เครือข่ายของฉันเพิ่งถูกแฮ็กหรือไม่

18

มีบางอย่างแปลก ๆ เกิดขึ้น เรื่องสั้นสั้นฉันไปที่คอมพิวเตอร์ของฉันและมันบอกฉันว่าการเข้าถึงถูกบล็อกไปยังพีซีเครื่องนี้ ดังนั้นฉันจึงพยายามไปที่ 192.168.1.1 แต่มันไม่ทำงานบนพีซีที่ถูกบล็อก ดังนั้นฉันจึงไปที่แท็บเล็ตของฉันไปที่ 192.168.1.1 และไปที่อุปกรณ์ต่อพ่วงและด้วยความประหลาดใจของฉันฉันเห็น 21 อุปกรณ์สุ่มจากที่อยู่ IP แบบสุ่มที่ไม่ใช่ของฉัน ดังนั้นฉันคิดว่าต่อไปคือการปิดกั้นอุปกรณ์สุ่มทั้งหมด แต่ก่อนที่ฉันจะปิดกั้นอุปกรณ์สุ่มเหล่านี้แท็บเล็ตของฉันจะถูกบล็อกจากเครือข่าย ดังนั้นฉันจึงถอดสายเคเบิลอีเธอร์เน็ตที่เชื่อมต่อเราเตอร์ของฉันกับโมเด็มของฉันในกรณีที่ฉันถูกแฮ็กเพื่อที่จะไม่สามารถเชื่อมต่อกับเครือข่ายของฉันได้ จากนั้นฉันก็กระโดดแท็บเล็ตตัวสุดท้ายที่ไม่ได้ถูกบล็อคไปที่ 192.168.1.1 และตั้งค่าการควบคุมการเข้าถึงเพื่อบล็อคอุปกรณ์ใหม่โดยอัตโนมัติ ปลดบล็อคแท็บเล็ตและพีซีอื่นของฉันจากนั้นเชื่อมต่อสายเคเบิลอีเทอร์เน็ตของฉันกลับไปที่เราเตอร์ของฉัน ดังนั้นตอนนี้ฉันสงสัยว่าเกิดอะไรขึ้นห่าฉันจึงไปที่บันทึกของเราเตอร์และฉันได้สิ่งนี้:

[การเข้าถึง LAN จากระยะไกล] จาก 88.180.30.194:60240 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:45:21
[เข้าสู่ระบบผู้ดูแลระบบ] จากแหล่งที่มา 192.168.1.9, เสาร์, พฤศจิกายน 28, 2015 10:45:21
[การเข้าถึง LAN จากระยะไกล] จาก 88.180.30.194:54493 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:45:21
[การเข้าถึง LAN จากระยะไกล] จาก 105.101.68.216/51919 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:45:20
[การเข้าถึง LAN จากระยะไกล] จาก 88.180.30.194/54490 ถึง 192.168.1.9:63457, วันเสาร์ที่ 28 พฤศจิกายน 2558 10:45:19
[การเข้าถึง LAN จากระยะไกล] จาก 105.101.68.216:48389 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:45:18
[การเข้าถึง LAN จากระยะไกล] จาก 41.79.46.35:11736 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:42:49
[การโจมตี DoS: การสแกน SYN / ACK] จากแหล่งที่มา: 46.101.249.112, พอร์ต 80, วันเสาร์, 28 พฤศจิกายน 2558 10:40:51
[การเข้าถึง LAN จากระยะไกล] จาก 90.204.246.68:26596 ถึง 192.168.1.9:63457, วันเสาร์ที่ 28 พฤศจิกายน 2558 10:40:15
[เวลาที่ซิงโครไนซ์กับเซิร์ฟเวอร์ NTP] วันเสาร์ที่ 28 พฤศจิกายน 2558 เวลา 10:36:51 น
[การเข้าถึง LAN จากระยะไกล] จาก 87.88.222.142:55756 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:36:38
[การเข้าถึง LAN จากระยะไกล] จาก 87.88.222.142:35939 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:36:38
[การเข้าถึง LAN จากระยะไกล] จาก 111.221.77.154:40024 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:31:06
[เข้าสู่ระบบผู้ดูแลระบบ] จากแหล่งที่มา 192.168.1.9, เสาร์, พฤศจิกายน 28, 2015 10:23:53
[DoS Attack: Land Attack] จากแหล่งที่มา: 255.255.255.255, พอร์ต 67, วันเสาร์, 28 พฤศจิกายน 2558 10:23:44
[การควบคุมการเข้าถึง] อุปกรณ์ ANDROID-EFB7EA92D8391DF6 พร้อมที่อยู่ MAC 00: 09: 4C: 3B: เครือข่าย, เสาร์, 28 พฤศจิกายน 2015 10:23:25
[การเข้าถึง LAN จากระยะไกล] จาก 78.14.179.231:61108 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:21:19
[การเข้าถึง LAN จากระยะไกล] จาก 78.14.179.231:62967 ถึง 192.168.1.9:63457, วันเสาร์, 28 พฤศจิกายน 2558 10:21:19
[UPnP set events: add_nat_rule] จากแหล่งที่มา 192.168.1.9, เสาร์, 28 พฤศจิกายน 2558 10:21:15
[เชื่อมต่ออินเทอร์เน็ต] ที่อยู่ IP: (ที่อยู่ IP ของฉันวันเสาร์ที่ 28 พฤศจิกายน 2558 10:21:05
[ตัดการเชื่อมต่ออินเทอร์เน็ต] วันเสาร์ที่ 28 พฤศจิกายน 2558 10:20:25
[DHCP IP: 192.168.1.6] ถึงที่อยู่ MAC 14: 99: e2: 1c: a0: 19, วันเสาร์, 28 พฤศจิกายน 2558 10:20:22
[DHCP IP: 192.168.1.6] ถึงที่อยู่ MAC 14: 99: e2: 1c: a0: 19, วันเสาร์, 28 พฤศจิกายน 2558 10:20:21
[การควบคุมการเข้าถึง] อุปกรณ์ SETHS-APPLE-TV พร้อมที่อยู่ MAC 14: 99: E2: 1C: A0: 19 เป็นเครือข่ายวันเสาร์ที่ 28 พฤศจิกายน 2558 10:20:20
[การควบคุมการเข้าถึง] อุปกรณ์ ANDROID-EFB7EA92D8391DF6 พร้อมที่อยู่ MAC 00: 09: 4C: 3B: เครือข่ายวันเสาร์ที่ 28 พฤศจิกายน 2558 10:20:19
[DHCP IP: 192.168.1.2] ไปยังที่อยู่ MAC 14: 2d: 27: bb: 7d: 93, วันเสาร์, 28 พฤศจิกายน 2558 10:20:06
[การควบคุมการเข้าถึง] อุปกรณ์ MAIN-PC พร้อมที่อยู่ MAC F8: 0F: 41: CD: AC: 0B ได้รับอนุญาตให้ใช้กับเครือข่ายในวันเสาร์ที่ 28 พฤศจิกายน 2558 10:20:01
[DHCP IP: 192.168.1.5] ถึงที่อยู่ MAC 38: 0f: 4a: 4f: 60: 90, วันเสาร์, 28 พฤศจิกายน 2558 10:19:24
[การควบคุมการเข้าถึง] อุปกรณ์คอมพิวเตอร์ที่มีที่อยู่ MAC 38: 0F: 4A: 4F: 60: 90 ได้รับอนุญาตให้ใช้เครือข่ายในวันเสาร์ที่ 28 พฤศจิกายน 2558 10:19:23
[DHCP IP: 192.168.1.5] ถึงที่อยู่ MAC 38: 0f: 4a: 4f: 60: 90, วันเสาร์, 28 พฤศจิกายน 2558 10:19:23
[เข้าสู่ระบบผู้ดูแลระบบ] จากแหล่งที่มา 192.168.1.7, เสาร์, พฤศจิกายน 28, 2015 10:19:22
[การควบคุมการเข้าถึง] อุปกรณ์ ANDROID-EFB7EA92D8391DF6 พร้อมที่อยู่ MAC 00: 09: 4C: 3B: เครือข่าย, เสาร์, 28 พฤศจิกายน 2015 10:19:11
[การควบคุมการเข้าถึง] อุปกรณ์ CHROMECAST พร้อมที่อยู่ MAC 6C: AD: F8: 7B: 46: 4A อนุญาตเครือข่ายเสาร์ 28 พฤศจิกายน 2558 10:19:10
[DHCP IP: 192.168.1.8] ถึงที่อยู่ MAC 70: 73: cb: 78: 69: c6, วันเสาร์, 28 พฤศจิกายน 2558 10:19:09
[การควบคุมการเข้าถึง] อุปกรณ์ GABRIELLES-IPOD พร้อมที่อยู่ MAC 70: 73: CB: 78: 69: C6 เป็นเครือข่ายวันเสาร์ที่ 28 พฤศจิกายน 2558 10:19:09 น.
[DHCP IP: 192.168.1.4] ไปยังที่อยู่ MAC 00: 09: 4c: 3b: 40: 54, วันเสาร์, 28 พฤศจิกายน 2558 10:19:08
[DHCP IP: 192.168.1.3] ไปยังที่อยู่ MAC 6c: ad: f8: 7b: 46: 4a, วันเสาร์, 28 พฤศจิกายน 2558 10:19:08
[DHCP IP: 192.168.1.7] ไปยังที่อยู่ MAC 24: 24: 0e: 52: 8b: 41, วันเสาร์, 28 พฤศจิกายน 2558 10:19:02
[การควบคุมการเข้าถึง] อุปกรณ์ GABRIELLE พร้อมที่อยู่ MAC 24: 24: 0E: 52: 8B: 41 ได้รับอนุญาตเครือข่ายเสาร์ 28 พฤศจิกายน 2558 10:19:02
[DHCP IP: 192.168.1.2] ไปยังที่อยู่ MAC 14: 2d: 27: bb: 7d: 93, วันเสาร์, 28 พฤศจิกายน 2558 10:18:53
[DHCP IP: 192.168.1.2] ถึงที่อยู่ MAC 14: 2d: 27: bb: 7d: 93, วันเสาร์, 28 พฤศจิกายน 2558 10:17:22
[การควบคุมการเข้าถึง] อุปกรณ์ไม่รู้จักด้วยที่อยู่ MAC 14: 2D: 27: BB: 7D: 93 ได้รับอนุญาตให้ใช้เครือข่ายในวันเสาร์ที่ 28 พฤศจิกายน 2558 เวลา 10:16:33 น.
[การควบคุมการเข้าถึง] อุปกรณ์ MAIN-PC พร้อมที่อยู่ MAC F8: 0F: 41: CD: AC: 0B ถูกบล็อกเครือข่ายเสาร์ 28 พฤศจิกายน 2558 10:16:10
[DHCP IP: 192.168.1.2] ไปยังที่อยู่ MAC 14: 2d: 27: bb: 7d: 93, วันเสาร์, 28 พฤศจิกายน 2558 10:15:42
[DHCP IP: 192.168.1.9] ถึงที่อยู่ MAC f8: 0f: 41: cd: ac: 0b, วันเสาร์, 28 พฤศจิกายน 2558 10:15:37
[เริ่มต้นใช้งานเวอร์ชั่นเฟิร์มแวร์: V1.0.0.58] วันเสาร์ที่ 28 พฤศจิกายน 2558 เวลา 10:15:29 น

นี่คือหนึ่งในที่อยู่ IP ที่ไม่รู้จักที่ฉันพบในบันทึกhttps://db-ip.com/88.180.30.194และที่อยู่ Mac ที่ไม่รู้จัก 00: 09: 4C: 3B: 40: 54 และฉันเชื่อมโยงที่อยู่ mac กับเว็บไซต์นี้http://coweaver.tradekorea.com/

หากใครสามารถบอกฉันว่าเกิดอะไรขึ้นมันจะยอดเยี่ยม :)

networking  wireless-networking  router  dhcp 
Mrseth101
แหล่งที่มา

คำตอบ:

30

ใช่เป็นไปได้ว่ามันถูกแฮ็ก

สัญญาณบอกเล่าเป็นช่วงของพอร์ตที่ใช้: ระบบปฏิบัติการทั้งหมดใช้พอร์ตต่ำ (<ประมาณ 10,000) เพื่อฟังการเชื่อมต่อขาเข้าและพอร์ตสูง (พอร์ตที่เหลือ แต่โดยเฉพาะอย่างยิ่งที่สูงกว่า 30,000) สำหรับการเชื่อมต่อขาออก บันทึกของคุณจะแสดงการเชื่อมต่อระหว่างคู่ของพอร์ตสูงซึ่งหมายความว่าไม่มีการใช้งานพีซีทั่วไปของคุณไม่มีการใช้งาน Telnet ไม่มี ssh ไม่มี http และอื่น ๆ แต่การใช้งานของคู่ของพอร์ตสูงเป็นปกติของคลาสสิกเครื่องมือแฮ็กเกอร์คู่netcatและ meterpreter

โดยเฉพาะอย่างยิ่งมันชัดเจนว่าแฮ็กเกอร์ทิ้งแบ็คดอร์ไว้บนพีซี 192.168.1.9 กำลังฟังที่พอร์ต 63457 แต่เขาก็ทำการส่งต่อพอร์ตเพื่ออนุญาตการเชื่อมต่อกับพอร์ตนี้บนพีซีนี้ผ่านเราเตอร์ของคุณ แฮกเกอร์จึงละเมิดทั้งพีซีนี้และเราเตอร์ของคุณ มีหลักฐานเพิ่มเติมเกี่ยวกับเรื่องนี้ในสองบรรทัดนี้

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

ดูการประทับเวลา: ภายในเสี้ยววินาทีแฮกเกอร์จะล็อกอินเข้าสู่พีซี 192.168.1.9 จากนั้นผู้ดูแลระบบสามารถเข้าถึงเราเตอร์ของคุณได้

ขั้นตอนการบรรเทาผลกระทบ

  1. คุณอยู่ในจุดที่คับแคบเพราะคุณมีศัตรูที่ทรงพลังซุ่มซ่อนอยู่นอกประตูของคุณ คุณควรยังคงตัดการเชื่อมต่อจนกว่าคุณจะใช้มาตรการที่เพียงพอเพื่อสร้างกำแพงที่มีประสิทธิภาพให้กับเขา ความเสี่ยงอยู่ที่นี่เนื่องจากเขารู้ว่าเขาถูกค้นพบเขาจะทำการแฮ็กเครื่องของคุณทั้งหมดรวมถึงเครื่องพิมพ์บรรทัด (ใช่มันสามารถทำได้) และคุณจะไม่มีวันกำจัดเขา ทั้งหมดนี้ในขณะที่คุณมีคอลัมน์ที่ห้าใน LAN ของคุณ pc 192.168.1.9 เราจะทำทีละขั้นตอน

  2. ซื้อเราเตอร์ยี่ห้ออื่นที่มีไฟร์วอลล์ที่สามารถกำหนดค่าได้อย่างง่ายดาย ฉันใช้เราเตอร์บัฟฟาโลกับ DD-WRT ที่ติดตั้งไว้ล่วงหน้าซึ่งเป็นระบบปฏิบัติการที่ทรงพลัง

  3. ปลดการเชื่อมต่อพีซีที่ระบุโดย 192.168.1.9 และปิดการทำงาน

  4. เปลี่ยนเราเตอร์เก่า แต่ไม่ต้องเชื่อมต่อใหม่กับอินเทอร์เน็ต

  5. กำหนดค่าได้จากภายใน LAN ของคุณกับใด ๆชิ้นอื่น ๆ

  6. โดยเฉพาะอย่างยิ่ง (คำแนะนำเหล่านี้สำหรับเราเตอร์ DD-WRT จะทำให้คุณมีความคิดว่าจะทำอย่างไรแม้ในเราเตอร์ที่ไม่ใช่ DD-WRT) ไปที่แท็บบริการและปิดใช้งานการเข้าถึงtelnetและ VNC repeater และเปิดใช้ syslogd

  7. ไปที่แท็บการจัดการและปิดการใช้งานปุ่มทั้งหมดภายใต้การเข้าถึงระยะไกล ยังอยู่ในแท็บการจัดการเปลี่ยนรหัสผ่านเป็นสิ่งที่น่ากลัวบางอย่างเช่นI_want_T0_k33p_all_Hacck3rs_0ut! (ข้อผิดพลาดในการสะกดคำเป็นเจตนา) ผู้ที่มีความเข้าใจทางเทคนิคควรเปิดใช้งานการล็อกอินแบบไม่มีรหัสผ่าน (ใน Services-> Services, Secure Shell) จากนั้นภายใต้การบริหาร -> การจัดการ, การเข้าถึงเว็บพวกเขาควรปิดใช้งานhttpและเปิดใช้งานhttpsเท่านั้นเพื่อป้องกันรหัสผ่านแบบข้อความที่ชัดเจน รายละเอียดเกี่ยวกับวิธีเชื่อมต่อกับเราเตอร์ DD-WRT ผ่านhttpsได้ที่นี่ต้องใช้การsshเชื่อมต่อที่เราเพิ่งเปิดใช้งาน

  8. ตอนนี้ไปที่การบริหาร -> คำสั่งและพิมพ์ต่อไปนี้ลงในพื้นที่คำสั่ง:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
  iptables  -A OUTPUT -d 88.180.30.194 -j DROP
  iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  iptables -I INPUT -i $WAN_IFACE -DROP

    ที่นี่ $ WAN_IFACE เป็นชื่อของ NIC ที่เชื่อมต่อกับ ISP ของคุณในระบบของฉันมันจะเป็นvlan2แต่คุณควรตรวจสอบระบบของคุณให้ดีขึ้น กฎสองข้อแรกปิดตัวลงหนึ่งในที่อยู่ IP ที่เชื่อมต่อกับพีซีของคุณอย่างผิดกฎหมาย 192.168.1.9 คุณอาจต้องการที่จะเพิ่มกฎระเบียบอื่น ๆ ที่คล้ายกับการปิดออกยัง 105.101.68.216 และอื่น ๆ กฎสามช่วยให้การป้อนข้อมูลที่เป็นความต่อเนื่องของการเชื่อมต่อที่ตั้งขึ้นโดยคุณ , เช่นการเชื่อมต่อทางกฎหมายสันนิษฐานว่า กฎข้อที่สี่ปิดการใช้งานทุกอย่างอื่น

    กดSave firewallแล้วเสร็จ

  9. ตอนนี้เปิดเราเตอร์ แต่ตัดการเชื่อมต่ออินเทอร์เน็ตประมาณหนึ่งวันและดูว่าพีซีเครื่องอื่นที่ไม่ใช่ 192.168.1.9พยายามติดต่อที่อยู่ IP แปลก ๆ บริษัท ที่ถูกต้องเช่น Microsoft หรือแอปเปิ้ล, Akamai หรือโซนี่ไม่นับ แต่บัญชีของผู้บริโภคในประเทศแอลจีเรีย, บุรุนดี, ฝรั่งเศส, เยอรมนี, สิงคโปร์, สหราชอาณาจักร (แหล่งที่มาที่ชัดเจนของการเชื่อมต่อในบันทึกดังกล่าวข้างต้น) ทำ หากมีความพยายามดังกล่าวให้ใช้พีซีที่เป็นต้นกำเนิดออฟไลน์ปิดเครื่องและดำเนินการตามขั้นตอนที่ 11

  10. ตอนนี้คุณสามารถเชื่อมต่อเราเตอร์ใหม่กับอินเทอร์เน็ต

  11. ตอนนี้ถอด (ปิด!) pc 192.168.1.9 แล้วนำไปที่อื่นเช่น ไม่อยู่บ้าน เปิดใช้งานและเรียกใช้การทดสอบป้องกันไวรัสทั้งหมดที่มีให้แก่มนุษยชาติหรือติดตั้งระบบปฏิบัติการใหม่

  12. ตรวจสอบบันทึกระบบของเราเตอร์ใหม่ทุกวันเพื่อให้แน่ใจว่าไม่มีการเชื่อมต่อของประเภทข้างต้นอีกต่อไป: มีความเป็นไปได้ที่แฮ็กเกอร์จะแทรกซึมเข้าไปในระบบอื่น ๆ ในบ้านของคุณ ทันทีที่คุณเห็นร่องรอยของสิ่งนี้ให้ทำซ้ำขั้นตอนข้างต้นสำหรับพีซีที่ถูกแฮ็กและเมื่อพีซีที่ติดไวรัสออฟไลน์ให้เปลี่ยนรหัสผ่านเราเตอร์

  13. คุณอาจจะโยนเราเตอร์เก่าหรือดีกว่าตัดสินใจว่ามันเป็นโครงการที่สนุกติดตั้ง DD-WRT คุณอาจพบว่าที่นี่เป็นไปได้ ถ้าเป็นเช่นนั้นก็เป็นเรื่องสนุกและคุณจะได้รับเราเตอร์ใหม่ที่ปลอดภัยและทรงพลังจากกองขยะที่เป็นอยู่ในปัจจุบันแทน

  14. ที่จุดในอนาคตบางอย่างที่คุณควรจะเรียนรู้ที่จะกำหนดค่าไฟร์วอลล์ที่iptablesถูกต้องและวิธีการตั้งค่าการเชื่อมต่อ passwordless SSH กับเราเตอร์ซึ่งจะช่วยให้คุณสามารถเข้าสู่ระบบรหัสผ่านปิดการใช้งานอย่างสมบูรณ์ (ดูที่นี่สำหรับคำอธิบายสั้น ๆ ของวิธีการทำ มัน). แต่สิ่งเหล่านี้สามารถรอได้

คุณควรจะมีความสุขแฮ็กเกอร์ของคุณถึงแม้จะแทรกซึมเราเตอร์ของคุณ แต่ก็ขาดความสนใจพอที่จะออกจากระบบเข้าสู่ระบบในที่สุดซึ่งนำไปสู่การตรวจจับของเขา คุณอาจไม่โชคดีในครั้งต่อไป

MariusMatutiae
แหล่งที่มา
ฉันขอโทษฉันมีเพียงหนึ่งคะแนนเท่านั้นที่จะตอบคำถามนี้ ... (แต่ฉันได้ทำการแก้ไขอย่างใด))
Hastur
1
@Hastur ดังนั้นฉันก็สนับสนุนคำถามด้วยเช่นกัน: p
Rogue
คำตอบที่ทำได้ดีนี้เริ่มต้นที่ทำให้เกิดเสียงค่อนข้างหัวรุนแรง (โดยเฉพาะประโยคแรกของจุดที่หนึ่ง) แต่มันก็ถูกต้อง: ฉันเห็นด้วยอย่างสุดใจ
TOOGAM
โชคไม่ดี ... ฉันคิดว่ามันจับความเป็นจริงที่น่ากลัวได้อย่างสมบูรณ์แบบและสื่อสารอย่างมีประสิทธิภาพแค่ไหนถึงจะสำคัญแค่ไหนที่จะต้องระวัง ("คุณอยู่ในจุดที่แคบเพราะคุณมีศัตรูที่ทรงพลังซุ่มซ่อนอยู่นอกประตูของคุณ") ฉันรู้ว่า "พวกหัวรุนแรง" สามารถดูได้ในเชิงลบ แต่บางครั้งก็เรียก คุณ @MariusMatutiae ไม่สังเกตุเห็นถึงความหวือหวาในเชิงบวกโดยรวมที่ฉันเริ่มต้นและสิ้นสุดความคิดเห็นก่อนหน้าด้วย?
TOOGAM
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.