Atak na netia spot przez dostęp zdalny - prośba o pomoc.

[P4w3l]

Prawdopodobnie miałem atak na ruter przez zdalny dostęp, po już dość dawnym resecie Netia Spot zapomniałem zmienić hasła admina i wyłączyć zdalnej kontroli. Log pokazuje jakieś zdalne wejścia z Chin, Turcji, UK. Chyba ktoś po prostu po proxy/socks/Tor lata i próbuje wejść. Trochę się w tym orientuję, jednak specem nie jestem, więc mam kilka pytań o to, jak sobie z tym poradzić.

W tej chwili zmieniłem hasło admina na ruterze (niestety, bez odłączania od Internetu), przy użyciu klawiatury dotykowej Win 10 (na wypadek keylogera), a także usunąłem konto User z rutera.

DNSy są normalne Netii, ale przed chwilą wykonywałem reset rutera (przed zmianą hasła oczywiście):
87.204.204.204
62.233.233.233

Używam chińskiego antywirusa 360 Total Security (dodatkowe silniki Aviry i BitDefendera, poziom ochrony maksymalny ustawiony) plus zapory Glass Wire (też chińska i w sumie dziwna, być może mało skuteczna) wraz z zaporą Windows.
Podejrzenia padły najpierw na ten antywirus (bo pierwsze próby zdalnego dostępu, które dziś zauważyłem, były z z Chin), ale w sumie nie wiem, czy on mógłby mieć coś z tym wspólnego. Sprawdziłem nim oczywiście cały dysk i nie znalazł zagrożeń (bo może sam je stworzył ). Jest jeszcze sprawa z BitComet Portable, dziś go używałem i dodałem dla niego reguły do zapory Windows. Te porty, po których były próby dostępu, wyglądają niekiedy trochę na porty P2P, jednak wydają mi się dziwne próby dostępu zdalnego na tej zasadzie (i tak były i przez port HTTP). Na końcu postu dołączam obrazek z logu rutera.


Pytania:

1. Jak przejść do bardziej zaawansowanych ustawień DNS? Chodzi mi o to, czy w panelu rutera nie ma jakichś dodatkowych ustawień, pozwalających włamywaczowi na podmianę adresów/dodanie dodatkowych DNS, niewidocznych w ogólnej karcie połączenia z Internetem.

2. Czy najlepiej byłoby postawić system od nowa na wypadek jakiegoś złośliwego oprogramowania? Jaki ono może mieć związek z próbami zdalnego dostępu do rutera?

3. Czym w ogóle grozi taki zdalny dostęp? Wiadomo, była afera, że gościowi ukradziono chyba 5000 zł z konta właśnie dlatego, że przejęto kontrolę nad jego ruterem i postawiono mu fałszywą stronę banku. Poza tym, chyba analizowanie niezaszyfrowanego transferu jest możliwe. Ogólnie jednak zawsze sprawdzam czy łączę się przez SSL i certyfikat na takich stronach. Na wszelki wypadek i tak zmienię hasła do poczty, komunikatorów i e-banków.

4. Jak najlepiej skonfigurować ruter, by pozbyć się złych zmian wprowadzonych przez hackera?



http://screenshootereu.blob.core.windows.net/engine4files/ltvepmjjqmmsfzhsslfytdcjbgroecpkwrlgaqlioraxtsmqetebdjtirmdivvenwcvnnascaxjcdeqiuaklynhmydpnndmtnnaq

[ordynat]

Zaloguj się do routera:
- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:
http://multimo.telestrada.pl/uwaga1
http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:
http://cert.orange.pl/modemscan/

Masz Netię, ale postępowanie takie same.
.

Autor postu otrzymał pochwałę

[P4w3l]

Dzięki za odpowiedź, wszystko powinno być chyba ok w takim razie. Zresetowałem ruter jeszcze raz, zmieniłem hasło odłączony od Internetu, usnąłem na wszelki wypadek konto usera, DNSy są ok, dostęp zdalny zablokowany całkowicie (także w Windows). Sprawdziłem też ruter przy użyciu tej strony testowej Orange, którą podałeś (działa i dla Netii).

Dziwią mnie nieco domyślne ustawienia Netia Spot. Po resecie rutera, w zakładce System, sekcja Zarządzanie, sekcja Zdalna administracja, dostęp zdalny domyślnie jest nieaktywny. Jednak znów w karcie UPnP tej sekcji domyślnie aktywne jest - "Zezwalaj innym użytkownikom sieci na kontrolowanie właściwości sieci NETIASPOTa". Oprócz tego na koncie admina domyślnie jest włączone uprawnienie kontroli zdalnej. Nie wiem, czy pierwsze ustawienie z sekcji Zdalna administracja nie jest przypadkiem nadrzędne. Może po prostu spanikowałem i nic nie było.

Zaczęło się, że Firefox wyświetlił mi monit o zapamiętanie loginu i hasła do Internetu (nie do rutera) na stronie panelu Netia Spot. Login wydał mi się podejrzany, zapisałem dane uwierzytelniające w managerze haseł, przejrzałem i stwierdziłem, że nie są zgodne z moimi. Na pewno hasło nie było zgodne, login raczej też, chociaż mam ustawioną wysoką rozdzielczość i mogły mi się literki pozlewać. W "panice" zresetowałem ruter i wyłączyłem uprawnienie zdalnego dostępu na koncie admina, zamiast wcześniej przejrzeć log zapory rutera pod kątem akceptowanych połączeń zdalnej kontroli. Log zapory został skasowany, kontrola zdalna zablokowana (i hasło zmienione), więc nie mogłem już sprawdzić akceptowanych połączeń dostępu zdalnego. Po resecie i wejściu na konto admina wyskoczył następny monit FF z hasłem i loginem do Netii. Porównałem login w monicie z tym co wcześniej rzuciłem do menadżera haseł, ale chyba przez nieuwagę nadpisałem jakoś te dane w menadżerze, bo teraz pokazywały mój login i moje hasło Netii. W każdym razie, po resecie rutera i blokadzie zdalnej administracji, w logu zapory wyskoczyła spora ilość zablokowanych połączeń zdalnej kontroli, więc podejrzewam, że coś było jednak na rzeczy.