Ağım saldırıya uğradı mı?


18

Çok garip bir şey oldu. Uzun lafın kısası, bilgisayarıma gittim ve bana bu bilgisayara erişimin engellendiğini söyledi. Bu yüzden 192.168.1.1'e gitmeye çalıştım, ancak engellenen bilgisayarımda çalışmadı. Bu yüzden tabletime giriyorum, 192.168.1.1'e gidip bağlı cihazlara gidiyorum ve sürprizime göre, benim olmayan rastgele IP adreslerinden 21 rastgele cihaz görüyorum. Bir sonraki düşündüğüm tüm rastgele cihazları engellemekti. Ancak bu rastgele cihazları engellemeden hemen önce, tabletim ağdan engellenir. Bu yüzden, ağıma bağlanamayacak şekilde saldırıya uğramış olsam bile, yönlendiricimi modeme bağlayan Ethernet kablosunu çıkarıyorum. Sonra engellenmeyen son tabletime atladım, 192.168.1.1'e gidin ve yeni cihazları otomatik olarak engellemek için erişim kontrolünü ayarlayın, diğer tabletimin ve bilgisayarımın engellemesini kaldırın ve Ethernet kablolarımı yönlendiricime geri bağlayın. Şimdi ne halt olduğunu merak ediyorum, bu yüzden yönlendirici günlüklerime gidiyorum ve bunu alıyorum:

[Uzaktan LAN erişimi] 88.180.30.194:60240 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:45:21
[admin login] kaynağından 192.168.1.9, Cumartesi, 28 Kasım 2015 10:45:21
[Uzaktan erişim LAN] 88.180.30.194:54493 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:45:21
[Uzaktan erişim LAN] 105.101.68.216:51919 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:45:20
[Uzaktan LAN erişimi] 88.180.30.194:54490 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:45:19
[Uzaktan erişim LAN] 105.101.68.216:48389 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:45:18
[Uzaktan erişim LAN] 41.79.46.35:11736 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:42:49
[DoS Saldırısı: SYN / ACK Tarama] kaynak: 46.101.249.112, bağlantı noktası 80, 28 Kasım 2015 Cumartesi 10:40:51
[Uzaktan erişim LAN erişimi] 90.204.246.68:26596 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:40:15
[Zaman NTP sunucusu ile senkronize edildi] 28 Kasım 2015 Cumartesi 10:36:51
[Uzaktan erişim LAN] 87.88.222.142:55756 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:36:38
[Uzaktan erişim LAN] 87.88.222.142:35939 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:36:38
[Uzaktan erişim LAN] 111.221.77.154:40024 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:31:06
[admin login] kaynağından 192.168.1.9, Cumartesi, 28 Kasım 2015 10:23:53
[DoS Attack: Land Attack] Kaynak: 255.255.255.255, 67 numaralı bağlantı noktası, 28 Kasım 2015 Cumartesi 10:23:44
[Erişim Kontrolü] MAC adresi 00: 09: 4C: 3B olan ANDROID-EFB7EA92D8391DF6 cihazı: ağ, 28 Kasım 2015 Cumartesi 10:23:25
[Uzaktan erişim LAN erişimi] 78.14.179.231:61108 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:21:19
[Uzaktan erişim LAN erişimi] 78.14.179.231:62967 - 192.168.1.9:63457, 28 Kasım 2015 Cumartesi 10:21:19
[UPnP set etkinliği: add_nat_rule] kaynaktan 192.168.1.9, Cumartesi, 28 Kasım 2015 10:21:15
[İnternet bağlantılı] IP adresi: (IP adresim, 28 Kasım 2015 Cumartesi 10:21:05
[İnternet bağlantısı kesildi] 28 Kasım 2015 Cumartesi 10:20:25
[DHCP IP: 192.168.1.6] MAC adresine 14: 99: e2: 1c: a0: 19, 28 Kasım 2015 Cumartesi 10:20:22
[DHCP IP: 192.168.1.6] MAC adresine 14: 99: e2: 1c: a0: 19, 28 Kasım 2015 Cumartesi 10:20:21
[Erişim Kontrolü] MAC adresi 14: 99: E2: 1C: A0: 19 olan bir cihaz SETHS-APPLE-TV bir ağdır, 28 Kasım 2015 Cumartesi 10:20:20
[Erişim Kontrolü] MAC adresi 00: 09: 4C: 3B olan ANDROID-EFB7EA92D8391DF6 cihazı: ağ, 28 Kasım 2015 Cumartesi 10:20:19
[DHCP IP: 192.168.1.2] MAC adresine 14: 2d: 27: bb: 7d: 93, 28 Kasım 2015 Cumartesi 10:20:06
[Erişim Kontrolü] MAC adresi F8: 0F: 41: CD: AC: 0B olan cihaz ANA-PC ağa izin veriliyor, Cumartesi, 28 Kasım 2015 10:20:01
[DHCP IP: 192.168.1.5] MAC adresine 38: 0f: 4a: 4f: 60: 90, 28 Kasım 2015 Cumartesi 10:19:24
[Erişim Kontrolü] MAC adresi 38: 0F: 4A: 4F: 60: 90 olan cihaz BİLGİSAYAR ağa izin verilir, 28 Kasım 2015 Cumartesi 10:19:23
[DHCP IP: 192.168.1.5] MAC adresine 38: 0f: 4a: 4f: 60: 90, 28 Kasım 2015 Cumartesi 10:19:23
[admin login] kaynağından 192.168.1.7, Cumartesi, 28 Kasım 2015 10:19:22
[Erişim Kontrolü] MAC adresi 00: 09: 4C: 3B olan ANDROID-EFB7EA92D8391DF6 cihazı: ağ, 28 Kasım 2015 Cumartesi 10:19:11
[Erişim Kontrolü] MAC adresi 6C olan Cihaz CHROMECAST: AD: F8: 7B: 46: 4A ağa izin veriyor, 28 Kasım 2015 Cumartesi 10:19:10
[DHCP IP: 192.168.1.8] MAC adresi 70: 73: cb: 78: 69: c6, 28 Kasım 2015 Cumartesi 10:19:09
[Erişim Kontrolü] MAC adresi 70: 73: CB: 78: 69: C6 olan cihaz GABRIELLES-IPOD ağdır, 28 Kasım 2015 Cumartesi 10:19:09
[DHCP IP: 192.168.1.4] MAC adresine 00: 09: 4c: 3b: 40: 54, 28 Kasım 2015 Cumartesi 10:19:08
[DHCP IP: 192.168.1.3] MAC adresi 6c: ad: f8: 7b: 46: 4a, 28 Kasım 2015 Cumartesi 10:19:08
[DHCP IP: 192.168.1.7] MAC adresine 24: 24: 0e: 52: 8b: 41, 28 Kasım 2015 Cumartesi 10:19:02
[Erişim Kontrolü] MAC adresi 24: 24: 0E: 52: 8B: 41 olan GABRIELLE cihazı ağa izin veriyor, 28 Kasım 2015 Cumartesi 10:19:02
[DHCP IP: 192.168.1.2] MAC adresine 14: 2d: 27: bb: 7d: 93, 28 Kasım 2015 Cumartesi 10:18:53
[DHCP IP: 192.168.1.2] MAC adresine 14: 2d: 27: bb: 7d: 93, 28 Kasım 2015 Cumartesi 10:17:22
[Erişim Kontrolü] MAC adresi 14: 2D: 27: BB: 7D: 93 olan Bilinmeyen Cihaz ağa izin veriliyor, 28 Kasım 2015 Cumartesi 10:16:33
[Erişim Kontrolü] MAC adresi F8: 0F: 41: CD: AC: 0B olan cihaz ANA-PC ağı engellendi, 28 Kasım 2015 Cumartesi 10:16:10
[DHCP IP: 192.168.1.2] MAC adresine 14: 2d: 27: bb: 7d: 93, 28 Kasım 2015 Cumartesi 10:15:42
[DHCP IP: 192.168.1.9] MAC adresi f8: 0f: 41: cd: ac: 0b, 28 Kasım 2015 Cumartesi 10:15:37
[Başlatıldı, bellenim sürümü: V1.0.0.58] 28 Kasım 2015 Cumartesi 10:15:29

https://db-ip.com/88.180.30.194 günlüğünde bulduğum bilinmeyen IP adreslerinden biri ve bilinmeyen bir mac adresi 00: 09: 4C: 3B: 40: 54 ve mac adresini bu web sitesine bağladım http://coweaver.tradekorea.com/

Biri bana ne olduğunu söyleyebilseydi harika olurdu :)

Yanıtlar:


30

Evet, büyük olasılıkla saldırıya uğradı.

Anlatım işareti kullanılan bağlantı noktaları aralığıdır: tüm işletim sistemleri gelen bağlantıları dinlemek için düşük bağlantı noktaları (<yaklaşık 10.000) ve giden bağlantılar için yüksek bağlantı noktaları (kalanlar, ancak özellikle 30.000'in üzerinde olanlar) kullanır. Bunun yerine, günlüğünüz , yüksek bağlantı noktalarının çiftleri arasındaki bağlantıları görüntüler ; bu, bilgisayarınıza geleneksel erişimin kullanılmadığı, telnet, ssh, http yok vb. Anlamına gelir. Bunun yerine, yüksek port çiftlerinin kullanımı klasik bir hacker aracı ikilisi, netcat ve metrepreter için tipiktir .

Özellikle, bilgisayar korsanının 192.168.1.9 numaralı bağlantı noktasını dinleyerek 63457 numaralı bağlantı noktasını dinleyerek bolca açık olduğu açıktır, ancak aynı zamanda bu bilgisayardaki bu bağlantı noktasına bağlantıların yönlendiricinize gitmesine izin vermek için bazı bağlantı noktası yönlendirme yaptı. Yani korsan ihlal hem bu pc ve Yönlendiricinizi. Bunun bu iki satırda daha fazla kanıtı var,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Zaman damgalarına bakın: Bir saniye içinde, bilgisayar korsanı pc 192.168.1.9'da oturum açar ve bundan sonra yönlendiricinize yönetici erişimi kazanır .

Etki Azaltma Adımları

  1. Dar bir yerdesiniz, çünkü kapınızın hemen önünde gizlenmiş güçlü bir düşmanınız var. Güçlü bir bariyer kurmak için yeterli önlemleri alana kadar bağlantısız kalmalısınız. Buradaki risk, keşfedildiğini bildiği için, hat yazıcısı da dahil olmak üzere tüm makinelerinizi hacklemeye devam etmesidir (evet, yapılabilir) ve ondan asla kurtulamayacaksınız. Tüm bunlar kesinlikle LAN'ınızda beşinci bir sütuna sahipken, pc 192.168.1.9. Her seferinde bir adım atacağız.

  2. Muhtemelen kolayca yapılandırılabilen bir güvenlik duvarına sahip farklı bir markadan başka bir yönlendirici satın alın. Buffalo yönlendiricileri güçlü bir işletim sistemi olan önceden yüklenmiş DD-WRT ile kullanıyorum.

  3. 192.168.1.9 ile tanımlanan bilgisayarın bağlantısını kesin ve kapalı tutun.

  4. Eski yönlendirici değiştirin ama yok değil henüz internete yenisini takın.

  5. İle LAN içinden yapılandırın herhangi başka pc.

  6. Özellikle, (bir DD-WRT yönlendirici için bu talimatlar size DD-WRT olmayan yönlendiricide bile ne yapacağınız hakkında bir fikir verecektir), Hizmetler sekmesine gidin ve telnet erişimini ve VNC tekrarlayıcısını devre dışı bırakın ve syslogd'yi etkinleştirin.

  7. Yönetim sekmesine gidin ve Uzaktan Erişim altındaki tüm düğmeleri devre dışı bırakın . Yine de Yönetim sekmesinde, şifreyi zorlu bir şeye, I_want_T0_k33p_all_Hacck3rs_0ut gibi bir şeye değiştirin! (yazım hatası kasıtlıdır). Teknik açıdan bilgili olanlar parolasız oturum açmayı etkinleştirmelidir (Hizmetler-> Hizmetler, Güvenli Kabuk), ardından Yönetim-> Yönetim, Web Erişimi altında, açık metin parolalarının geçmesini önlemek httpiçin httpsyalnızca devre dışı bırakmalı ve etkinleştirilmelidir ; DD-WRT yönlendiriciye nasıl bağlanacağıyla ilgili ayrıntılar buradahttps bulunabilir , yeni etkinleştirdiğimiz bağlantıyı gerektirir .ssh

  8. Şimdi Yönetim -> Komutlar'a gidin ve Komutlar alanına aşağıdakileri yazın:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
      iptables  -A OUTPUT -d 88.180.30.194 -j DROP
      iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      iptables -I INPUT -i $WAN_IFACE -DROP
    

    Burada $ WAN_IFACE, ISS'nize bağlı NIC'nin adıdır, sistemimde olurdu vlan2, ancak sisteminizi kontrol etmeniz daha iyi olur. İlk iki kural tamamen senin pc 192.168.1.9 yasadışı bağlantıları gelen IP adreslerinden birini kapattı . Ayrıca 105.101.68.216 sokmamak benzeri kuralları eklemek istediğiniz ve on.The üçüncü kural böylece tarafından başlatılan bağlantıların bir devamıdır girişi verir olabilir size , yani tahminen hukuki bağı. Dördüncü kural diğer her şeyi kapatır.

    Güvenlik duvarını kaydet'e basın ve işiniz bitti.

  9. Şimdi yönlendiriciyi açık bırakın, ancak yaklaşık bir gün boyunca İnternet bağlantısını kesin ve 192.168.1.9 dışında herhangi bir bilgisayarın garip IP adresleriyle iletişim kurmaya çalışıp çalışmadığını görün. Yasal şirketler, Microsoft veya Apple, Akamai veya Sony gibi, sayılmaz ama tüketici Cezayir, Burundi, Fransa, Almanya, Singapur, Birleşik Krallık'ta (yukarıdaki günlüğüne bağlantılarının görünen kaynakları) hesaplarını yapmak . Bu tür girişimler varsa, kaynak bilgisayarı çevrimdışına alın, kapatın ve Adım 11'in tedavisine tabi tutun.

  10. Artık yeni yönlendiriciyi İnternet'e bağlayabilirsiniz.

  11. Şimdi (kapalı!) Pc 192.168.1.9 almak ve başka bir yere getirmek, yani evinizde değil . Açın ve insanlık için mevcut tüm antivirüs testlerini yapın veya daha iyisi işletim sistemini yeniden yükleyin.

  12. Yukarıdaki türden daha fazla bağlantı olmadığından emin olmak için yeni yönlendiricinizin sistem günlüğünü bir süre için günlük olarak kontrol edin: bilgisayar korsanının evinizdeki diğer sistemlere sızma olasılığı her zaman vardır. Bunun izlerini görür görmez, saldırıya uğramış bilgisayar için yukarıdaki adımları tekrarlayın ve virüslü bilgisayar çevrimdışı olduğunda, yönlendirici şifresini değiştirin.

  13. Eski yönlendiriciyi atabilir veya daha iyisi, DD-WRT'yi yükleyen eğlenceli bir proje olduğuna karar verebilirsiniz. Burada bunun mümkün olup olmadığını öğrenebilirsiniz . Öyleyse, o zaman biraz eğlencelidir ve aynı zamanda bugünün yerine çöp yığınından parlayan yeni, güvenli, güçlü bir yönlendirici alacaksınız.

  14. Gelecekte bir noktada, güvenlik duvarını iptablesdüzgün bir şekilde yapılandırmayı ve yönlendiriciye şifresiz ssh bağlantısının nasıl kurulacağını öğrenmelisiniz , bu da şifre girişini tamamen devre dışı bırakmanıza izin verecektir (nasıl yapılacağına dair kısa bir açıklama için buraya bakın) o). Ama bunlar bekleyebilir.

Mutlu olmalısınız: Korsanınız, yönlendiricinize nüfuz etmesine rağmen, sistem günlüğünü yerinde bırakacak kadar fikirli değildi, bu da sonuçta tespitine yol açtı. Bir dahaki sefere o kadar şanslı olmayabilirsin.


Üzgünüm, bu cevaba vermek için sadece bir
oyum var

1
@Hastur So Soruyu da iptal ettim: p
RogUE

Bu iyi cevap oldukça aşırıcı gelmeye başlar (özellikle birinci maddenin ilk cümlesi). Yine de doğru: Bütün kalbimle katılıyorum.
TOOGAM

Bu talihsiz ... Korkunç gerçeği mükemmel bir şekilde yakaladığını düşündüm ve dikkatli olmanın ne kadar önemli olduğunu etkili bir şekilde iletti. ("Dar bir yerdesiniz, çünkü kapınızın hemen önünde gizlenmiş güçlü bir düşmanınız var.") Biliyorum "aşırılık yanlısı" olumsuz görülebilir, ama bazen istenir. @MariusMatutiae, başladığım ve önceki yorumu bitirdiğim genel olumlu tonları fark etmediniz mi?
TOOGAM
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.