Minha rede acabou de ser invadida?

Algo muito estranho acabou de acontecer. Para encurtar a história, fui ao meu computador e ele me disse que o acesso estava bloqueado neste PC. Tentei ir para 192.168.1.1, mas não funcionou no meu PC bloqueado. Então, eu chego no meu tablet, vou para 192.168.1.1 e vou para dispositivos conectados, e para minha surpresa, vejo 21 dispositivos aleatórios de endereços IP aleatórios que não são meus. Então, o próximo que pensei foi bloquear todos os dispositivos aleatórios. Mas, pouco antes de bloquear esses dispositivos aleatórios, meu tablet é bloqueado na rede. Portanto, desconectei o cabo Ethernet que conecta meu roteador ao modem, para o caso de eu estar sendo hackeado e não conseguir conectar-me à minha rede. Depois, pulo no meu último tablet que não está bloqueado, vou para 192.168.1.1 e defino o controle de acesso para bloquear automaticamente novos dispositivos, desbloqueie meu outro tablet e PC e conecte meu cabo Ethernet novamente ao meu roteador. Então agora estou me perguntando o que diabos aconteceu, então eu vou nos logs do meu roteador e recebo o seguinte:

[Acesso à LAN do controle remoto] de 88.180.30.194:60240 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:45:21
[login de administrador] da fonte 192.168.1.9, sábado, 28 de novembro de 2015 10:45:21
[Acesso à LAN do controle remoto] de 88.180.30.194:54493 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:45:21
[Acesso à LAN do controle remoto] de 105.101.68.216:51919 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:45:20
[Acesso à LAN do controle remoto] de 88.180.30.194:54490 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:45:19
[Acesso à LAN do controle remoto] de 105.101.68.216:48389 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:45:18
[Acesso à LAN do controle remoto] de 41.79.46.35:11736 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:42:49
[DoS Attack: SYN / ACK Scan] da fonte: 46.101.249.112, porta 80, sábado, 28 de novembro de 2015 10:40:51
[Acesso à LAN do controle remoto] de 90.204.246.68:26596 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:40:15
[Horário sincronizado com o servidor NTP] sábado, 28 de novembro de 2015 10:36:51
[Acesso à LAN do controle remoto] de 87.88.222.142:55756 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:36:38
[Acesso à LAN do controle remoto] de 87.88.222.142:35939 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:36:38
[Acesso à LAN do controle remoto] de 111.221.77.154:40024 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:31:06
[login de administrador] da fonte 192.168.1.9, sábado, 28 de novembro de 2015 10:23:53
[DoS Attack: Land Attack] da fonte: 255.255.255.255, porta 67, sábado, 28 de novembro de 2015 10:23:44
Dispositivo [Controle de Acesso] ANDROID-EFB7EA92D8391DF6 com endereço MAC 00: 09: 4C: 3B: a rede, sábado, 28 de novembro de 2015 10:23:25
[Acesso à LAN do controle remoto] de 78.14.179.231:61108 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:21:19
[Acesso à LAN do controle remoto] de 78.14.179.231:62967 a 192.168.1.9:63457, sábado, 28 de novembro de 2015 10:21:19
[UPnP set event: add_nat_rule] da fonte 192.168.1.9, sábado, 28 de novembro de 2015 10:21:15
Endereço IP [conectado à Internet]: (meu endereço IP, sábado, 28 de novembro de 2015 10:21:05
[Internet desconectada] sábado, 28 de novembro de 2015 10:20:25
[IP DHCP: 192.168.1.6] para o endereço MAC 14: 99: e2: 1c: a0: 19, sábado, 28 de novembro de 2015 10:20:22
[IP DHCP: 192.168.1.6] para o endereço MAC 14: 99: e2: 1c: a0: 19, sábado, 28 de novembro de 2015 10:20:21
Dispositivo [Controle de Acesso] SETHS-APPLE-TV com endereço MAC 14: 99: E2: 1C: A0: 19 é uma rede, sábado, 28 de novembro de 2015 10:20:20
Dispositivo [Controle de Acesso] ANDROID-EFB7EA92D8391DF6 com endereço MAC 00: 09: 4C: 3B: a rede, sábado, 28 de novembro de 2015 10:20:19
[IP DHCP: 192.168.1.2] para o endereço MAC 14: 2d: 27: bb: 7d: 93, sábado, 28 de novembro de 2015 10:20:06
Dispositivo [Controle de Acesso] PC PRINCIPAL com endereço MAC F8: 0F: 41: CD: AC: 0B é permitida na rede, sábado, 28 de novembro de 2015 10:20:01
[IP DHCP: 192.168.1.5] para o endereço MAC 38: 0f: 4a: 4f: 60: 90, sábado, 28 de novembro de 2015 10:19:24
Dispositivo de [Controle de Acesso] COMPUTADOR com endereço MAC 38: 0F: 4A: 4F: 60: 90 é permitido a rede, sábado, 28 de novembro de 2015 10:19:23
[IP DHCP: 192.168.1.5] para o endereço MAC 38: 0f: 4a: 4f: 60: 90, sábado, 28 de novembro de 2015 10:19:23
[login de administrador] da fonte 192.168.1.7, sábado, 28 de novembro de 2015 10:19:22
Dispositivo [Controle de Acesso] ANDROID-EFB7EA92D8391DF6 com endereço MAC 00: 09: 4C: 3B: a rede, sábado, 28 de novembro de 2015 10:19:11
O dispositivo [Controle de acesso] CHROMECAST com endereço MAC 6C: AD: F8: 7B: 46: 4A é permitido para a rede, sábado, 28 de novembro de 2015 10:19:10
[IP DHCP: 192.168.1.8] para o endereço MAC 70: 73: cb: 78: 69: c6, sábado, 28 de novembro de 2015 10:19:09
Dispositivo [Controle de Acesso] GABRIELLES-IPOD com endereço MAC 70: 73: CB: 78: 69: C6 é a rede, sábado, 28 de novembro de 2015 10:19:09
[IP DHCP: 192.168.1.4] para o endereço MAC 00: 09: 4c: 3b: 40: 54, sábado, 28 de novembro de 2015 10:19:08
[IP DHCP: 192.168.1.3] para o endereço MAC 6c: ad: f8: 7b: 46: 4a, sábado, 28 de novembro de 2015 10:19:08
[IP DHCP: 192.168.1.7] para o endereço MAC 24: 24: 0e: 52: 8b: 41, sábado, 28 de novembro de 2015 10:19:02
Dispositivo [Controle de Acesso] GABRIELLE com endereço MAC 24: 24: 0E: 52: 8B: 41 é permitido na rede, sábado, 28 de novembro de 2015 10:19:02
[IP DHCP: 192.168.1.2] para o endereço MAC 14: 2d: 27: bb: 7d: 93, sábado, 28 de novembro de 2015 10:18:53
[IP DHCP: 192.168.1.2] para o endereço MAC 14: 2d: 27: bb: 7d: 93, sábado, 28 de novembro de 2015 10:17:22
Dispositivo [Controle de Acesso] Desconhecido com endereço MAC 14: 2D: 27: BB: 7D: 93 é permitido a rede, sábado, 28 de novembro de 2015 10:16:33
Dispositivo [Controle de Acesso] PRINCIPAL-PC com endereço MAC F8: 0F: 41: CD: AC: 0B está bloqueado na rede, sábado, 28 de novembro de 2015 10:16:10
[IP DHCP: 192.168.1.2] para o endereço MAC 14: 2d: 27: bb: 7d: 93, sábado, 28 de novembro de 2015 10:15:42
[IP DHCP: 192.168.1.9] para o endereço MAC f8: 0f: 41: cd: ac: 0b, sábado, 28 de novembro de 2015 10:15:37
[Inicializado, versão do firmware: V1.0.0.58] sábado, 28 de novembro de 2015 10:15:29

aqui está um dos endereços IP desconhecidos que encontrei no log https://db-ip.com/88.180.30.194 e um endereço mac desconhecido 00: 09: 4C: 3B: 40: 54 e vinculei o endereço mac a este site http://coweaver.tradekorea.com/

Se alguém pudesse me dizer o que aconteceu, isso seria incrível :)

Sim, provavelmente foi hackeado.

O sinal indicativo é o intervalo de portas usadas: todos os sistemas operacionais usam portas baixas (<cerca de 10.000) para escutar as conexões de entrada e portas altas (as restantes, mas principalmente aquelas acima de 30.000) para as conexões de saída. Em vez disso, o seu log exibe conexões entre pares de portas altas , o que significa que nenhum acesso convencional ao seu PC foi usado, nenhum telnet, nenhum ssh, nenhum http e assim por diante. Em vez disso, o uso de pares de portas altas é típico de uma dupla clássica de ferramentas de hackers, netcat e meterpreter .

Em particular, é bastante claro que o hacker deixou um backdoor no PC 192.168.1.9 escutando na porta 63457, mas ele também fez algum encaminhamento de porta para permitir que as conexões a essa porta no PC passassem pelo roteador. Assim, o hacker violou tanto este pc e seu roteador. Há mais uma prova disso nessas duas linhas,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

Veja os carimbos de hora: em um segundo, o hacker entra no PC 192.168.1.9 e, a partir disso, obtém acesso de administrador ao seu roteador.

Etapas de mitigação

1. Você está em uma situação difícil, porque você tem um inimigo poderoso à espreita bem à sua porta. Você deve permanecer desconectado até ter tomado medidas suficientes para erguer contra ele uma barreira poderosa. O risco aqui é que, como ele sabe que foi descoberto, ele irá invadir todas as suas máquinas, incluindo a impressora de linha (sim, isso pode ser feito), e você nunca se livrará dele. Tudo isso enquanto você certamente possui uma quinta coluna na sua LAN, pc 192.168.1.9. Vamos dar um passo de cada vez.

2. Compre outro roteador, de uma marca diferente, possivelmente um com um firewall facilmente configurável. Eu uso os roteadores Buffalo com o DD-WRT pré-instalado, um sistema operacional poderoso.

3. Desconecte o PC identificado por 192.168.1.9 e mantenha-o desligado.

4. Substitua o roteador antigo, mas ainda não conecte o novo roteador à Internet.

5. Configure-o na sua LAN com qualquer outro PC.

6. Em particular, (essas instruções para um roteador DD-WRT fornecerão uma idéia do que fazer, mesmo no roteador não DD-WRT), acesse a guia Serviços e desative o acesso telnet e o repetidor VNC e ative o syslogd.

7. Vá para a guia Administração e desative todos os botões em Acesso remoto . Ainda na guia Administração, altere a senha para algo formidável, como I_want_T0_k33p_all_Hacck3rs_0ut! (o erro ortográfico é deliberado). Aqueles que são tecnicamente esclarecidos devem habilitar o login sem senha (em Serviços-> Serviços, Shell Seguro) e, em Administração-> Gerenciamento, Acesso à Web, devem desabilitar httpe habilitar httpsapenas, para evitar a transmissão de senhas em texto não criptografado; os detalhes sobre como conectar-se a um roteador DD-WRT httpspodem ser encontrados aqui , requer a sshconexão que acabamos de ativar.

8. Agora vá para Administração -> Comandos e digite o seguinte na área Comandos:

     iptables  -A INPUT -s 88.180.30.194 -j DROP
     iptables  -A OUTPUT -d 88.180.30.194 -j DROP
     iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
     iptables -I INPUT -i $WAN_IFACE -DROP
   

   Aqui $ WAN_IFACE é o nome da NIC conectada ao seu ISP, no meu sistema vlan2, mas seria melhor verificar o seu sistema. As duas primeiras regras desligam completamente um dos endereços IP dos quais vieram as conexões ilegais ao seu PC 192.168.1.9. Você pode querer adicionar outras regras semelhantes para desligar também 105.101.68.216 e assim por diante. A terceira regra permite a entrada, que é uma continuação de conexões iniciadas por você , ou seja , presumivelmente conexões legais. A quarta regra exclui todo o resto.

   Clique em Salvar firewall e pronto.

9. Agora deixe o roteador ligado, mas desconectado da Internet, por cerca de um dia, e verifique se algum PC diferente de 192.168.1.9 tenta entrar em contato com endereços IP estranhos. Empresas legítimas, como a Microsoft ou a Apple, a Akamai ou Sony, não contam, mas consumidor contas na Argélia, Burundi, França, Alemanha, Singapura, Reino Unido (as aparentes fontes das conexões no log acima) fazer . Se houver tais tentativas, desligue o PC de origem, desligue-o e submeta-o ao tratamento da Etapa 11.

10. Agora você pode conectar o novo roteador à Internet.

11. Agora pegue seu PC (desligado!) 192.168.1.9 e leve-o para outro lugar, ou seja , não em sua casa. Ligue-o e execute todos os testes antivírus disponíveis para a humanidade ou, melhor ainda, reinstale o sistema operacional.

12. Verifique o log do sistema do seu novo roteador diariamente, durante algum tempo, para garantir que não haja mais conexões do tipo acima: sempre há a possibilidade de o hacker se infiltrar em outros sistemas em sua casa. Assim que você encontrar traços disso, repita as etapas acima para o PC invadido e, quando o PC infectado estiver offline, altere a senha do roteador.

13. Você pode lançar o roteador antigo ou, melhor ainda, decidir que é um projeto divertido instalando o DD-WRT nele. Você pode descobrir aqui se isso é possível. Se for, é divertido e você também obteria um roteador novo, seguro e poderoso, da pilha de lixo que é hoje.

14. Em algum momento no futuro, você deve aprender a configurar iptablescorretamente o firewall e como configurar a conexão ssh sem senha com o roteador, o que permitiria desativar completamente o login com senha (veja aqui uma breve descrição de como fazer isto). Mas essas coisas podem esperar.

Você deveria estar feliz: seu hacker, apesar de ter invadido seu roteador, estava distraído o suficiente para deixar o log do sistema no lugar, o que levou à sua detecção. Você pode não ter tanta sorte na próxima vez.