Моя сеть была взломана?

Нечто очень странное только что произошло. Короче говоря, я пошел к своему компьютеру, и он сказал мне, что доступ к этому компьютеру заблокирован. Поэтому я попытался перейти на 192.168.1.1, но на заблокированном ПК это не сработало. Итак, я захожу на свой планшет, захожу на 192.168.1.1 и захожу на подключенные устройства, и, к моему удивлению, я вижу 21 случайное устройство со случайных IP-адресов, которые не являются моими. Поэтому следующее, о чем я подумал, - заблокировать все случайные устройства. Но прямо перед тем, как я собираюсь заблокировать эти случайные устройства, мой планшет заблокирован из сети. Поэтому я отсоединяю кабель Ethernet, который соединяет мой маршрутизатор с моим модемом, на случай, если меня взломали, чтобы я не смог подключиться к моей сети. Затем я запрыгиваю на свой последний планшет, который не заблокирован, перехожу на 192.168.1.1 и устанавливаю контроль доступа для автоматической блокировки любых новых устройств, разблокируйте другой планшет и компьютер, а затем снова подключите кабель Ethernet к маршрутизатору. Итак, теперь мне интересно, что, черт возьми, только что произошло, поэтому я захожу в журналы моего маршрутизатора, и я получаю это:

[Доступ по локальной сети удаленно] с 88.180.30.194:60240 по 192.168.1.9:63457, суббота, 28 ноября 2015 г. 10:45:21
[admin login] из источника 192.168.1.9, суббота, 28 ноября 2015 г. 10:45:21
[Доступ по локальной сети удаленно] с 88.180.30.194:54493 по 192.168.1.9:63457, суббота, 28 ноября 2015 г. 10:45:21
[Доступ по локальной сети удаленно] с 105.101.68.216:51919 по 192.168.1.9:63457, суббота, 28 ноября 2015 г., 10:45:20.
[Доступ по локальной сети удаленно] с 88.180.30.194:54490 по 192.168.1.9:63457, суббота, 28 ноября 2015 г. 10:45:19
[Доступ по локальной сети удаленно] с 105.101.68.216:48389 по 192.168.1.9:63457, суббота, 28 ноября 2015 г., 10:45:18.
[Доступ по локальной сети удаленно] с 41.79.46.35:11736 по 192.168.1.9:63457, суббота, 28 ноября 2015 г., 10:42:49.
[DoS Attack: SYN / ACK Scan] из источника: 46.101.249.112, порт 80, суббота, 28 ноября 2015 г. 10:40:51
[Доступ по локальной сети удаленно] с 90.204.246.68:26596 по 192.168.1.9:63457, суббота, 28 ноября 2015 г., 10:40:15
[Время синхронизировано с NTP-сервером] Суббота, 28 ноября 2015 г. 10:36:51
[Доступ по локальной сети удаленно] с 87.88.222.142:55756 по 192.168.1.9:63457, суббота, 28 ноября 2015 г. 10:36:38
[Доступ по локальной сети удаленно] с 87.88.222.142:35939 по 192.168.1.9:63457, суббота, 28 ноября 2015 г. 10:36:38
[Доступ по локальной сети удаленно] с 111.221.77.154:40024 до 192.168.1.9:63457, суббота, 28 ноября 2015 г. 10:31:06
[admin login] из источника 192.168.1.9, суббота, 28 ноября 2015 г. 10:23:53
[DoS Attack: Land Attack] из источника: 255.255.255.255, порт 67, суббота, 28 ноября 2015 г. 10:23:44
[Контроль доступа] Устройство ANDROID-EFB7EA92D8391DF6 с MAC-адресом 00: 09: 4C: 3B: сеть, суббота, 28 ноября 2015 г. 10:23:25
[Доступ по локальной сети удаленно] с 78.14.179.231:61108 по 192.168.1.9:63457, суббота, 28 ноября 2015 г. 10:21:19
[Доступ по локальной сети удаленно] с 78.14.179.231:62967 по 192.168.1.9:63457, суббота, 28 ноября 2015 г. 10:21:19
[UPnP set event: add_nat_rule] из источника 192.168.1.9, суббота, 28 ноября 2015 г. 10:21:15
[Интернет подключен] IP-адрес: (мой IP-адрес, суббота, 28 ноября 2015 г. 10:21:05
[Интернет отключен] Суббота, 28 ноября 2015 г. 10:20:25
[DHCP IP: 192.168.1.6] по MAC-адресу 14: 99: e2: 1c: a0: 19, суббота, 28 ноября 2015 г., 10:20:22
[DHCP IP: 192.168.1.6] по MAC-адресу 14: 99: e2: 1c: a0: 19, суббота, 28 ноября 2015 г. 10:20:21
[Контроль доступа] Устройство SETHS-APPLE-TV с MAC-адресом 14: 99: E2: 1C: A0: 19 является сетью, суббота, 28 ноября 2015 г. 10:20:20
[Контроль доступа] Устройство ANDROID-EFB7EA92D8391DF6 с MAC-адресом 00: 09: 4C: 3B: сеть, суббота, 28 ноября 2015 г. 10:20:19
[DHCP IP: 192.168.1.2] на MAC-адрес 14: 2d: 27: bb: 7d: 93, суббота, 28 ноября 2015 г. 10:20:06
[Контроль доступа] Устройство MAIN-PC с MAC-адресом F8: 0F: 41: CD: AC: 0B разрешено в сети, суббота, 28 ноября 2015 г. 10:20:01
[DHCP IP: 192.168.1.5] по MAC-адресу 38: 0f: 4a: 4f: 60: 90, суббота, 28 ноября 2015 г. 10:19:24
[Контроль доступа] Устройство COMPUTER с MAC-адресом 38: 0F: 4A: 4F: 60: 90 разрешено в сети, суббота, 28 ноября 2015 г. 10:19:23
[DHCP IP: 192.168.1.5] по MAC-адресу 38: 0f: 4a: 4f: 60: 90, суббота, 28 ноября 2015 г. 10:19:23
[admin login] из источника 192.168.1.7, суббота, 28 ноября 2015 г. 10:19:22
[Контроль доступа] Устройство ANDROID-EFB7EA92D8391DF6 с MAC-адресом 00: 09: 4C: 3B: сеть, суббота, 28 ноября 2015 г. 10:19:11
[Контроль доступа] Устройство CHROMECAST с MAC-адресом 6C: AD: F8: 7B: 46: 4A является разрешением сети, суббота, 28 ноября 2015 г. 10:19:10
[DHCP IP: 192.168.1.8] по MAC-адресу 70: 73: cb: 78: 69: c6, суббота, 28 ноября 2015 г. 10:19:09
[Контроль доступа] Устройство GABRIELLES-IPOD с MAC-адресом 70: 73: CB: 78: 69: C6 - это сеть, суббота, 28 ноября 2015 г. 10:19:09
[DHCP IP: 192.168.1.4] по MAC-адресу 00: 09: 4c: 3b: 40: 54, суббота, 28 ноября 2015 г. 10:19:08
[DHCP IP: 192.168.1.3] по MAC-адресу 6c: объявление: f8: 7b: 46: 4a, суббота, 28 ноября 2015 г. 10:19:08
[DHCP IP: 192.168.1.7] на MAC-адрес 24: 24: 0e: 52: 8b: 41, суббота, 28 ноября 2015 г. 10:19:02
[Контроль доступа] Устройство GABRIELLE с MAC-адресом 24: 24: 0E: 52: 8B: 41 разрешено в сети, суббота, 28 ноября 2015 г. 10:19:02
[DHCP IP: 192.168.1.2] на MAC-адрес 14: 2d: 27: bb: 7d: 93, суббота, 28 ноября 2015 г. 10:18:53
[DHCP IP: 192.168.1.2] на MAC-адрес 14: 2d: 27: bb: 7d: 93, суббота, 28 ноября 2015 г. 10:17:22
[Контроль доступа] Устройство неизвестно с MAC-адресом 14: 2D: 27: BB: 7D: 93 разрешена сеть, суббота, 28 ноября 2015 г. 10:16:33
[Контроль доступа] Устройство MAIN-PC с MAC-адресом F8: 0F: 41: CD: AC: 0B заблокировано в сети, суббота, 28 ноября 2015 г. 10:16:10
[DHCP IP: 192.168.1.2] на MAC-адрес 14: 2d: 27: bb: 7d: 93, суббота, 28 ноября 2015 г. 10:15:42
[DHCP IP: 192.168.1.9] по MAC-адресу f8: 0f: 41: cd: ac: 0b, суббота, 28 ноября 2015 г. 10:15:37
[Инициализировано, версия прошивки: V1.0.0.58] Суббота, 28 ноября 2015 г. 10:15:29

вот один из неизвестных IP-адресов, которые я нашел в журнале https://db-ip.com/88.180.30.194, и неизвестный mac-адрес 00: 09: 4C: 3B: 40: 54, и я связал этот MAC-адрес с этим сайтом http://coweaver.tradekorea.com/

Если бы кто-нибудь мог сказать мне, что случилось, это было бы здорово :)

Да, скорее всего это было взломано.

Контрольный знак - это диапазон используемых портов: все операционные системы используют низкие порты (<около 10000) для прослушивания входящих подключений и высокие порты (оставшиеся, но особенно более 30 000) для исходящих подключений. Вместо этого в вашем журнале отображаются соединения между парами портов высокого уровня , что означает, что не использовался обычный доступ к вашему компьютеру, нет telnet, нет ssh, нет http и так далее. Вместо этого использование пар высоких портов типично для классического хакерского инструмента duo, netcat и meterpreter .

В частности, совершенно очевидно, что хакер оставил бэкдор на ПК 192.168.1.9, прослушивая порт 63457, но он также сделал некоторую переадресацию портов, чтобы позволить соединениям с этим портом на этом компьютере проходить через ваш маршрутизатор. Таким образом, хакер нарушил и этот компьютер, и ваш роутер. В этих двух строках есть еще одно доказательство:

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Посмотрите на отметки времени: в течение секунды хакер входит в систему ПК 192.168.1.9, а затем получает доступ администратора к вашему маршрутизатору.

Меры по смягчению

1. Вы в затруднительном положении, потому что прямо за вашей дверью скрывается могущественный враг. Вы должны оставаться отключенным, пока не примете достаточных мер, чтобы возвести против него мощный барьер. Риск здесь заключается в том, что, поскольку он знает, что его обнаружили, он продолжит взламывать все ваши машины, включая линейный принтер (да, это можно сделать), и вы никогда не избавитесь от него. Все это, пока у вас в локальной сети есть пятая колонка, pc 192.168.1.9. Мы сделаем это по одному шагу за раз.

2. Купите другой маршрутизатор другой марки, возможно, с легко настраиваемым межсетевым экраном. Я использую маршрутизаторы Buffalo с предустановленной DD-WRT, мощной ОС.

3. Отключите компьютер, указанный в 192.168.1.9, и держите его выключенным.

4. Замените старый маршрутизатор, но пока не подключайте новый к Интернету.

5. Настройте его из вашей локальной сети с любым другим компьютером.

6. В частности (эти инструкции для маршрутизатора DD-WRT помогут вам понять, что делать даже в маршрутизаторе, отличном от DD-WRT), перейдите на вкладку «Службы», отключите доступ через telnet и повторитель VNC и включите syslogd.

7. Перейдите на вкладку «Администрирование» и отключите все кнопки в разделе « Удаленный доступ» . Все еще на вкладке «Администрирование» измените пароль на что-то грозное, что-то вроде I_want_T0_k33p_all_Hacck3rs_0ut! (орфографическая ошибка преднамеренная). Те, кто технически подкован, должны разрешить вход без пароля (в Сервисах-> Сервисы, Secure Shell), затем в разделе Администрирование-> Управление, Веб-доступ они должны отключить httpи включить httpsтолько, чтобы предотвратить передачу паролей в открытом виде; подробности о том, как подключиться к маршрутизатору DD-WRT через, httpsможно найти здесь , для этого требуется только что sshподключенное соединение.

8. Теперь перейдите в Администрирование -> Команды и введите следующее в область Команды:

     iptables  -A INPUT -s 88.180.30.194 -j DROP
     iptables  -A OUTPUT -d 88.180.30.194 -j DROP
     iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
     iptables -I INPUT -i $WAN_IFACE -DROP
   

   Здесь $ WAN_IFACE - это имя сетевого адаптера, подключенного к вашему интернет-провайдеру, в моей системе это будет vlan2, но вам лучше проверить свою систему. Первые два правила полностью исключают один из IP-адресов, с которых произошли недопустимые подключения к вашему компьютеру 192.168.1.9. Вы можете добавить другие подобные правила, чтобы исключить также 105.101.68.216 и т. Д. Третье правило допускает ввод, который является продолжением начатых вами соединений , то есть предположительно законных соединений. Четвертое правило закрывает все остальное.

   Нажмите Сохранить брандмауэр , и все готово.

9. Теперь оставьте маршрутизатор включенным, но отключенным от Интернета, примерно на день, и посмотрите, пытается ли какой-либо компьютер, кроме 192.168.1.9, связаться со странными IP-адресами. Законные компании, как Microsoft или Apple, Akamai или Sony, не рассчитывайте, но потребительские счета в Алжире, Бурунди, Франции, Германии, Сингапуре, Великобритании (кажущихся источников соединений в журнале выше) делают . Если есть такие попытки, переведите исходный компьютер в автономный режим, выключите его и выполните процедуру, описанную в шаге 11.

10. Теперь вы можете подключить новый маршрутизатор к Интернету.

11. Теперь возьмите свой (выключенный!) Компьютер 192.168.1.9 и принесите его в другое место, т.е. не у себя дома. Включите его и либо запустите все антивирусные тесты, доступные человечеству, либо, что еще лучше, переустановите операционную систему.

12. Ежедневно в течение некоторого времени проверяйте системный журнал вашего совершенно нового маршрутизатора, чтобы убедиться, что больше нет подключений такого рода: всегда существует вероятность того, что хакер проник в другие системы в вашем доме. Как только вы увидите следы этого, повторите описанные выше шаги для взломанного компьютера, а когда зараженный компьютер отключен, измените пароль маршрутизатора.

13. Вы можете сбросить старый маршрутизатор или, что еще лучше, решить, что это забавный проект, устанавливающий на него DD-WRT. Вы можете узнать здесь , возможно ли это. Если это так, то это будет забавно, и вы также получите новый, безопасный, мощный маршрутизатор из груды мусора, которым он является сегодня.

14. В какой-то момент в будущем вам следует научиться правильно настраивать брандмауэр iptablesи настраивать ssh-соединение без пароля с маршрутизатором, что позволит вам полностью отключить вход в систему с помощью пароля ( здесь приведено краткое описание того, как это сделать). Это). Но эти вещи могут подождать.

Вы должны быть счастливы: ваш хакер, несмотря на то, что проник в ваш маршрутизатор, был достаточно рассеян, чтобы оставить системный журнал на месте, что в конечном итоге привело к его обнаружению. Возможно, вам не так повезет в следующий раз.