Qualcuno mi sta Controllando il PC! AIUTATEMI!

[TowerPillar]

Ciao a tutti come da titolo ho questo bel problema...

Premetto col dire che ho in casa più computer, uno dei quali lo uso come "server" dati e come P2P.
Questo computer, non ha ne monitor ne tastiera ne mouse, è solo alimentato e collegato in rete, e lo controllo con gli latri PC tramite desktop Remoto e più precisamente tramite VNC.
Ho impostato in oltre delle regole sul router (Netgear DG834G) per il controllo dello stesso anche da remoto via internet.

Venerdì sera, più o meno verso le 11:40 accendo il PC principale e apro VNC per controllare questo computer, e dopo qualche secondo vedo che VNC si riuchiude. Lo riavvio e uguale, mi si richiude.

A questo punto prendo un monitor, tastiera mouse e lo collego per vedere che succede eeeee......

Il computer si sta muovendo da solo! Capisco subito che qualcuno da remoto me lo sta pilotando, e più precisamente cerca di farmi fuori Antivirus e Firewall, dapprima cercando di disinstallarmeli, poi limitandosi a disabilitari, perchè io nel frattempo annullavo da tastiera qualsiasi suo movimento.

La cosa è andata avanti per circa un'ora fino a che non ho dapprima disconnesso e riconnesso e poi infine spento un'altro PC che è sempre nella mia rete.
L'attacco infatti sembra essere passato proprio attraverso quest'altro PC che purtroppo è sotto l'uso di un'altra persona e che guarda caso è pieno zeppo di virus e malware.

Ma la cosa non è finita quì, verso le 3 di notte circa eccolo che si ripresenta, stavolta però non attraverso l'altro PC ma direttamente da internet, l'ho notato infatti e lo noto anche ora dai LOG presenti nel router tra i quali trovo la regola remota per VNC che è stata applicata.

A questo punto ho disconnesso il roouter e poi l'ho riconnesso cosìcchè da cambiare il mio IP pubblico che è dinamico, e non è più successo nulla fino verso le 4, quando ho spento tutto e sono andato a dormire.

Oggi ho formattato il mio PC "server" e tutt'ora è disconnesso fisicamente ma dai LOG del router continuo a notare questo:

Sun, 2002-09-08 12:00:20 - Initialize LCP.
Sun, 2002-09-08 12:00:20 - LCP is allowed to come up.
Sun, 2002-09-08 12:00:22 - PAP authentication success
Sun, 2002-09-08 12:00:25 - Send out NTP request to time-g.netgear.com
Sun, 2009-07-19 08:07:40 - Receive NTP Reply from time-g.netgear.com
Sun, 2009-07-19 08:07:45 - <DDNS>Update OK: good
Sun, 2009-07-19 08:07:16 - Router start up
Sun, 2009-07-19 10:16:55 - TCP Packet - Source:***IP Nascosto 1,33509 Destination:***MIO IP Pubblico,5900 - [VNC => LAN rule match]
Sun, 2009-07-19 12:08:40 - TCP Packet - Source:***IP Nascosto 2,2643 Destination:***MIO IP Pubblico,59000 - [DOS]
Sun, 2009-07-19 12:08:40 - TCP Packet - Source:***IP Nascosto 2,2644 Destination:***MIO IP Pubblico,55055 - [DOS]
Sun, 2009-07-19 12:08:40 - TCP Packet - Source:***IP Nascosto 2 Destination:***MIO IP Pubblico - [PORT SCAN]
Sun, 2009-07-19 12:26:06 - Administrator login successful - IP:***MIO IP Interno Rete
Sun, 2009-07-19 13:01:22 - Administrator login successful - IP:***MIO IP Interno Rete

Sembra che nonostante il mio IP dinamico mi abbia reintracciato di nuovo.

Ma come ha fatto? E' possibile che abbia scoperto anche il mio l'indirizzo DynDNS? Come ha fatto a trovare la mia password di VNC?

E cosa più importante... Come me lo tolgo dalle scatole?

Aiutatemi vi prego!!!

[Chill-Out]

Quote:

Originariamente inviato da TowerPillar

L'attacco infatti sembra essere passato proprio attraverso quest'altro PC che purtroppo è sotto l'uso di un'altra persona e che guarda caso è pieno zeppo di virus e malware.

E cosa più importante... Come me lo tolgo dalle scatole?

Aiutatemi vi prego!!!

Ciao, dici di aver formattato il PC Server, ma sul PC zeppo di virus quali provvedimenti hai preso?

[TowerPillar]

Il PC pieno zeppo, l'ho escluso dalla rete subito dopo... e lo sarà fino a che la persona che lo utilzza non si deciderà di formattarlo.

Quello che non riesco a capire, è che significa o cosa sono quelle scritte [DOS] che trovo sul log del router...

[Chill-Out]

Segnalazione di attacco DoS, tenendo in considerazione che hai editato l'IP Source non è possibile stabilire da dove proviene l'ipotetico attacco, considerando le porte potrebbe anche trattarsi di Torrent.

[TowerPillar]

Volendo gli IP sorgenti li posso postare... E torrent è un mese che non lo apro più.
Ora ho preparato un PC "esca" apparentemente uguale con lo steso SO e le stesse applicazioni dove ci reindirizzo le porte... ho cambiato alcune password e protetto allo stesso modo sia firewall che antivirus, contro l'apertura, le impostazioni e la disattivazione.

Voglio capire se mi hackera le password o se in qualche modo le ha scoperte...

...Oltre a questo, non c'è un modo per contrattaccare o per fargli capire che deve cambiare aria?

[Chill-Out]

Quote:

Originariamente inviato da TowerPillar

Volendo gli IP sorgenti li posso postare... E torrent è un mese che non lo apro più.
Ora ho preparato un PC "esca" apparentemente uguale con lo steso SO e le stesse applicazioni dove ci reindirizzo le porte... ho cambiato alcune password e protetto allo stesso modo sia firewall che antivirus, contro l'apertura, le impostazioni e la disattivazione.

Voglio capire se mi hackera le password o se in qualche modo le ha scoperte...

...Oltre a questo, non c'è un modo per contrattaccare o per fargli capire che deve cambiare aria?

Come detto in precedenza i DoS potrebbere essere generati da Torrent, in alternativa i problemi sono legati a VNC.

NB: edita la firma è irregolare

Quote:

b) Signature: 3 righe a 1024 solo testo con un massimo di 3 smiles dell'Hardware Upgrade Forum oppure un'immagine 100 X 50 X 5KB e una riga di testo (non deve andare a capo).