Da qualche giorno il mio router rileva continui tentativi di accesso, come mostra il log:
Sono ovviamente operazioni automatiche di botnet site in Cina/Taiwain/Russia/... .
Non mi era mai capitata una cosa simile... cosa si fa in questi casi??
Avevo pensato di informare il mio ISP ma, visto e considerato che questo "attacco" sembra prendere di mira l'intero range di IP del mio provider, dovrebbe essersene già accorto e non sembra che abbia intenzione di prendere provvedimenti...
Per adesso ho "chiuso" tutte le porte sul router, oltre a questo che si può fare??
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
CUB3 ha scritto:Sono ovviamente operazioni automatiche di botnet site in Cina/Taiwain/Russia/... .
Non solo... hai ricevuto visite anche da parte di Shodan (si tratta del primo IP incluso nella schermata).
Se fossi in te controllerei che nel loro database non ci sia nulla di significativo: puoi farlo utilizzando il seguente URL
Dove al posto di "{IP}" inserisci, di volta in volta, l'indirizzo che vuoi testare.
Ozne ha scritto:potresti anche impostare una lista bianca con i MAc address del pc, smartphone, portatile ecc... così dovrebbero essere tagliati fuori tutto il resto.
Ciò vale per i tentativi di connessione alla rete WLAN, non per quelli "esterni".
Ozne ha scritto:chiudere le porte o fare altre limitazioni è comunque una misura drastica e non priva di problemi.
Se è necessario ospitare sulla propria linea casalinga determinati servizi accessibili da remoto è buona norma proteggerne l'accesso (tunnel SSH, VPN o al limite "port knocking").
Oltretutto è buona norma controllare il contratto stipulato con l'operatore per verificare che non si incorra in violazioni (ad esempio ospitando un server web).
Ozne ha scritto:magari imposta anche un buon firewall software.
Assolutamente ma se si tratta di un router dotato di funzionalità NAT, privo di vulnerabilità note, senza porte aperte (o DMZ, etc.) e protetto con credenziali d'accesso solide, si può stare relativamente sereni.
hashcat ha scritto:Non solo... hai ricevuto visite anche da parte di Shodan (si tratta del primo IP incluso nella schermata).
Se fossi in te controllerei che nel loro database non ci sia nulla di significativo: puoi farlo utilizzando il seguente URL
Dove al posto di "{IP}" inserisci, di volta in volta, l'indirizzo che vuoi testare.
Addiritura Shodan!! Quale onore!!
Nel loro database ci sono un paio di indirizzi IP che mi erano stati assegnati (e di cui avevo preso nota) ma risultano aperte porte che non corrispondono a quelle che avevo io, visto che si tratta di IP dinamici chi sa a chi appertengono adesso.
hashcat ha scritto:
Ozne ha scritto:magari imposta anche un buon firewall software.
Assolutamente ma se si tratta di un router dotato di funzionalità NAT, privo di vulnerabilità note, senza porte aperte (o DMZ, etc.) e protetto con credenziali d'accesso solide, si può stare relativamente sereni.
Da questo punto di vista credo di essere a posto. L'unica cosa che mi fa incav.... di questo router è che non è possibile modificare il nome degli utenti
Può valere la pena avvisare l'ISP (che a ben vedere qualcosa l'ha fatta: mi ha dimezzato la banda in upload e download)? Oppure ci vuole pazienza e aspettare che passi??
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Ozne ha scritto:pensandoci bene se si bloccassero mac address diversi dai proprio non ci si potrebbe neanche connettere a un serve dns..
Proprio così.
CUB3 ha scritto:Addiritura Shodan!! Quale onore!!
Nel loro database ci sono un paio di indirizzi IP che mi erano stati assegnati (e di cui avevo preso nota) ma risultano aperte porte che non corrispondono a quelle che avevo io, visto che si tratta di IP dinamici chi sa a chi appertengono adesso.
Non so se i dati raccolti vengono immediatamente inseriti nel loro database pubblico, in ogni caso, che io sappia, controllano solo una specifica lista di porte (quindi non dovresti preoccuparti più di tanto)^.
hashcat ha scritto:Da questo punto di vista credo di essere a posto. L'unica cosa che mi fa incav.... di questo router è che non è possibile modificare il nome degli utenti
In assenza di vulnerabilità sfruttabili da remoto una buona password è sufficiente.
hashcat ha scritto:Può valere la pena avvisare l'ISP (che a ben vedere qualcosa l'ha fatta: mi ha dimezzato la banda in upload e download)? Oppure ci vuole pazienza e aspettare che passi??
Non avendo subito tentativi d'intrusione così serrati non ho mai valutato la possibilità di informare l'operatore (nel mio caso devo fare un po' più di attenzione poichè dispongo di un indirizzo IP statico): in ogni caso dubito che l'avrei fatto.
CUB3 ha scritto:Per adesso ho "chiuso" tutte le porte sul router, oltre a questo che si può fare??
Non è risolutivo ma riduce molto le seccature: sui router più sofisticati è possibile bloccare le connessioni in base alla loro origine geografica o filtrare per range/subnet.
^ A maggior ragione considerato che l'operatore ti assegna un indirizzo IP dinamico.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.