Моя сеть была взломана?

Question

Нечто очень странное только что произошло. Короче говоря, я пошел к своему компьютеру, и он сказал мне, что доступ к этому компьютеру заблокирован. Поэтому я попытался перейти на 192.168.1.1, но на заблокированном ПК это не сработало. Итак, я захожу на свой планшет, захожу на 192.168.1.1 и захожу на подключенные устройства, и, к моему удивлению, я вижу 21 случайное устройство со случайными IP-адресами, которые не являются моими. Поэтому следующее, о чем я подумал, - заблокировать все случайные устройства. Но прямо перед тем, как я собираюсь заблокировать эти случайные устройства, мой планшет заблокирован из сети. Поэтому я отсоединяю кабель Ethernet, который соединяет мой маршрутизатор с моим модемом, на случай, если меня взломали, чтобы я не смог подключиться к моей сети. Затем я запрыгиваю на свой последний планшет, который не заблокирован, перехожу к 192.168.1.1 и настраиваю контроль доступа, чтобы автоматически блокировать любые новые устройства, разблокировал мой другой планшет и ПК, а затем снова подключил кабель Ethernet к маршрутизатору. Так что теперь мне интересно, что, черт возьми, только что произошло, поэтому я захожу в журналы моего роутера и получаю вот это:

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21
[LAN access from remote] from 88.180.30.194:54493 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[LAN access from remote] from 105.101.68.216:51919 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:20
[LAN access from remote] from 88.180.30.194:54490 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:19
[LAN access from remote] from 105.101.68.216:48389 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:18
[LAN access from remote] from 41.79.46.35:11736 to 192.168.1.9:63457, Saturday, November 28, 2015 10:42:49
[DoS Attack: SYN/ACK Scan] from source: 46.101.249.112, port 80, Saturday, November 28, 2015 10:40:51
[LAN access from remote] from 90.204.246.68:26596 to 192.168.1.9:63457, Saturday, November 28, 2015 10:40:15
[Time synchronized with NTP server] Saturday, November 28, 2015 10:36:51
[LAN access from remote] from 87.88.222.142:55756 to 192.168.1.9:63457, Saturday, November 28, 2015 10:36:38
[LAN access from remote] from 87.88.222.142:35939 to 192.168.1.9:63457, Saturday, November 28, 2015 10:36:38
[LAN access from remote] from 111.221.77.154:40024 to 192.168.1.9:63457, Saturday, November 28, 2015 10:31:06
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:23:53
[DoS Attack: Land Attack] from source: 255.255.255.255, port 67, Saturday, November 28, 2015 10:23:44
[Access Control] Device ANDROID-EFB7EA92D8391DF6 with MAC address 00:09:4C:3B: the network, Saturday, November 28, 2015 10:23:25
[LAN access from remote] from 78.14.179.231:61108 to 192.168.1.9:63457, Saturday, November 28, 2015 10:21:19
[LAN access from remote] from 78.14.179.231:62967 to 192.168.1.9:63457, Saturday, November 28, 2015 10:21:19
[UPnP set event: add_nat_rule] from source 192.168.1.9, Saturday, November 28, 2015 10:21:15
[Internet connected] IP address: (my IP address , Saturday, November 28, 2015 10:21:05
[Internet disconnected] Saturday, November 28, 2015 10:20:25
[DHCP IP: 192.168.1.6] to MAC address 14:99:e2:1c:a0:19, Saturday, November 28, 2015 10:20:22
[DHCP IP: 192.168.1.6] to MAC address 14:99:e2:1c:a0:19, Saturday, November 28, 2015 10:20:21
[Access Control] Device SETHS-APPLE-TV with MAC address 14:99:E2:1C:A0:19 is a the network, Saturday, November 28, 2015 10:20:20
[Access Control] Device ANDROID-EFB7EA92D8391DF6 with MAC address 00:09:4C:3B: the network, Saturday, November 28, 2015 10:20:19
[DHCP IP: 192.168.1.2] to MAC address 14:2d:27:bb:7d:93, Saturday, November 28, 2015 10:20:06
[Access Control] Device MAIN-PC with MAC address F8:0F:41:CD:AC:0B is allowed  the network, Saturday, November 28, 2015 10:20:01
[DHCP IP: 192.168.1.5] to MAC address 38:0f:4a:4f:60:90, Saturday, November 28, 2015 10:19:24
[Access Control] Device COMPUTER with MAC address 38:0F:4A:4F:60:90 is allowed the network, Saturday, November 28, 2015 10:19:23
[DHCP IP: 192.168.1.5] to MAC address 38:0f:4a:4f:60:90, Saturday, November 28, 2015 10:19:23
[admin login] from source 192.168.1.7, Saturday, November 28, 2015 10:19:22
[Access Control] Device ANDROID-EFB7EA92D8391DF6 with MAC address 00:09:4C:3B: the network, Saturday, November 28, 2015 10:19:11
[Access Control] Device CHROMECAST with MAC address 6C:AD:F8:7B:46:4A is allow the network, Saturday, November 28, 2015 10:19:10
[DHCP IP: 192.168.1.8] to MAC address 70:73:cb:78:69:c6, Saturday, November 28, 2015 10:19:09
[Access Control] Device GABRIELLES-IPOD with MAC address 70:73:CB:78:69:C6 is  the network, Saturday, November 28, 2015 10:19:09
[DHCP IP: 192.168.1.4] to MAC address 00:09:4c:3b:40:54, Saturday, November 28, 2015 10:19:08
[DHCP IP: 192.168.1.3] to MAC address 6c:ad:f8:7b:46:4a, Saturday, November 28, 2015 10:19:08
[DHCP IP: 192.168.1.7] to MAC address 24:24:0e:52:8b:41, Saturday, November 28, 2015 10:19:02
[Access Control] Device GABRIELLE with MAC address 24:24:0E:52:8B:41 is allowe the network, Saturday, November 28, 2015 10:19:02
[DHCP IP: 192.168.1.2] to MAC address 14:2d:27:bb:7d:93, Saturday, November 28, 2015 10:18:53
[DHCP IP: 192.168.1.2] to MAC address 14:2d:27:bb:7d:93, Saturday, November 28, 2015 10:17:22
[Access Control] Device Unknown with MAC address 14:2D:27:BB:7D:93 is allowed  the network, Saturday, November 28, 2015 10:16:33
[Access Control] Device MAIN-PC with MAC address F8:0F:41:CD:AC:0B is blocked  the network, Saturday, November 28, 2015 10:16:10
[DHCP IP: 192.168.1.2] to MAC address 14:2d:27:bb:7d:93, Saturday, November 28, 2015 10:15:42
[DHCP IP: 192.168.1.9] to MAC address f8:0f:41:cd:ac:0b, Saturday, November 28, 2015 10:15:37
[Initialized, firmware version: V1.0.0.58] Saturday, November 28, 2015 10:15:29

вот один из неизвестных IP-адресов, которые я нашел в журнале https://db-ip.com/88.180.30.194, и неизвестный mac-адрес 00:09:4C:3B:40:54, и я связал этот MAC-адрес с этим сайтом http://coweaver.tradekorea.com/

Если бы кто-нибудь мог сказать мне, что случилось, это было бы здорово :)

Answer 1

Да, скорее всего это было взломано.

Контрольный знак - это диапазон используемых портов: все операционные системы используют низкие порты (<около 10000) для прослушивания входящих подключений и высокие порты (оставшиеся, но особенно более 30 000) для исходящих подключений. Вместо этого в вашем журнале отображаются соединения между парами портов высокого уровня, что означает, что не использовался обычный доступ к вашему компьютеру, нет telnet, нет ssh, нет http и так далее. Вместо этого использование пар высоких портов типично для классического хакерского инструмента duo, netcat и meterpreter.

В частности, совершенно очевидно, что хакер оставил бэкдор на ПК 192.168.1.9, прослушивая порт 63457, но он также сделал некоторую переадресацию портов, чтобы позволить соединениям с этим портом на этом компьютере проходить через ваш маршрутизатор. Таким образом, хакер нарушил и этот компьютер, и ваш роутер. В этих двух строках есть еще одно доказательство:

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Посмотрите на отметки времени: в течение секунды хакер входит в систему ПК 192.168.1.9, а затем получает доступ администратора к вашему маршрутизатору.

Меры по смягчению

1. Вы в затруднительном положении, потому что прямо за вашей дверью скрывается мощный враг. Вы должны оставаться отключенным, пока не примете достаточных мер, чтобы возвести против него мощный барьер. Риск здесь заключается в том, что, поскольку он знает, что его обнаружили, он продолжит взламывать все ваши машины, включая линейный принтер (да, это можно сделать), и вы никогда не избавитесь от него. Все это, пока у вас в локальной сети есть пятая колонка, pc 192.168.1.9. Мы сделаем это по одному шагу за раз.

2. Купите другой маршрутизатор другой марки, возможно, с легко настраиваемым межсетевым экраном. Я использую маршрутизаторы Buffalo с предустановленной DD-WRT, мощной ОС.

3. Отключите компьютер, указанный в 192.168.1.9, и держите его выключенным.

4. Замените старый маршрутизатор, но пока не подключайте новый к Интернету.

5. Настройте его из вашей локальной сети с любым другим компьютером.

6. В частности (эти инструкции для маршрутизатора DD-WRT помогут вам понять, что делать даже в маршрутизаторе, отличном от DD-WRT), перейдите на вкладку «Службы», отключите доступ через telnet и повторитель VNC, а также включите syslogd.

7. Перейдите на вкладку «Администрирование» и отключите все кнопки в разделе « Удаленный доступ». Находясь на вкладке «Администрирование», измените пароль на нечто грозное, например, I_want_T0_k33p_all_Hacck3rs_0ut! (орфографическая ошибка преднамеренная). Те, кто технически подкован, должны разрешить вход без пароля (в Сервисах -> Сервисы, Secure Shell), затем в разделе Администрирование -> Управление, Веб-доступ - отключить http и включить только https , чтобы предотвратить передачу паролей в виде открытого текста; подробности о том, как подключиться к маршрутизатору DD-WRT через https можно найти здесь , для этого требуется только что подключенное соединение ssh .

8. Теперь перейдите в Администрирование -> Команды и введите следующее в область Команды:

     iptables  -A INPUT -s 88.180.30.194 -j DROP
     iptables  -A OUTPUT -d 88.180.30.194 -j DROP
     iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
     iptables -I INPUT -i $WAN_IFACE -DROP
   

   Здесь $ WAN_IFACE - это имя NIC, подключенного к вашему провайдеру, в моей системе это будет vlan2 , но вам лучше проверить свою систему. Первые два правила полностью исключают один из IP-адресов, с которых произошли недопустимые подключения к вашему компьютеру 192.168.1.9. Вы можете добавить другие подобные правила, чтобы исключить также 105.101.68.216 и так далее.Третье правило допускает ввод, который является продолжением начатых вами соединений , то есть предположительно законных соединений. Четвертое правило закрывает все остальное.

   Нажмите Сохранить брандмауэр , и все готово.

9. Теперь оставьте маршрутизатор включенным, но отключенным от Интернета, примерно на один день, и посмотрите, пытается ли какой-либо компьютер, кроме 192.168.1.9, связаться со странными IP-адресами. Законные компании, как Microsoft или Apple, Akamai или Sony, не рассчитывайте, но потребительские счета в Алжире, Бурунди, Франции, Германии, Сингапуре, Великобритании (очевидные источники соединений в вышеуказанном журнале) делать. Если есть такие попытки, переведите исходный компьютер в автономный режим, выключите его и выполните процедуру, описанную в шаге 11.

10. Теперь вы можете подключить новый маршрутизатор к Интернету.

11. Теперь возьмите свой (выключен!) pc 192.168.1.9 и принесите его в другое место, т.е. не у себя дома. Включите его и либо запустите все антивирусные тесты, доступные человечеству, либо, что еще лучше, переустановите операционную систему.

12. Ежедневно в течение некоторого времени проверяйте системный журнал вашего совершенно нового маршрутизатора, чтобы убедиться, что больше нет соединений такого рода: всегда существует вероятность того, что хакер проник в другие системы в вашем доме. Как только вы увидите следы этого, повторите описанные выше шаги для взломанного компьютера, а когда зараженный компьютер отключен, измените пароль маршрутизатора.

13. Вы можете сбросить старый маршрутизатор или, что еще лучше, решить, что это забавный проект, устанавливающий на него DD-WRT. Вы можете узнать здесь , возможно ли это. Если это так, то это будет весело, и вы также получите блестящий новый, безопасный, мощный маршрутизатор из груды мусора, которым он является сегодня.

14. В какой-то момент в будущем вы должны научиться правильно настраивать брандмауэр, iptables и как настраивать ssh-соединение без пароля с маршрутизатором, что позволило бы вам полностью отключить вход в систему с паролем (см. Здесь краткое описание того, как сделай это). Но эти вещи могут подождать.

Вы должны быть счастливы: ваш хакер, несмотря на то, что проник в ваш маршрутизатор, был достаточно рассеян, чтобы оставить системный журнал на месте, что в конечном итоге привело к его обнаружению. В следующий раз тебе может не повезти.