Zobrazit příspěvky
1
Sítě / Náhoda nebo sofistikovaný útok
« kdy: 28. 10. 2015, 14:17:24 »
Dobrý den všem,
rád bych Vás požádal o názory, analýzu, atd k následující situaci, která se udála v mé síti během včerejšího dne:
V anglickém jazyce jsem události popsal zde:
http://superuser.com/questions/992717/is-that-a-coincidence-or-sophisticated-attack
V češtině:
Jako obvykle jsem byl z práce připojen ke svému serveru přes webové rozhraní (Outlook Web App). Spojení se náhle přerušilo a už jsem se nepřipojil. Když jsem dorazil domů, zjistil jsem, že je problém s routerem ASUS RTN56U. Nebylo možné se připojit do web managmenetu a ani obecně ven z vnitřní sítě. Odhadl jsem, že router "odešel" a protože jsem měl druhý router pro hosty připojený za ASUSem (TP Link WR741ND), nakonfiguroval jsem ho tak, aby sloužil jako hlavní router.
Spojení se rozběhlo, avšak při pingu z routeru TPLink na nic.cz byla 70% ztráta paketů. LED kontrolka WAN blikala jako o život. To vše se dělo včera, 27.10. mezi 15:30 - 23:00. Přestalo to ve chvíli, kdy jsem si vypůjčil jiný router (jiný model TPLink) od známého a ostatní dva odpojil.
Je nepravděpodobné, že by za to mohlo přepětí v síti. Switch, který byl mezi oběma routery to nepostihlo. Nevypadá to, že by infekce pocházela z doménové sítě - Wiresharkem jsem celou noc sbíral komunikaci, zatím jsem nenašel nic podezřelého.
Ze všech okolností mi vyplývá, že byly zřejmě napadeny mé routery. SPAM neposílaly - blacklisty doménu jandrozd.eu nezachytily. DDoS z venku to také pravděpodobně nebyl, i když je to možné, že by to firewall jiného TP-Linku zachytil narozdíl od prvních dvou routerů. Mohly se tedy stát součástí botnetu a používat linku k útočení různým způsobem. Taky se mohly pokoušet odposlouchávat provoz na LAN - která BTW celou dobu fungovala, vč. řadiče domény, poštovního serveru a klientských stanic - a posílat bůhvíkam danou komunikaci.
Původní routery tu stále mám, neresetoval jsem je.
Mé otázky jsou:
rád bych Vás požádal o názory, analýzu, atd k následující situaci, která se udála v mé síti během včerejšího dne:
V anglickém jazyce jsem události popsal zde:
http://superuser.com/questions/992717/is-that-a-coincidence-or-sophisticated-attack
V češtině:
Jako obvykle jsem byl z práce připojen ke svému serveru přes webové rozhraní (Outlook Web App). Spojení se náhle přerušilo a už jsem se nepřipojil. Když jsem dorazil domů, zjistil jsem, že je problém s routerem ASUS RTN56U. Nebylo možné se připojit do web managmenetu a ani obecně ven z vnitřní sítě. Odhadl jsem, že router "odešel" a protože jsem měl druhý router pro hosty připojený za ASUSem (TP Link WR741ND), nakonfiguroval jsem ho tak, aby sloužil jako hlavní router.
Spojení se rozběhlo, avšak při pingu z routeru TPLink na nic.cz byla 70% ztráta paketů. LED kontrolka WAN blikala jako o život. To vše se dělo včera, 27.10. mezi 15:30 - 23:00. Přestalo to ve chvíli, kdy jsem si vypůjčil jiný router (jiný model TPLink) od známého a ostatní dva odpojil.
Je nepravděpodobné, že by za to mohlo přepětí v síti. Switch, který byl mezi oběma routery to nepostihlo. Nevypadá to, že by infekce pocházela z doménové sítě - Wiresharkem jsem celou noc sbíral komunikaci, zatím jsem nenašel nic podezřelého.
Ze všech okolností mi vyplývá, že byly zřejmě napadeny mé routery. SPAM neposílaly - blacklisty doménu jandrozd.eu nezachytily. DDoS z venku to také pravděpodobně nebyl, i když je to možné, že by to firewall jiného TP-Linku zachytil narozdíl od prvních dvou routerů. Mohly se tedy stát součástí botnetu a používat linku k útočení různým způsobem. Taky se mohly pokoušet odposlouchávat provoz na LAN - která BTW celou dobu fungovala, vč. řadiče domény, poštovního serveru a klientských stanic - a posílat bůhvíkam danou komunikaci.
Původní routery tu stále mám, neresetoval jsem je.
Mé otázky jsou:
- Uvažuji správně? Neuniklo mi něco?
- Co jiného by to mohlo způsobit?
- Co mohu nyní udělat, abych zjistil dopad, pokud šlo o útok?
