¿Mi red acaba de ser hackeada?

18

Algo muy extraño acaba de suceder. En pocas palabras, entré a mi computadora y me dijo que el acceso estaba bloqueado a esta PC. Así que intenté ir a 192.168.1.1, pero no funcionó en mi PC bloqueada. Así que entro en mi tableta, voy a 192.168.1.1 y voy a los dispositivos conectados, y para mi sorpresa veo 21 dispositivos aleatorios de direcciones IP aleatorias que no son mías. Así que lo siguiente que pensé fue bloquear todos los dispositivos aleatorios. Pero justo antes de bloquear estos dispositivos aleatorios, mi tableta se bloquea de la red. Así que desconecto el cable Ethernet que conecta mi enrutador a mi módem, en caso de que me piratearan para que no pudiera conectarse a mi red. Luego me subo a mi última tableta que no está bloqueada, voy a 192.168.1.1 y configuro el control de acceso para bloquear automáticamente cualquier dispositivo nuevo, desbloquear mi otra tableta y PC y luego conectar mi cable Ethernet nuevamente a mi enrutador. Así que ahora me pregunto qué diablos pasó, así que voy a los registros de mi enrutador y obtengo esto:

[Acceso LAN desde remoto] desde 88.180.30.194:60240 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:45:21
[inicio de sesión de administrador] de la fuente 192.168.1.9, sábado 28 de noviembre de 2015 10:45:21
[Acceso LAN desde remoto] desde 88.180.30.194:54493 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:45:21
[Acceso LAN desde remoto] desde 105.101.68.216:51919 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:45:20
[Acceso LAN desde remoto] desde 88.180.30.194:54490 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:45:19
[Acceso LAN desde remoto] desde 105.101.68.216:48389 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:45:18
[Acceso LAN desde remoto] desde 41.79.46.35:11736 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:42:49
[DoS Attack: SYN / ACK Scan] de la fuente: 46.101.249.112, puerto 80, sábado 28 de noviembre de 2015 10:40:51
[Acceso LAN desde remoto] desde 90.204.246.68:26596 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:40:15
[Hora sincronizada con el servidor NTP] Sábado 28 de noviembre de 2015 10:36:51
[Acceso LAN desde remoto] desde 87.88.222.142:55756 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:36:38
[Acceso LAN desde remoto] desde 87.88.222.142:35939 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:36:38
[Acceso LAN desde remoto] desde 111.221.77.154:40024 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:31:06
[inicio de sesión de administrador] de la fuente 192.168.1.9, sábado 28 de noviembre de 2015 10:23:53
[DoS Attack: Land Attack] de la fuente: 255.255.255.255, puerto 67, sábado 28 de noviembre de 2015 10:23:44
[Control de acceso] Dispositivo ANDROID-EFB7EA92D8391DF6 con dirección MAC 00: 09: 4C: 3B: la red, sábado 28 de noviembre de 2015 10:23:25
[Acceso LAN desde remoto] desde 78.14.179.231:61108 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:21:19
[Acceso LAN desde remoto] desde 78.14.179.231:62967 a 192.168.1.9:63457, sábado 28 de noviembre de 2015 10:21:19
[UPnP set event: add_nat_rule] de la fuente 192.168.1.9, sábado 28 de noviembre de 2015 10:21:15
[Conexión a Internet] Dirección IP: (mi dirección IP, sábado 28 de noviembre de 2015 10:21:05
[Internet desconectado] Sábado 28 de noviembre de 2015 10:20:25
[DHCP IP: 192.168.1.6] a la dirección MAC 14: 99: e2: 1c: a0: 19, sábado 28 de noviembre de 2015 10:20:22
[DHCP IP: 192.168.1.6] a la dirección MAC 14: 99: e2: 1c: a0: 19, sábado 28 de noviembre de 2015 10:20:21
[Control de acceso] Dispositivo SETHS-APPLE-TV con dirección MAC 14: 99: E2: 1C: A0: 19 es una red, sábado 28 de noviembre de 2015 10:20:20
[Control de acceso] Dispositivo ANDROID-EFB7EA92D8391DF6 con dirección MAC 00: 09: 4C: 3B: la red, sábado 28 de noviembre de 2015 10:20:19
[DHCP IP: 192.168.1.2] a la dirección MAC 14: 2d: 27: bb: 7d: 93, sábado 28 de noviembre de 2015 10:20:06
[Control de acceso] Dispositivo MAIN-PC con dirección MAC F8: 0F: 41: CD: AC: 0B se permite la red, sábado 28 de noviembre de 2015 10:20:01
[DHCP IP: 192.168.1.5] a la dirección MAC 38: 0f: 4a: 4f: 60: 90, sábado 28 de noviembre de 2015 10:19:24
[Control de acceso] Dispositivo ORDENADOR con dirección MAC 38: 0F: 4A: 4F: 60: 90 se permite la red, sábado 28 de noviembre de 2015 10:19:23
[DHCP IP: 192.168.1.5] a la dirección MAC 38: 0f: 4a: 4f: 60: 90, sábado 28 de noviembre de 2015 10:19:23
[inicio de sesión de administrador] de la fuente 192.168.1.7, sábado 28 de noviembre de 2015 10:19:22
[Control de acceso] Dispositivo ANDROID-EFB7EA92D8391DF6 con dirección MAC 00: 09: 4C: 3B: la red, sábado 28 de noviembre de 2015 10:19:11
[Control de acceso] El dispositivo CHROMECAST con dirección MAC 6C: AD: F8: 7B: 46: 4A permite la red, sábado 28 de noviembre de 2015 10:19:10
[DHCP IP: 192.168.1.8] a la dirección MAC 70: 73: cb: 78: 69: c6, sábado 28 de noviembre de 2015 10:19:09
[Control de acceso] Dispositivo GABRIELLES-IPOD con dirección MAC 70: 73: CB: 78: 69: C6 es la red, sábado 28 de noviembre de 2015 10:19:09
[DHCP IP: 192.168.1.4] a la dirección MAC 00: 09: 4c: 3b: 40: 54, sábado 28 de noviembre de 2015 10:19:08
[DHCP IP: 192.168.1.3] a la dirección MAC 6c: anuncio: f8: 7b: 46: 4a, sábado 28 de noviembre de 2015 10:19:08
[DHCP IP: 192.168.1.7] a la dirección MAC 24: 24: 0e: 52: 8b: 41, sábado 28 de noviembre de 2015 10:19:02
[Control de acceso] El dispositivo GABRIELLE con dirección MAC 24: 24: 0E: 52: 8B: 41 permite la red, sábado 28 de noviembre de 2015 10:19:02
[DHCP IP: 192.168.1.2] a la dirección MAC 14: 2d: 27: bb: 7d: 93, sábado 28 de noviembre de 2015 10:18:53
[DHCP IP: 192.168.1.2] a la dirección MAC 14: 2d: 27: bb: 7d: 93, sábado 28 de noviembre de 2015 10:17:22
[Control de acceso] Dispositivo desconocido con dirección MAC 14: 2D: 27: BB: 7D: 93 se permite la red, sábado 28 de noviembre de 2015 10:16:33
[Control de acceso] Dispositivo MAIN-PC con dirección MAC F8: 0F: 41: CD: AC: 0B está bloqueado la red, sábado 28 de noviembre de 2015 10:16:10
[DHCP IP: 192.168.1.2] a la dirección MAC 14: 2d: 27: bb: 7d: 93, sábado 28 de noviembre de 2015 10:15:42
[DHCP IP: 192.168.1.9] a la dirección MAC f8: 0f: 41: cd: ac: 0b, sábado 28 de noviembre de 2015 10:15:37
[Inicializado, versión de firmware: V1.0.0.58] Sábado 28 de noviembre de 2015 10:15:29

aquí hay una de las direcciones IP desconocidas que encontré en el registro https://db-ip.com/88.180.30.194 y una dirección mac desconocida 00: 09: 4C: 3B: 40: 54 y vinculé la dirección mac a este sitio web http://coweaver.tradekorea.com/

Si alguien pudiera decirme qué pasó, eso sería increíble :)

Mrseth101
fuente

Respuestas:

30

Sí, muy probablemente fue pirateado.

El signo revelador es el rango de puertos utilizados: todos los sistemas operativos usan puertos bajos (<aproximadamente 10,000) para escuchar las conexiones entrantes, y los puertos altos (los restantes, pero especialmente aquellos por encima de 30,000) para las conexiones salientes. En cambio, su registro muestra conexiones entre pares de puertos altos , lo que significa que no se utilizó acceso convencional a su PC, ni telnet, ni ssh, ni http, etc. En cambio, el uso de pares de puertos altos es típico de un dúo clásico de herramientas de hackers, netcat y meterpreter .

En particular, está muy claro que el pirata informático dejó una puerta trasera en la PC 192.168.1.9 escuchando en el puerto 63457, pero también realizó un reenvío de puertos para permitir que las conexiones a este puerto en esta PC pasen a través de su enrutador. Así que el hacker violó tanto esta PC y el router. Hay más pruebas de esto en estas dos líneas,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Mire las marcas de tiempo: en un segundo, el pirata informático inicia sesión en la PC 192.168.1.9 y luego obtiene acceso de administrador a su enrutador.

Pasos de mitigación

  1. Estás en una situación difícil, porque tienes un enemigo poderoso al acecho justo afuera de tu puerta. Debes permanecer desconectado hasta que hayas tomado suficientes medidas para erigir contra él una poderosa barrera. El riesgo aquí es que, dado que sabe que ha sido descubierto, procederá a hackear todas sus máquinas, incluida la impresora de línea (sí, se puede hacer), y nunca se deshará de él. Todo esto mientras que seguramente tiene una quinta columna en su LAN, pc 192.168.1.9. Lo haremos paso a paso.

  2. Compre otro enrutador, de una marca diferente, posiblemente uno con un firewall fácilmente configurable. Uso los enrutadores Buffalo con DD-WRT preinstalado, un potente sistema operativo.

  3. Desconecte la PC identificada por 192.168.1.9 y manténgala apagada.

  4. Reemplace el enrutador anterior pero no conecte el nuevo a Internet todavía.

  5. Configúrelo desde su LAN con cualquier otra PC.

  6. En particular, (estas instrucciones para un enrutador DD-WRT le darán una idea de qué hacer incluso en el enrutador que no sea DD-WRT), vaya a la pestaña Servicios, desactive el acceso telnet y el repetidor VNC, y active syslogd.

  7. Vaya a la pestaña Administración y desactive todos los botones en Acceso remoto . Todavía en la pestaña Administración, cambie la contraseña a algo formidable, algo como I_want_T0_k33p_all_Hacck3rs_0ut. (El error de ortografía es deliberado). Aquellos que tienen conocimientos técnicos deben habilitar el inicio de sesión sin contraseña (en Servicios-> Servicios, Secure Shell), luego, en Administración-> Administración, Acceso web, deben deshabilitar httpy habilitar httpssolo, para evitar pasar contraseñas de texto sin cifrar; los detalles sobre cómo conectarse a un enrutador DD-WRT httpsse pueden encontrar aquí , requiere la sshconexión que acabamos de habilitar.

  8. Ahora vaya a Administración -> Comandos, y escriba lo siguiente en el área Comandos:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
      iptables  -A OUTPUT -d 88.180.30.194 -j DROP
      iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      iptables -I INPUT -i $WAN_IFACE -DROP
    

    Aquí $ WAN_IFACE es el nombre de la NIC conectada a su ISP, en mi sistema lo sería vlan2, pero será mejor que compruebe su sistema. Las dos primeras reglas bloquearon por completo una de las direcciones IP de las cuales provienen las conexiones ilegales a su PC 192.168.1.9. Es posible que desee agregar otras reglas similares para excluir también 105.101.68.216 y así sucesivamente. La tercera regla permite la entrada que es una continuación de las conexiones iniciadas por usted , es decir , presumiblemente conexiones legales. La cuarta regla excluye todo lo demás.

    Presiona Guardar firewall y listo.

  9. Ahora deje el enrutador encendido pero desconectado de Internet durante aproximadamente un día, y vea si alguna PC que no sea 192.168.1.9 intenta contactar direcciones IP extrañas. Las compañías legítimas, como Microsoft o Apple, Akamai o Sony, no cuentan, pero las cuentas de consumidores en Argelia, Burundi, Francia, Alemania, Singapur, Reino Unido (las fuentes aparentes de las conexiones en el registro anterior) . Si hay tales intentos, desconecte la PC de origen, apáguela y suéltela al tratamiento del Paso 11.

  10. Ahora puede conectar el nuevo enrutador a Internet.

  11. Ahora tome su PC (apagada) 192.168.1.9 y llévela a otro lugar, es decir , no a su casa. Enciéndalo y ejecute todas las pruebas antivirus disponibles para la humanidad o, mejor aún, reinstale el sistema operativo.

  12. Revise el registro del sistema de su nuevo enrutador diariamente, durante algún tiempo, para asegurarse de que no haya más conexiones del tipo anterior: siempre existe la posibilidad de que el pirata informático se infiltre en otros sistemas en su hogar. Tan pronto como vea rastros de esto, repita los pasos anteriores para la PC pirateada, y cuando la PC infectada esté fuera de línea, cambie la contraseña del enrutador.

  13. Puede tirar el antiguo enrutador o, mejor aún, decidir que es un proyecto divertido instalar DD-WRT en él. Puede averiguar aquí si eso es posible. Si es así, entonces es divertido, y también obtendrías un enrutador nuevo, seguro y potente, del montón de basura que es hoy.

  14. En algún momento en el futuro, debe aprender a configurar el cortafuegos, iptablescorrectamente, y cómo configurar la conexión ssh sin contraseña al enrutador, lo que le permitirá deshabilitar por completo el inicio de sesión con contraseña (consulte aquí para obtener una breve descripción de cómo hacerlo eso). Pero estas cosas pueden esperar.

Debería estar contento: su pirata informático, a pesar de haber penetrado en su enrutador, estaba lo suficientemente distraído como para dejar el registro del sistema en su lugar, lo que finalmente lo llevó a su detección. Puede que no tengas tanta suerte la próxima vez.

MariusMatutiae
fuente
Lo siento, solo tengo un voto para dar a esta respuesta ... (pero parcheé de alguna manera;))
Hastur
1
@Hastur Así que también voté por la pregunta: p
RogUE
Esta respuesta bien hecha comienza a sonar bastante extremista (especialmente la primera oración del punto número uno). Sin embargo, es exacto: estoy totalmente de acuerdo.
TOOGAM
es desafortunado ... pensé que capturaba perfectamente la terrible realidad, y efectivamente comuniqué lo importante que es tener cuidado. ("Estás en una situación difícil, porque tienes un enemigo poderoso al acecho justo afuera de tu puerta"). Sé que "extremista" puede verse negativamente, pero a veces es necesario. ¿Usted, @MariusMatutiae, no notó los matices positivos generales con los que comencé y terminé el comentario anterior?
TOOGAM