Mon réseau vient-il d'être piraté?

18

Quelque chose de très étrange vient de se produire. Bref, je suis allé sur mon ordinateur et il m'a dit que l'accès à ce PC était bloqué. J'ai donc essayé d'aller à 192.168.1.1, mais cela n'a pas fonctionné sur mon PC bloqué. Je monte donc sur ma tablette, je vais sur 192.168.1.1 et je vais sur les appareils connectés, et à ma grande surprise, je vois 21 appareils aléatoires provenant d'adresses IP aléatoires qui ne sont pas les miennes. Donc, la prochaine à laquelle j'ai pensé était de bloquer tous les appareils aléatoires. Mais juste avant de bloquer ces appareils aléatoires, ma tablette est bloquée du réseau. J'ai donc débranché le câble Ethernet qui connecte mon routeur à mon modem, juste au cas où je me ferais pirater pour ne pas pouvoir me connecter à mon réseau. Ensuite, je saute sur ma dernière tablette qui n'est pas bloquée, accède à 192.168.1.1 et configure le contrôle d'accès pour bloquer automatiquement tous les nouveaux appareils, débloquer mon autre tablette et mon PC, puis reconnecter mon câble Ethernet à mon routeur. Alors maintenant, je me demande ce qui vient de se passer, alors je vais sur les journaux de mon routeur et j'obtiens ceci:

[Accès LAN à distance] de 88.180.30.194:60240 à 192.168.1.9:63457, samedi 28 novembre 2015 10:45:21
[Connexion administrateur] à partir de la source 192.168.1.9, samedi 28 novembre 2015 10:45:21
[Accès LAN à distance] de 88.180.30.194:54493 à 192.168.1.9:63457, samedi 28 novembre 2015 10:45:21
[Accès LAN à distance] de 105.101.68.216:51919 à 192.168.1.9:63457, samedi 28 novembre 2015 10:45:20
[Accès LAN à distance] de 88.180.30.194:54490 à 192.168.1.9:63457, samedi 28 novembre 2015 10:45:19
[Accès LAN à distance] de 105.101.68.216:48389 à 192.168.1.9:63457, samedi 28 novembre 2015 10:45:18
[Accès LAN à distance] de 41.79.46.35:11736 à 192.168.1.9:63457, samedi 28 novembre 2015 10:42:49
[Attaque DoS: SYN / ACK Scan] depuis la source: 46.101.249.112, port 80, samedi 28 novembre 2015 10:40:51
[Accès LAN à distance] de 90.204.246.68:26596 à 192.168.1.9:63457, samedi 28 novembre 2015 10:40:15
[Heure synchronisée avec le serveur NTP] samedi 28 novembre 2015 10:36:51
[Accès LAN à distance] de 87.88.222.142:55756 à 192.168.1.9:63457, samedi 28 novembre 2015 10:36:38
[Accès LAN à distance] de 87.88.222.142:35939 à 192.168.1.9:63457, samedi 28 novembre 2015 10:36:38
[Accès LAN à distance] de 111.221.77.154:40024 à 192.168.1.9:63457, samedi 28 novembre 2015 10:31:06
[Connexion administrateur] à partir de la source 192.168.1.9, samedi 28 novembre 2015 10:23:53
[Attaque DoS: Attaque terrestre] de la source: 255.255.255.255, port 67, samedi 28 novembre 2015 10:23:44
[Contrôle d'accès] Appareil ANDROID-EFB7EA92D8391DF6 avec adresse MAC 00: 09: 4C: 3B: le réseau, samedi 28 novembre 2015 10:23:25
[Accès LAN à distance] de 78.14.179.231:61108 à 192.168.1.9:63457, samedi 28 novembre 2015 10:21:19
[Accès LAN à distance] de 78.14.179.231:62967 à 192.168.1.9:63457, samedi 28 novembre 2015 10:21:19
[UPnP set event: add_nat_rule] from source 192.168.1.9, samedi 28 novembre 2015 10:21:15
[Internet connecté] Adresse IP: (mon adresse IP, samedi 28 novembre 2015 10:21:05
[Internet déconnecté] Samedi 28 novembre 2015 10:20:25
[DHCP IP: 192.168.1.6] vers l'adresse MAC 14: 99: e2: 1c: a0: 19, samedi 28 novembre 2015 10:20:22
[DHCP IP: 192.168.1.6] vers l'adresse MAC 14: 99: e2: 1c: a0: 19, samedi 28 novembre 2015 10:20:21
[Contrôle d'accès] Appareil SETHS-APPLE-TV avec adresse MAC 14: 99: E2: 1C: A0: 19 est un réseau, samedi 28 novembre 2015 10:20:20
[Contrôle d'accès] Appareil ANDROID-EFB7EA92D8391DF6 avec adresse MAC 00: 09: 4C: 3B: le réseau, samedi 28 novembre 2015 10:20:19
[DHCP IP: 192.168.1.2] vers l'adresse MAC 14: 2d: 27: bb: 7d: 93, samedi 28 novembre 2015 10:20:06
[Contrôle d'accès] Périphérique MAIN-PC avec adresse MAC F8: 0F: 41: CD: AC: 0B est autorisé à se connecter au réseau, samedi 28 novembre 2015 10:20:01
[DHCP IP: 192.168.1.5] vers l'adresse MAC 38: 0f: 4a: 4f: 60: 90, samedi 28 novembre 2015 10:19:24
[Contrôle d'accès] L'ORDINATEUR du périphérique avec l'adresse MAC 38: 0F: 4A: 4F: 60: 90 est autorisé à se connecter au réseau, samedi 28 novembre 2015 10:19:23
[DHCP IP: 192.168.1.5] vers l'adresse MAC 38: 0f: 4a: 4f: 60: 90, samedi 28 novembre 2015 10:19:23
[Connexion administrateur] à partir de la source 192.168.1.7, samedi 28 novembre 2015 10:19:22
[Contrôle d'accès] Appareil ANDROID-EFB7EA92D8391DF6 avec adresse MAC 00: 09: 4C: 3B: le réseau, samedi 28 novembre 2015 10:19:11
[Contrôle d'accès] L'appareil CHROMECAST avec l'adresse MAC 6C: AD: F8: 7B: 46: 4A est autorisé au réseau, samedi 28 novembre 2015 10:19:10
[DHCP IP: 192.168.1.8] vers l'adresse MAC 70: 73: cb: 78: 69: c6, samedi 28 novembre 2015 10:19:09
[Contrôle d'accès] Appareil GABRIELLES-IPOD avec adresse MAC 70: 73: CB: 78: 69: C6 est le réseau, samedi 28 novembre 2015 10:19:09
[DHCP IP: 192.168.1.4] vers l'adresse MAC 00: 09: 4c: 3b: 40: 54, samedi 28 novembre 2015 10:19:08
[DHCP IP: 192.168.1.3] vers l'adresse MAC 6c: ad: f8: 7b: 46: 4a, samedi 28 novembre 2015 10:19:08
[DHCP IP: 192.168.1.7] vers l'adresse MAC 24: 24: 0e: 52: 8b: 41, samedi 28 novembre 2015 10:19:02
[Contrôle d'accès] L'appareil GABRIELLE avec l'adresse MAC 24: 24: 0E: 52: 8B: 41 est autorisé sur le réseau, samedi 28 novembre 2015 10:19:02
[DHCP IP: 192.168.1.2] vers l'adresse MAC 14: 2d: 27: bb: 7d: 93, samedi 28 novembre 2015 10:18:53
[DHCP IP: 192.168.1.2] vers l'adresse MAC 14: 2d: 27: bb: 7d: 93, samedi 28 novembre 2015 10:17:22
[Contrôle d'accès] Un périphérique inconnu avec une adresse MAC 14: 2D: 27: BB: 7D: 93 est autorisé à se connecter au réseau, samedi 28 novembre 2015 10:16:33
[Contrôle d'accès] Périphérique MAIN-PC avec adresse MAC F8: 0F: 41: CD: AC: 0B est bloqué le réseau, samedi 28 novembre 2015 10:16:10
[DHCP IP: 192.168.1.2] vers l'adresse MAC 14: 2d: 27: bb: 7d: 93, samedi 28 novembre 2015 10:15:42
[DHCP IP: 192.168.1.9] vers l'adresse MAC f8: 0f: 41: cd: ac: 0b, samedi 28 novembre 2015 10:15:37
[Initialisé, version du firmware: V1.0.0.58] Samedi 28 novembre 2015 10:15:29

voici l'une des adresses IP inconnues que j'ai trouvées dans le journal https://db-ip.com/88.180.30.194 et une adresse mac inconnue 00: 09: 4C: 3B: 40: 54 et j'ai lié l'adresse mac à ce site Web http://coweaver.tradekorea.com/

Si quelqu'un pouvait me dire ce qui s'est passé, ce serait génial :)

Mrseth101
la source

Réponses:

30

Oui, très probablement, il a été piraté.

Le signe révélateur est la gamme de ports utilisés: tous les systèmes d'exploitation utilisent des ports bas (<environ 10 000) pour écouter les connexions entrantes et des ports hauts (les autres, mais surtout ceux au-dessus de 30 000) pour les connexions sortantes. Au lieu de cela, votre journal affiche les connexions entre les paires de ports élevés , ce qui signifie qu'aucun accès conventionnel à votre ordinateur n'a été utilisé, aucun telnet, aucun ssh, aucun http, etc. Au lieu de cela, l'utilisation de paires de ports élevés est typique d'un duo d'outils de piratage classique, netcat et meterpreter .

En particulier, il est clair que le pirate a laissé une porte dérobée sur le PC 192.168.1.9 à l'écoute sur le port 63457, mais il a également effectué une redirection de port pour permettre aux connexions à ce port sur ce PC de passer par votre routeur. Le pirate a donc violé à la fois ce PC et votre routeur. Il y a une preuve supplémentaire de cela dans ces deux lignes,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Regardez les horodatages: en une seconde, le pirate se connecte au PC 192.168.1.9, puis à partir de là, il obtient un accès administrateur à votre routeur.

Étapes d'atténuation

  1. Vous êtes dans une situation difficile, car un ennemi puissant se cache juste devant votre porte. Vous devez rester déconnecté jusqu'à ce que vous ayez pris des mesures suffisantes pour ériger contre lui une puissante barrière. Le risque ici est que, puisqu'il sait qu'il a été découvert, il procédera au piratage de toutes vos machines, y compris l'imprimante de ligne (oui, cela peut être fait), et vous ne vous en débarrasserez jamais. Tout cela pendant que vous avez sûrement une cinquième colonne dans votre LAN, pc 192.168.1.9. Nous allons le faire une étape à la fois.

  2. Achetez un autre routeur, d'une marque différente, éventuellement avec un pare-feu facilement configurable. J'utilise les routeurs Buffalo avec DD-WRT préinstallé, un système d'exploitation puissant.

  3. Déconnectez le PC identifié par 192.168.1.9 et laissez-le éteint.

  4. Remplacez l'ancien routeur mais ne connectez pas encore le nouveau à Internet.

  5. Configurez-le depuis votre LAN avec n'importe quel autre PC.

  6. En particulier, (ces instructions pour un routeur DD-WRT vous donneront une idée de ce qu'il faut faire même dans le routeur non DD-WRT), accédez à l'onglet Services, désactivez l' accès telnet et le répéteur VNC, puis activez syslogd.

  7. Accédez à l'onglet Administration et désactivez tous les boutons sous Accès à distance . Toujours dans l'onglet Administration, changez le mot de passe en quelque chose de formidable, quelque chose comme I_want_T0_k33p_all_Hacck3rs_0ut! (l'erreur d'orthographe est délibérée). Ceux qui sont techniquement avertis doivent activer la connexion sans mot de passe (dans Services-> Services, Secure Shell), puis, sous Administration-> Gestion, Accès Web, ils doivent désactiver httpet activer httpsuniquement, afin d'éviter de transmettre des mots de passe en texte clair; les détails sur la façon de se connecter à un routeur DD-WRT via httpspeuvent être trouvés ici , cela nécessite la sshconnexion que nous venons d'activer.

  8. Allez maintenant dans Administration -> Commandes et saisissez ce qui suit dans la zone Commandes:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
      iptables  -A OUTPUT -d 88.180.30.194 -j DROP
      iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      iptables -I INPUT -i $WAN_IFACE -DROP
    

    Ici $ WAN_IFACE est le nom de la carte réseau connectée à votre FAI, dans mon système, ce serait vlan2, mais vous feriez mieux de vérifier votre système. Les deux premières règles bloquent complètement l' une des adresses IP d'où proviennent les connexions illégales à votre PC 192.168.1.9. Vous voudrez peut-être ajouter d'autres règles similaires pour fermer également 105.101.68.216 et ainsi de suite. La troisième règle permet une entrée qui est une continuation des connexions que vous avez démarrées , c'est-à - dire des connexions probablement légales. La quatrième règle exclut tout le reste.

    Cliquez sur Enregistrer le pare - feu et vous avez terminé.

  9. Maintenant, laissez le routeur allumé mais déconnecté d'Internet pendant environ une journée et voyez si un ordinateur autre que 192.168.1.9 essaie de contacter des adresses IP étranges. Les entreprises légitimes, comme Microsoft ou Apple, Akamai ou Sony, ne comptent pas, mais les comptes de consommateurs en Algérie, au Burundi, en France, en Allemagne, à Singapour, au Royaume-Uni (les sources apparentes des connexions dans le journal ci-dessus) le font . S'il y a de telles tentatives, mettez le PC d'origine hors ligne, éteignez-le et soumettez-le au traitement de l'étape 11.

  10. Vous pouvez maintenant connecter le nouveau routeur à Internet.

  11. Maintenant, prenez votre ordinateur (éteint!) 192.168.1.9 et apportez-le ailleurs, c'est- à- dire pas chez vous. Allumez-le et exécutez tous les tests antivirus disponibles pour l'humanité ou, mieux encore, réinstallez le système d'exploitation.

  12. Vérifiez quotidiennement le journal système de votre tout nouveau routeur, pendant un certain temps, pour vous assurer qu'il n'y a plus de connexions du type ci-dessus: il y a toujours la possibilité que le pirate ait infiltré d'autres systèmes dans votre maison. Dès que vous voyez des traces de cela, répétez les étapes ci-dessus pour le PC piraté et lorsque le PC infecté est hors ligne, changez le mot de passe du routeur.

  13. Vous pouvez lancer l'ancien routeur ou, mieux encore, décider que c'est un projet amusant d'installer DD-WRT dessus. Vous pouvez découvrir ici si cela est possible. Si c'est le cas, alors c'est amusant, et vous obtiendrez également un nouveau routeur brillant, sûr et puissant, à partir de la pile de déchets qu'il est à la place aujourd'hui.

  14. À un moment donné dans le futur, vous devriez apprendre à configurer le pare-feu, iptablescorrectement, et comment configurer une connexion ssh sans mot de passe au routeur, ce qui vous permettrait de désactiver complètement la connexion par mot de passe (voir ici pour une brève description de la façon de faire il). Mais ces choses peuvent attendre.

Vous devriez être heureux: votre pirate, bien qu'il ait pénétré votre routeur, était suffisamment distrait pour laisser le journal du système en place, ce qui a finalement conduit à sa détection. Vous n'aurez peut-être pas autant de chance la prochaine fois.

MariusMatutiae
la source
Je suis désolé, je n'ai qu'une voix à donner à cette réponse ... (mais j'ai corrigé d'une manière ou d'une autre;))
Hastur
1
@Hastur J'ai donc aussi voté pour la question: p
RogUE
Cette réponse bien faite commence à paraître plutôt extrémiste (en particulier la première phrase du point numéro un). Pourtant, c'est exact: je suis entièrement d'accord.
TOOGAM
c'est malheureux ... Je pensais que cela reflétait parfaitement la terrible réalité et communiquait efficacement à quel point il était important d'être prudent. ("Vous êtes dans une situation difficile, car vous avez un ennemi puissant qui se cache juste devant votre porte.") Je sais que "l'extrémiste" peut être considéré négativement, mais parfois c'est nécessaire. @MariusMatutiae, n'avez-vous pas remarqué les connotations positives globales avec lesquelles j'ai commencé et terminé le commentaire précédent?
TOOGAM