Apakah jaringan saya baru saja diretas?


18

Sesuatu yang sangat aneh terjadi begitu saja. Singkat cerita, saya melanjutkan ke komputer saya dan memberi tahu saya bahwa akses diblokir ke PC ini. Jadi saya mencoba masuk ke 192.168.1.1, tetapi tidak berhasil pada PC saya yang diblokir. Jadi saya mendapatkan tablet saya, pergi ke 192.168.1.1 dan pergi ke perangkat yang terpasang, dan yang mengejutkan saya, saya melihat 21 perangkat acak dari alamat IP acak yang bukan milik saya. Jadi yang saya pikirkan berikutnya adalah memblokir semua perangkat acak. Tapi tepat sebelum saya memblokir perangkat acak ini, tablet saya diblokir dari jaringan. Jadi saya mencabut kabel Ethernet yang menghubungkan router saya ke modem saya, kalau-kalau saya diretas sehingga tidak dapat terhubung ke jaringan saya. Lalu saya naik tablet terakhir saya yang tidak diblokir, pergi ke 192.168.1.1 dan mengatur kontrol akses untuk secara otomatis memblokir perangkat baru, buka blokir tablet dan PC saya yang lain dan kemudian sambungkan kembali kabel Ethernet saya ke router saya. Jadi sekarang saya bertanya-tanya apa yang baru saja terjadi, jadi saya pergi pada log router saya dan saya mendapatkan ini:

[Akses LAN dari jarak jauh] dari 88.180.30.194:60240 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:45:21
[admin login] dari sumber 192.168.1.9, Sabtu, 28 November 2015 10:45:21
[Akses LAN dari jarak jauh] dari 88.180.30.194-54493 ke 192.168.1.9:63457, Sabtu, 28 November 2015 10:45:21
[Akses LAN dari jarak jauh] dari 105.101.68.216-051919 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:45:20
[Akses LAN dari jarak jauh] dari 88.180.30.194-54490 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:45:19
[Akses LAN dari jarak jauh] dari 105.101.68.216:48389 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:45:18
[Akses LAN dari jarak jauh] mulai 41.79.46.35:11736 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:42:49
[Serangan DoS: SYN / ACK Scan] dari sumber: 46.101.249.112, port 80, Sabtu, 28 November 2015 10:40:51
[Akses LAN dari jarak jauh] dari 90.204.246.68:6596 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:40:15
[Waktu disinkronkan dengan server NTP] Sabtu, 28 November 2015 10:36:51
[Akses LAN dari jarak jauh] dari 87.88.222.142:55756 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:36:38
[Akses LAN dari jarak jauh] dari 87.88.222.142:35939 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:36:38
[Akses LAN dari jarak jauh] dari 111.221.77.154:40024 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:31:06
[admin login] dari sumber 192.168.1.9, Sabtu, 28 November 2015 10:23:53
[DoS Attack: Land Attack] dari sumber: 255.255.255.255, port 67, Sabtu, 28 November 2015 10:23:44
[Kontrol Akses] Perangkat ANDROID-EFB7EA92D8391DF6 dengan alamat MAC 00: 09: 4C: 3B: jaringan, Sabtu, 28 November 2015 10:23:25
[Akses LAN dari jarak jauh] dari 78.14.179.231:61108 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:21:19
[Akses LAN dari jarak jauh] dari 78.14.179.231:62967 hingga 192.168.1.9:63457, Sabtu, 28 November 2015 10:21:19
[UPnP mengatur acara: add_nat_rule] dari sumber 192.168.1.9, Sabtu, 28 November 2015 10:21:15
[Koneksi internet] Alamat IP: (alamat IP saya, Sabtu, 28 November 2015 10:21:05
[Internet terputus] Sabtu, 28 November 2015 10:20:25
[DHCP IP: 192.168.1.6] ke alamat MAC 14: 99: e2: 1c: a0: 19, Sabtu, 28 November 2015 10:20:22
[DHCP IP: 192.168.1.6] ke alamat MAC 14: 99: e2: 1c: a0: 19, Sabtu, 28 November 2015 10:20:21
[Kontrol Akses] Perangkat SETHS-APPLE-TV dengan alamat MAC 14: 99: E2: 1C: A0: 19 adalah jaringan, Sabtu, 28 November 2015 10:20:20
[Kontrol Akses] Perangkat ANDROID-EFB7EA92D8391DF6 dengan alamat MAC 00: 09: 4C: 3B: jaringan, Sabtu, 28 November 2015 10:20:19
[DHCP IP: 192.168.1.2] ke alamat MAC 14: 2d: 27: bb: 7d: 93, Sabtu, 28 November 2015 10:20:06
[Kontrol Akses] Perangkat MAIN-PC dengan alamat MAC F8: 0F: 41: CD: AC: 0B diizinkan jaringan, Sabtu, 28 November 2015 10:20:01
[DHCP IP: 192.168.1.5] ke alamat MAC 38: 0f: 4a: 4f: 60: 90, Sabtu, 28 November 2015 10:19:24
[Access Control] Device COMPUTER dengan alamat MAC 38: 0F: 4A: 4F: 60: 90 diizinkan jaringan, Sabtu, 28 November 2015 10:19:23
[DHCP IP: 192.168.1.5] ke alamat MAC 38: 0f: 4a: 4f: 60: 90, Sabtu, 28 November 2015 10:19:23
[admin login] dari sumber 192.168.1.7, Sabtu, 28 November 2015 10:19:22
[Kontrol Akses] Perangkat ANDROID-EFB7EA92D8391DF6 dengan alamat MAC 00: 09: 4C: 3B: jaringan, Sabtu, 28 November 2015 10:19:11
[Kontrol Akses] Perangkat CHROMECAST dengan alamat MAC 6C: AD: F8: 7B: 46: 4A memungkinkan jaringan, Sabtu, 28 November 2015 10:19:10
[DHCP IP: 192.168.1.8] ke alamat MAC 70: 73: cb: 78: 69: c6, Sabtu, 28 November 2015 10:19:09
[Kontrol Akses] Perangkat GABRIELLES-IPOD dengan alamat MAC 70: 73: CB: 78: 69: C6 adalah jaringan, Sabtu, 28 November 2015 10:19:09
[DHCP IP: 192.168.1.4] ke alamat MAC 00: 09: 4c: 3b: 40: 54, Sabtu, 28 November 2015 10:19:08
[DHCP IP: 192.168.1.3] ke alamat MAC 6c: ad: f8: 7b: 46: 4a, Sabtu, 28 November 2015 10:19:08
[DHCP IP: 192.168.1.7] ke alamat MAC 24: 24: 0e: 52: 8b: 41, Sabtu, 28 November 2015 10:19:02
[Kontrol Akses] Perangkat GABRIELLE dengan alamat MAC 24: 24: 0E: 52: 8B: 41 diizinkan jaringan, Sabtu, 28 November 2015 10:19:02
[DHCP IP: 192.168.1.2] ke alamat MAC 14: 2d: 27: bb: 7d: 93, Sabtu, 28 November 2015 10:18:53
[DHCP IP: 192.168.1.2] ke alamat MAC 14: 2d: 27: bb: 7d: 93, Sabtu, 28 November 2015 10:17:22
[Kontrol Akses] Perangkat Tidak Dikenal dengan alamat MAC 14: 2D: 27: BB: 7D: 93 diizinkan jaringan, Sabtu, 28 November 2015 10:16:33
[Kontrol Akses] Perangkat MAIN-PC dengan alamat MAC F8: 0F: 41: CD: AC: 0B memblokir jaringan, Sabtu, 28 November 2015 10:16:10
[DHCP IP: 192.168.1.2] ke alamat MAC 14: 2d: 27: bb: 7d: 93, Sabtu, 28 November 2015 10:15:42
[DHCP IP: 192.168.1.9] ke alamat MAC f8: 0f: 41: cd: ac: 0b, Sabtu, 28 November 2015 10:15:37
[Diinisialisasi, versi firmware: V1.0.0.58] Sabtu, 28 November 2015 10:15:29

inilah salah satu alamat IP tidak dikenal yang saya temukan di log https://db-ip.com/88.180.30.194 dan alamat mac tidak dikenal 00: 09: 4C: 3B: 40: 54 dan saya menautkan alamat mac ke situs web ini http://coweaver.tradekorea.com/

Kalau ada yang bisa memberi tahu saya apa yang terjadi itu akan luar biasa :)

Jawaban:


30

Ya, kemungkinan besar itu diretas.

Tanda tanda adalah kisaran port yang digunakan: semua OS menggunakan port rendah (<sekitar 10.000) untuk mendengarkan koneksi masuk, dan port tinggi (yang tersisa, tetapi terutama yang di atas 30.000) untuk koneksi keluar. Sebagai gantinya, log Anda menampilkan koneksi antara pasang port tinggi , yang berarti tidak ada akses konvensional ke PC Anda yang digunakan, tidak ada telnet, tidak ada ssh, tidak ada http, dan sebagainya. Sebaliknya, penggunaan pasang port tinggi adalah tipikal dari duo alat hacker klasik, netcat dan meterpreter .

Secara khusus, sangat jelas hacker meninggalkan backdoor di pc 192.168.1.9 mendengarkan pada port 63457, tetapi ia juga melakukan beberapa port forwarding untuk memungkinkan koneksi ke port ini pada pc ini untuk pergi melalui router Anda. Jadi hacker melanggar kedua pc ini dan router Anda. Ada bukti lebih lanjut dari ini dalam dua baris ini,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Lihatlah stempel waktu: dalam beberapa detik, peretas login ke pc 192.168.1.9, dan kemudian dari itu mendapatkan akses admin ke router Anda.

Langkah-langkah mitigasi

  1. Anda berada di tempat yang ketat, karena Anda memiliki musuh yang kuat yang bersembunyi tepat di luar pintu Anda. Anda harus tetap terputus sampai Anda telah mengambil langkah-langkah yang cukup untuk mendirikan penghalang yang kuat terhadapnya Risiko di sini adalah, karena dia tahu dia telah ditemukan, dia akan melanjutkan untuk meretas semua mesin Anda, termasuk printer baris (ya, itu bisa dilakukan), dan Anda tidak akan pernah menyingkirkannya. Semua ini sementara Anda pasti memiliki kolom kelima di LAN Anda, pc 192.168.1.9. Kami akan mengambilnya selangkah demi selangkah.

  2. Beli router lain, dari merek yang berbeda, mungkin salah satu dengan firewall yang mudah dikonfigurasi. Saya menggunakan router Buffalo dengan pra-instal DD-WRT, OS yang kuat.

  3. Putuskan sambungan pc yang diidentifikasi oleh 192.168.1.9, dan matikan.

  4. Ganti router lama tetapi belum menghubungkan yang baru ke Internet.

  5. Konfigurasi dari dalam LAN Anda dengan setiap pc lain.

  6. Secara khusus, (instruksi ini untuk router DD-WRT akan memberi Anda gambaran tentang apa yang harus dilakukan bahkan di router non-DD-WRT), buka tab Services, dan nonaktifkan akses telnet dan repeater VNC, dan aktifkan syslogd.

  7. Buka tab Administrasi, dan nonaktifkan semua tombol di bawah Akses Jarak Jauh . Masih di tab Administrasi, ubah kata sandi menjadi sesuatu yang tangguh, sesuatu seperti I_want_T0_k33p_all_Hacck3rs_0ut! (kesalahan pengejaan disengaja). Mereka yang secara teknis cerdas harus mengaktifkan login tanpa kata sandi (di Layanan-> Layanan, Secure Shell), kemudian, di bawah Administrasi-> Manajemen, Akses Web, mereka harus menonaktifkan httpdan mengaktifkan httpssaja, sehingga dapat mencegah melewati kata sandi teks yang jelas; rincian tentang cara menghubungkan ke router DD-WRT via httpsdapat ditemukan di sini , itu memerlukan sshkoneksi yang baru saja kita aktifkan.

  8. Sekarang buka Administrasi -> Perintah, dan ketik berikut ini ke dalam area Perintah:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
      iptables  -A OUTPUT -d 88.180.30.194 -j DROP
      iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      iptables -I INPUT -i $WAN_IFACE -DROP
    

    Di sini $ WAN_IFACE adalah nama NIC yang terhubung ke ISP Anda, di sistem saya itu vlan2, tetapi Anda sebaiknya memeriksa sistem Anda. Dua aturan pertama menutup sepenuhnya salah satu alamat IP dari mana datang koneksi ilegal ke komputer Anda 192.168.1.9. Anda mungkin ingin menambahkan aturan serupa lainnya untuk menutup juga 105.101.68.216 dan seterusnya. Aturan ketiga memungkinkan input yang merupakan kelanjutan dari koneksi yang dimulai oleh Anda , yaitu koneksi yang mungkin legal. Aturan keempat menutup semua yang lain.

    Hit Save firewall , dan Anda selesai.

  9. Sekarang biarkan router hidup tetapi terputus dari Internet selama sekitar satu hari, dan lihat apakah ada komputer selain 192.168.1.9 yang mencoba menghubungi alamat IP aneh. Perusahaan yang sah, seperti Microsoft atau Apple, Akamai atau Sony, tidak menghitung, tapi rekening konsumen di Aljazair, Burundi, Perancis, Jerman, Singapura, Inggris (sumber-sumber nyata dari koneksi dalam log di atas) melakukan . Jika ada upaya-upaya seperti itu, matikan pc yang asli, matikan, dan lakukan perawatan pada Langkah 11.

  10. Sekarang Anda dapat menghubungkan router baru ke Internet.

  11. Sekarang ambil 192.168.1.9 pc Anda (dimatikan!) Dan bawa ke tempat lain, yaitu tidak di rumah Anda. Nyalakan, dan jalankan semua tes anti-virus yang tersedia untuk umat manusia, atau, lebih baik lagi, instal ulang sistem operasi.

  12. Periksa log sistem router baru Anda setiap hari, untuk beberapa waktu, untuk memastikan tidak ada lagi koneksi seperti di atas: selalu ada kemungkinan bahwa peretas menyusup ke sistem lain di rumah Anda. Segera setelah Anda melihat jejaknya, ulangi langkah-langkah di atas untuk pc yang diretas, dan ketika pc yang terinfeksi tidak terhubung, ubah kata sandi router.

  13. Anda dapat melemparkan router lama, atau, lebih baik lagi, memutuskan bahwa itu adalah proyek yang menyenangkan menginstal DD-WRT di atasnya. Anda dapat mencari tahu di sini apakah itu mungkin. Jika ya, maka itu menyenangkan, dan Anda juga akan mendapatkan router baru yang aman, kuat, dan bertumpuk, dari tumpukan sampah.

  14. Di beberapa titik di masa depan, Anda harus belajar untuk mengkonfigurasi firewall,, iptablesdengan benar, dan cara mengatur koneksi ssh tanpa kata sandi ke router, yang akan memungkinkan Anda untuk menonaktifkan login kata sandi sepenuhnya (lihat di sini untuk deskripsi singkat tentang bagaimana melakukan Itu). Tetapi hal-hal ini bisa menunggu.

Anda harus senang: peretas Anda, meskipun telah menembus router Anda, cukup linglung untuk meninggalkan log sistem di tempat, yang akhirnya mengarah ke deteksi. Anda mungkin tidak seberuntung itu lain kali.


Maaf, saya hanya punya satu suara untuk memberikan jawaban ini ... (tapi entah bagaimana saya tambal;))
Hastur

1
@Hastur Jadi saya juga mengangkat pertanyaan: p
Rogue

Jawaban yang dikerjakan dengan baik ini mulai terdengar agak ekstremis (terutama kalimat pertama dari poin nomor satu). Namun itu akurat: Saya sepenuh hati setuju.
TOOGAM

Sangat disayangkan ... Saya pikir itu dengan sempurna menangkap kenyataan yang mengerikan, dan secara efektif mengomunikasikan betapa pentingnya untuk berhati-hati. ("Anda berada di tempat yang sempit, karena Anda memiliki musuh yang kuat yang bersembunyi tepat di luar pintu Anda.") Saya tahu "ekstremis" dapat dilihat secara negatif, tetapi kadang-kadang diperlukan. Apakah Anda, @MariusMatutiae, tidak memperhatikan nada positif keseluruhan yang saya mulai dan mengakhiri komentar sebelumnya?
TOOGAM
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.