Tentativi di intrusione su router

Parliamo qui dei rootkit hypervisor-level, ma anche di quale piattaforma mobile preferire o delle ripercussioni di Facebook sulla nostra privacy.
Regole del forum
Rispondi
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 4397
Iscritto il: lun gen 26, 2015 10:13 am

Tentativi di intrusione su router

Messaggio da CUB3 »

Da qualche giorno il mio router rileva continui tentativi di accesso, come mostra il log:
Immagine
Sono ovviamente operazioni automatiche di botnet site in Cina/Taiwain/Russia/... .

Non mi era mai capitata una cosa simile... cosa si fa in questi casi?? :s
Avevo pensato di informare il mio ISP ma, visto e considerato che questo "attacco" sembra prendere di mira l'intero range di IP del mio provider, dovrebbe essersene già accorto e non sembra che abbia intenzione di prendere provvedimenti...
Per adesso ho "chiuso" tutte le porte sul router, oltre a questo che si può fare?? :s
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Tentativi di intrusione su router

Messaggio da System » gio gen 28, 2016 3:09 pm


Avatar utente
Ozne
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 681
Iscritto il: mer apr 23, 2014 11:05 am

Re: Tentativi di intrusione su router

Messaggio da Ozne »

potresti anche impostare una lista bianca con i MAc address del pc, smartphone, portatile ecc... così dovrebbero essere tagliati fuori tutto il resto.

chiudere le porte o fare altre limitazioni è comunque una misura drastica e non priva di problemi.

magari imposta anche un buon firewall software.

comunque lo segnalerei all'isp
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Tentativi di intrusione su router

Messaggio da hashcat »

CUB3 ha scritto:Sono ovviamente operazioni automatiche di botnet site in Cina/Taiwain/Russia/... .
Non solo... hai ricevuto visite anche da parte di Shodan (si tratta del primo IP incluso nella schermata).
Se fossi in te controllerei che nel loro database non ci sia nulla di significativo: puoi farlo utilizzando il seguente URL

Codice: Seleziona tutto

https://www.shodan.io/host/{IP}
Dove al posto di "{IP}" inserisci, di volta in volta, l'indirizzo che vuoi testare.
Ozne ha scritto:potresti anche impostare una lista bianca con i MAc address del pc, smartphone, portatile ecc... così dovrebbero essere tagliati fuori tutto il resto.
Ciò vale per i tentativi di connessione alla rete WLAN, non per quelli "esterni".
Ozne ha scritto:chiudere le porte o fare altre limitazioni è comunque una misura drastica e non priva di problemi.
Se è necessario ospitare sulla propria linea casalinga determinati servizi accessibili da remoto è buona norma proteggerne l'accesso (tunnel SSH, VPN o al limite "port knocking").
Oltretutto è buona norma controllare il contratto stipulato con l'operatore per verificare che non si incorra in violazioni (ad esempio ospitando un server web).
Ozne ha scritto:magari imposta anche un buon firewall software.
Assolutamente ma se si tratta di un router dotato di funzionalità NAT, privo di vulnerabilità note, senza porte aperte (o DMZ, etc.) e protetto con credenziali d'accesso solide, si può stare relativamente sereni.
“The quieter you become, the more you can hear”
Avatar utente
Ozne
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 681
Iscritto il: mer apr 23, 2014 11:05 am

Re: Tentativi di intrusione su router

Messaggio da Ozne »

pensandoci bene se si bloccassero mac address diversi dai proprio non ci si potrebbe neanche connettere a un serve dns.. :)

devo approfondire sulla sicurezza del router...
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 4397
Iscritto il: lun gen 26, 2015 10:13 am

Re: Tentativi di intrusione su router

Messaggio da CUB3 »

hashcat ha scritto:Non solo... hai ricevuto visite anche da parte di Shodan (si tratta del primo IP incluso nella schermata).
Se fossi in te controllerei che nel loro database non ci sia nulla di significativo: puoi farlo utilizzando il seguente URL

Codice: Seleziona tutto

https://www.shodan.io/host/{IP}
Dove al posto di "{IP}" inserisci, di volta in volta, l'indirizzo che vuoi testare.
Addiritura Shodan!! Quale onore!!
Nel loro database ci sono un paio di indirizzi IP che mi erano stati assegnati (e di cui avevo preso nota) ma risultano aperte porte che non corrispondono a quelle che avevo io, visto che si tratta di IP dinamici chi sa a chi appertengono adesso.
hashcat ha scritto:
Ozne ha scritto:magari imposta anche un buon firewall software.
Assolutamente ma se si tratta di un router dotato di funzionalità NAT, privo di vulnerabilità note, senza porte aperte (o DMZ, etc.) e protetto con credenziali d'accesso solide, si può stare relativamente sereni.
Da questo punto di vista credo di essere a posto. L'unica cosa che mi fa incav.... di questo router è che non è possibile modificare il nome degli utenti :mad:


Può valere la pena avvisare l'ISP (che a ben vedere qualcosa l'ha fatta: mi ha dimezzato la banda in upload e download)? Oppure ci vuole pazienza e aspettare che passi??
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Tentativi di intrusione su router

Messaggio da hashcat »

Ozne ha scritto:pensandoci bene se si bloccassero mac address diversi dai proprio non ci si potrebbe neanche connettere a un serve dns.. :)
Proprio così.

:yes
CUB3 ha scritto:Addiritura Shodan!! Quale onore!!
Nel loro database ci sono un paio di indirizzi IP che mi erano stati assegnati (e di cui avevo preso nota) ma risultano aperte porte che non corrispondono a quelle che avevo io, visto che si tratta di IP dinamici chi sa a chi appertengono adesso.
Non so se i dati raccolti vengono immediatamente inseriti nel loro database pubblico, in ogni caso, che io sappia, controllano solo una specifica lista di porte (quindi non dovresti preoccuparti più di tanto)^.
hashcat ha scritto:Da questo punto di vista credo di essere a posto. L'unica cosa che mi fa incav.... di questo router è che non è possibile modificare il nome degli utenti :mad:
In assenza di vulnerabilità sfruttabili da remoto una buona password è sufficiente.
hashcat ha scritto:Può valere la pena avvisare l'ISP (che a ben vedere qualcosa l'ha fatta: mi ha dimezzato la banda in upload e download)? Oppure ci vuole pazienza e aspettare che passi??
Non avendo subito tentativi d'intrusione così serrati non ho mai valutato la possibilità di informare l'operatore (nel mio caso devo fare un po' più di attenzione poichè dispongo di un indirizzo IP statico): in ogni caso dubito che l'avrei fatto.
CUB3 ha scritto:Per adesso ho "chiuso" tutte le porte sul router, oltre a questo che si può fare?? :s
Non è risolutivo ma riduce molto le seccature: sui router più sofisticati è possibile bloccare le connessioni in base alla loro origine geografica o filtrare per range/subnet.

:ciao

^ A maggior ragione considerato che l'operatore ti assegna un indirizzo IP dinamico.
“The quieter you become, the more you can hear”
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 4397
Iscritto il: lun gen 26, 2015 10:13 am

Re: Tentativi di intrusione su router

Messaggio da CUB3 »

A distanza di 5 giorni da quando me ne sono accorto, gli attacchi continuano:
Immagine
:boom
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Tentativi di intrusione su router

Messaggio da hashcat »

CUB3 ha scritto:A distanza di 5 giorni da quando me ne sono accorto, gli attacchi continuano
Hai provato a contattare l'operatore?
“The quieter you become, the more you can hear”
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 4397
Iscritto il: lun gen 26, 2015 10:13 am

Re: Tentativi di intrusione su router

Messaggio da CUB3 »

Non ancora, ma appeno ho un po' di tempo, provo a chiamare.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Tentativi di intrusione su router

Messaggio da System » lun feb 01, 2016 7:57 pm


Rispondi