Dobrý den,
Router (klientská jednotka pro připojení k Wi-Fi) ve vlastnictví a správě ISP, přes kterého se připojuji je napaden nějakým škodičem. Viz příloha.
Je tam skript, který každý den vytvoří VPN Interface s uživatelem user4766994 a heslem a stahuje to nějaký soubor 7wmp0b4s.rsc + se tam cpe někdo ze 146.88.240.4, to je škodlivá adresa podle abuseipdb. Dále nefunguje DNS na routeru. Klientská jednotka ISP je na veřejné IP a jsou v ní přesměrovány určité porty na adresu mého routeru za touto KJ. Jiný firewall tam poskytovatel nemá (buď ho smazal útočník, anebo a to spíše tam nikdy žádný nebyl ISP nastaven).
Za klientskou jednotkou je můj vlastní router - také Mikrotik, kde mám nastavený silný firewall, směrování portů na jednotlivá koncová zařízení, maškarády, na některé porty a administraci svého routeru přes web povolené přístupy jen ze známých IP adres, mám tam blacklisty atd. Na svém routeru mám nastavené také svoje DNS pro svou vnitřní síť (nic.cz a google), SNMP atd... Myslím si, že svůj router mám zabezpečený mnohem, mnohem lépe, než ISP ten svůj. Každopádně, můj router je čistý. Z 95 procent se připojuji zvenku ke koncovým zařízením za oběma routery, není to tak, že bych připojení používal k nějakému brouzdání po netu. Občas je za klientskou jednotkou i SOHO Wi-Fi krabička (wifi router) ale to jenom zřídka kdy (vždy tak dva dny za dva měsíce), ale i tam mám nastavené vlastní DNS.
Oficiálně nemám do klientské jednotky poskytovatele přístup, on mi jenom směruje dohodnuté porty a další administraci si dělám sám u sebe. Přesto ale ISP jednou nechal v mém PC heslo a já se do jeho zařízení dostanu. Upozorňoval jsem ho, že je s jeho KJ něco špatně - nefunguje mu DNS, nešlo se mu tam připojit zvenku přes winbox z čehož nejprve obvinil mě (nevím, jak by to mohla být moje vina), ale teď je mi jasné, že winbox službu mu tam vypnul také ten útočník. ISP svůj router (KJ) prošel a řekl mi, že napadený není a s DNS, že mi neumí pomoci, že on tam vidí nastavené jeho DNS adresy a když to nefunguje ať si používám svojí DNS za jeho routerem. Já ale vím, že napadený je. Co teď s tím?
Zatím jsem v tom ve službách vypnul FTP, vypnul SSH, v interfaces zakázal to lvpn zařízení (pouze deaktivoval, protože když ho smažu, tak ten skript tam vytvoří nové aktivní), uživateli admin jsem dal právo jenom read. Pakety z té 146.88.240.4 z logu zmizely. Stahování souboru a ten skript tam ale stále skáče. Ve skriptech v menu ale nic není. A dal jsem aktualizovat verzi OS klientské jednotky, předtím tam bylo snad něco 4.xx? Ještě uvažuji, že bych změnil admin heslo. Heslo účtu ISP ale nezměním, protože ho neznám, jen ho mám uložené v jednom ntb. V uživatelích je ale nějaký bordel - v users je jen admin, netgear a r31337?? Uživatel ISP tam není, nebo je skrytý? ten je vidět jen v aktivních uživatelích. Co teď s tím, když vím, že zařízení poskytovatele je napadené a on se o tom se mnou nechce bavit? Je několik možností:
1) nechat to být a řešit si jenom svůj router. Přemýšlím o tom, jestli a do jaké míry jsou ohrožena má zařízení vnitřní sítě? Může někdo třeba zachytávat hesla pro přístup ke koncovým zařízením, odchytávat provoz, dostat nějaký škodlivý kód i dál dovnitř mojí sítě? Já myslím, že ne, ale nejsem odborník na internetovou bezpečnost... ten můj router za KJ je čistý a zabezpečení v něm používám myslím dobré, to stejné platí o té příležitostné SOHO Wi-Fi. Je také možné, že řeším jednu "krabičku" a ISP má takto zamořenou celou svou síť a všechny rádiové body před touto krabičkou.
2) pokusit se nějak zrušit ten skript, změnit heslo adminovi nebo povolit přístup jen zevnitř, nastavit si tam sám nějaký firewall a ISP o tom neříct. Stejně mi minule vynadal, že se tam nemůže zvenku dostat, tak co. Nebo co dál, kromě výše uvedeného (deaktivace lvpn, admin-read, ssh a ftp) bych měl ještě sám bez jeho pomoci udělat?
3) Ideální by byl nový netinstall, ale to nepřipadá v úvahu, já už bych ty přístupy do Wi-Fi sítě ISP potom sám nikdy nenastavil. A asi nejhorší možnost by byla to rozvrtat a pak přijít za ISP.
4) Upozornit znovu ISP na to, že vím, že je jeho zařízení napadené. Ale to se nejspíše nesetká s úspěchem...nejprve mi vynadá, že mu lezu do jeho zařízení a potom řekne, že on má vše v pořádku.
Co s tím? jak to mám řešit? Děkuji moc za pomoc.