Чи мою мережу просто зламали?

Щось дуже дивне щойно сталося. Коротка історія, я зайшов до свого комп’ютера, і мені сказали, що доступ до цього ПК був заблокований. Тому я спробував перейти до 192.168.1.1, але це не спрацювало на заблокованому ПК. Тож я сідаю на свій планшет, переходжу до 192.168.1.1 і переходжу на підключені пристрої, і на моє здивування я бачу 21 випадковий пристрій із випадкових IP-адрес, які не є моїми. Тому наступним, про що я думав, було заблокувати всі випадкові пристрої. Але перед тим, як я збираюся заблокувати ці випадкові пристрої, мій планшетний ПК блокується з мережі. Тому я відключаю кабель Ethernet, який підключає мій маршрутизатор до мого модему, на всякий випадок, якщо я зламався так, що не вдалося підключитися до моєї мережі. Потім переходьте на останній планшет, який не заблокований, перейдіть до 192.168.1.1 і встановіть контроль доступу для автоматичного блокування будь-яких нових пристроїв, розблокуйте інший планшет і ПК, а потім підключіть мій кабель Ethernet до маршрутизатора. Тож тепер мені цікаво, що, до біса, щойно сталося, тому я переходжу до своїх журналів маршрутизатора, і я отримую це:

[Доступ до локальної мережі з віддаленого] з 88.180.30.194:60240 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:45:21
[адміністративний вхід] з джерела 192.168.1.9, субота, 28 листопада 2015 р. 10:45:21
[Доступ до локальної мережі з віддаленого] з 88.180.30.194:54493 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:45:21
[Доступ до локальної мережі з віддаленого доступу] від 105.101.68.216bilje1919 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:45:20
[Доступ до локальної мережі з віддаленого] з 88.180.30.194дзвіню4490 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:45:19
[Доступ до локальної мережі з віддаленого доступу] від 105.101.68.216:48389 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:45:18
[Доступ до локальної мережі з віддаленого] з 41.79.46.35:11736 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:42:49
[DoS Attack: SYN / ACK Scan] з джерела: 46.101.249.112, порт 80, субота, 28 листопада 2015 10:40:51
[Доступ до локальної мережі з віддаленого] з 90.204.246.68:26596 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:40:15
[Час синхронізовано з сервером NTP] Субота, 28 листопада 2015 р. 10:36:51
[Доступ до локальної мережі з віддаленого доступу] з 87.88.222.142:55756 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:36:38
[Доступ до локальної мережі з віддаленого доступу] з 87.88.222.142 управ .5939 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:36:38
[Доступ до локальної мережі з віддаленого доступу] від 111.221.77.154:20024 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:31:06
[адміністративний вхід] з джерела 192.168.1.9, субота, 28 листопада 2015 р. 10:23:53
[DoS Attack: Land Attack] з джерела: 255.255.255.255, порт 67, субота, 28 листопада 2015 10:23:44
[Контроль доступу] Пристрій ANDROID-EFB7EA92D8391DF6 з MAC адресою 00: 09: 4C: 3B: мережа, субота, 28 листопада 2015 10:23:25
[Доступ до локальної мережі з віддаленого доступу] з 78.14.179.231:61108 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:21:19
[Доступ до локальної мережі з віддаленого доступу] з 78.14.179.231:62967 до 192.168.1.9:63457, субота, 28 листопада 2015 р. 10:21:19
[UPnP set event: add_nat_rule] з джерела 192.168.1.9, субота, 28 листопада 2015 10:21:15
[Підключено до Інтернету] IP-адреса: (моя IP-адреса, субота, 28 листопада 2015 р. 10:21:05
[Інтернет відключений] субота, 28 листопада 2015 р. 10:20:25
[DHCP IP: 192.168.1.6] до MAC-адреси 14: 99: e2: 1c: a0: 19, субота, 28 листопада 2015 10:20:22
[DHCP IP: 192.168.1.6] до MAC-адреси 14: 99: e2: 1c: a0: 19, субота, 28 листопада 2015 10:20:21
[Контроль доступу] Пристрій SETHS-APPLE-TV з MAC-адресою 14: 99: E2: 1C: A0: 19 - це мережа, субота, 28 листопада 2015 10:20:20
[Контроль доступу] Пристрій ANDROID-EFB7EA92D8391DF6 з адресою MAC 00: 09: 4C: 3B: мережа, субота, 28 листопада 2015 10:20:19
[DHCP IP: 192.168.1.2] до MAC-адреси 14: 2d: 27: bb: 7d: 93, субота, 28 листопада 2015 10:20:06
[Контроль доступу] Пристрій MAIN-PC з MAC-адресою F8: 0F: 41: CD: AC: 0B дозволено в мережі, субота, 28 листопада 2015 10:20:01
[DHCP IP: 192.168.1.5] на адресу MAC 38: 0f: 4a: 4f: 60: 90, субота, 28 листопада 2015 р. 10:19:24
[Контроль доступу] Пристрій КОМП'ЮТЕР з MAC-адресою 38: 0F: 4A: 4F: 60: 90 дозволено в мережі, субота, 28 листопада 2015 10:19:23
[DHCP IP: 192.168.1.5] на адресу MAC 38: 0f: 4a: 4f: 60: 90, субота, 28 листопада 2015 р. 10:19:23
[адміністративний вхід] з джерела 192.168.1.7, субота, 28 листопада 2015 р. 10:19:22
[Контроль доступу] Пристрій ANDROID-EFB7EA92D8391DF6 з MAC адресою 00: 09: 4C: 3B: мережа, субота, 28 листопада 2015 10:19:11
[Контроль доступу] Пристрій CHROMECAST з MAC-адресою 6С: AD: F8: 7B: 46: 4A дозволено в мережі, субота, 28 листопада 2015 10:19:10
[DHCP IP: 192.168.1.8] до MAC-адреси 70: 73: cb: 78: 69: c6, субота, 28 листопада 2015 10:19:09
[Контроль доступу] Пристрій GABRIELLES-IPOD з MAC адресою 70: 73: CB: 78: 69: C6 - мережа, субота, 28 листопада 2015 10:19:09
[DHCP IP: 192.168.1.4] на адресу MAC 00: 09: 4c: 3b: 40: 54, субота, 28 листопада 2015 10:19:08
[DHCP IP: 192.168.1.3] на адресу MAC 6c: оголошення: f8: 7b: 46: 4a, субота, 28 листопада 2015 р. 10:19:08
[DHCP IP: 192.168.1.7] на адресу MAC 24: 24: 0e: 52: 8b: 41, субота, 28 листопада 2015 10:19:02
[Контроль доступу] Пристрій GABRIELLE з MAC-адресою 24: 24: 0E: 52: 8B: 41 є дозволеною мережею, субота, 28 листопада 2015 10:19:02
[DHCP IP: 192.168.1.2] на адресу MAC 14: 2d: 27: bb: 7d: 93, субота, 28 листопада 2015 10:18:53
[DHCP IP: 192.168.1.2] до адреси MAC 14: 2d: 27: bb: 7d: 93, субота, 28 листопада 2015 10:17:22
[Контроль доступу] Пристрій невідомий з MAC-адресою 14: 2D: 27: BB: 7D: 93 дозволено в мережі, субота, 28 листопада 2015 10:16:33
[Контроль доступу] Пристрій MAIN-PC з MAC-адресою F8: 0F: 41: CD: AC: 0B заблоковано мережу, субота, 28 листопада 2015 10:16:10
[DHCP IP: 192.168.1.2] до адреси MAC 14: 2d: 27: bb: 7d: 93, субота, 28 листопада 2015 10:15:42
[DHCP IP: 192.168.1.9] на MAC-адресу f8: 0f: 41: cd: ac: 0b, субота, 28 листопада 2015 10:15:37
[Ініціалізована версія версії прошивки: V1.0.0.58] Субота, 28 листопада 2015 р. 10:15:29

ось одна з невідомих IP-адрес, які я знайшов у журналі https://db-ip.com/88.180.30.194, і невідома mac-адреса 00: 09: 4C: 3B: 40: 54, і я зв’язав mac-адресу на цьому веб-сайті http://coweaver.tradekorea.com/

Якби хто-небудь міг сказати мені, що сталося, це було б приголомшливо :)

Так, швидше за все, це було зламано.

Знак сигналізації - це діапазон використовуваних портів: всі ОС використовують низькі порти (<близько 10 000) для прослуховування вхідних з'єднань, а високі порти (решта, але особливо ті, які перевищують 30 000) для вихідних з'єднань. Натомість ваш журнал відображає з'єднання між парами високих портів , а це означає, що не використовувався звичайний доступ до вашого ПК, ні telnet, ні ssh, ні http тощо. Натомість використання пар високих портів характерне для класичного дуету інструментів хакера, netcat та meterpreter .

Зокрема, цілком зрозуміло, що хакер залишив backdoor на ПК 192.168.1.9, слухаючи порт 63457, але він також здійснив деяку переадресацію портів, щоб дозволити з'єднанням з цим портом на цьому ПК переходити через ваш маршрутизатор. Тож хакер порушив і цей ПК, і ваш маршрутизатор. Є ще два докази цього в цих двох рядках,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Подивіться на часові позначки: протягом секунди хакер увійде в ПК 192.168.1.9, а потім від цього отримує доступ адміністратора до вашого маршрутизатора.

Кроки пом'якшення

1. Ви знаходитесь в тісному місці, бо у вас за воротами ховається потужний ворог. Вам слід залишатися відключеним, поки ви не вжили достатніх заходів для встановлення проти нього потужного бар'єру. Ризик тут полягає в тому, що, оскільки він знає, що його виявили, він продовжить зламати всі ваші машини, включаючи лінійний принтер (так, це можна зробити), і ви його ніколи не позбудетеся. Все це, поки у вас напевно є п'ята колонка у вашій локальній мережі, pc 192.168.1.9. Ми зробимо це покроково.

2. Купіть інший маршрутизатор іншої марки, можливо, той, який легко налаштовується брандмауером. Я використовую маршрутизатори Buffalo з попередньо встановленою DD-WRT, потужною ОС.

3. Відключіть ПК, визначений 192.168.1.9, і тримайте його вимкненим.

4. Замініть старий маршрутизатор, але ще не підключайте новий до Інтернету.

5. Налаштуйте його з вашої локальної мережі за допомогою будь-якого іншого ПК.

6. Зокрема, (ці інструкції для DD-WRT маршрутизатор дасть вам уявлення про те , що робити навіть в не-DD-WRT маршрутизатор), перейдіть на вкладку Служби, а також відключити телнет доступу і VNC повторювач, а також включити SyslogD.

7. Перейдіть на вкладку Адміністрація та відключіть усі кнопки в розділі Віддалений доступ . На вкладці Адміністрація змініть пароль на щось грізне, щось на зразок I_want_T0_k33p_all_Hacck3rs_0ut! (помилка орфографії навмисна). Ті, хто має технічну кмітливість, повинні ввімкнути вхід без паролів (в Сервісах-> Сервіси, Безпечна оболонка), тоді в розділі Адміністрація-> Управління, Веб-доступ вони повинні вимкнути httpта ввімкнути httpsлише так, щоб уникнути передачі паролів з чітким текстом; подробиці про те, як підключитися до маршрутизатора DD-WRT httpsможна знайти тут , для цього потрібне sshз'єднання, яке ми тільки що включили.

8. Тепер перейдіть до Адміністрації -> Команди та введіть наступне у область Команди:

     iptables  -A INPUT -s 88.180.30.194 -j DROP
     iptables  -A OUTPUT -d 88.180.30.194 -j DROP
     iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
     iptables -I INPUT -i $WAN_IFACE -DROP
   

   Тут $ WAN_IFACE - це ім'я NIC, підключеного до вашого провайдера, у моїй системі це було б vlan2, але вам краще перевірити свою систему. Перші два правила повністю вимкнули одну з IP-адрес, з яких надійшло незаконне підключення до вашого ПК 192.168.1.9. Ви можете додати інші подібні правила, щоб вимкнути також 105.101.68.216 і т. Д. Третє правило дозволяє вводити, що є продовженням розпочатих вами з'єднань , тобто, мабуть, законних з'єднань. Четверте правило виключає все інше.

   Натисніть Зберегти брандмауер , і ви закінчите.

9. Тепер залиште маршрутизатор увімкненим, але відключеним від Інтернету приблизно на добу, і подивіться, чи намагається хтось із ПК, крім 192.168.1.9, зв’язатися з дивними IP-адресами. Законні компанії, як Microsoft або Apple, Akamai або Sony, не розраховуйте, але споживчі рахунки в Алжирі, Бурунді, Франції, Німеччини, Сінгапурі, Великобританії (здаються джерел з'єднань в журналі вище) роблять . Якщо є такі спроби, зніміть початковий ПК в автономному режимі, вимкніть його та піддайте лікуванню на етапі 11.

10. Тепер ви можете підключити новий маршрутизатор до Інтернету.

11. Тепер візьміть (вимкнено!) ПК 192.168.1.9 і принесіть його в інше місце, тобто не у себе вдома. Увімкніть його або запустіть усі антивірусні тести, доступні людству, або, ще краще, перевстановіть операційну систему.

12. Щодня перевіряйте системний журнал вашого абсолютно нового маршрутизатора, щоб переконатися, що більше немає вищезгаданих з'єднань: завжди є можливість того, що хакер проник у інші системи у вашому домі. Як тільки ви побачите сліди цього, повторіть описані вище дії для зламаного ПК, а коли заражений ПК вимкнений, змініть пароль маршрутизатора.

13. Ви можете кинути старий роутер або, ще краще, вирішити, що це цікавий проект, встановивши на нього DD-WRT. Ви можете дізнатися тут, чи можливо це. Якщо це так, то це весело, і ви також отримаєте новий, безпечний, потужний маршрутизатор, із купи сміття, який це сьогодні.

14. У якийсь момент у майбутньому вам слід навчитися правильно налаштовувати брандмауер iptablesта як налаштувати безросійне ssh-з'єднання до маршрутизатора, що дозволить вам повністю відключити вхід пароля (дивіться тут короткий опис того, як це зробити це). Але ці речі можуть почекати.

Ви повинні бути щасливими: ваш хакер, незважаючи на те, що проник у ваш маршрутизатор, був недостатньо налаштований, щоб залишити системний журнал на місці, що врешті-решт призвело до його виявлення. Можливо, вам не пощастить наступного разу.