Mrs*_*101 19 networking router wireless-networking dhcp
刚刚发生了一件非常奇怪的事情。长话短说,我继续我的电脑,它告诉我这台电脑的访问被阻止了。所以我尝试转到 192.168.1.1,但它在我被阻止的 PC 上不起作用。所以我打开我的平板电脑,转到 192.168.1.1 并转到连接的设备,令我惊讶的是,我看到 21 个来自不属于我的随机 IP 地址的随机设备。所以接下来我想到的是阻止所有随机设备。但是就在我要阻止这些随机设备之前,我的平板电脑被网络阻止了。因此,我拔掉了将路由器连接到调制解调器的以太网电缆,以防万一我被黑客入侵而无法连接到我的网络。然后我跳上我最后一个未被阻止的平板电脑,转到 192.168.1.1 并设置访问控制以自动阻止任何新设备,解锁我的其他平板电脑和 PC,然后将我的以太网电缆连接回我的路由器。所以现在我想知道刚刚发生了什么,所以我继续查看我的路由器日志,我得到了这个:
【远程局域网访问】从88.180.30.194:60240到192.168.1.9:63457,2015年11月28日星期六10:45:21 【管理员登录】来源192.168.1.9,2015年11月28日星期六10:45:21 【远程局域网访问】从88.180.30.194:54493到192.168.1.9:63457,2015年11月28日星期六10:45:21 【远程局域网访问】从105.101.68.216:51919到192.168.1.9:63457,2015年11月28日星期六10:45:20 【远程局域网访问】从88.180.30.194:54490到192.168.1.9:63457,2015年11月28日星期六10:45:19 【远程局域网访问】从105.101.68.216:48389到192.168.1.9:63457,2015年11月28日星期六10:45:18 【远程局域网访问】从41.79.46.35:11736到192.168.1.9:63457,2015年11月28日星期六10:42:49 【DoS 攻击:SYN/ACK 扫描】来源:46.101.249.112,80 端口,2015 年 11 月 28 日星期六 10:40:51 【远程局域网访问】从90.204.246.68:26596到192.168.1.9:63457,2015年11月28日星期六10:40:15 【与NTP服务器时间同步】2015年11月28日星期六10:36:51 【远程局域网访问】从87.88.222.142:55756到192.168.1.9:63457,2015年11月28日星期六10:36:38 【远程局域网访问】从87.88.222.142:35939到192.168.1.9:63457,2015年11月28日星期六10:36:38 【远程局域网访问】从111.221.77.154:40024到192.168.1.9:63457,2015年11月28日星期六10:31:06 【管理员登录】来源192.168.1.9,2015年11月28日星期六10:23:53 【DoS攻击:陆地攻击】来源:255.255.255.255,67端口,2015年11月28日星期六10:23:44 [访问控制] MAC地址为00:09:4C:3B的设备ANDROID-EFB7EA92D8391DF6:网络,2015年11月28日星期六10:23:25 【远程局域网访问】从78.14.179.231:61108到192.168.1.9:63457,2015年11月28日星期六10:21:19 【远程局域网访问】从78.14.179.231:62967到192.168.1.9:63457,2015年11月28日星期六10:21:19 [UPnP 设置事件:add_nat_rule] 来源 192.168.1.9,星期六,2015 年 11 月 28 日 10:21:15 [已连接互联网] IP 地址:(我的 IP 地址,2015 年 11 月 28 日星期六 10:21:05 [网络中断] 2015年11月28日星期六10:20:25 [DHCP IP: 192.168.1.6] 到 MAC 地址 14:99:e2:1c:a0:19,2015 年 11 月 28 日星期六 10:20:22 [DHCP IP: 192.168.1.6] 到 MAC 地址 14:99:e2:1c:a0:19,2015 年 11 月 28 日星期六 10:20:21 【访问控制】设备SETHS-APPLE-TV,MAC地址为14:99:E2:1C:A0:19为网络,2015年11月28日星期六10:20:20 【访问控制】MAC地址为00:09:4C:3B的设备ANDROID-EFB7EA92D8391DF6:网络,2015年11月28日星期六10:20:19 【DHCP IP:192.168.1.2】转MAC地址14:2d:27:bb:7d:93,周六,2015年11月28日10:20:06 【访问控制】MAC地址为F8:0F:41:CD:AC:0B的设备MAIN-PC允许入网,2015年11月28日星期六10:20:01 [DHCP IP: 192.168.1.5] 到 MAC 地址 38:0f:4a:4f:60:90,周六,2015 年 11 月 28 日 10:19:24 【访问控制】MAC地址为38:0F:4A:4F:60:90的设备COMPUTER允许入网,2015年11月28日星期六10:19:23 [DHCP IP: 192.168.1.5] 到 MAC 地址 38:0f:4a:4f:60:90,星期六,2015 年 11 月 28 日 10:19:23 【管理员登录】来源192.168.1.7,2015年11月28日星期六10:19:22 [访问控制] MAC地址为00:09:4C:3B的设备ANDROID-EFB7EA92D8391DF6:网络,2015年11月28日星期六10:19:11 [访问控制] MAC 地址为 6C:AD:F8:7B:46:4A 的设备 CHROMECAST 允许网络,2015 年 11 月 28 日星期六 10:19:10 [DHCP IP: 192.168.1.8] 到 MAC 地址 70:73:cb:78:69:c6,周六,2015 年 11 月 28 日 10:19:09 【访问控制】MAC地址为70:73:CB:78:69:C6的设备GABRIELLES-IPOD为网络,2015年11月28日星期六10:19:09 [DHCP IP: 192.168.1.4] 到 MAC 地址 00:09:4c:3b:40:54,星期六,2015 年 11 月 28 日 10:19:08 [DHCP IP: 192.168.1.3] 到 MAC 地址 6c:ad:f8:7b:46:4a,2015 年 11 月 28 日星期六 10:19:08 [DHCP IP: 192.168.1.7] 到 MAC 地址 24:24:0e:52:8b:41,星期六,2015 年 11 月 28 日 10:19:02 [访问控制] MAC 地址为 24:24:0E:52:8B:41 的设备 GABRIELLE 被允许入网,2015 年 11 月 28 日星期六 10:19:02 【DHCP IP:192.168.1.2】转MAC地址14:2d:27:bb:7d:93,周六,2015年11月28日10:18:53 【DHCP IP:192.168.1.2】转MAC地址14:2d:27:bb:7d:93,周六,2015年11月28日10:17:22 [访问控制] MAC 地址为 14:2D:27:BB:7D:93 的 Device Unknown 被允许入网,2015 年 11 月 28 日星期六 10:16:33 【访问控制】MAC地址为F8:0F:41:CD:AC:0B的设备MAIN-PC被网络封锁,2015年11月28日星期六10:16:10 【DHCP IP:192.168.1.2】转MAC地址14:2d:27:bb:7d:93,周六,2015年11月28日10:15:42 【DHCP IP:192.168.1.9】转MAC地址f8:0f:41:cd:ac:0b,周六,2015年11月28日10:15:37 【已初始化,固件版本:V1.0.0.58】2015年11月28日星期六10:15:29
这是我在日志中找到的未知 IP 地址之一https://db-ip.com/88.180.30.194和未知的 mac 地址 00:09:4C:3B:40:54 我将 mac 地址链接到了这个网站http://coweaver.tradekorea.com/
如果有人能告诉我发生了什么,那就太棒了:)
Mar*_*iae 31
是的,很可能它被黑客入侵了。
标志是使用的端口范围:所有操作系统都使用低端口(< 约 10,000)来侦听传入连接,使用高端口(剩余的端口,尤其是 30,000 以上的端口)用于传出连接。相反,您的日志显示成对高端口之间的连接,这意味着没有使用对您的电脑的常规访问,没有 telnet,没有 ssh,没有 http 等等。相反,使用成对的高端口是典型的经典黑客工具二人组netcat和 meterpreter。
特别是,黑客在 192.168.1.9 上的 pc 192.168.1.9 上留下了一个监听端口 63457 的后门,但他也做了一些端口转发,以允许连接到这台电脑上的这个端口通过你的路由器。所以黑客侵犯了这台电脑和你的路由器。在这两行中有进一步的证明,
[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21
查看时间戳:在一秒钟内,黑客登录到 pc 192.168.1.9,然后从中获得对路由器的管理员访问权限。
缓解步骤
你处于困境,因为你的门外潜伏着一个强大的敌人。你应该保持断开连接,直到你采取足够的措施来对他建立一个强大的屏障。这里的风险在于,由于他知道自己已被发现,他将继续入侵您的所有机器,包括行式打印机(是的,这是可以做到的),而您永远无法摆脱他。在此期间,您的 LAN 中肯定有第五列,pc 192.168.1.9。我们将一步一步来。
购买另一个不同品牌的路由器,可能带有易于配置的防火墙。我使用预装了强大操作系统 DD-WRT 的 Buffalo 路由器。
断开由 192.168.1.9 标识的电脑,并保持关闭状态。
更换旧的路由器,但都没有连接新的互联网呢。
在您的 LAN 内使用任何其他 PC 对其进行配置。
特别是(这些针对 DD-WRT 路由器的说明将让您了解即使在非 DD-WRT 路由器中该做什么),转到“服务”选项卡,禁用telnet访问和 VNC 转发器,并启用 syslogd。
转到管理选项卡,并禁用远程访问下的所有按钮。仍然在管理选项卡中,将密码更改为强大的密码,例如I_want_T0_k33p_all_Hacck3rs_0ut!(拼写错误是故意的)。懂技术的人应该开启无密码登录(在Services->Services,Secure Shell),然后在Administration->Management,Web Access下,应该只禁用http和启用https,以防止传递明文密码;有关如何通过 DD-WRT 路由器连接的详细信息https可以在此处找到,它需要ssh我们刚刚启用的连接。
现在转到 Administration -> Commands,然后在 Commands 区域中键入以下内容:
iptables -A INPUT -s 88.180.30.194 -j DROP
iptables -A OUTPUT -d 88.180.30.194 -j DROP
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -i $WAN_IFACE -DROP
这里 $WAN_IFACE 是连接到您的 ISP 的 NIC 的名称,在我的系统中应该是vlan2,但您最好检查一下您的系统。前两条规则完全排除了一个IP 地址,通过该 IP 地址非法连接到您的 pc 192.168.1.9。您可能希望添加其他类似的规则来关闭 105.101.68.216 等等。第三条规则允许输入,它是您启动的连接的延续,即可能是合法的连接。第四条规则将其他一切排除在外。
点击Save firewall,你就完成了。
现在让路由器保持开启,但断开互联网连接大约一天,看看除了 192.168.1.9 之外的任何 PC 是否尝试联系奇怪的 IP 地址。合法的公司,如微软或苹果,Akamai的还是索尼,不计,但消费占阿尔及利亚,布隆迪,法国,德国,新加坡,英国(日志上面的连接的表观源)做的。如果有这样的尝试,请先将发端的电脑脱机,将其关闭,并进行步骤11的处理。
现在您可以将新路由器连接到 Internet。
现在将您的(已关闭!)PC 192.168.1.9 带到别处,即 不在您家中。打开它,然后运行所有人类可用的防病毒测试,或者更好的是,重新安装操作系统。
每天检查您全新路由器的系统日志一段时间,以确保不再有上述类型的连接:黑客总是有可能渗透到您家中的其他系统。看到痕迹后,对被黑的电脑重复上述步骤,当被感染的电脑离线时,更改路由器密码。
您可能会扔掉旧路由器,或者更好的是,决定在其上安装 DD-WRT 是一个有趣的项目。您可以在此处了解这是否可行。如果是,那么它会很有趣,而且您还会从今天的垃圾堆中获得一个闪亮的、安全的、功能强大的路由器。
在未来的某个时候,您应该学习正确配置防火墙,iptables以及如何设置与路由器的无密码 ssh 连接,这将允许您完全禁用密码登录(有关如何操作的简要说明,请参阅此处它)。但这些事情可以等。
您应该感到高兴:尽管您的黑客已经侵入了您的路由器,但仍然心不在焉,将系统日志留在原地,最终导致他被发现。下次你可能就没那么幸运了。
| 归档时间: |
|
| 查看次数: |
3192 次 |
| 最近记录: |