Czy moja sieć właśnie została zhakowana?

18

Stało się coś bardzo dziwnego. Krótko mówiąc, przeszedłem na komputer i powiedział mi, że dostęp do tego komputera został zablokowany. Próbowałem więc przejść do 192.168.1.1, ale to nie działało na moim zablokowanym komputerze. Wchodzę na tablet, przechodzę do 192.168.1.1 i przechodzę do podłączonych urządzeń, i ku mojemu zaskoczeniu widzę 21 losowych urządzeń z losowych adresów IP, które nie są moje. Następnym pomysłem było zablokowanie wszystkich przypadkowych urządzeń. Zanim jednak zablokuję te losowe urządzenia, mój tablet zostanie zablokowany z sieci. Odłączam więc kabel Ethernet, który łączy mój router z modemem, na wypadek, gdyby ktoś został zhakowany i nie mógł połączyć się z moją siecią. Następnie wskakuję na mój ostatni tablet, który nie jest zablokowany, przejdź do 192.168.1.1 i ustaw kontrolę dostępu, aby automatycznie blokować nowe urządzenia, odblokuj drugi tablet i komputer, a następnie podłącz kabel Ethernet z powrotem do routera. Więc teraz zastanawiam się, co się, do cholery, właśnie się stało, więc przeglądam logi routera i otrzymuję to:

[Dostęp LAN ze zdalnego] od 88.180.30.194:60240 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:45:21
[login administratora] ze źródła 192.168.1.9, sobota, 28 listopada 2015 10:45:21
[Dostęp LAN ze zdalnego] od 88.180.30.194:54493 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:45:21
[Dostęp LAN ze zdalnego] od 105.101.68.216:51919 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:45:20
[Dostęp LAN ze zdalnego] od 88.180.30.194:54490 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:45:19
[Dostęp LAN ze zdalnego] od 105.101.68.216:48389 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:45:18
[Dostęp LAN ze zdalnego] od 41.79.46.35:11736 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:42:49
[DoS Attack: SYN / ACK Scan] ze źródła: 46.101.249.112, port 80, sobota, 28 listopada 2015 10:40:51
[Dostęp LAN ze zdalnego] od 90.204.246.68:26596 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:40:15
[Czas zsynchronizowany z serwerem NTP] Sobota, 28 listopada 2015 10:36:51
[Dostęp LAN ze zdalnego] od 87.88.222.142:55756 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:36:38
[Dostęp LAN ze zdalnego] od 87.88.222.142:35939 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:36:38
[Dostęp LAN ze zdalnego] od 111.221.77.154:40024 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:31:06
[login administratora] ze źródła 192.168.1.9, sobota, 28 listopada 2015 10:23:53
[DoS Attack: Land Attack] ze źródła: 255.255.255.255, port 67, sobota, 28 listopada 2015 10:23:44
[Kontrola dostępu] Urządzenie ANDROID-EFB7EA92D8391DF6 z adresem MAC 00: 09: 4C: 3B: sieć, sobota, 28 listopada 2015 10:23:25
[Dostęp LAN ze zdalnego] od 78.14.179.231:61108 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:21:19
[Dostęp LAN ze zdalnego] od 78.14.179.231:62967 do 192.168.1.9:63457, sobota, 28 listopada 2015 10:21:19
[UPnP set event: add_nat_rule] ze źródła 192.168.1.9, sobota, 28 listopada 2015 10:21:15
[Internet podłączony] Adres IP: (mój adres IP, sobota, 28 listopada 2015 10:21:05
[Internet odłączony] Sobota, 28 listopada 2015 10:20:25
[DHCP IP: 192.168.1.6] na adres MAC 14: 99: e2: 1c: a0: 19, sobota, 28 listopada 2015 10:20:22
[DHCP IP: 192.168.1.6] na adres MAC 14: 99: e2: 1c: a0: 19, sobota, 28 listopada 2015 10:20:21
[Kontrola dostępu] Urządzenie SETHS-APPLE-TV z adresem MAC 14: 99: E2: 1C: A0: 19 to sieć, sobota, 28 listopada 2015 10:20:20
[Kontrola dostępu] Urządzenie ANDROID-EFB7EA92D8391DF6 z adresem MAC 00: 09: 4C: 3B: sieć, sobota, 28 listopada 2015 10:20:19
[DHCP IP: 192.168.1.2] na adres MAC 14: 2d: 27: bb: 7d: 93, sobota, 28 listopada 2015 10:20:06
[Kontrola dostępu] Urządzenie MAIN-PC z adresem MAC F8: 0F: 41: CD: AC: 0B jest dozwolone w sieci, sobota, 28 listopada 2015 10:20:01
[DHCP IP: 192.168.1.5] na adres MAC 38: 0f: 4a: 4f: 60: 90, sobota, 28 listopada 2015 10:19:24
[Kontrola dostępu] Urządzenie KOMPUTER z adresem MAC 38: 0F: 4A: 4F: 60: 90 jest dozwolone w sieci, sobota, 28 listopada 2015 10:19:23
[DHCP IP: 192.168.1.5] na adres MAC 38: 0f: 4a: 4f: 60: 90, sobota, 28 listopada 2015 10:19:23
[login administratora] ze źródła 192.168.1.7, sobota, 28 listopada 2015 10:19:22
[Kontrola dostępu] Urządzenie ANDROID-EFB7EA92D8391DF6 z adresem MAC 00: 09: 4C: 3B: sieć, sobota, 28 listopada 2015 10:19:11
[Kontrola dostępu] Urządzenie CHROMECAST z adresem MAC 6C: AD: F8: 7B: 46: 4A jest dozwolone w sieci, sobota, 28 listopada 2015 10:19:10
[DHCP IP: 192.168.1.8] na adres MAC 70: 73: cb: 78: 69: c6, sobota, 28 listopada 2015 10:19:09
[Kontrola dostępu] Urządzenie GABRIELLES-IPOD z adresem MAC 70: 73: CB: 78: 69: C6 to sieć, sobota, 28 listopada 2015 10:19:09
[DHCP IP: 192.168.1.4] na adres MAC 00: 09: 4c: 3b: 40: 54, sobota, 28 listopada 2015 10:19:08
[DHCP IP: 192.168.1.3] na adres MAC 6c: ad: f8: 7b: 46: 4a, sobota, 28 listopada 2015 10:19:08
[DHCP IP: 192.168.1.7] na adres MAC 24: 24: 0e: 52: 8b: 41, sobota, 28 listopada 2015 10:19:02
[Kontrola dostępu] Urządzenie GABRIELLE z adresem MAC 24: 24: 0E: 52: 8B: 41 ma dostęp do sieci, sobota, 28 listopada 2015 10:19:02
[DHCP IP: 192.168.1.2] na adres MAC 14: 2d: 27: bb: 7d: 93, sobota, 28 listopada 2015 10:18:53
[DHCP IP: 192.168.1.2] na adres MAC 14: 2d: 27: bb: 7d: 93, sobota, 28 listopada 2015 10:17:22
[Kontrola dostępu] Urządzenie nieznane z adresem MAC 14: 2D: 27: BB: 7D: 93 jest dozwolone w sieci, sobota, 28 listopada 2015 10:16:33
[Kontrola dostępu] Urządzenie MAIN-PC z adresem MAC F8: 0F: 41: CD: AC: 0B jest zablokowane w sieci, sobota, 28 listopada 2015 10:16:10
[DHCP IP: 192.168.1.2] na adres MAC 14: 2d: 27: bb: 7d: 93, sobota, 28 listopada 2015 10:15:42
[DHCP IP: 192.168.1.9] na adres MAC f8: 0f: 41: cd: ac: 0b, sobota, 28 listopada 2015 10:15:37
[Zainicjowane, wersja oprogramowania układowego: V1.0.0.58] Sobota, 28 listopada 2015 10:15:29

oto jeden z nieznanych adresów IP, które znalazłem w dzienniku https://db-ip.com/88.180.30.194 i nieznany adres mac 00: 09: 4C: 3B: 40: 54 i podłączyłem adres mac do tej strony http://coweaver.tradekorea.com/

Gdyby ktoś mógł mi powiedzieć, co się stało, byłoby wspaniale :)

Mrseth101
źródło

Odpowiedzi:

30

Tak, najprawdopodobniej został zhakowany.

Znakiem ostrzegawczym jest zakres używanych portów: wszystkie systemy operacyjne używają niskich portów (<około 10 000) do nasłuchiwania połączeń przychodzących i wysokich portów (pozostałe, ale szczególnie te powyżej 30 000) dla połączeń wychodzących. Zamiast tego w dzienniku są wyświetlane połączenia między parami wysokich portów , co oznacza, że ​​nie został użyty konwencjonalny dostęp do komputera, brak telnet, brak połączenia ssh, brak protokołu HTTP i tak dalej. Zamiast tego, użycie pary wysokich portów jest typowe dla klasycznego narzędzia haker duo, netcata i meterpreter .

W szczególności jest całkowicie jasne, że haker opuścił tylne drzwi na komputerze 192.168.1.9 nasłuchując na porcie 63457, ale wykonał również przekierowanie portów, aby umożliwić połączenia z tym portem na tym komputerze, aby przejść przez router. Haker naruszył zarówno ten komputer, jak i router. Istnieją dalsze dowody na to w tych dwóch liniach,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Spójrz na znaczniki czasu: w ciągu sekundy haker loguje się do komputera 192.168.1.9, a następnie uzyskuje dostęp administratora do routera.

Kroki łagodzące

  1. Jesteś w trudnej sytuacji, ponieważ masz potężnego wroga czającego się tuż za drzwiami. Powinieneś pozostać rozłączony, dopóki nie podejmiesz wystarczających środków, aby wznieść przeciwko niemu potężną barierę. Ryzyko polega na tym, że skoro wie, że został odkryty, hakuje wszystkie twoje maszyny, w tym drukarkę liniową (tak, można to zrobić) i nigdy się go nie pozbędziesz. Wszystko to, podczas gdy na pewno masz piątą kolumnę w sieci LAN, PC 192.168.1.9. Zrobimy to krok po kroku.

  2. Kup inny router innej marki, prawdopodobnie z łatwą do skonfigurowania zaporą ogniową. Używam routerów Buffalo z preinstalowanym DD-WRT, potężnym systemem operacyjnym.

  3. Odłącz komputer oznaczony numerem 192.168.1.9 i wyłącz go.

  4. Wymień stary router, ale nie podłączaj jeszcze nowego do Internetu.

  5. Skonfiguruj go z sieci LAN na dowolnym innym komputerze.

  6. W szczególności (te instrukcje dla routera DD-WRT podpowiedzą, co robić nawet w routerze innym niż DD-WRT), przejdź do karty Usługi, wyłącz dostęp Telnet i repeater VNC i włącz syslogd.

  7. Przejdź do karty Administracja i wyłącz wszystkie przyciski w obszarze Dostęp zdalny . Nadal na karcie Administracja zmień hasło na coś groźnego, na przykład I_want_T0_k33p_all_Hacck3rs_0ut! (błąd pisowni jest celowy). Ci, którzy są technicznie obeznani, powinni włączyć logowanie bez hasła (w Usługi-> Usługi, Bezpieczna powłoka), a następnie, w obszarze Administracja-> Zarządzanie, Dostęp do sieci, powinni wyłączać httpi włączać httpstylko, aby zapobiec przekazywaniu haseł jawnego tekstu; szczegółowe informacje na temat połączenia z routerem DD-WRT httpsmożna znaleźć tutaj , wymaga sshpołączenia, które właśnie aktywowaliśmy.

  8. Teraz przejdź do Administracja -> Polecenia i wpisz następujące polecenie w obszarze Polecenia:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
      iptables  -A OUTPUT -d 88.180.30.194 -j DROP
      iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      iptables -I INPUT -i $WAN_IFACE -DROP
    

    $ WAN_IFACE to nazwa karty sieciowej podłączonej do twojego dostawcy usług internetowych, w moim systemie byłoby to vlan2, ale lepiej sprawdź swój system. Dwie pierwsze reguły całkowicie wyłączają jeden z adresów IP, z których pochodzą nielegalne połączenia z komputerem 192.168.1.9. Możesz chcieć dodać inne podobne reguły, aby wyłączyć także 105.101.68.216 itd. Trzecia reguła zezwala na wprowadzanie danych, które jest kontynuacją połączeń przez Ciebie inicjowanych , tj. Przypuszczalnie legalnych połączeń. Czwarta zasada wyklucza wszystko inne.

    Naciśnij Zapisz zaporę i gotowe.

  9. Teraz pozostaw router włączony, ale odłączony od Internetu na około dzień, i sprawdź, czy jakiś komputer inny niż 192.168.1.9 próbuje skontaktować się z dziwnymi adresami IP. Uzasadnione firmy, takie jak Microsoft lub Apple, Akamai lub Sony, nie liczą się, ale konta klientów w Algierii, Burundi, Francji, Niemczech, Singapurze, Wielkiej Brytanii (pozorne źródła połączeń w powyższym dzienniku) mają znaczenie . Jeśli są takie próby, wyłącz komputer źródłowy w trybie offline, wyłącz go i poddaj go etapowi 11.

  10. Teraz możesz podłączyć nowy router do Internetu.

  11. Teraz zabierz swój (wyłączony!) Komputer 192.168.1.9 i zabierz go gdzie indziej, tj. Nie do domu. Włącz go i albo uruchom wszystkie testy antywirusowe dostępne dla ludzkości, albo, najlepiej, ponownie zainstaluj system operacyjny.

  12. Codziennie sprawdzaj dziennik systemowy swojego nowego routera, aby upewnić się, że nie ma już żadnych połączeń tego rodzaju: zawsze istnieje możliwość, że haker zinfiltrował inne systemy w twoim domu. Gdy tylko zobaczysz ślady tego, powtórz powyższe kroki dla zhakowanego komputera, a gdy zainfekowany komputer będzie offline, zmień hasło routera.

  13. Możesz rzucić stary router lub, co więcej, zdecydować, że to fajny projekt instalujący na nim DD-WRT. Możesz dowiedzieć się tutaj, czy jest to możliwe. Jeśli tak, to jest trochę zabawy, a Ty też dostaniesz nowy, bezpieczny, wydajny router, ze stosu śmieci, który jest dzisiaj.

  14. W pewnym momencie w przyszłości, powinieneś nauczyć się skonfigurować zaporę iptables, prawidłowo i jak skonfigurować bez podawania haseł ssh połączenia z routerem, który umożliwia wyłączenie hasła logowania całkowicie (patrz tutaj dla Skrócony opis jak to zrobić to). Ale te rzeczy mogą poczekać.

Powinieneś być szczęśliwy: twój haker, mimo że przeniknął do twojego routera, był na tyle roztargniony, że zostawił log systemowy na miejscu, co ostatecznie doprowadziło do jego wykrycia. Następnym razem możesz nie mieć tyle szczęścia.

MariusMatutiae
źródło
Przepraszam, że mam tylko jeden głos, aby dać odpowiedź ... (ale jakoś załatałem;))
Hastur
1
@Hastur Więc zagłosowałem również za pytaniem: p
NIEBEZPIECZNY
Ta dobrze zrobiona odpowiedź zaczyna brzmieć raczej ekstremistycznie (szczególnie pierwsze zdanie punktu pierwszego). Jest to jednak dokładne: całkowicie się zgadzam.
TOOGAM,
To niefortunne ... Myślałem, że doskonale uchwyciło to straszną rzeczywistość i skutecznie komunikowało, jak ważne jest zachowanie ostrożności. („Jesteś w trudnej sytuacji, ponieważ tuż za drzwiami czai się potężny wróg.”) Wiem, że „ekstremistę” można postrzegać negatywnie, ale czasami jest to wymagane. Czy ty, @MariusMatutiae, nie zauważyłeś ogólnych pozytywnych wydźwięków, które rozpocząłem i zakończyłem poprzednim komentarzem?
TOOGAM,