Có phải mạng của tôi vừa bị hack?

18

Một cái gì đó rất kỳ lạ vừa xảy ra. Một câu chuyện dài, tôi tiếp tục với máy tính của mình và nó nói với tôi rằng quyền truy cập đã bị chặn vào PC này. Vì vậy, tôi đã cố gắng đi đến 192.168.1.1, nhưng nó không hoạt động trên PC bị chặn của tôi. Vì vậy, tôi nhận được trên máy tính bảng của mình, truy cập 192.168.1.1 và đi đến các thiết bị đính kèm và thật ngạc nhiên tôi thấy 21 thiết bị ngẫu nhiên từ các địa chỉ IP ngẫu nhiên không phải của tôi. Vì vậy, việc tiếp theo tôi nghĩ đến là chặn tất cả các thiết bị ngẫu nhiên. Nhưng ngay trước khi tôi chặn các thiết bị ngẫu nhiên này, máy tính bảng của tôi bị chặn khỏi mạng. Vì vậy, tôi rút cáp Ethernet kết nối bộ định tuyến với modem của mình, chỉ trong trường hợp tôi bị hack để không thể kết nối với mạng. Sau đó, tôi hy vọng máy tính bảng cuối cùng của mình không bị chặn, đi tới 192.168.1.1 và đặt điều khiển truy cập để tự động chặn mọi thiết bị mới, bỏ chặn máy tính bảng và PC khác của tôi và sau đó kết nối cáp Ethernet của tôi trở lại bộ định tuyến của tôi. Vì vậy, bây giờ tôi đang tự hỏi cái quái gì vừa xảy ra, vì vậy tôi vào nhật ký bộ định tuyến của mình và tôi nhận được điều này:

[Truy cập mạng LAN từ xa] từ 88.180.30.194:60240 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:45:21
[đăng nhập quản trị viên] từ nguồn 192.168.1.9, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:45:21
[Truy cập mạng LAN từ xa] từ 88.180.30.194:54493 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:45:21
[Truy cập mạng LAN từ xa] từ 105.101.68.216 giáp1919 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:45:20
[Truy cập mạng LAN từ xa] từ 88.180.30.194 giáp4490 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:45:19
[Truy cập mạng LAN từ xa] từ 105.101.68.216:48389 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:45:18
[Truy cập mạng LAN từ xa] từ 41,79,46,35: 11736 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:42:49
[Tấn công DoS: Quét SYN / ACK] từ nguồn: 46.101.249.112, cổng 80, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:40:51
[Truy cập mạng LAN từ xa] từ 90.204.246.68:26596 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:40:15
[Thời gian được đồng bộ hóa với máy chủ NTP] Thứ Bảy, ngày 28 tháng 11 năm 2015 10:36:51
[Truy cập mạng LAN từ xa] từ 87.88.222.142:55756 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:36:38
[Truy cập mạng LAN từ xa] từ 87.88.222.142:35939 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:36:38
[Truy cập mạng LAN từ xa] từ 111.221.77.154:40024 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:31:06
[đăng nhập quản trị viên] từ nguồn 192.168.1.9, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:23:53
[Tấn công DoS: Tấn công trên bộ] từ nguồn: 255.255.255.255, cổng 67, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:23:44
[Kiểm soát truy cập] Thiết bị ANDROID-EFB7EA92D8391DF6 với địa chỉ MAC 00: 09: 4C: 3B: mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:23:25
[Truy cập mạng LAN từ xa] từ 78,14.179.231:61108 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:21:19
[Truy cập mạng LAN từ xa] từ 78,14.179.231:62967 đến 192.168.1.9:63457, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:21:19
[Sự kiện đặt UPnP: add_nat_rule] từ nguồn 192.168.1.9, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:21:15
[Kết nối Internet] Địa chỉ IP: (địa chỉ IP của tôi, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:21:05
[Ngắt kết nối Internet] Thứ Bảy, ngày 28 tháng 11 năm 2015 10:20:25
[DHCP IP: 192.168.1.6] tới địa chỉ MAC 14: 99: e2: 1c: a0: 19, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:20:22
[DHCP IP: 192.168.1.6] tới địa chỉ MAC 14: 99: e2: 1c: a0: 19, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:20:21
[Kiểm soát truy cập] Thiết bị SETHS-APPLE-TV có địa chỉ MAC 14: 99: E2: 1C: A0: 19 là mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:20:20
[Kiểm soát truy cập] Thiết bị ANDROID-EFB7EA92D8391DF6 với địa chỉ MAC 00: 09: 4C: 3B: mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:20:19
[DHCP IP: 192.168.1.2] đến địa chỉ MAC 14: 2d: 27: bb: 7d: 93, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:20:06
[Kiểm soát truy cập] Thiết bị MAIN-PC có địa chỉ MAC F8: 0F: 41: CD: AC: 0B được phép kết nối mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:20:01
[DHCP IP: 192.168.1.5] tới địa chỉ MAC 38: 0f: 4a: 4f: 60: 90, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:24
[Kiểm soát truy cập] MÁY TÍNH thiết bị có địa chỉ MAC 38: 0F: 4A: 4F: 60: 90 được cho phép mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:23
[DHCP IP: 192.168.1.5] tới địa chỉ MAC 38: 0f: 4a: 4f: 60: 90, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:23
[đăng nhập quản trị viên] từ nguồn 192.168.1.7, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:22
[Kiểm soát truy cập] Thiết bị ANDROID-EFB7EA92D8391DF6 với địa chỉ MAC 00: 09: 4C: 3B: mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:11
[Kiểm soát truy cập] Thiết bị CHROMECAST có địa chỉ MAC 6C: AD: F8: 7B: 46: 4A được phép kết nối mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:10
[DHCP IP: 192.168.1.8] tới địa chỉ MAC 70: 73: cb: 78: 69: c6, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:09
[Kiểm soát truy cập] Thiết bị GABRIELLES-IPOD với địa chỉ MAC 70: 73: CB: 78: 69: C6 là mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:09
[DHCP IP: 192.168.1.4] đến địa chỉ MAC 00: 09: 4c: 3b: 40: 54, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:08
[DHCP IP: 192.168.1.3] tới địa chỉ MAC 6c: quảng cáo: f8: 7b: 46: 4a, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:08
[DHCP IP: 192.168.1.7] tới địa chỉ MAC 24: 24: 0e: 52: 8b: 41, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:02
[Kiểm soát truy cập] Thiết bị GABRIELLE có địa chỉ MAC 24: 24: 0E: 52: 8B: 41 được cho phép mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:19:02
[DHCP IP: 192.168.1.2] đến địa chỉ MAC 14: 2d: 27: bb: 7d: 93, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:18:53
[DHCP IP: 192.168.1.2] đến địa chỉ MAC 14: 2d: 27: bb: 7d: 93, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:17:22
[Kiểm soát truy cập] Thiết bị không xác định với địa chỉ MAC 14: 2D: 27: BB: 7D: 93 được cho phép mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:16:33
[Kiểm soát truy cập] Thiết bị MAIN-PC có địa chỉ MAC F8: 0F: 41: CD: AC: 0B bị chặn mạng, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:16:10
[DHCP IP: 192.168.1.2] đến địa chỉ MAC 14: 2d: 27: bb: 7d: 93, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:15:42
[DHCP IP: 192.168.1.9] tới địa chỉ MAC f8: 0f: 41: cd: ac: 0b, Thứ Bảy, ngày 28 tháng 11 năm 2015 10:15:37
[Đã khởi tạo, phiên bản phần sụn: V1.0.0.58] Thứ Bảy, ngày 28 tháng 11 năm 2015 10:15:29

Đây là một trong những địa chỉ IP không xác định tôi tìm thấy trong nhật ký https://db-ip.com/88.180.30.194 và một địa chỉ mac không xác định 00: 09: 4C: 3B: 40: 54 và tôi đã liên kết địa chỉ mac với trang web này http://coweaver.tradekorea.com /

Nếu ai đó có thể cho tôi biết những gì đã xảy ra sẽ là tuyệt vời :)

networking  wireless-networking  router  dhcp 
Mrseth101
nguồn

Câu trả lời:

30

Vâng, rất có thể nó đã bị hack.

Dấu hiệu nhận biết là phạm vi các cổng được sử dụng: tất cả các hệ điều hành sử dụng các cổng thấp (<khoảng 10.000) để lắng nghe các kết nối đến và các cổng cao (các cổng còn lại, đặc biệt là các cổng trên 30.000) cho các kết nối đi. Thay vào đó, nhật ký của bạn hiển thị các kết nối giữa các cặp cổng cao , có nghĩa là không có quyền truy cập thông thường vào máy tính của bạn, không có telnet, không ssh, không http, v.v. Thay vào đó, việc sử dụng các cặp cổng cao là điển hình của bộ đôi công cụ hacker cổ điển, netcat và công cụ đo .

Đặc biệt, rất rõ ràng tin tặc đã để lại một cửa hậu trên pc 192.168.1.9 nghe trên cổng 63457, nhưng anh ta cũng đã thực hiện một số chuyển tiếp cổng để cho phép các kết nối đến cổng này trên máy tính này đi qua bộ định tuyến của bạn. Vì vậy, hacker đã vi phạm cả pc bộ định tuyến của bạn. Có thêm bằng chứng về điều này trong hai dòng này,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Nhìn vào dấu thời gian: trong vòng một giây, tin tặc đăng nhập vào pc 192.168.1.9, và sau đó từ đó giành quyền truy cập quản trị viên vào bộ định tuyến của bạn.

Các bước giảm thiểu

  1. Bạn đang ở một vị trí chặt chẽ, bởi vì bạn có một kẻ thù mạnh mẽ ẩn nấp ngay bên ngoài cửa nhà bạn. Bạn nên ngắt kết nối cho đến khi bạn thực hiện đủ các biện pháp để dựng lên chống lại anh ta một rào cản mạnh mẽ. Rủi ro ở đây là, vì anh ta biết mình đã bị phát hiện, anh ta sẽ tiến hành hack tất cả các máy của bạn, bao gồm cả máy in dòng (vâng, nó có thể được thực hiện), và bạn sẽ không bao giờ thoát khỏi anh ta. Tất cả điều này trong khi bạn chắc chắn có một cột thứ năm trong mạng LAN của mình, pc 192.168.1.9. Chúng tôi sẽ thực hiện từng bước một.

  2. Mua một bộ định tuyến khác, của một thương hiệu khác, có thể là một bộ có tường lửa dễ cấu hình. Tôi sử dụng các bộ định tuyến Buffalo với DD-WRT được cài đặt sẵn, một hệ điều hành mạnh mẽ.

  3. Ngắt kết nối máy tính được xác định bởi 192.168.1.9 và tắt nó đi.

  4. Thay thế bộ định tuyến cũ nhưng chưa kết nối bộ định tuyến mới với Internet.

  5. Cấu hình nó từ trong mạng LAN của bạn với bất kỳ máy tính nào khác.

  6. Cụ thể, (các hướng dẫn này cho bộ định tuyến DD-WRT sẽ cho bạn biết phải làm gì ngay cả trong bộ định tuyến không DD-WRT), đi tới tab Dịch vụ và tắt truy cập telnet và bộ lặp VNC và bật syslogd.

  7. Chuyển đến tab Quản trị và tắt tất cả các nút trong Truy cập từ xa . Vẫn trong tab Quản trị, thay đổi mật khẩu thành thứ gì đó ghê gớm, giống như I_want_T0_k33p_all_Hacck3rs_0ut! (lỗi chính tả là cố ý). Những người am hiểu về kỹ thuật nên kích hoạt đăng nhập không cần mật khẩu (trong Dịch vụ-> Dịch vụ, Secure Shell), sau đó, trong phần Quản trị-> Quản lý, Truy cập Web, họ chỉ nên vô hiệu hóa httpvà kích hoạt https, để tránh truyền mật khẩu rõ ràng; chi tiết về cách kết nối với bộ định tuyến DD-WRT thông qua httpscó thể được tìm thấy ở đây , nó yêu cầu sshkết nối chúng ta vừa kích hoạt.

  8. Bây giờ, hãy đi tới Quản trị -> Lệnh và nhập thông tin sau vào khu vực Lệnh:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
  iptables  -A OUTPUT -d 88.180.30.194 -j DROP
  iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
  iptables -I INPUT -i $WAN_IFACE -DROP

    Ở đây $ WAN_IFACE là tên của NIC được kết nối với ISP của bạn, trong hệ thống của tôi vlan2, nhưng bạn nên kiểm tra hệ thống của mình tốt hơn. Hai quy tắc đầu tiên tắt hoàn toàn một trong các địa chỉ IP từ đó kết nối bất hợp pháp với máy tính 192.168.1.9 của bạn. Bạn có thể muốn thêm các quy tắc tương tự khác để tắt 105.101.68.216, v.v. Quy tắc thứ ba cho phép đầu vào là sự tiếp nối của các kết nối do bạn bắt đầu , nghĩa là các kết nối hợp pháp. Quy tắc thứ tư tắt tất cả mọi thứ khác.

    Nhấn Save tường lửa , và bạn đã hoàn thành.

  9. Bây giờ hãy để bộ định tuyến trên nhưng ngắt kết nối Internet trong khoảng một ngày và xem liệu có bất kỳ máy tính nào ngoài 192.168.1.9 cố gắng liên hệ với các địa chỉ IP lạ hay không. Các công ty hợp pháp, như Microsoft hoặc Apple, Akamai hoặc Sony, không được tính, nhưng các tài khoản người tiêu dùng ở Algeria, Burundi, Pháp, Đức, Singapore, Anh (nguồn rõ ràng của các kết nối trong nhật ký ở trên) thì có . Nếu có những nỗ lực như vậy, hãy lấy máy tính khởi tạo ngoại tuyến, tắt nó đi và xử lý nó theo Bước 11.

  10. Bây giờ bạn có thể kết nối bộ định tuyến mới với Internet.

  11. Bây giờ, hãy mang theo (tắt!) Máy tính 192.168.1.9 của bạn và mang nó đi nơi khác, tức là không phải ở nhà bạn. Bật nó lên và chạy tất cả các thử nghiệm chống vi-rút có sẵn cho nhân loại hoặc tốt hơn là cài đặt lại hệ điều hành.

  12. Kiểm tra nhật ký hệ thống của bộ định tuyến hoàn toàn mới hàng ngày, để đảm bảo không có thêm kết nối nào ở trên: luôn có khả năng tin tặc xâm nhập vào các hệ thống khác trong nhà bạn. Ngay khi bạn thấy dấu vết của việc này, hãy lặp lại các bước trên cho máy tính bị hack và khi máy tính bị nhiễm ngoại tuyến, hãy thay đổi mật khẩu bộ định tuyến.

  13. Bạn có thể ném bộ định tuyến cũ, hoặc, tốt hơn nữa, quyết định rằng đó là một dự án thú vị khi cài đặt DD-WRT trên nó. Bạn có thể tìm hiểu ở đây cho dù điều đó là có thể. Nếu đúng như vậy, thì đó là một niềm vui, và bạn cũng sẽ có được một bộ định tuyến mới, an toàn, mạnh mẽ, từ đống rác thay thế ngày nay.

  14. Tại một thời điểm nào đó trong tương lai, bạn nên học cách định cấu hình tường lửa, iptablesđúng cách và cách thiết lập kết nối ssh không mật khẩu với bộ định tuyến, điều này sẽ cho phép bạn tắt hoàn toàn đăng nhập mật khẩu (xem tại đây để biết mô tả ngắn gọn về cách thực hiện nó). Nhưng những điều này có thể chờ đợi.

Bạn nên vui mừng: tin tặc của bạn, mặc dù đã xâm nhập bộ định tuyến của bạn, đã đủ lơ đãng để đăng nhập hệ thống tại chỗ, điều này cuối cùng dẫn đến sự phát hiện của anh ta. Lần sau bạn có thể không may mắn như vậy.

MariusMatutiae
nguồn
Tôi xin lỗi, tôi chỉ có một phiếu bầu để đưa ra câu trả lời này ... (nhưng tôi đã vá bằng cách nào đó;))
Hastur
1
@Hastur Vì vậy, tôi cũng nêu lên Câu hỏi: p
RogUE 8/12/2015
Câu trả lời được thực hiện tốt này bắt đầu nghe có vẻ khá cực đoan (đặc biệt là câu đầu tiên của điểm số một). Tuy nhiên, nó là chính xác: tôi hoàn toàn đồng ý.
TUYỆT VỜI 8/12/2015
Thật không may ... Tôi nghĩ rằng nó đã nắm bắt hoàn hảo thực tế tàn khốc, và truyền đạt một cách hiệu quả chỉ là nó quan trọng đến mức nào. ("Bạn đang ở một vị trí chặt chẽ, bởi vì bạn có một kẻ thù mạnh đang ẩn nấp ngay bên ngoài cửa của bạn.") Tôi biết "cực đoan" có thể bị xem là tiêu cực, nhưng đôi khi nó được yêu cầu. Bạn, @MariusMatutiae, không nhận thấy những âm bội tích cực chung mà tôi đã bắt đầu và kết thúc bình luận trước đó với?
TOOGAM
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.