La mia rete è stata appena violata?


18

È appena successo qualcosa di molto strano. Per farla breve, sono passato al mio computer e mi ha detto che l'accesso a questo PC era bloccato. Quindi ho provato ad andare su 192.168.1.1, ma non ha funzionato sul mio PC bloccato. Quindi salgo sul mio tablet, vado su 192.168.1.1 e vado sui dispositivi collegati, e con mia sorpresa vedo 21 dispositivi casuali da indirizzi IP casuali che non sono i miei. Quindi il prossimo che ho pensato è stato quello di bloccare tutti i dispositivi casuali. Ma proprio prima che sto per bloccare questi dispositivi casuali, il mio tablet viene bloccato dalla rete. Quindi ho scollegato il cavo Ethernet che collega il mio router al mio modem, nel caso in cui venissi hackerato in modo che non potesse connettersi alla mia rete. Quindi salgo sul mio ultimo tablet che non è bloccato, andare su 192.168.1.1 e impostare il controllo di accesso per bloccare automaticamente tutti i nuovi dispositivi, sbloccare l'altro tablet e PC, quindi ricollegare il cavo Ethernet al router. Quindi ora mi chiedo cosa diavolo è appena successo, quindi vado sui registri del mio router e ottengo questo:

[Accesso LAN da remoto] da 88.180.30.194:60240 a 192.168.1.9:63457, sabato 28 novembre 2015 10:45:21
[login amministratore] dalla fonte 192.168.1.9, sabato 28 novembre 2015 10:45:21
[Accesso LAN da remoto] da 88.180.30.194:54493 a 192.168.1.9:63457, sabato 28 novembre 2015 10:45:21
[Accesso LAN da remoto] da 105.101.68.216:51919 a 192.168.1.9:63457, sabato 28 novembre 2015 10:45:20
[Accesso LAN da remoto] da 88.180.30.194:54490 a 192.168.1.9:63457, sabato 28 novembre 2015 10:45:19
[Accesso LAN da remoto] da 105.101.68.216:48389 a 192.168.1.9:63457, sabato 28 novembre 2015 10:45:18
[Accesso LAN da remoto] da 41.79.46.35:11736 a 192.168.1.9:63457, sabato 28 novembre 2015 10:42:49
[DoS Attack: SYN / ACK Scan] dalla fonte: 46.101.249.112, porta 80, sabato 28 novembre 2015 10:40:51
[Accesso LAN da remoto] da 90.204.246.68:26596 a 192.168.1.9:63457, sabato 28 novembre 2015 10:40:15
[Ora sincronizzata con il server NTP] sabato 28 novembre 2015 10:36:51
[Accesso LAN da remoto] da 87.88.222.142:55756 a 192.168.1.9:63457, sabato 28 novembre 2015 10:36:38
[Accesso LAN da remoto] da 87.88.222.142:35939 a 192.168.1.9:63457, sabato 28 novembre 2015 10:36:38
[Accesso LAN da remoto] da 111.221.77.154:40024 a 192.168.1.9:63457, sabato 28 novembre 2015 10:31:06
[login amministratore] dalla fonte 192.168.1.9, sabato 28 novembre 2015 10:23:53
[DoS Attack: Land Attack] dalla fonte: 255.255.255.255, porta 67, sabato 28 novembre 2015 10:23:44
[Controllo d'accesso] Dispositivo ANDROID-EFB7EA92D8391DF6 con indirizzo MAC 00: 09: 4C: 3B: la rete, sabato 28 novembre 2015 10:23:25
[Accesso LAN da remoto] da 78.14.179.231:61108 a 192.168.1.9:63457, sabato 28 novembre 2015 10:21:19
[Accesso LAN da remoto] da 78.14.179.231:62967 a 192.168.1.9:63457, sabato 28 novembre 2015 10:21:19
[UPnP set event: add_nat_rule] dalla fonte 192.168.1.9, sabato 28 novembre 2015 10:21:15
[Connessione Internet] Indirizzo IP: (il mio indirizzo IP, sabato 28 novembre 2015 10:21:05
[Internet disconnesso] sabato 28 novembre 2015 10:20:25
[IP DHCP: 192.168.1.6] all'indirizzo MAC 14: 99: e2: 1c: a0: 19, sabato 28 novembre 2015 10:20:22
[IP DHCP: 192.168.1.6] all'indirizzo MAC 14: 99: e2: 1c: a0: 19, sabato 28 novembre 2015 10:20:21
[Controllo accesso] Dispositivo SETHS-APPLE-TV con indirizzo MAC 14: 99: E2: 1C: A0: 19 è una rete, sabato 28 novembre 2015 10:20:20
[Controllo accesso] Dispositivo ANDROID-EFB7EA92D8391DF6 con indirizzo MAC 00: 09: 4C: 3B: la rete, sabato 28 novembre 2015 10:20:19
[IP DHCP: 192.168.1.2] all'indirizzo MAC 14: 2d: 27: bb: 7d: 93, sabato 28 novembre 2015 10:20:06
[Controllo accesso] Dispositivo MAIN-PC con indirizzo MAC F8: 0F: 41: CD: AC: 0B è consentita la rete, sabato 28 novembre 2015 10:20:01
[IP DHCP: 192.168.1.5] a MAC address 38: 0f: 4a: 4f: 60: 90, sabato 28 novembre 2015 10:19:24
[Controllo accesso] Dispositivo COMPUTER con indirizzo MAC 38: 0F: 4A: 4F: 60: 90 è consentita la rete, sabato 28 novembre 2015 10:19:23
[IP DHCP: 192.168.1.5] a indirizzo MAC 38: 0f: 4a: 4f: 60: 90, sabato 28 novembre 2015 10:19:23
[login amministratore] dalla fonte 192.168.1.7, sabato 28 novembre 2015 10:19:22
[Controllo d'accesso] Dispositivo ANDROID-EFB7EA92D8391DF6 con indirizzo MAC 00: 09: 4C: 3B: la rete, sabato 28 novembre 2015 10:19:11
[Controllo accesso] Dispositivo CHROMECAST con indirizzo MAC 6C: AD: F8: 7B: 46: 4A è consentito alla rete, sabato 28 novembre 2015 10:19:10
[IP DHCP: 192.168.1.8] all'indirizzo MAC 70: 73: cb: 78: 69: c6, sabato 28 novembre 2015 10:19:09
[Controllo accesso] Dispositivo GABRIELLES-IPOD con indirizzo MAC 70: 73: CB: 78: 69: C6 è la rete, sabato 28 novembre 2015 10:19:09
[IP DHCP: 192.168.1.4] all'indirizzo MAC 00: 09: 4c: 3b: 40: 54, sabato 28 novembre 2015 10:19:08
[IP DHCP: 192.168.1.3] all'indirizzo MAC 6c: annuncio: f8: 7b: 46: 4a, sabato 28 novembre 2015 10:19:08
[IP DHCP: 192.168.1.7] all'indirizzo MAC 24: 24: 0e: 52: 8b: 41, sabato 28 novembre 2015 10:19:02
[Controllo accessi] Dispositivo GABRIELLE con indirizzo MAC 24: 24: 0E: 52: 8B: 41 è consentita la rete, sabato 28 novembre 2015 10:19:02
[IP DHCP: 192.168.1.2] all'indirizzo MAC 14: 2d: 27: bb: 7d: 93, sabato 28 novembre 2015 10:18:53
[IP DHCP: 192.168.1.2] all'indirizzo MAC 14: 2d: 27: bb: 7d: 93, sabato 28 novembre 2015 10:17:22
[Controllo accesso] Dispositivo sconosciuto con indirizzo MAC 14: 2D: 27: BB: 7D: 93 è consentita la rete, sabato 28 novembre 2015 10:16:33
[Controllo accesso] Dispositivo MAIN-PC con indirizzo MAC F8: 0F: 41: CD: AC: 0B è bloccata la rete, sabato 28 novembre 2015 10:16:10
[IP DHCP: 192.168.1.2] all'indirizzo MAC 14: 2d: 27: bb: 7d: 93, sabato 28 novembre 2015 10:15:42
[IP DHCP: 192.168.1.9] all'indirizzo MAC f8: 0f: 41: cd: ac: 0b, sabato 28 novembre 2015 10:15:37
[Inizializzato, versione firmware: V1.0.0.58] sabato 28 novembre 2015 10:15:29

ecco uno degli indirizzi IP sconosciuti che ho trovato nel registro https://db-ip.com/88.180.30.194 e un indirizzo mac sconosciuto 00: 09: 4C: 3B: 40: 54 e ho collegato l'indirizzo mac a questo sito Web http://coweaver.tradekorea.com/

Se qualcuno potesse dirmi cosa è successo sarebbe fantastico :)

Risposte:


30

Sì, molto probabilmente è stato violato.

Il segno distintivo è la gamma di porte utilizzate: tutti i sistemi operativi utilizzano porte basse (<circa 10.000) per ascoltare le connessioni in entrata e porte alte (le restanti, ma soprattutto quelle superiori a 30.000) per le connessioni in uscita. Invece, il tuo registro mostra le connessioni tra coppie di porte alte , il che significa che non è stato utilizzato alcun accesso convenzionale al tuo PC, nessun telnet, nessun ssh, nessun http e così via. Invece, l'uso di coppie di porte alte è tipico di un classico strumento di hacker duo, netcat e meterpreter .

In particolare, è abbastanza chiaro che l'hacker ha lasciato una backdoor sul PC 192.168.1.9 in ascolto sulla porta 63457, ma ha anche fatto un port forwarding per consentire alle connessioni a questa porta su questo PC di passare attraverso il router. Quindi l'hacker ha violato sia questo PC che il tuo router. C'è un'ulteriore prova di ciò in queste due righe,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Guarda i timestamp: in un secondo, l'hacker accede al PC 192.168.1.9, e da quel momento ottiene l' accesso come amministratore al tuo router.

Passaggi di mitigazione

  1. Sei in una situazione difficile, perché hai un potente nemico in agguato proprio fuori dalla tua porta. Dovresti rimanere disconnesso fino a quando non avrai preso le misure sufficienti per erigere contro di lui una potente barriera. Il rischio qui è che, dal momento che sa di essere stato scoperto, procederà ad hackerare tutte le tue macchine, inclusa la stampante di linea (sì, si può fare), e non ti libererai mai di lui. Tutto questo mentre hai sicuramente una quinta colonna nella tua LAN, pc 192.168.1.9. Faremo un passo alla volta.

  2. Acquista un altro router, di un'altra marca, possibilmente uno con un firewall facilmente configurabile. Uso i router Buffalo con DD-WRT preinstallato, un potente sistema operativo.

  3. Scollegare il PC identificato da 192.168.1.9 e tenerlo spento.

  4. Sostituisci il vecchio router ma non connettere ancora quello nuovo a Internet.

  5. Configuralo dalla tua LAN con qualsiasi altro PC.

  6. In particolare (queste istruzioni per un router DD-WRT ti daranno un'idea di cosa fare anche nel router non DD-WRT), vai alla scheda Servizi, disabilita l' accesso telnet e il ripetitore VNC e abilita syslogd.

  7. Vai alla scheda Amministrazione e disabilita tutti i pulsanti in Accesso remoto . Sempre nella scheda Amministrazione, cambia la password in qualcosa di formidabile, qualcosa come I_want_T0_k33p_all_Hacck3rs_0ut! (l'errore di ortografia è intenzionale). Coloro che sono tecnicamente esperti dovrebbero abilitare l'accesso senza password (in Servizi-> Servizi, Secure Shell), quindi, in Amministrazione-> Gestione, Accesso Web, dovrebbero disabilitare httpe abilitare httpssolo, in modo da impedire il passaggio di password in chiaro; i dettagli su come connettersi a un router DD-WRT tramite httpssono disponibili qui , richiede la sshconnessione che abbiamo appena abilitato.

  8. Ora vai su Amministrazione -> Comandi e digita quanto segue nell'area Comandi:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
      iptables  -A OUTPUT -d 88.180.30.194 -j DROP
      iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      iptables -I INPUT -i $WAN_IFACE -DROP
    

    Qui $ WAN_IFACE è il nome della scheda NIC connessa al tuo ISP, nel mio sistema sarebbe vlan2, ma faresti meglio a controllare il tuo sistema. Le prime due regole escludono completamente uno degli indirizzi IP da cui provengono le connessioni illegali al tuo PC 192.168.1.9. Potresti voler aggiungere altre regole simili per chiudere anche 105.101.68.216 e così via. La terza regola consente l'input che è una continuazione di connessioni avviate da te , cioè presumibilmente connessioni legali. La quarta regola esclude tutto il resto.

    Premi Salva firewall e il gioco è fatto.

  9. Ora lascia il router acceso ma disconnesso da Internet per circa un giorno e vedi se un PC diverso da 192.168.1.9 prova a contattare strani indirizzi IP. Aziende legittime, come Microsoft o Apple, Akamai o Sony, non contano, ma i conti dei consumatori in Algeria, Burundi, Francia, Germania, Singapore, Regno Unito (le apparenti fonti dei collegamenti nel registro di cui sopra) fare . Se si verificano tali tentativi, portare offline il PC di origine, spegnerlo e sottoporlo al trattamento del passaggio 11.

  10. Ora puoi connettere il nuovo router a Internet.

  11. Ora prendi il tuo (spento!) Pc 192.168.1.9 e portalo altrove, cioè non a casa tua. Attivalo ed esegui tutti i test antivirus disponibili per l'umanità o, meglio ancora, reinstalla il sistema operativo.

  12. Controlla quotidianamente il registro di sistema del tuo nuovo router, per qualche tempo, per assicurarti che non ci siano più connessioni del tipo sopra: c'è sempre la possibilità che l'hacker si sia infiltrato in altri sistemi della tua casa. Non appena ne vedi tracce, ripeti i passaggi precedenti per il PC compromesso e, quando il PC infetto è offline, cambia la password del router.

  13. Puoi lanciare il vecchio router o, ancora meglio, decidere che è un progetto divertente che installa DD-WRT su di esso. Puoi scoprire qui se è possibile. Se lo è, allora è un po 'divertente e otterresti anche un nuovo router brillante, sicuro e potente, dal mucchio di immondizia che è invece oggi.

  14. Ad un certo punto in futuro, dovresti imparare a configurare il firewall, iptablescorrettamente e come impostare una connessione ssh senza password al router, che ti permetterebbe di disabilitare completamente l'accesso con password (vedi qui per una breve descrizione di come fare esso). Ma queste cose possono aspettare.

Dovresti essere felice: il tuo hacker, nonostante sia penetrato nel tuo router, era abbastanza distratto da lasciare il registro di sistema in posizione, il che alla fine ha portato al suo rilevamento. La prossima volta potresti non essere così fortunato.


Mi dispiace di avere solo un voto da dare a questa risposta ... (ma in qualche modo ho patchato;))
Hastur,

1
@Hastur Quindi ho votato troppo alla domanda: p
RogUE

Questa risposta ben fatta inizia a sembrare piuttosto estremista (specialmente la prima frase del punto numero uno). Eppure è accurato: sono pienamente d'accordo.
TOOGAM

è un peccato ... ho pensato che catturasse perfettamente la terribile realtà e che comunicasse in modo efficace quanto sia importante stare attenti. ("Sei in una situazione difficile, perché hai un potente nemico in agguato proprio fuori dalla tua porta.") So che "estremista" può essere visto negativamente, ma a volte è richiesto. @MariusMatutiae non hai notato le sfumature positive generali con cui ho iniziato e concluso il commento precedente?
TOOGAM,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.