刚刚发生了一件非常奇怪的事情。长话短说,我打开电脑,电脑提示我这台电脑的访问被阻止了。于是我尝试进入 192.168.1.1,但在被阻止的电脑上却无法访问。于是我打开平板电脑,进入 192.168.1.1,然后进入连接的设备,令我惊讶的是,我看到了 21 个随机设备,这些设备来自不是我的随机 IP 地址。所以我接下来想到的是阻止所有随机设备。但就在我即将阻止这些随机设备之前,我的平板电脑被网络阻止了。于是我拔掉了连接路由器和调制解调器的以太网电缆,以防万一我被黑客入侵而无法连接到我的网络。然后我打开最后一台未被阻止的平板电脑,进入 192.168.1.1,将访问控制设置为自动阻止任何新设备,解除对我另一台平板电脑和电脑的阻止,然后将以太网电缆重新连接到路由器。所以现在我想知道到底发生了什么,所以我查看我的路由器日志并得到了这个:
[远程 LAN 访问] 从 88.180.30.194:60240 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:45:21 [admin login] 来自来源 192.168.1.9,2015 年 11 月 28 日星期六 10:45:21 [远程 LAN 访问] 从 88.180.30.194:54493 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:45:21 [远程 LAN 访问] 从 105.101.68.216:51919 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:45:20 [远程 LAN 访问] 从 88.180.30.194:54490 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:45:19 [远程 LAN 访问] 从 105.101.68.216:48389 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:45:18 [远程 LAN 访问] 从 41.79.46.35:11736 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:42:49 [DoS 攻击:SYN/ACK 扫描] 来源:46.101.249.112,端口 80,2015 年 11 月 28 日星期六 10:40:51 [远程 LAN 访问] 从 90.204.246.68:26596 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:40:15 [与NTP服务器同步的时间] 2015年11月28日星期六 10:36:51 [远程 LAN 访问] 从 87.88.222.142:55756 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:36:38 [远程 LAN 访问] 从 87.88.222.142:35939 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:36:38 [远程 LAN 访问] 从 111.221.77.154:40024 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:31:06 [admin login] 来自来源 192.168.1.9,2015 年 11 月 28 日星期六 10:23:53 [DoS 攻击:Land 攻击] 来自来源:255.255.255.255,端口 67,2015 年 11 月 28 日星期六 10:23:44 [访问控制] 设备 ANDROID-EFB7EA92D8391DF6 的 MAC 地址为 00:09:4C:3B: 网络,2015 年 11 月 28 日星期六 10:23:25 [远程 LAN 访问] 从 78.14.179.231:61108 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:21:19 [远程 LAN 访问] 从 78.14.179.231:62967 到 192.168.1.9:63457,2015 年 11 月 28 日星期六 10:21:19 [UPnP 设置事件:add_nat_rule] 来自来源 192.168.1.9,2015 年 11 月 28 日星期六 10:21:15 [已连接互联网] IP地址:(我的IP地址,2015年11月28日星期六10:21:05 [网络断线] 2015年11月28日 星期六 10:20:25 [DHCP IP: 192.168.1.6] 至 MAC 地址 14:99:e2:1c:a0:19,2015 年 11 月 28 日星期六 10:20:22 [DHCP IP: 192.168.1.6] 到 MAC 地址 14:99:e2:1c:a0:19,2015 年 11 月 28 日星期六 10:20:21 [访问控制] 设备 SETHS-APPLE-TV 的 MAC 地址为 14:99:E2:1C:A0:19,位于网络,2015 年 11 月 28 日星期六 10:20:20 [访问控制] 设备 ANDROID-EFB7EA92D8391DF6 的 MAC 地址为 00:09:4C:3B: 网络,2015 年 11 月 28 日星期六 10:20:19 [DHCP IP: 192.168.1.2] 至 MAC 地址 14:2d:27:bb:7d:93,2015 年 11 月 28 日星期六 10:20:06 [访问控制] 设备 MAIN-PC 的 MAC 地址为 F8:0F:41:CD:AC:0B,允许访问网络,2015 年 11 月 28 日星期六 10:20:01 [DHCP IP: 192.168.1.5] 至 MAC 地址 38:0f:4a:4f:60:90,2015 年 11 月 28 日星期六 10:19:24 [访问控制] MAC 地址为 38:0F:4A:4F:60:90 的设备 COMPUTER 被允许访问网络,2015 年 11 月 28 日星期六 10:19:23 [DHCP IP: 192.168.1.5] 至 MAC 地址 38:0f:4a:4f:60:90,2015 年 11 月 28 日星期六 10:19:23 [admin login] 来自来源 192.168.1.7,2015 年 11 月 28 日星期六 10:19:22 [访问控制] 设备 ANDROID-EFB7EA92D8391DF6 的 MAC 地址为 00:09:4C:3B: 网络,2015 年 11 月 28 日星期六 10:19:11 [访问控制] MAC 地址为 6C:AD:F8:7B:46:4A 的设备 CHROMECAST 允许访问网络,2015 年 11 月 28 日星期六 10:19:10 [DHCP IP: 192.168.1.8] 至 MAC 地址 70:73:cb:78:69:c6,2015 年 11 月 28 日星期六 10:19:09 [访问控制] 设备 GABRIELLES-IPOD 的 MAC 地址为 70:73:CB:78:69:C6,所属网络为 2015 年 11 月 28 日星期六 10:19:09 [DHCP IP: 192.168.1.4] 至 MAC 地址 00:09:4c:3b:40:54,2015 年 11 月 28 日星期六 10:19:08 [DHCP IP: 192.168.1.3] 至 MAC 地址 6c:ad:f8:7b:46:4a,2015 年 11 月 28 日星期六 10:19:08 [DHCP IP: 192.168.1.7] 至 MAC 地址 24:24:0e:52:8b:41,2015 年 11 月 28 日星期六 10:19:02 [访问控制] 设备 GABRIELLE 的 MAC 地址为 24:24:0E:52:8B:41,允许其接入网络,2015 年 11 月 28 日星期六 10:19:02 [DHCP IP: 192.168.1.2] 至 MAC 地址 14:2d:27:bb:7d:93,2015 年 11 月 28 日星期六 10:18:53 [DHCP IP: 192.168.1.2] 至 MAC 地址 14:2d:27:bb:7d:93,2015 年 11 月 28 日星期六 10:17:22 [访问控制] 允许 MAC 地址为 14:2D:27:BB:7D:93 的未知设备接入网络,2015 年 11 月 28 日星期六 10:16:33 [访问控制] MAC 地址为 F8:0F:41:CD:AC:0B 的设备 MAIN-PC 被网络屏蔽,2015 年 11 月 28 日星期六 10:16:10 [DHCP IP: 192.168.1.2] 至 MAC 地址 14:2d:27:bb:7d:93,2015 年 11 月 28 日星期六 10:15:42 [DHCP IP: 192.168.1.9] 到 MAC 地址 f8:0f:41:cd:ac:0b,2015 年 11 月 28 日星期六 10:15:37 [已初始化,固件版本:V1.0.0.58] 2015年11月28日星期六 10:15:29
这是我在日志中发现的一个未知 IP 地址https://db-ip.com/88.180.30.194还有一个未知的 MAC 地址 00:09:4C:3B:40:54,我将这个 MAC 地址链接到了这个网站http://coweaver.tradekorea.com/
如果有人能告诉我发生了什么事那就太好了:)
答案1
是的,很有可能是被黑客入侵了。
最明显的标志是使用的端口范围:所有操作系统都使用低端口(< 约 10,000)来监听传入连接,使用高端口(其余的,但特别是 30,000 以上的端口)来监听传出连接。相反,您的日志显示以下连接:高端口对,这意味着没有使用常规方式访问您的 PC,没有 telnet、没有 ssh、没有 http 等等。相反,使用成对的高端口是经典黑客工具组合的典型特征,网猫和 仪表预读器。
具体来说,很明显黑客在 192.168.1.9 电脑上留了一个后门,监听端口 63457,但他也做了一些端口转发,允许连接到这台电脑上的这个端口通过你的路由器。所以黑客违反了两个都这台电脑和你的路由器。这两行进一步证明了这一点,
[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21
看看时间戳:在一秒钟内,黑客登录到 PC 192.168.1.9,然后从中获取行政访问您的路由器。
缓解步骤
你处境艰难,因为你的门外就潜伏着一个强大的敌人。你应该保持断开连接,直到你采取足够的措施对他建立起强大的屏障。这里的风险是,由于他知道他已经被发现了,他将继续攻击你所有的机器,包括行式打印机(是的,这是可以做到的),你永远也摆脱不了他。与此同时,你的局域网中肯定有一个第五纵队,即 192.168.1.9 号电脑。我们将一步一步来。
购买另一个不同品牌的路由器,最好是带有易于配置的防火墙的路由器。我使用预装了 DD-WRT(一个功能强大的操作系统)的 Buffalo 路由器。
断开192.168.1.9识别的PC,并保持关闭状态。
更换旧路由器,但不是将新的连接到互联网。
使用以下方法从 LAN 内部进行配置任何其他电脑。
具体来说,(这些针对 DD-WRT 路由器的说明将让你了解即使在非 DD-WRT 路由器中该怎么做),转到“服务”选项卡,然后禁用远程登录访问和 VNC 中继器,并启用 syslogd。
转到“管理”选项卡,并禁用远程访问仍然在“管理”选项卡中,将密码更改为一些强大的密码,例如我_想要_T0_k33p_all_Hacck3rs_0ut!(拼写错误是故意的)。技术娴熟的人应该启用无密码登录(在服务->服务,安全外壳中),然后在管理->管理,Web 访问下,他们应该禁用
http
和启用https
,以防止传递明文密码;有关如何通过连接到 DD-WRT 路由器的详细信息,https
可以找到这里,它需要ssh
我们刚刚启用的连接。现在转到管理->命令,然后在命令区域输入以下内容:
iptables -A INPUT -s 88.180.30.194 -j DROP iptables -A OUTPUT -d 88.180.30.194 -j DROP iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -I INPUT -i $WAN_IFACE -DROP
这里 $WAN_IFACE 是连接到您的 ISP 的 NIC 的名称,在我的系统中它将是
vlan2
,但您最好检查一下您的系统。前两个规则完全关闭一非法连接到您电脑的 IP 地址是 192.168.1.9。您可能希望添加其他类似规则,以阻止 105.101.68.216 等。第三条规则允许输入,这是由以下地址开始的连接的延续:你,IE假定存在法律联系。第四条规则排除了其他所有规则。打保存防火墙,您就完成了。
现在让路由器保持打开状态,但是断开连接从互联网上搜索大约一天,看看是否有任何电脑192.168.1.9 以外的尝试联系陌生的 IP 地址。合法公司(如 Microsoft、Apple、Akamai 或 Sony)不计算在内,但阿尔及利亚、布隆迪、法国、德国、新加坡、英国的消费者账户(上述日志中连接的明显来源)做如果有此类尝试,请将原始 PC 脱机、关闭,然后进行步骤 11 的处理。
现在您可以将新路由器连接到互联网。
现在把你的(已关闭!)电脑 192.168.1.9 带到其他地方,IE 不是在家里。打开它,运行人类可用的所有防病毒测试,或者更好的是,重新安装操作系统。
每天检查新路由器的系统日志,一段时间内确保不再有上述类型的连接:黑客可能已经侵入了您家中的其他系统。一旦发现此类痕迹,请对被黑客入侵的 PC 重复上述步骤,并在受感染的 PC 离线时更改路由器密码。
你可能会扔掉旧路由器,或者更好的是,认为在旧路由器上安装 DD-WRT 是一个有趣的项目。你可能会发现这里这是否可能。如果是的话,那将是一件有趣的事情,而且你还可以从今天的一堆垃圾中获得一个崭新、安全、功能强大的路由器。
在未来的某个时候,你应该学会
iptables
正确配置防火墙,以及如何设置无密码 ssh 连接到路由器,这将允许你完全禁用密码登录(见这里了解具体操作方法)。但这些事情可以等一等。
你应该感到高兴:你的黑客虽然已经侵入了你的路由器,但却心不在焉地留下了系统日志,最终导致他被发现。下次你可能不会这么幸运。