Wurde mein Netzwerk gerade gehackt?


18

Es ist gerade etwas sehr Merkwürdiges passiert. Um es kurz zu machen, ich ging weiter zu meinem Computer und erfuhr, dass der Zugriff auf diesen PC gesperrt war. Also habe ich versucht, zu 192.168.1.1 zu wechseln, aber auf meinem blockierten PC hat es nicht funktioniert. Also setze ich mich auf mein Tablet, gehe zu 192.168.1.1 und gehe zu angeschlossenen Geräten und zu meiner Überraschung sehe ich 21 zufällige Geräte von zufälligen IP-Adressen, die nicht meine sind. Der nächste Gedanke war also, alle zufälligen Geräte zu blockieren. Aber kurz bevor ich diese zufälligen Geräte blockiere, wird mein Tablet vom Netzwerk blockiert. Also ziehe ich das Ethernet-Kabel ab, das meinen Router mit meinem Modem verbindet, für den Fall, dass ich gehackt wurde und keine Verbindung zu meinem Netzwerk herstellen konnte. Dann springe ich auf mein letztes Tablet, das nicht blockiert ist, gehe zu 192.168.1.1 und stelle die Zugriffskontrolle so ein, dass neue Geräte automatisch blockiert werden. Entsperren Sie mein anderes Tablet und meinen PC und schließen Sie dann mein Ethernet-Kabel wieder an meinen Router an. Jetzt frage ich mich also, was zum Teufel gerade passiert ist, also gehe ich in die Protokolle meines Routers und bekomme Folgendes:

[LAN-Zugriff von Remote] von 88.180.30.194:60240 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:45:21
[admin login] aus Quelle 192.168.1.9, Samstag, 28. November 2015, 10:45:21
[LAN-Zugriff von Remote] von 88.180.30.194:54493 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:45:21
[LAN-Zugriff von Remote] von 105.101.68.216:51919 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:45:20 Uhr
[LAN-Zugriff von Remote] von 88.180.30.194:54490 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:45:19
[LAN-Zugriff von Remote] von 105.101.68.216:48389 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:45:18
[LAN-Zugriff von Remote] von 41.79.46.35:11736 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:42:49
[DoS-Angriff: SYN / ACK-Scan] von Quelle: 46.101.249.112, Port 80, Samstag, 28. November 2015, 10:40:51
[LAN-Zugriff von Remote] von 90.204.246.68:26596 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:40:15
[Zeit mit NTP-Server synchronisiert] Samstag, den 28. November 2015 um 10:36:51 Uhr
[LAN-Zugriff von Remote] von 87.88.222.142:55756 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:36:38
[LAN-Zugriff von Remote] von 87.88.222.142:35939 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:36:38
[LAN-Zugriff von Remote] von 111.221.77.154:40024 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:31:06
[admin login] aus Quelle 192.168.1.9, Samstag, 28. November 2015, 10:23:53
[DoS Attack: Land Attack] von Quelle: 255.255.255.255, Port 67, Samstag, 28. November 2015, 10:23:44
[Zugriffskontrolle] Gerät ANDROID-EFB7EA92D8391DF6 mit MAC-Adresse 00: 09: 4C: 3B: das Netzwerk, Samstag, 28. November 2015, 10:23:25 Uhr
[LAN-Zugriff von Remote] von 78.14.179.231:61108 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:21:19
[LAN-Zugriff von Remote] von 78.14.179.231:62967 bis 192.168.1.9:63457, Samstag, 28. November 2015, 10:21:19
[UPnP set event: add_nat_rule] aus Quelle 192.168.1.9, Samstag, 28. November 2015, 10:21:15 Uhr
[Internet verbunden] IP-Adresse: (meine IP-Adresse, Samstag, 28. November 2015, 10:21:05 Uhr
[Internet getrennt] Samstag, den 28. November 2015 um 10:20:25 Uhr
[DHCP IP: 192.168.1.6] an MAC-Adresse 14: 99: e2: 1c: a0: 19, Samstag, 28. November 2015, 10:20:22
[DHCP IP: 192.168.1.6] an MAC-Adresse 14: 99: e2: 1c: a0: 19, Samstag, 28. November 2015, 10:20:21
[Zugangskontrolle] Gerät SETHS-APPLE-TV mit MAC-Adresse 14: 99: E2: 1C: A0: 19 ist ein Netzwerk, Samstag, 28. November 2015, 10:20:20
[Zugriffskontrolle] Gerät ANDROID-EFB7EA92D8391DF6 mit MAC-Adresse 00: 09: 4C: 3B: das Netzwerk, Samstag, 28. November 2015, 10:20:19
[DHCP IP: 192.168.1.2] an MAC-Adresse 14: 2d: 27: bb: 7d: 93, Samstag, 28. November 2015, 10:20:06
[Zugriffskontrolle] Der MAIN-PC des Geräts mit der MAC-Adresse F8: 0F: 41: CD: AC: 0B darf am Samstag, 28. November 2015, 10:20:01 Uhr in das Netzwerk
[DHCP IP: 192.168.1.5] an MAC-Adresse 38: 0f: 4a: 4f: 60: 90, Samstag, 28. November 2015, 10:19:24
[Zugriffskontrolle] Dem Geräte-COMPUTER mit der MAC-Adresse 38: 0F: 4A: 4F: 60: 90 ist das Netzwerk am Samstag, 28. November 2015, 10:19:23 Uhr gestattet
[DHCP IP: 192.168.1.5] an MAC-Adresse 38: 0f: 4a: 4f: 60: 90, Samstag, 28. November 2015, 10:19:23
[admin login] aus Quelle 192.168.1.7, Samstag, 28. November 2015, 10:19:22
[Zugriffskontrolle] Gerät ANDROID-EFB7EA92D8391DF6 mit MAC-Adresse 00: 09: 4C: 3B: das Netzwerk, Samstag, 28. November 2015, 10:19:11
[Zugriffskontrolle] Das Gerät CHROMECAST mit der MAC-Adresse 6C: AD: F8: 7B: 46: 4A lässt das Netzwerk am Samstag, den 28. November 2015 um 10:19:10 zu
[DHCP IP: 192.168.1.8] an MAC-Adresse 70: 73: cb: 78: 69: c6, Samstag, 28. November 2015, 10:19:09
[Zugriffskontrolle] Gerät GABRIELLES-IPOD mit MAC-Adresse 70: 73: CB: 78: 69: C6 ist das Netzwerk, Samstag, 28. November 2015, 10:19:09 Uhr
[DHCP IP: 192.168.1.4] an MAC-Adresse 00: 09: 4c: 3b: 40: 54, Samstag, 28. November 2015, 10:19:08
[DHCP IP: 192.168.1.3] an MAC-Adresse 6c: ad: f8: 7b: 46: 4a, Samstag, 28. November 2015, 10:19:08
[DHCP IP: 192.168.1.7] an MAC-Adresse 24: 24: 0e: 52: 8b: 41, Samstag, 28. November 2015, 10:19:02
[Zugriffskontrolle] Das Gerät GABRIELLE mit der MAC-Adresse 24: 24: 0E: 52: 8B: 41 erlaubt das Netzwerk am Samstag, den 28. November 2015 um 10:19:02 Uhr
[DHCP IP: 192.168.1.2] an MAC-Adresse 14: 2d: 27: bb: 7d: 93, Samstag, 28. November 2015, 10:18:53
[DHCP IP: 192.168.1.2] an MAC-Adresse 14: 2d: 27: bb: 7d: 93, Samstag, 28. November 2015, 10:17:22
[Zugriffskontrolle] Unbekanntes Gerät mit MAC-Adresse 14: 2D: 27: BB: 7D: 93 ist für das Netzwerk zulässig, Samstag, 28. November 2015, 10:16:33
[Zugangskontrolle] Gerät MAIN-PC mit MAC-Adresse F8: 0F: 41: CD: AC: 0B blockiert das Netzwerk, Samstag, den 28. November 2015 um 10:16:10 Uhr
[DHCP IP: 192.168.1.2] an MAC-Adresse 14: 2d: 27: bb: 7d: 93, Samstag, 28. November 2015, 10:15:42
[DHCP IP: 192.168.1.9] an MAC-Adresse f8: ​​0f: 41: cd: ac: 0b, Samstag, 28. November 2015, 10:15:37
[Initialisiert, Firmware-Version: V1.0.0.58] Samstag, 28. November 2015, 10:15:29 Uhr

Hier ist eine der unbekannten IP-Adressen, die ich im Protokoll https://db-ip.com/88.180.30.194 gefunden habe, und eine unbekannte Mac-Adresse 00: 09: 4C: 3B: 40: 54, und ich habe die Mac-Adresse mit dieser Website verknüpft http://coweaver.tradekorea.com/

Wenn mir jemand sagen könnte, was passiert ist, wäre das großartig :)

Antworten:


30

Ja, höchstwahrscheinlich wurde es gehackt.

Das Vorzeichen gibt den Bereich der verwendeten Ports an: Alle Betriebssysteme verwenden niedrige Ports (<ca. 10.000), um eingehende Verbindungen abzuhören, und hohe Ports (die verbleibenden, insbesondere aber die über 30.000) für ausgehende Verbindungen. Stattdessen werden in Ihrem Protokoll Verbindungen zwischen Paaren hoher Ports angezeigt. Dies bedeutet, dass kein herkömmlicher Zugriff auf Ihren PC verwendet wurde, kein Telnet, kein ssh, kein http usw. Stattdessen ist die Verwendung von Paaren von hohen Ports typisch für einen klassischen Hacker - Tool Duo, netcat und Meterpreter .

Insbesondere ist es ziemlich klar, dass der Hacker eine Hintertür auf dem PC 192.168.1.9 hinterlassen hat, die auf Port 63457 lauscht, aber er hat auch einige Portweiterleitungen durchgeführt, um Verbindungen zu diesem Port auf diesem PC über Ihren Router zuzulassen. Der Hacker hat also sowohl diesen PC als auch Ihren Router verletzt . Es gibt weitere Beweise dafür in diesen beiden Zeilen,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Schauen Sie sich die Zeitstempel an: Innerhalb einer Sekunde meldet sich der Hacker bei PC 192.168.1.9 an und erhält von dort aus Administratorzugriff auf Ihren Router.

Schritte zur Schadensminderung

  1. Sie befinden sich in einer angespannten Situation, weil ein mächtiger Feind direkt vor Ihrer Tür lauert. Sie sollten getrennt bleiben, bis Sie ausreichende Maßnahmen ergriffen haben, um eine mächtige Barriere gegen ihn zu errichten. Hier besteht das Risiko, dass er, da er weiß, dass er entdeckt wurde, alle Ihre Maschinen, einschließlich des Zeilendruckers, hackt (ja, das ist möglich), und Sie werden ihn niemals loswerden. Dies alles, während Sie sicher eine fünfte Spalte in Ihrem LAN haben, PC 192.168.1.9. Wir werden es Schritt für Schritt machen.

  2. Kaufen Sie einen anderen Router einer anderen Marke, möglicherweise mit einer leicht konfigurierbaren Firewall. Ich verwende die Buffalo-Router mit vorinstalliertem DD-WRT, einem leistungsstarken Betriebssystem.

  3. Trennen Sie den mit 192.168.1.9 gekennzeichneten PC und lassen Sie ihn ausgeschaltet.

  4. Ersetzen Sie den alten Router, aber verbinden Sie den neuen noch nicht mit dem Internet.

  5. Konfigurieren Sie es von Ihrem LAN aus mit jedem anderen PC.

  6. Insbesondere (diese Anweisungen für einen DD-WRT-Router geben Ihnen eine Vorstellung davon, was auch im Nicht-DD-WRT-Router zu tun ist), wechseln Sie zur Registerkarte Dienste, deaktivieren Sie den Telnet- Zugriff und den VNC-Repeater und aktivieren Sie syslogd.

  7. Gehen Sie zur Registerkarte Administration und deaktivieren Sie alle Schaltflächen unter Remote Access . Ändern Sie das Passwort auf der Registerkarte "Administration" in etwas Beeindruckendes , etwa " I_want_T0_k33p_all_Hacck3rs_0ut"! (Der Rechtschreibfehler ist absichtlich). Technisch versierte Benutzer sollten die kennwortlose Anmeldung aktivieren (unter Dienste-> Dienste, Secure Shell) und dann unter Verwaltung-> Webzugriff deaktivieren httpund aktivieren https, um die Weitergabe von Klartextkennwörtern zu verhindern. Die Details zum Herstellen einer Verbindung zu einem DD-WRT-Router httpsfinden Sie hier . Hierfür ist die sshgerade aktivierte Verbindung erforderlich .

  8. Gehen Sie nun zu Administration -> Befehle und geben Sie Folgendes in den Bereich Befehle ein:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
      iptables  -A OUTPUT -d 88.180.30.194 -j DROP
      iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      iptables -I INPUT -i $WAN_IFACE -DROP
    

    Hier ist $ WAN_IFACE der Name der Netzwerkkarte, die mit Ihrem ISP verbunden ist. In meinem System wäre dies der Fall vlan2, aber Sie sollten besser nach Ihrem System suchen . Die ersten beiden Regeln schließen eine der IP-Adressen vollständig aus, von der die illegalen Verbindungen zu Ihrem PC 192.168.1.9 stammten. Möglicherweise möchten Sie andere ähnliche Regeln hinzufügen, um auch 105.101.68.216 und so weiter auszuschließen. Die dritte Regel ermöglicht die Eingabe einer Fortsetzung der von Ihnen gestarteten Verbindungen , dh vermutlich legaler Verbindungen. Die vierte Regel schließt alles andere aus.

    Klicken Sie auf Firewall speichern , und Sie sind fertig.

  9. Lassen Sie nun den Router eingeschaltet, aber für etwa einen Tag vom Internet getrennt , und prüfen Sie, ob ein anderer PC als 192.168.1.9 versucht, eine Verbindung mit fremden IP-Adressen herzustellen. Legitime Unternehmen wie Microsoft oder Apple, Akamai oder Sony, zählen nicht, aber die Verbraucherkonten in Algerien, Burundi, Frankreich, Deutschland, Singapur, Großbritannien (die offensichtlichen Quellen der Verbindungen im Protokoll oben) tun . Wenn es solche Versuche gibt, schalten Sie den Ursprungs-PC aus, und unterziehen Sie ihn der Behandlung von Schritt 11.

  10. Jetzt können Sie den neuen Router mit dem Internet verbinden.

  11. Nehmen Sie jetzt Ihren (ausgeschalteten!) PC 192.168.1.9 mit und bringen Sie ihn an einen anderen Ort, dh nicht zu Ihnen nach Hause. Aktivieren Sie diese Option, und führen Sie entweder alle für die Menschheit verfügbaren Antivirentests aus, oder installieren Sie das Betriebssystem noch einmal.

  12. Überprüfen Sie für einige Zeit täglich das Systemprotokoll Ihres brandneuen Routers, um sicherzustellen, dass keine weiteren Verbindungen der oben genannten Art vorhanden sind: Es besteht immer die Möglichkeit, dass der Hacker andere Systeme in Ihrem Heim infiltriert. Sobald Sie Spuren davon sehen, wiederholen Sie die obigen Schritte für den gehackten PC. Wenn der infizierte PC offline ist, ändern Sie das Router-Passwort.

  13. Sie können den alten Router wegwerfen oder, noch besser, entscheiden, dass es ein unterhaltsames Projekt ist, DD-WRT darauf zu installieren. Sie können herausfinden, hier , ob das möglich ist. Wenn es so ist, dann macht es Spaß, und Sie würden auch einen glänzenden neuen, sicheren und leistungsstarken Router aus dem Müllhaufen bekommen, der es heute ist.

  14. Zu einem späteren Zeitpunkt sollten Sie lernen, die Firewall iptablesrichtig zu konfigurieren und eine passwortlose SSH-Verbindung zum Router einzurichten, mit der Sie die Passwortanmeldung vollständig deaktivieren können (siehe hier für eine kurze Beschreibung der Vorgehensweise) es). Aber diese Dinge können warten.

Sie sollten sich freuen: Ihr Hacker war trotz des Eindringens in Ihren Router abwesend genug, um das Systemprotokoll an Ort und Stelle zu belassen, was letztendlich zu seiner Entdeckung führte. Vielleicht haben Sie beim nächsten Mal nicht so viel Glück.


Es tut mir leid, dass ich nur eine Stimme für diese Antwort abgegeben habe ... (aber ich habe irgendwie gepatcht;))
Hastur

1
@Hastur Also habe ich die Frage auch hochgestuft: p
Rogue

Diese gelungene Antwort klingt zunächst recht extremistisch (insbesondere der erste Satz von Nummer eins). Und doch ist es richtig: Ich stimme voll und ganz zu.
TOOGAM

Es ist bedauerlich ... Ich dachte, dass es die schreckliche Realität perfekt einfängt und effektiv kommuniziert, wie wichtig es ist, vorsichtig zu sein. ("Sie befinden sich in einer angespannten Situation, weil ein mächtiger Feind direkt vor Ihrer Tür lauert.") Ich weiß, dass "Extremist" negativ gesehen werden kann, aber manchmal ist dies angesagt. Haben Sie, @MariusMatutiae, die insgesamt positiven Obertöne, mit denen ich den vorherigen Kommentar begonnen und beendet habe, nicht bemerkt?
TOOGAM
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.