:80 established tcp 192.168.1.2:49296 184.28.113.55:80 established tcp 192.168.1.2:49299 74.125.229.193:80 established tcp 192.168.1.2:49300 74.125.229.193:80 time_wait tcp 192.168.1.2:49310 74.125.229.194:443 time_wait tcp 192.168.1.2:49315 38.113.165.68:443 time_wait tcp 192.168.1.2:49316 38.113.165.68:443 time_wait tcp 192.168.1.2:49318 74.125.229.201:443 time_wait tcp 192.168.1.2:49320 74.125.229.205:80 established tcp 192.168.1.2:49330 206.57.116.192:80 time_wait tcp 192.168.1.2:49331 206.57.116.192:80 time_wait tcp 192.168.1.2:49332 206.57.116.192:80 time_wait tcp 192.168.1.2:49333 206.57.116.192:80 time_wait tcp 192.168.1.2:49334 206.57.116.192:80 time_wait tcp 192.168.1.2:49336 69.171.247.37:80 established tcp 192.168.1.2:49337 38.113.165.68:443 time_wait tcp 192.168.1.2:49342 74.125.229.205:80 established tcp 192.168.1.2:49343 74.125.229.205:80 established tcp 192.168.1.2:49345 74.125.229.205:80 established tcp 192.168.1.2:49347 74.125.229.205:80 time_wait tcp 192.168.1.2:49350 184.28.113.55:80 established tcp 192.168.1.2:49361 184.28.113.55:80 established tcp 192.168.1.2:49362 38.113.165.68:443 time_wait tcp 192.168.1.2:49364 38.113.165.68:443 time_wait tcp 192.168.1.2:49367 184.28.113.55:80 established tcp 192.168.1.2:49370 199.59.148.9:80 time_wait tcp 192.168.1.2:49372 38.113.165.68:443 time_wait tcp 192.168.1.2:49374 74.125.229.200:80 established tcp 192.168.1.2:49376 74.125.229.200:80 established tcp 192.168.1.2:49378 186.52.253.201:80 established tcp 192.168.1.2:49387 74.125.229.205:80 time_wait tcp 192.168.1.2:49388 74.125.229.205:80 time_wait tcp 192.168.1.2:49389 74.125.229.205:80 time_wait tcp 192.168.1.2:49390 74.125.229.205:80 time_wait tcp 192.168.1.2:49397 206.57.116.192:80 time_wait tcp 192.168.1.2:49398 206.57.116.192:80 time_wait tcp 192.168.1.2:49399 206.57.116.192:80 time_wait tcp 192.168.1.2:49400 206.57.116.192:80 time_wait tcp 192.168.1.2:49401 206.57.116.192:80 time_wait tcp 192.168.1.2:49402 206.57.116.192:80 time_wait tcp 192.168.1.2:49405 64.212.172.144:80 time_wait tcp 192.168.1.2:49406 64.212.172.144:80 time_wait tcp 192.168.1.2:49407 38.113.165.68:443 time_wait tcp 192.168.1.2:49413 184.28.113.55:80 established tcp 192.168.1.2:49416 74.125.229.207:80 time_wait tcp 192.168.1.2:49417 74.125.229.207:80 established tcp 192.168.1.2:49418 38.113.165.68:443 time_wait tcp 192.168.1.2:49420 74.125.229.205:80 established tcp 192.168.1.2:49421 38.113.165.68:443 time_wait tcp 192.168.1.2:49423 74.125.45.104:80 established tcp 192.168.1.2:49425 74.125.45.104:80 time_wait tcp 192.168.1.2:49427 74.125.45.104:80 established tcp 192.168.1.2:49429 74.125.45.99:80 established Pasos Importantes para cuando alguién te ayuda. Paso 1: Vota positivo o negativo por la ayuda. Paso 2: Dar las gracias. Paso 3: Da referencia a si se solucionó o no tu problema. Ten Un Buen día. Saludos. Toritex | ||
Bajar - Subir | ||
#4 Toritex (657 Posts) - 18/05/2012 03:26:54 | ||
Antes que me olvide este archivo fue detectado como adware el cual lo eliminé desde modod seguro con shift + supr : izfaewhiskilky.DLL | ||
Bajar - Subir | ||
#5 Toritex (657 Posts) - 18/05/2012 03:32:42 | ||
A pesar de que tengo clave con letras. numeros y codigo ascii sería fatal que tuviera mi clave. eso me tiene en la incertidumbre por que si no elegiría el camino más facil. formatearla para deshacer todo tipo de adware infiltrado
Pasos Importantes para cuando alguién te ayuda. Paso 1: Vota positivo o negativo por la ayuda. Paso 2: Dar las gracias. Paso 3: Da referencia a si se solucionó o no tu problema. Ten Un Buen día. Saludos. Toritex | ||
Bajar - Subir | ||
#6 bacter (20.410 Posts) - 18/05/2012 19:41:41 | ||
Las ip\ 's que figuran en la lista, son principalmente, de google,facebook y twitter así como de los orígenes de la publicidad que incluyen en USA, brasil, uruguay,chile y argentina. Ningune resuelve ni siquiera a tu país. Y tampoco figuran en listas de proxies abiertos que podría usar para camuflarse.
Si sigues sospechando de intrusos que conozcan tus contraseñas, es mejor cambiarlas desde otra conexión (por ejemplo tu trabajo) si sospechas que esten en manos ajenas. | ||
Bajar - Subir | ||
#7 victorhck (4.712 Posts) - 18/05/2012 19:54:31 | ||
Wireshark es una muy buena herramienta para rastrear las conexiones de tu equipo, aunque básicamente te dará unos resultados similares a los de netstat.
como dice bacter si existen amenazas lo mejor es denunciarlo ante la policía. “Beethoven era un buen compositor porque utilizaba ideas nuevas en combinación con ideas antiguas. Nadie, ni siquiera Beethoven podría inventar la música desde cero. Es igual con la informática“Richard Stallman --------- - No olvides leer las normas del foro. - Visita la sección Tutoriales de esta web donde encontrarás abundante información. - Todas las consultas a través del foro. NO acepto consultas por privado. | ||
Bajar - Subir | ||
#8 Toritex (657 Posts) - 20/05/2012 03:30:18 | ||
Ps en cuanto a las claves de las redes sociales estan cambiadas desde otras pc. y lo mas que hice fue formatearla. y me encontré con estos archivos con el kapersky.
1: izfaewhiskilky.DLL | ||
Bajar - Subir | ||
#9 Toritex (657 Posts) - 20/05/2012 04:00:26 | ||
2: nsg7d9c.dll >> alojado en la carpeta temp
3: domadmin.exe >> encontrado en la carpeta temp. y el primero en la carpeta system 32 Pasos Importantes para cuando alguién te ayuda. Paso 1: Vota positivo o negativo por la ayuda. Paso 2: Dar las gracias. Paso 3: Da referencia a si se solucionó o no tu problema. Ten Un Buen día. Saludos. Toritex | ||
Bajar - Subir |
Temas relacionados: |
Como detectar mi lg l5 en el pc | |
E pasado varias veces musica desde el ordenador al movil y me a ido bien y ahora intento pasar musica desde el ordenador al movil y no me lo reconoce ni nada y las otras veces en la pantalla del ordenador me salia el dispositivo del movil pero ahora no LG Optimus L5. ... | |
Como detectar red de jazztel | |
He comprado el cubot x6 y no se si hay que configurar algo pero no me sale la red jazztel que es la mia. Puedo llamar pero a traves de otra compañia. Cubot X6. ... | |
¿Cómo detectar wifi EN MI NOTEBOOK? | |
Al actualizar a windows 10 mi notebook dejó de detectar mi wifi, y perdí la conexión de forma inhalambrica Windows 10. ... | |
Como detectar el programa espion | |
Windows XP (5.1) 32b, Chrome 17.0 Hola, bueno me insatalaron un programa que se llama espion, y me gustaria saber como hacer la desinstalarlo, es urgente! :) gracias ... | |
Como detectar segundo monitor | |
Intel pentium (r) 4CPU 3.20GHZ UBUNTU 11.10 intentamos funcionar con dos monitores pero pese a seguir los pasos de la ayuda no reconoce ninguno. Y cuando encendemos el ordenador nos aparece la pantalla principal en el monitor secundario. Como podemos volver al monitor principal? ... | |
Subir |
Foros: |
|