Abuse IP

[Stanislav Michalec]

Zdravím, včera jsem obdržel od operátora přeposlaný mail:

Dobrý den,

rádi bychom Vás upozornili na nové výskyty Vaší IP adresy 46.13.xxx.xxx na
stránce abuseipdb. Podle záznamů je z této IP adresy provozován scanning a
útoky na webové aplikace.

https://www.abuseipdb.com/check/46.13.xxx.xxx

Doporučujeme prověřit, zda nedošlo ke kompromitaci stroje s touto IP.
--
S pozdravem,
Kind regards,
xxx

Národní centrum kybernetické bezpečnosti
Národní úřad pro kybernetickou a informační bezpečnost

National Cyber Security Centre
National Cyber and Information Security Agency Czech Republic

Když se na tu abuseIP stránku podívám, tak to zobrazí:


A teď nevím, jestli fakt mám nějaký vir/malware nebo ne, mám tam 4 pc, na všech mám eset, prošel jsem to asi 3 různými antimalware programy a nic... pak tam mám ještě Synology NAS, může být virus/malware i na něm? Pak tam mám ještě HikVision DVR, ale to doufám zavirované být nemůže...

Divné je, že ty reporty jsou celkem sporadické, není to každý den, tak nevím, jak přijít na to, čím to je...

[Reklama]

[IDontCare]

Synology i HikVision DVR to byt ucite muze. Muze to byt i samotny router poskytovatele, muze to byt libovolny chytry telefon. Muze to byt v podstate uplne cokoliv co ma pristup k Vasi Wifi/ internetu..

[Stanislav Michalec]

tak to je zlé... existuje nějaký způsob, jak zjistit (pokud možno jednoduše), které zařízení to je? Koukal jsem na router (TP Link DSL-AC56U), že je tam seznam adres NATu, když to co nějakou dobu sleduju, tak jsem tam neviděl nějakou podezřelou aktivitu (že by nějaké zařízení connectovalo nějaké náhodné porty), ale někdy je tam těch překladů tolik, že si jist být nemůžu... A blbé je, že jsem tam nikde nenašel volbu, že by to ukládalo všecky překlady, že bych to pak třeba zpětně prošel a podíval se, které IP navazovalo více spojení a podle toho to určil...

A problém je, že ty reporty z toho AbuseIP jsou tak 2x týden, což je hrozně málo, kdyby byly třeba 3 denně, tak třeba každý den odpojím jedno ze zařízení, abych poznal, které to dělá, ale takhle je to nereálné...

[Standa2017]

Pohlídej si to Wiresharkem. Stejně jsem zkusil hledat abuseipdb.com na nukib.cz a nic to nenašlo. Je otázkou, jestli na nukib chodí nějaké oznámení, nebo si sám skenuje IP rozsahy z ČR?

[Jigdo]

Zapnout logovani odchozi komunikace a cekat az se zase neco objevi abuseipdb.com a pote dohledat...
a prubezne kontrolovat .....
nebo prepnout do bridge modu a az to nasadit nejaky poradny router (nebo levny MikroTik) ktery bude logovat odchozi komunikaci.

Poridit neco levneho na LogServer (treba RaspberryPi) ......

Jaky mate firmware u toho ASUSu? Na Synology a HikVision DVR, aktualni?
Zkontrolujte jestli hesla k temto zarizenim nejsou v databazi:
https://haveibeenpwned.com/Passwords

Dovnitr site mate//mnel jste otevrene nejake porty?
Mate i IPv6? Pokud ano pouzivaji ji vsechny zarizeni v siti?

Ty 4 PC vypinate, nebo jsou on-line?

[Reklama]

[Stanislav Michalec]

Zapnout logovani odchozi komunikace a cekat az se zase neco objevi abuseipdb.com a pote dohledat...

Právě jsem logování komunikace na tom Asusu nenašel, buď jsem slepý nebo to tam není

a prubezne kontrolovat .....
nebo prepnout do bridge modu a az to nasadit nejaky poradny router (nebo levny MikroTik) ktery bude logovat odchozi komunikaci.

Poridit neco levneho na LogServer (treba RaspberryPi) ......

no možná to budu muset tak udělat...

Jaky mate firmware u toho ASUSu? Na Synology a HikVision DVR, aktualni?

na routeru ASUS mám FW 1.1.2.3_858, který by měl být aktuální, na Synology jsem se včera díval, taky by měl být aktuální.. HikVision mám FW originální, jsem to dneska zkoušel hledat na stránkách HikVision, ale model, který mám (DS-7204HGHI-SH/A ), jsem tam vůbec nenašel, když jsem zkoušel stáhnout fw k k jiným DS-7204xxx, tak mi to tam nešlo... tak nevím, jestli zas to neumím najít nebo jak... ještě jsem našel nějaký FW k tomu na euroalarm.cz, ale taky, když to tam zkusím, tak to napíše aktualizace - postup 0% a pak za pár vteřin aktualizace neúspěšná...

Zkontrolujte jestli hesla k temto zarizenim nejsou v databazi:
https://haveibeenpwned.com/Passwords

hesla jsem změnil pro jistotu, ten NAS zítra plánuju odpojit, měl jsem tam jen jednoduchou DB, kterou jsem dneska přesunul na jiný NAS v jiné síti...

Dovnitr site mate//mnel jste otevrene nejake porty?
Mate i IPv6? Pokud ano pouzivaji ji vsechny zarizeni v siti?

měl jsem právě port forwarding na ten NAS a na to DVR, a byl jsem zas blbej, když jsem to nastavoval, že jsem ten forward neomezil jen na moje IP, takže byly povolené pro všechny...
IPv6 jsem tam zatím nepovoloval, jako nebyl by asi problém ji rozjet, mám DSL od Tmobile a router to podporuje...

Ty 4 PC vypinate, nebo jsou on-line?

nechávám je zapnuté, ale tak mohl bych je na noc vypínat, kdyby to k něčemu pomohlo

[FKoudelka]

 Bez logů a postupného vypínání moc šancí nemáš, takže bych kromě uvedeného zkusil shodan.io co na tebe vědí. Vím že je to opačný směr, ale může tě to trknout. Co jde, dal bych do továrního nastavení. Nevím, kdo má přístup k tvým PC, ale připadá mi, že si tam někdo hraje s kali nebo nikto nebo tak. Taky bych se podíval na ty bonz odkazy uvedené na abusedb na detaily

[Stanislav Michalec]

ten shodan jsem zkusil, je tam info o těch forwardovacích portech a nějaké další info, nevím, nakolik je to ale závažné, že tyto informace zjistili...


A s tím přístupem k PC nevím, jak je to myšleno... Fyzicky mají přístup jen zaměstnankyně, ty mají IT znalosti prakticky nulové, takže ty si s tímhle určitě nehrajou... Jestli to je nějak hacknuté a má někdo vzdálený přístup, to právě nevím, jak zjistit...

Jinak Synology NAS jsem zatím vypnul (ten mi připadal asi nejrizikovější, když jsem na něj měl ten port forwarding), uvidím, jestli se na tom Abuse objeví další záznam...

[FKoudelka]

Jestli je to byznys, obávám se, že je nutné předělat infrastrukturu. Firewall, logy a podobně.
Ale i tak to chce chytit krysu. Důrazně doporučuju ta tovární nastavení na NAS a HikVision apod.
Mají ty dámy povoleno RDP nebo VNC z domu ? Děcka jsou šikovný

[FKoudelka]

... nebo teamviewer ?

[Stanislav Michalec]

Zaměstnanykně vzdálený přístup nemají, vzdáleně se můžu připojovat jen já nebo můj táta, a tam můžu zaručit, že fyzicky se na ty PC, z kterých se připojujeme, se nikdo nedostane...
Zatím jsem teda odpojil ten Synology NAS  a povedlo se mi najít na americkém HikVisionu nový FW pro to DVR a omezil jsem na routeru port forwarding na DVR jen z mých adres... Zatím se na tom Abuse webu nic nového neobjevilo, tak uvidím, jestli tam něco přibude nebo ne... Pokud jo, tak zkusím teda ten Factory reset na DVR a jestli ani to nepomůže, tak asi fakt budu muset pořídit něco na logování a pak zpětně ty logy projíždět...