태그 보관물: dhcp

dhcp

네트워크가 해킹 당했습니까? 2015 년

아주 이상한 일이 일어났습니다. 한마디로 말하면, 나는 내 컴퓨터로 갔고이 PC에 대한 액세스가 차단되었다고 말했습니다. 그래서 나는 192.168.1.1로 가려고했지만 차단 된 PC에서 작동하지 않았습니다. 그래서 나는 태블릿을 가지고 192.168.1.1로 가서 연결된 장치로 간다. 놀랍게도 내 IP 주소가 아닌 임의의 IP 주소에서 21 개의 임의 장치가 보입니다. 그래서 내가 생각한 다음에는 모든 임의의 장치를 차단하는 것이 었습니다. 그러나 이러한 임의의 장치를 차단하기 직전에 태블릿이 네트워크에서 차단됩니다. 따라서 해킹 당하여 네트워크에 연결할 수없는 경우를 대비하여 라우터를 모뎀에 연결하는 이더넷 케이블을 분리합니다. 그런 다음 차단되지 않은 마지막 태블릿에서 192.168.1.1로 이동하여 새 장치를 자동으로 차단하도록 액세스 제어를 설정합니다. 다른 태블릿과 PC의 차단을 해제 한 다음 이더넷 케이블을 라우터에 다시 연결하십시오. 그래서 지금 도대체 무슨 일이 일어 났는지 궁금해서 라우터 로그로 가서 이것을 얻습니다.

[원격에서 LAN 액세스] 88.180.30.194:60240에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:45:21
[관리자 로그인] 소스 192.168.1.9, 2015 년 11 월 28 일 토요일 10:45:21
[원격에서 LAN 액세스] 88.180.30.194:54493에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:45:21
[원격에서 LAN 액세스] 105.101.68.216:51919에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:45:20
[원격에서 LAN 액세스] 88.180.30.194:54490에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:45:19
[원격에서 LAN 액세스] 105.101.68.216:48389에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:45:18
[원격에서 LAN 액세스] 41.79.46.35:11736에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:42:49
[DoS 공격 : SYN / ACK 스캔] 출처 : 46.101.249.112, 포트 80, 2015 년 11 월 28 일 토요일 10:40:51
[원격에서 LAN 액세스] 90.204.246.68:26596에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:40:15
[NTP 서버와의 시간 동기화] 2015 년 11 월 28 일 토요일 10:36:51
[원격에서 LAN 액세스] 87.88.222.142:55756 ~ 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:36:38
[원격에서 LAN 액세스] 87.88.222.142:35939에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:36:38
[원격에서 LAN 액세스] 111.221.77.154:40024에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:31:06
[관리자 로그인] 소스 192.168.1.9, 2015 년 11 월 28 일 토요일 10:23:53
[DoS Attack : Land Attack] 소스 : 255.255.255.255, 포트 67, 2015 년 11 월 28 일 토요일 10:23:44
[액세스 제어] MAC 주소가 00 : 09 : 4C : 3B 인 장치 ANDROID-EFB7EA92D8391DF6 : 네트워크, 2015 년 11 월 28 일 토요일 10:23:25
[원격에서 LAN 액세스] 78.14.179.231:61108에서 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:21:19
[원격에서 LAN 액세스] 78.14.179.231:62967 ~ 192.168.1.9:63457, 2015 년 11 월 28 일 토요일 10:21:19
[UPnP 세트 이벤트 : add_nat_rule] 소스 192.168.1.9, 2015 년 11 월 28 일 토요일 10:21:15
[인터넷 연결] IP 주소 : (내 IP 주소, 2015 년 11 월 28 일 토요일 10:21:05
[인터넷 단절] 2015 년 11 월 28 일 토요일 10:20:25
[DHCP IP : 192.168.1.6] ~ MAC 주소 14 : 99 : e2 : 1c : a0 : 19, 2015 년 11 월 28 일 토요일 10:20:22
[DHCP IP : 192.168.1.6] ~ MAC 주소 14 : 99 : e2 : 1c : a0 : 19, 2015 년 11 월 28 일 토요일 10:20:21
[액세스 제어] MAC 주소가 14 : 99 : E2 : 1C : A0 : 19 인 장치 SETHS-APPLE-TV는 2015 년 11 월 28 일 토요일 10:20:20 네트워크입니다.
[액세스 제어] MAC 주소가 00 : 09 : 4C : 3B 인 장치 ANDROID-EFB7EA92D8391DF6 : 네트워크, 2015 년 11 월 28 일 토요일 10:20:19
[DHCP IP : 192.168.1.2] ~ MAC 주소 14 : 2d : 27 : bb : 7d : 93, 2015 년 11 월 28 일 토요일 10:20:06
[액세스 제어] MAC 주소가 F8 : 0F : 41 : CD : AC : 0B 인 장치 MAIN-PC는 2015 년 11 월 28 일 토요일 10:20:01 네트워크에 허용됩니다.
[DHCP IP : 192.168.1.5] ~ MAC 주소 38 : 0f : 4a : 4f : 60 : 90, 2015 년 11 월 28 일 토요일 10:19:24
[액세스 제어] MAC 주소가 38 : 0F : 4A : 4F : 60 : 90 인 장치 COMPUTER는 2015 년 11 월 28 일 토요일 10:19:23 네트워크에 허용됩니다.
[DHCP IP : 192.168.1.5] ~ MAC 주소 38 : 0f : 4a : 4f : 60 : 90, 2015 년 11 월 28 일 토요일 10:19:23
[관리자 로그인] 소스 192.168.1.7, 2015 년 11 월 28 일 토요일 10:19:22
[액세스 제어] MAC 주소가 00 : 09 : 4C : 3B 인 장치 ANDROID-EFB7EA92D8391DF6 : 2015 년 11 월 28 일 토요일 네트워크 10:19:11
[액세스 제어] MAC 주소가 6C : AD : F8 : 7B : 46 : 4A 인 장치 CHROMECAST는 2015 년 11 월 28 일 토요일 10:19:10 네트워크를 허용합니다.
[DHCP IP : 192.168.1.8]-MAC 주소 70 : 73 : cb : 78 : 69 : c6, 2015 년 11 월 28 일 토요일 10:19:09
[액세스 제어] MAC 주소가 70 : 73 : CB : 78 : 69 : C6 인 장치 GABRIELLES-IPOD는 2015 년 11 월 28 일 토요일 10:19:09의 네트워크입니다.
[DHCP IP : 192.168.1.4]-MAC 주소 00 : 09 : 4c : 3b : 40 : 54, 2015 년 11 월 28 일 토요일 10:19:08
[DHCP IP : 192.168.1.3]-MAC 주소 6c : ad : f8 : 7b : 46 : 4a, 2015 년 11 월 28 일 토요일 10:19:08
[DHCP IP : 192.168.1.7]-MAC 주소 24 : 24 : 0e : 52 : 8b : 41, 2015 년 11 월 28 일 토요일 10:19:02
[액세스 제어] MAC 주소가 24 : 24 : 0E : 52 : 8B : 41 인 장치 GABRIELLE은 네트워크를 허용합니다. 2015 년 11 월 28 일 토요일 10:19:02
[DHCP IP : 192.168.1.2] ~ MAC 주소 14 : 2d : 27 : bb : 7d : 93, 2015 년 11 월 28 일 토요일 10:18:53
[DHCP IP : 192.168.1.2] ~ MAC 주소 14 : 2d : 27 : bb : 7d : 93, 2015 년 11 월 28 일 토요일 10:17:22
[액세스 제어] MAC 주소 14 : 2D : 27 : BB : 7D : 93의 알 수없는 장치는 2015 년 11 월 28 일 토요일 10:16:33 네트워크에 허용됩니다.
[액세스 제어] MAC 주소가 F8 : 0F : 41 : CD : AC : 0B 인 장치 MAIN-PC가 2015 년 11 월 28 일 토요일 10:16:10 네트워크에서 차단되었습니다
[DHCP IP : 192.168.1.2] ~ MAC 주소 14 : 2d : 27 : bb : 7d : 93, 2015 년 11 월 28 일 토요일 10:15:42
[DHCP IP : 192.168.1.9]-MAC 주소 f8 : 0f : 41 : cd : ac : 0b, 2015 년 11 월 28 일 토요일 10:15:37
[초기화, 펌웨어 버전 : V1.0.0.58] 2015 년 11 월 28 일 토요일 10:15:29

다음은 로그 https://db-ip.com/88.180.30.194 에서 알 수없는 IP 주소 중 하나이며 알 수 없는 mac 주소 00 : 09 : 4C : 3B : 40 : 54이며 Mac 주소를이 웹 사이트에 연결했습니다. http://coweaver.tradekorea.com/

누구든지 무슨 일이 있었는지 말해 줄 수 있다면 정말 좋을 것입니다 🙂



답변

예, 대부분 해킹되었을 수 있습니다.

이야기 기호는 사용되는 포트의 범위입니다. 모든 OS는 들어오는 연결을 수신하기 위해 낮은 포트 (<10,000) 미만을 사용하고 나가는 연결을 위해서는 높은 포트 (나머지 포트, 특히 30,000 이상)를 사용합니다. 대신, 로그는 높은 포트 쌍 사이의 연결을 표시합니다 . 이는 PC에 대한 일반적인 액세스가 사용되지 않았으며, 텔넷, ssh, http 등이 없음을 의미합니다. 대신, 높은 포트 쌍을 사용하는 것은 전형적인 해커 도구 인 duo, netcatmeterpreter의 전형 입니다.

특히 해커가 포트 63457에서 수신 대기하는 PC 192.168.1.9의 백도어를 남겼 음을 분명히 알 수 있지만,이 PC의이 포트에 대한 연결이 라우터를 통과 할 수 있도록 포트 전달을 수행했습니다. 해커 가이 PC 라우터를 모두 위반 했습니다 . 이 두 줄에 이것에 대한 추가 증거가 있습니다.

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

타임 스탬프를 확인하십시오. 1 초 내에 해커가 PC 192.168.1.9에 로그인 한 다음 라우터에서 관리자 액세스 권한을 얻습니다 .

완화 단계

  1. 당신은 문 밖에 숨어있는 강력한 적이 있기 때문에 당신은 꽉 자리에 있습니다. 강력한 장벽을 세우기 위해 충분한 조치를 취할 때까지 연결을 끊어야합니다. 여기서 발견 된 위험은 그가 발견 된 것을 알고 있기 때문에 라인 프린터를 포함하여 모든 시스템을 해킹 할 것입니다 (예, 완료 할 수 있음). 이 모든 것이 LAN에 다섯 번째 열인 PC 192.168.1.9가 있어야합니다. 한 번에 한 단계 씩 진행하겠습니다.

  2. 쉽게 구성 할 수있는 방화벽이있는 다른 브랜드의 다른 라우터를 구입하십시오. 강력한 OS 인 DD-WRT가 사전 설치된 버팔로 라우터를 사용합니다.

  3. 192.168.1.9로 식별 된 PC를 분리하고 전원을 끄십시오.

  4. 기존 라우터를 교체하되 아직 새 라우터 를 인터넷에 연결 하지 마십시오 .

  5. 당신의 LAN 내에서 구성 어떤 다른 PC.

  6. 특히 (DD-WRT 라우터에 대한이 지침은 비 DD-WRT 라우터에서도 수행 할 작업에 대한 아이디어를 제공합니다) 서비스 탭으로 이동하여 텔넷 액세스 및 VNC 리피터를 비활성화 하고 syslogd를 활성화합니다.

  7. 관리 탭으로 이동하여 원격 액세스 아래의 모든 단추를 비활성화 하십시오 . 여전히 관리 탭에서 암호를 I_want_T0_k33p_all_Hacck3rs_0ut 와 같은 강력한 것으로 변경하십시오 ! (맞춤법 오류는 의도적입니다). 기술에 정통한 사용자는 암호없는 로그인 (서비스-> 서비스, 보안 셸)을 활성화 한 다음 관리-> 관리, 웹 액세스에서 일반 텍스트 암호가 전달되지 않도록 비활성화 http및 활성화 해야 https합니다. DD-WRT 라우터에 연결하는 방법에 대한 자세한 내용은 여기 에서 https확인할 수 있습니다 . 방금 활성화 한 연결 이 필요합니다 .ssh

  8. 이제 관리-> 명령으로 이동하여 명령 영역에 다음을 입력하십시오.

      iptables  -A INPUT -s 88.180.30.194 -j DROP
      iptables  -A OUTPUT -d 88.180.30.194 -j DROP
      iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      iptables -I INPUT -i $WAN_IFACE -DROP
    

    여기서 $ WAN_IFACE는 ISP에 연결된 NIC의 이름이며 내 시스템 vlan2에서는이지만 시스템을 확인하는 것이 좋습니다. 처음 두 규칙 은 PC 192.168.1.9에 불법으로 연결된 IP 주소 중 하나 를 완전히 차단했습니다 . 다른 유사한 규칙을 추가하여 105.101.68.216 등을 종료 할 수도 있습니다. 세 번째 규칙은 사용자가 시작한 연결 , 합법적 인 연결 의 연속 인 입력을 허용 합니다. 네 번째 규칙은 다른 모든 것을 차단합니다.

    히트 방화벽 저장을 , 당신이 완료됩니다.

  9. 이제 라우터를 켜둔 상태 에서 하루 동안 인터넷 연결끊고 192.168.1.9 이외의 PC 가 이상한 IP 주소에 연결을 시도 하는지 확인하십시오 . 합법적 인 기업은 마이크로 소프트 나 애플, 아카 마이이나 소니처럼, 포함되지 않지만, 소비자는 알제리, 부룬디, 프랑스, 독일, 싱가포르, 영국 (위의 로그에 연결의 명백한 소스)에서 계정 을 수행 . 이러한 시도가있는 경우 원래 PC를 오프라인으로 가져 와서 끄고 11 단계의 처리를 받으십시오.

  10. 이제 새로운 라우터를 인터넷에 연결할 수 있습니다.

  11. 지금 (! 꺼져) 당신의 PC에 192.168.1.9을 다른 곳에 가져 없습니다 집에서. 전원을 켜고 인류가 이용할 수있는 모든 안티 바이러스 테스트를 실행하거나 운영 체제를 다시 설치하십시오.

  12. 새로운 라우터의 시스템 로그를 매일 한동안 확인하여 위와 같은 종류의 연결이 더 이상 존재하지 않는지 확인하십시오. 해커가 집에 다른 시스템에 침투했을 가능성이 항상 있습니다. 이 흔적이 보이면 해킹 된 PC에 대해 위의 단계를 반복하고 감염된 PC가 오프라인 일 때 라우터 암호를 변경하십시오.

  13. 이전 라우터를 던지거나 DD-WRT를 설치하는 재미있는 프로젝트인지 결정하는 것이 좋습니다. 가능 여부를 여기에서 찾을 수 있습니다 . 만약 그렇다면, 그것은 약간의 재미이며, 쓰레기 더미에서 새롭고 안전하고 강력한 라우터를 얻을 것입니다.

  14. 나중에 언젠가는 방화벽을 iptables올바르게 구성하는 방법과 라우터에 암호없는 ssh 연결을 설정하는 방법 을 배우고 암호 로그인을 완전히 비활성화 할 수 있습니다 ( 방법에 대한 간단한 설명 은 여기 를 참조 하십시오) 그것). 그러나 이런 것들이 기다릴 수 있습니다.

당신은 행복해야합니다. 해커는 라우터에 침투했지만 시스템 로그를 제자리에 둘 수있을 정도로 마음이 없었기 때문에 결국 그의 탐지로 이어졌습니다. 다음에 그렇게 운이 좋지 않을 수도 있습니다.


답변