Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: jdsw_cz 28. 10. 2015, 14:17:24
-
Dobrý den všem,
rád bych Vás požádal o názory, analýzu, atd k následující situaci, která se udála v mé síti během včerejšího dne:
V anglickém jazyce jsem události popsal zde:
http://superuser.com/questions/992717/is-that-a-coincidence-or-sophisticated-attack
V češtině:
Jako obvykle jsem byl z práce připojen ke svému serveru přes webové rozhraní (Outlook Web App). Spojení se náhle přerušilo a už jsem se nepřipojil. Když jsem dorazil domů, zjistil jsem, že je problém s routerem ASUS RTN56U. Nebylo možné se připojit do web managmenetu a ani obecně ven z vnitřní sítě. Odhadl jsem, že router "odešel" a protože jsem měl druhý router pro hosty připojený za ASUSem (TP Link WR741ND), nakonfiguroval jsem ho tak, aby sloužil jako hlavní router.
Spojení se rozběhlo, avšak při pingu z routeru TPLink na nic.cz byla 70% ztráta paketů. LED kontrolka WAN blikala jako o život. To vše se dělo včera, 27.10. mezi 15:30 - 23:00. Přestalo to ve chvíli, kdy jsem si vypůjčil jiný router (jiný model TPLink) od známého a ostatní dva odpojil.
Je nepravděpodobné, že by za to mohlo přepětí v síti. Switch, který byl mezi oběma routery to nepostihlo. Nevypadá to, že by infekce pocházela z doménové sítě - Wiresharkem jsem celou noc sbíral komunikaci, zatím jsem nenašel nic podezřelého.
Ze všech okolností mi vyplývá, že byly zřejmě napadeny mé routery. SPAM neposílaly - blacklisty doménu jandrozd.eu nezachytily. DDoS z venku to také pravděpodobně nebyl, i když je to možné, že by to firewall jiného TP-Linku zachytil narozdíl od prvních dvou routerů. Mohly se tedy stát součástí botnetu a používat linku k útočení různým způsobem. Taky se mohly pokoušet odposlouchávat provoz na LAN - která BTW celou dobu fungovala, vč. řadiče domény, poštovního serveru a klientských stanic - a posílat bůhvíkam danou komunikaci.
Původní routery tu stále mám, neresetoval jsem je.
Mé otázky jsou:
- Uvažuji správně? Neuniklo mi něco?
- Co jiného by to mohlo způsobit?
- Co mohu nyní udělat, abych zjistil dopad, pokud šlo o útok?
-
asi bych si udelal sondu z wiresharku, notebooku a USB eth karty a koukl se co tam bude lítat no..
zacal bych od pravedepodobnejsich hypotez:
.. ad blikani LED a latence - Nemel ISP bordel na siti (na linkove vrstve)?
.. nemels na obou strojich stejna admin hesla/klice?
.. nekompromitoval nekdo tvoji sit zevnitr?
.."sofistikovany utok" spis nejaky DOS?
-
Wireshark právě neukazuje teď nic co by ukazovalo na infekci vnitřní sítě. Budu samozřejmě prověřovat ještě oba routery a to, co posílají do WAN, ale potřebuji na to nejprve připravit bezpečné prostředí.
ISP je pe3ny.net, neměli žádné problémy, když jsem s nimi o tom hovořil.
Výchozí hesla jsem opravdu neměl, remote management byl vypnutý (z WAN), oba stroje měly různé hesla.
Zevnitř to nevypadá, jsem velmi obezřetný v tom, co za software spustím a které weby navštěvuji.
-
Zistovat si to mal vtedy ked s tym bol problem. Teraz mas buffre (nielen) v tych routroch vyprazdnene, tudiz nezistis nist. Tipujem, ze ked ich nahodis naspat, pojde to vsetko ok. Minimalne si mal wiresharkom nasnimat a ulozit si zaznam, vtedy ked bol problem. Na ten zaznam sa mohol niekto pozriet a povedat ti co je vo veci.
-
Zistovat si to mal vtedy ked s tym bol problem.
teoreticky jo, ale jinak se to celkem snadno rekne, ale hure v ramci SO/HO dela.. malo z nas ma domaci router s netflow.
mmch. existuje nejake reseni v tehle tride ktere by umelo zpetne dohledat sitove deni? Treba pro openwrt?
-
Přepětí je sviňa a škodí nahodile. Nedávno mi odešel zdroj od modemu tak důkladně, že vyhodil 25A jistič. Modemu se nic nestalo, WAN port v routeru taky OK, ale na vestavěném LAN switchi odešel jeden ze tří zapojených portů a to takovým způsobem, že ACT kontrolka zběsile blikala a propustnost na těch zbylých portech v náhodných intervalech padala k nule. Takže tuto variantu bych nevylučoval, zejména když se začaly divně chovat oba routery současně.
-
Wireshark právě neukazuje teď nic co by ukazovalo na infekci vnitřní sítě. Budu samozřejmě prověřovat ještě oba routery a to, co posílají do WAN, ale potřebuji na to nejprve připravit bezpečné prostředí.
ISP je pe3ny.net, neměli žádné problémy, když jsem s nimi o tom hovořil.
Výchozí hesla jsem opravdu neměl, remote management byl vypnutý (z WAN), oba stroje měly různé hesla.
Zevnitř to nevypadá, jsem velmi obezřetný v tom, co za software spustím a které weby navštěvuji.
Mám pe3ny.net a zrovna včera na cca hodinu, někdy večer, byl výpadek, kdyby tě zajímal přesnej čas můžu se kouknout do logů Mikrotiku, kdy byl problém...
-
Jinak co mě napadá...
Před X lety jsem měl v UPS problém že při připojení Mikrotiku (Tehda sem o tom nic nevěděl) mě přez něj neskutečně lagoval net, respektive skoro nešel, hodiny sem pátral co se děje, měl sem v baráku X přípojek a po připojení do jiné po pár minutách to samé, zjistil sem z routru že byl vytěžovanej na 100 procent, když sem se na to kouknul blíže, zjistil sem že ho vytěžoval DNS server (měl sem ho pro upravu pár záznamů v lokální síti ale blbec sem ten server nenastavil jen pro vnitřní sít), když sem dál hledal, nakonec sem zjistil že můj routr vytěžoval nějakej botnet kterej zesiloval pomocí toho DNS ddos kamsi... Tehda mě překvapilo že když sem routr připojil na novou přípojku, botnet si mě našel do pár minut, původně sem si myslel že mikrotik byl něčím napaden, ale po řádné konfiguraci a zakázání DNS serveru pro dotazy z internetu to ostálo a byl klid. Je teda možné že se odehrálo u tebe něco podobného, tyhle levné číno routery maj moře chyb a utočníci je určitě řádně využívají a to i tak, že pak router nění použitelní a oběť na to tím pádem hned příjde...
-
Ahoj,
díky všem za odpovědi.
Ohledně pe3ny.net - výpadek na mé lince neměli. To jsem s nimi konzultoval. Nevypadá to ani na přetížený DNS server - DNS v mé LAN poskytuje řadič domény.
Chápu, že jsem se mohl pokusit za doby incidentu použít wireshark, avšak prioritou pro mně v tu chvíli bylo obnovit standardní funkčnost mé sítě. Navíc, rotuery jsem odpojil, zapojil jen k NTB a byly v pořádku. Pak jsem je dal zase na výchozí místo a zapojil do WAN a problém se opakoval.
Dnes by mi měli volat z pe3ny.net - požádal jsem je o prověření provozu v dané době, tak uvidím.
-
Ahoj,
díky všem za odpovědi.
Ohledně pe3ny.net - výpadek na mé lince neměli. To jsem s nimi konzultoval. Nevypadá to ani na přetížený DNS server - DNS v mé LAN poskytuje řadič domény.
Chápu, že jsem se mohl pokusit za doby incidentu použít wireshark, avšak prioritou pro mně v tu chvíli bylo obnovit standardní funkčnost mé sítě. Navíc, rotuery jsem odpojil, zapojil jen k NTB a byly v pořádku. Pak jsem je dal zase na výchozí místo a zapojil do WAN a problém se opakoval.
Dnes by mi měli volat z pe3ny.net - požádal jsem je o prověření provozu v dané době, tak uvidím.
No podle mě si byl použit k nějakému ddosu, respektive k jeho zesílení, s tím DNS to byl jen nástřel co se stalo mě a projevovalo se to stejně jak popisuješ, utočník mohl zneužít nějakou jinou chybu...
-
Sietarine a zabespeceniu nie velmi rozumiem, ale nieco podobne sa mi stalo v utorok 27.10. Na router Asus Rt-N66U sa pripajam zvonka cez openvpn. Bez toho zeby som cokolvek zmenil, prestalo toto pripojenie fungovat. V domacej sieti, ale vsetko islo bez problemov.
Vyriesil som to updateom novsieho firmweru a vygenerovanim noveho nastavenia. Ovsem stale mam pocit, ze islo o nieco zvonka.
-
Sietarine a zabespeceniu nie velmi rozumiem, ale nieco podobne sa mi stalo v utorok 27.10. Na router Asus Rt-N66U sa pripajam zvonka cez openvpn. Bez toho zeby som cokolvek zmenil, prestalo toto pripojenie fungovat. V domacej sieti, ale vsetko islo bez problemov.
Vyriesil som to updateom novsieho firmweru a vygenerovanim noveho nastavenia. Ovsem stale mam pocit, ze islo o nieco zvonka.
RT-N66U má prakticky totožný firmware s tím mým (RT-N56U). Řešení s firmware mě taky napadlo, ale stejně jsem ho měl aktuální, takže se domnívám, že při zopakování útoku by stejně neodolal. Stalo se vám to úplně ve stejný den jako mně. První výpadek jsem zaregistroval někdy mezi 3-4 hodinou odpolední 27.10. A ano, já se nedostal do WAN, ale LAN byla normálně v provozu.
Součást botnetu a DDoS zní asi jako nejrozumnější vysvětlení. Jenom je podivné, že napaden byl i TP-Link..
Edit: Root mě odhlásil a při vkládání odpovědi založil nové téma. Fakt super...