क्या मेरा नेटवर्क अभी हैक हुआ है?


18

कुछ बहुत ही अजीब सा हुआ। एक छोटी कहानी, मैं अपने कंप्यूटर पर गया और उसने मुझे बताया कि इस पीसी तक पहुंच अवरुद्ध है। इसलिए मैंने 192.168.1.1 पर जाने की कोशिश की, लेकिन यह मेरे अवरुद्ध पीसी पर काम नहीं किया। इसलिए मैं अपने टेबलेट पर मिलता हूं, 192.168.1.1 पर जाता हूं और संलग्न उपकरणों पर जाता हूं, और मेरे आश्चर्य के लिए मुझे यादृच्छिक आईपी पते से 21 यादृच्छिक डिवाइस दिखाई देते हैं जो मेरे नहीं हैं। तो अगले मैंने सोचा था कि सभी यादृच्छिक उपकरणों को अवरुद्ध करना है। लेकिन इससे पहले कि मैं इन यादृच्छिक उपकरणों को अवरुद्ध करूं, मेरा टैबलेट नेटवर्क से अवरुद्ध हो जाता है। इसलिए मैं ईथरनेट केबल को अनप्लग करता हूं जो मेरे राउटर को मेरे मॉडेम से जोड़ता है, बस अगर मुझे हैक किया जा रहा था तो वह मेरे नेटवर्क से कनेक्ट नहीं हो सकता था। फिर मुझे उम्मीद है कि मेरे पिछले टैबलेट पर कोई रोक नहीं है, 192.168.1.1 पर जाएं और किसी भी नए डिवाइस को स्वचालित रूप से ब्लॉक करने के लिए एक्सेस कंट्रोल सेट करें, मेरे अन्य टैबलेट और पीसी को अनब्लॉक करें और फिर अपने ईथरनेट केबल को वापस मेरे राउटर से कनेक्ट करें। तो अब मैं सोच रहा था कि क्या हो गया है, इसलिए मैं अपने राउटर लॉग पर जाता हूं और मुझे यह मिलता है:

[रिमोट से लैन का उपयोग] 88.180.30.194:60240 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:45:21
[व्यवस्थापक लॉगिन] स्रोत 192.168.1.9 से, शनिवार, 28 नवंबर, 2015 10:45:21
[रिमोट से लैन का उपयोग] 88.180.30.194 से 4493 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:45:21
[रिमोट से लैन का उपयोग] १०५.१०१. access access.२१६ से १ ९ १ ९ से १ ९ २.१६ from.१.९: ६३:५ November, शनिवार, २, नवंबर, २०१५ 10:45:20
[रिमोट से लैन का उपयोग] 88.180.30.194 से 4490 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:45:19
[रिमोट से लैन का उपयोग] १०५.१०१.६ access.२१६:४ to३ ९ से १ ९ २.१६ from.१ ].९: ६३:५], शनिवार, २, नवंबर, २०१५ 10:45:18
[रिमोट से लैन का उपयोग] 41.79.46.35:11736 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:42:49
[DoS Attack: SYN / ACK Scan] स्रोत से: 46.101.249.112, पोर्ट 80, शनिवार, 28 नवंबर, 2015 10:40:51
[रिमोट से लैन का उपयोग] 90.204.246.68:26596 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:40:15
[एनटीपी सर्वर के साथ समय का तालमेल] शनिवार, 28 नवंबर, 2015 10:36:51
[रिमोट से लैन का उपयोग] 87.88.222.142:55756 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:36:38
[रिमोट से लैन की पहुंच] 87.88.222.142:35939 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:36:38
[रिमोट से लैन का उपयोग] 111.221.77.154:40024 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:31:06
[व्यवस्थापक लॉगिन] स्रोत 192.168.1.9 से, शनिवार, 28 नवंबर, 2015 10:23:53
[DoS Attack: Land Attack] स्रोत से: 255.255.255.255, पोर्ट 67, शनिवार, 28 नवंबर, 2015 10:23:44
[अभिगम नियंत्रण] डिवाइस ANDROID-EFB7EA92D8391DF6 मैक पते के साथ 00: 09: 4C: 3B: नेटवर्क, शनिवार, 28 नवंबर, 2015 10:23:25
[रिमोट से लैन का उपयोग] 78.14.179.231:61108 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:21:19
[रिमोट से लैन का उपयोग] 78.14.179.231:62967 से 192.168.1.9:63457, शनिवार, 28 नवंबर, 2015 10:21:19
[UPnP सेट इवेंट: add_nat_rule] स्रोत से 192.168.1.9, शनिवार, 28 नवंबर, 2015 10:21:15
[इंटरनेट से जुड़ा] आईपी पता: (मेरा आईपी पता, शनिवार, २ 2015 नवंबर २०१५ १०:२१:05
[इंटरनेट काट दिया गया] शनिवार, 28 नवंबर, 2015 10:20:25
[DHCP IP: 192.168.1.6] मैक पते 14: 99: e2: 1c: a0: 19, शनिवार, 28 नवंबर, 2015 10:20:22
[डीएचसीपी आईपी: १ ९ २.१६.1.१.६] मैक पते १४: ९९: ई २: १ सी: ए ०: १ ९, शनिवार, २, नवंबर २०१५ १०:२०:२१
[अभिगम नियंत्रण] डिवाइस SETHS-APPLE-TV मैक पते के साथ 14: 99: E2: 1C: A0: 19 एक नेटवर्क है, शनिवार, 28 नवंबर, 2015 10:20:20
[अभिगम नियंत्रण] डिवाइस ANDROID-EFB7EA92D8391DF6 मैक पते के साथ 00: 09: 4C: 3B: नेटवर्क, शनिवार, 28 नवंबर, 2015 10:20:19
[DHCP IP: 192.168.1.2] मैक पते 14: 2d: 27: bb: 7d: 93, शनिवार, 28 नवंबर, 2015 10:20:06
[अभिगम नियंत्रण] डिवाइस MAIN-PC मैक पते के साथ F8: 0F: 41: CD: AC: 0B नेटवर्क की अनुमति है, शनिवार, 28 नवंबर, 2015 10:20:01
[DHCP IP: 192.168.1.5] मैक पते 38: 0f: 4a: 4f: 60: 90, शनिवार, 28 नवंबर, 2015 10:19:24
[एक्सेस कंट्रोल] मैक पते के साथ डिवाइस कंप्यूटर 38: 0F: 4A: 4F: 60: 90 नेटवर्क की अनुमति है, शनिवार, 28 नवंबर, 2015 10:19:23
[DHCP IP: 192.168.1.5] मैक पते 38: 0f: 4a: 4f: 60: 90, शनिवार, 28 नवंबर, 2015 10:19:23
[व्यवस्थापक लॉगिन] स्रोत 192.168.1.7 से, शनिवार, 28 नवंबर, 2015 10:19:22
[अभिगम नियंत्रण] डिवाइस ANDROID-EFB7EA92D8391DF6 मैक पते के साथ 00: 09: 4C: 3B: नेटवर्क, शनिवार, 28 नवंबर, 2015 10:19:11
[अभिगम नियंत्रण] MAC CHCECECAST के साथ डिवाइस पता 6C: AD: F8: 7B: 46: 4A नेटवर्क की अनुमति है, शनिवार, 28 नवंबर, 2015 10:19:10
[DHCP IP: 192.168.1.8] मैक पते पर 70: 73: cb: 78: 69: c6, शनिवार, 28 नवंबर, 2015 10:19:09
[अभिगम नियंत्रण] डिवाइस GABRIELLES-IPOD मैक पते के साथ 70: 73: CB: 78: 69: C6 नेटवर्क है, शनिवार, 28 नवंबर, 2015 10:19:09
[डीएचसीपी आईपी: १ ९ २.१६.1.१.४] मैक पते के लिए ००: ० ९: ४ सी: ३ बी: ४०: ४०, ५४, शनिवार, २ 19 नवंबर २०१५ 10:19:08
[डीएचसीपी आईपी: १ ९ २.१६.1.१३.३] मैक पते को ६ सी: विज्ञापन: एफ IP:: बी: ४६: ४ ए, शनिवार, २, नवंबर, २०१५ १०:० ९ ३
[डीएचसीपी आईपी: १ ९२.१६.1.१ ].CP] मैक पते को २४: २४: ०: ५२: ५२:: बी: ४१, शनिवार, २, नवंबर २०१५ 10:19:02
[अभिगम नियंत्रण] MAC GABRIELLE के साथ डिवाइस पता 24: 24: 0E: 52: 8B: 41 नेटवर्क है, शनिवार, 28 नवंबर, 2015 10:19:02
[DHCP आईपी: 192.168.1.2] मैक पते 14: 2d: 27: bb: 7d: 93, शनिवार, 28 नवंबर, 2015 10:18:53
[DHCP IP: 192.168.1.2] मैक पते 14: 2d: 27: bb: 7d: 93, शनिवार, 28 नवंबर, 2015 10:17:22
[अभिगम नियंत्रण] मैक पते के साथ डिवाइस अज्ञात 14: 2 डी: 27: बीबी: 7 डी: 93 नेटवर्क की अनुमति है, शनिवार, 28 नवंबर, 2015 10:16:33
[अभिगम नियंत्रण] डिवाइस MAIN-PC मैक पते के साथ F8: 0F: 41: CD: AC: 0B नेटवर्क अवरुद्ध है, शनिवार, 28 नवंबर, 2015 10:16:10
[DHCP IP: 192.168.1.2] मैक पते 14: 2d: 27: bb: 7d: 93, शनिवार, 28 नवंबर, 2015 10:15:42
[डीएचसीपी आईपी: १ ९२.१६.1.१.९] मैक पते के लिए:: ० एफ: ४१: सीडी: एसी: ० बी, शनिवार, २, नवंबर, २०१५ १०:१५:३37
[प्रारंभिक, फर्मवेयर संस्करण: V1.0.0.58] शनिवार, 28 नवंबर, 2015 10:15:29

यहाँ अज्ञात आई पी एड्रेस में से एक मुझे लॉग इन मिला https://db-ip.com/88.180.30.194 और एक अज्ञात मैक एड्रेस 00: 09: 4C: 3B: 40: 54 और मैंने मैक का पता इस वेबसाइट से जोड़ा http://coweaver.tradekorea.com/

अगर कोई मुझे बता सकता है कि क्या हुआ जो भयानक होगा :)

जवाबों:


30

हां, सबसे अधिक संभावना यह हैक की गई थी।

टेल-टेल संकेत उपयोग किए जाने वाले पोर्ट की श्रेणी है: सभी ओएस इनकमिंग कनेक्शन के लिए सुनने के लिए कम पोर्ट (<10,000 के बारे में) का उपयोग करते हैं और आउटगोइंग कनेक्शन के लिए उच्च पोर्ट (शेष विशेष रूप से 30,000 से ऊपर वाले)। इसके बजाय, आपका लॉग उच्च बंदरगाहों के जोड़े के बीच संबंध प्रदर्शित करता है , जिसका अर्थ है कि आपके पीसी पर कोई पारंपरिक उपयोग नहीं किया गया था, कोई टेलनेट, कोई ssh, कोई http, और इसी तरह। इसके बजाय, उच्च बंदरगाहों में से जोड़े के उपयोग के एक क्लासिक हैकर उपकरण जोड़ी, की खासियत है netcat और meterpreter

विशेष रूप से, यह स्पष्ट रूप से स्पष्ट है कि हैकर ने पीसी पर एक बैकडोर को 192.168.1.9 पर पोर्ट 63457 पर सुनकर छोड़ दिया, लेकिन उसने इस पोर्ट पर इस पोर्ट पर कनेक्शन की अनुमति देने के लिए कुछ पोर्ट फॉरवर्ड किया, जिससे आपका राउटर जा सके। तो हैकर ने इस पीसी और आपके राउटर दोनों का उल्लंघन किया । इन दो पंक्तियों में इसका और भी प्रमाण है,

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

कि लाभ से एक सेकंड के भीतर, पीसी 192.168.1.9 में हैकर लॉग, और उसके बाद: समय टिकटों को देखो व्यवस्थापक अपने रूटर के लिए उपयोग।

शमन कदम

  1. आप एक तंग जगह पर हैं, क्योंकि आपके दरवाजे के ठीक बाहर एक शक्तिशाली शत्रु दुबका हुआ है। जब तक आप उसके खिलाफ एक शक्तिशाली अवरोध खड़ा करने के लिए पर्याप्त उपाय नहीं कर लेते, आपको डिस्कनेक्ट रहना चाहिए। यहां जोखिम यह है कि, जब से वह जानता है कि उसे पता चला है, तो वह आपकी सभी मशीनों को हैक करने के लिए आगे बढ़ेगा, जिसमें लाइन प्रिंटर भी शामिल है (हाँ, यह किया जा सकता है), और आप उससे कभी छुटकारा नहीं लेंगे। यह सब जब आप निश्चित रूप से अपने लैन में पांचवां कॉलम रखते हैं, तो पीसी 192.168.1.9। हम एक बार में एक कदम उठाएंगे।

  2. एक अलग ब्रांड का एक और राउटर खरीदें, संभवतः एक आसानी से कॉन्फ़िगर करने योग्य फ़ायरवॉल के साथ। मैं पहले से स्थापित डीडी-डब्ल्यूआरटी, एक शक्तिशाली ओएस के साथ बफ़ेलो राउटर का उपयोग करता हूं।

  3. 192.168.1.9 द्वारा पहचाने गए पीसी को डिस्कनेक्ट करें, और इसे बंद रखें।

  4. वर्ष रूटर बदलें लेकिन है नहीं अभी तक इंटरनेट से नया एक कनेक्ट।

  5. इसे किसी अन्य पीसी के साथ अपने LAN से कॉन्फ़िगर करें ।

  6. विशेष रूप से, (डीडी-डब्ल्यूआरटी राउटर के लिए ये निर्देश आपको गैर-डीडी-डब्ल्यूआरटी राउटर में भी क्या करना है) का एक विचार देगा, सेवा टैब पर जाएं, और टेलनेट एक्सेस और वीएनसी रिपीटर को अक्षम करें, और syslogd को सक्षम करें।

  7. प्रशासन टैब पर जाएं, और रिमोट एक्सेस के तहत सभी बटन अक्षम करें । अभी भी व्यवस्थापन टैब में, पासवर्ड को कुछ दुर्जेय रूप में बदलें, कुछ I_want_T0_k33p_all_Hacck3rs_0ut! (वर्तनी की त्रुटि जानबूझकर है)। जो लोग तकनीकी रूप से समझदार हैं, उन्हें पासवर्डलेस लॉगिन (सेवाओं-> सेवाओं, सुरक्षित शेल में) को सक्षम करना चाहिए, फिर, प्रशासन-> प्रबंधन, वेब एक्सेस के तहत, उन्हें अक्षम करना चाहिए httpऔर httpsकेवल सक्षम करना चाहिए , ताकि स्पष्ट पाठ पासवर्ड पास करने से रोका जा सके; डीडी-डब्ल्यूआरटी राउटर से httpsकैसे जुड़ें , इसके बारे में विवरण यहां पाया जा सकता है , इसके लिए sshहमें केवल सक्षम कनेक्शन की आवश्यकता होती है ।

  8. अब प्रशासन पर जाएं -> कमांड, और कमांड क्षेत्र में निम्नलिखित टाइप करें:

      iptables  -A INPUT -s 88.180.30.194 -j DROP
      iptables  -A OUTPUT -d 88.180.30.194 -j DROP
      iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      iptables -I INPUT -i $WAN_IFACE -DROP
    

    यहाँ $ WAN_IFACE आपके ISP से जुड़े NIC का नाम है, मेरे सिस्टम में यह होगा vlan2, लेकिन आप अपने सिस्टम के लिए बेहतर जाँच करेंगे। पहले दो नियम IP पते में से एक को पूरी तरह से बंद कर देते हैं जिससे आपके पीसी पर अवैध कनेक्शन 192.168.1.9 हो गए थे। आप 105.101.68.216 को बंद करने के लिए इसी तरह के अन्य नियमों को जोड़ना चाह सकते हैं और इसी तरह। तीसरा नियम इनपुट की अनुमति देता है जो आपके द्वारा शुरू किए गए कनेक्शनों की एक निरंतरता है , अर्थात् संभवतः कानूनी कनेक्शन। चौथा नियम बाकी सब को खत्म कर देता है।

    हिट फ़ायरवॉल सहेजें , और आप कर रहे हैं।

  9. अब राउटर को छोड़ दें लेकिन लगभग एक दिन के लिए इंटरनेट से डिस्कनेक्ट कर दें , और देखें कि क्या 192.168.1.9 के अलावा कोई भी पीसी अजीब आईपी एड्रेस से संपर्क करने की कोशिश करता है। Microsoft या Apple, Akamai या Sony जैसी वैध कंपनियां, गिनती नहीं करती हैं, लेकिन अल्जीरिया, बुरुंडी, फ्रांस, जर्मनी, सिंगापुर, यूके (ऊपर लॉग में कनेक्शन के स्पष्ट स्रोत) के उपभोक्ता खाते हैं । यदि ऐसे प्रयास हैं, तो मूल पीसी को ऑफ़लाइन करें, इसे बंद करें, और इसे चरण 11 के उपचार के अधीन करें।

  10. अब आप नए राउटर को इंटरनेट से जोड़ सकते हैं।

  11. अब अपने (बंद कर दिया!) पीसी 192.168.1.9 और इसे कहीं और ले आओ, यानी अपने घर पर नहीं । इसे चालू करें, और या तो मानव जाति के लिए उपलब्ध सभी एंटी-वायरस परीक्षण चलाएं, या, बेहतर अभी भी, ऑपरेटिंग सिस्टम को फिर से स्थापित करें।

  12. अपने ब्रांड के नए राउटर के सिस्टम लॉग की रोजाना जांच करें, कुछ समय के लिए, यह सुनिश्चित करने के लिए कि उपरोक्त प्रकार के अधिक कनेक्शन नहीं हैं: इस बात की संभावना हमेशा बनी रहती है कि हैकर ने आपके घर में अन्य प्रणालियों में घुसपैठ की हो। जैसे ही आप इस के निशान देखते हैं, हैक किए गए पीसी के लिए ऊपर दिए गए चरणों को दोहराएं, और जब संक्रमित पीसी ऑफ-लाइन है, तो राउटर पासवर्ड बदलें।

  13. आप पुराने राउटर को टॉस कर सकते हैं, या, अभी भी बेहतर तरीके से तय कर सकते हैं कि यह एक मजेदार प्रोजेक्ट है, जो उस पर DD-WRT स्थापित कर रहा है। आपको यहां पता चल सकता है कि क्या यह संभव है। यदि यह है, तो यह कुछ मजेदार है, और आपको कचरे के ढेर से एक चमकता हुआ नया, सुरक्षित, शक्तिशाली राउटर भी मिलेगा, जो आज है।

  14. भविष्य में किसी बिंदु पर, आप फ़ायरवॉल कॉन्फ़िगर करने के लिए सीखना चाहिए, iptablesठीक से, और कैसे रूटर, जो पूरी तरह से अक्षम पासवर्ड लॉगिन करने के लिए आप की अनुमति होगी करने के लिए सेटअप passwordless ssh कनेक्शन के लिए (देखें यहाँ कैसे करना है का एक संक्षिप्त विवरण के लिए यह)। लेकिन ये चीजें इंतजार कर सकती हैं।

आपको खुश होना चाहिए: आपका हैकर, आपके राउटर में घुसने के बावजूद, सिस्टम लॉग को जगह में छोड़ने के लिए पर्याप्त रूप से अनुपस्थित था, जिससे अंततः उसका पता चला। अगली बार आप इतने खुशकिस्मत नहीं हो सकते।


मुझे खेद है कि मुझे इस उत्तर को देने के लिए केवल एक वोट है ... (लेकिन मैंने किसी तरह पैच किया?))
हस्तूर

1
@ हस्तूर तो मैंने सवाल भी
उठाया

यह अच्छी तरह से किया गया जवाब अतिवादी (विशेष रूप से पॉइंट नंबर एक का पहला वाक्य) लग रहा है। फिर भी यह सटीक है: मैं तहे दिल से सहमत हूं।
TOOGAM

'दुर्भाग्य से तीस ... मुझे लगा कि यह पूरी तरह से गंभीर वास्तविकता पर कब्जा कर लिया है, और प्रभावी ढंग से संचार किया है कि सावधान रहना कितना महत्वपूर्ण है। ("आप एक तंग जगह में हैं, क्योंकि आपके दरवाजे के ठीक बाहर एक शक्तिशाली शत्रु दुबका हुआ है।") मुझे पता है कि "चरमपंथी" को नकारात्मक रूप से देखा जा सकता है, लेकिन कभी-कभी इसे कहा जाता है। क्या आपने @MariusMatutiae, मेरे द्वारा शुरू की गई समग्र सकारात्मक सूचनाओं पर ध्यान नहीं दिया और पूर्व टिप्पणी को समाप्त कर दिया?
TOOGAM
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.