Włam na router. Logi Pentagram Cerberus P 6341

xbialyx5 · 10 Czerwiec 2010 15:30

Witam, zamieszczam logi z firewalla z routera, które zauważyłem.

Jak się przed tym kimś zabezpieczyć? Mam szyfrowanie WPA2 AES i mam 32 znakowe hasło, silne hasło. Proszę o pomoc.

Dimatheus · 11 Czerwiec 2010 11:10

Hej,

Załączone przez Ciebie logi to informacje dotyczące pracy zapory sieciowej w routerze. Skoro próby włamania zostały wykryte, na pewno zostały też zablokowane - stąd informacja w logu. Ogólnie atak był poprzez internet, a nie wewnątrz sieci, którą masz dość dobrze chronioną. Myślę, że możesz spać spokojnie - zapora w Pentagramie działa i chroni!!

Pozdrawiam,

Dimatheus

roobal · 11 Czerwiec 2010 17:10

Wifi tutaj nie ma nic do znaczenia, z logów jasno wynika, że atak przeprowadzany był ze świata na router przez interfejs sieciowy ppp0, czyli atak na port WAN a nie włamanie przez Wifi Ogółem wbudowane w routery zapory sieciowe powinny odpierać takie ataki, jednak czujności nigdy za wiele.

Pozdrawiam!

xbialyx5 · 11 Czerwiec 2010 21:24

Więc jak mogę jeszcze “pomóc” routerowi w odpieraniu ataków?

Jeszcze dodam, że posiadam Neostradę. Jeśli tu o WAN chodzi

Dimatheus · 11 Czerwiec 2010 21:43

Hej,

Jeśli masz skonfigurowany firewall w routerze to już niewiele możesz zrobić. Ewentualnie mógłbyś - jeśli oprogramowanie routera na to pozwala - blokować potencjalnie niebezpieczne adresy IP, tyle że po logu widać, że ataki były wykonywane z różnych adresów IP - gra zatem niewarta świeczki. Poza tym - jak pisałem wcześniej - skoro router wykrył próby ataku oznacza to, że zostały zatrzymane - nie ma więc potrzeby dodatkowej pomocy.

Jako dodatkowy środek zabezpieczający i druga linia obrony w przypadku s’hack’owania routera, będzie odpowiednia zapora sieciowa zainstalowana na każdej ze stacji roboczych wewnątrz sieci lokalnej.

Pozdrawiam,

Dimatheus

xbialyx5 · 11 Czerwiec 2010 21:54

Więc, jeśli posiadam pakiet NOD32 Smart Security + Comodo Firewall to nie powinienem się martwić? I jeszcze Firewall z Windowsa 7

roobal · 12 Czerwiec 2010 01:40

Jeśli posiadasz na komputerze zaporę programową jesteś mniej narażony na atak, gdyby ktoś przebił się przez zaporę sprzętową wbudowaną w router, jednak pamiętaj że jak ktoś będzie chciał się włamać to i tak może to zrobić nawet gdyby mu to miało zająć kilka dni ale twój komputer to nie serwer, więc jeśli ktoś nie ma konkretnego powodu to da sobie spokój ale warto zachować czujność.

Do monitorowania sieci może zainstalować sobie program WireShark, używam go pod Linuksem ale wydaje mi się, że pod Windowsa też jest dostępny, poczytaj sobie na necie jak monitorować przy jego pomocy ruch sieciowy.

Jeśli masz jakieś cenne dane na komputerze jak dokumenty typu praca dyplomowa/magisterska czy ważne dokumenty, do których nikt nie powinien mieć dostępu, np. deklaracje podatkowe czy księgi rachunkowe albo zdjęcia czy inne ważne to proponuję je zarchiwizować i zrobić ich kopię zapasową na osobnym nośniku jak zewnętrzny dysk twardy czy płyty dvd. Oprócz tego możesz szyfrować partycje, cały dysk czy poszczególne pliki Oczywiście to są tylko propozycje.

Pozdrawiam!

xbialyx5 · 12 Czerwiec 2010 08:42

Dziękuję koledzy za pomoc

Dimatheus · 13 Czerwiec 2010 22:23

Hej,

W sumie powinieneś martwić się jednym, aczkolwiek bardzo ważnym szczegółem. W systemie w danym czasie powinna być obecna i aktywna tylko jedna zapora sieciowa - u Ciebie włączone są trzy: ta zintegrowana w pakiecie ESET, Comodo oraz zintegrowana w systemie. Takie zagrania mogą powodować konflikty, problemy z połączeniami internetowymi oraz nieprzewidywalną i niestabilną pracę systemu. Dlatego najlepiej wyłącz zaporę zintegrowaną z systemem i albo odinstaluj Comodo, albo też wyłącz funkcję zapory w pakiecie Eset.

Nie ma sprawy…

Pozdrawiam,

Dimatheus

xbialyx5 · 14 Czerwiec 2010 15:42

Ja właśnie wiem, że nie powinno być więcej niż jeden firewall/antywirus, ale właśnie żadnych błędów nie ma, komputer mi też w ogóle nie zwolnił, więc może chyba tak zostać?

– Dodane poniedziałek, 14 czerwca 2010, 18:57 –

Jun 12 11:12:55 HackAttack: [sPI] ICMP packer from [ppp0] 217.17.34.134 to 83.31.84.158 Jun 12 11:12:55 HackAttack: [sPI] ICMP packer from [ppp0] 217.17.34.134 to 83.31.84.158 Jun 12 11:12:58 HackAttack: [sPI] ICMP packer from [ppp0] 217.17.34.134 to 83.31.84.158 Jun 14 11:40:15 HackAttack: [sPI] ICMP packer from [ppp0] 111.92.225.6 to 83.31.83.102 Jun 14 12:02:01 HackAttack: [sPI] TCP packet from [ppp0] 98.126.11.142:39075 to 83.31.83.102:47439 Jun 14 12:04:48 HackAttack: [sPI] TCP packet from [ppp0] 98.126.11.142:9055 to 83.31.83.102:16085 Jun 14 12:27:06 HackAttack: [sPI] TCP packet from [ppp0] 98.126.11.142:40757 to 83.31.83.102:17108 Jun 14 13:08:53 HackAttack: [sPI] TCP packet from [ppp0] 98.126.11.142:34178 to 83.31.83.102:1609 Jun 14 13:09:34 HackAttack: [sPI] TCP packet from [ppp0] 98.126.11.142:48768 to 83.31.83.102:54451 Jun 14 13:35:48 HackAttack: [sPI] TCP packet from [ppp0] 98.126.11.142:8356 to 83.31.83.102:36114 Jun 14 13:42:30 HackAttack: [sPI] TCP packet from [ppp0] 98.126.11.142:9479 to 83.31.83.102:1195 Jun 14 18:01:55 HackAttack: [sPI] ICMP packer from [ppp0] 88.191.102.62 to 83.31.83.102 Jun 14 18:12:18 HackAttack: [sPI] ICMP packer from [ppp0] 88.191.102.62 to 83.31.83.102

Zablokowałem ten adres 217.17.34.134 w routerze to teraz zaczęły się kolejne ataki

Dimatheus · 14 Czerwiec 2010 17:11

Hej,

Wiesz, na dobrą sprawę możesz mieć zainstalowanych i 15 różnych zapór sieciowych - któż Ci zabroni?? :D/ Dobrze, że błędów nie ma, ale należałoby podkreślić, że na razie ich nie ma. Nigdy nie wiadomo jaka aplikacja może spowodować, że konflikt zostanie aktywowany - i ciężko powiedzieć, co dokładnie może się stać. Dlatego na początek wyłączyłbym na pewno zaporę systemową.

Wiesz - sam też korzystam z internetu dostarczanego przez TP i niestety muszę przyznać, że z czystością w infrastrukturze sieciowej nie jest rewelacyjnie. Mogą więc zdarzać się ataki. Samo ich blokowanie wydaje się bezsensowne, gdyż IP atakujących ulegają zmianie. Mógłbyś siedzieć całymi dniami i wklikiwać nowe numerki. Pytanie tylko o zasadność takich zabiegów… Póki router loguje wydarzenia znaczy, że zapora w nim działa poprawnie - nie ma więc powodu do obaw. A jeśli czujesz się mniej bezpieczny pomyśl o propozycjach, które podał roobal.

Pozdrawiam,

Dimatheus

xbialyx5 · 14 Czerwiec 2010 17:30

Właśnie wiem, że to nie ma sensu, ale co mi tam, zablokowałem sobie No to nie powodu do obaw, to mogę być spokojny Dziękuję.

Dimatheus · 15 Czerwiec 2010 07:49

Hej,

Jasne, że możesz. Dla pewności co jakiś czas warto sprawdzać logi na przykład Comodo, by się upewnić, że nic nie przeszło przez router.

I jeszcze jedno - w sprawie tych Twoich 3 zapór - lepiej problemom zapobiegać, niż je rozwiązywać, gdy powstaną.

Pozdrawiam,

Dimatheus

xbialyx5 · 15 Czerwiec 2010 15:47

Jak by coś się znowu działo, to się odezwę

Monczkin · 16 Czerwiec 2010 06:56

xbialyx5 , nazwij temat konkretnie. Inaczej wyciągnę konsekwencje. Przeczytaj ten temat.

viewtopic.php?f=16&t=394978