Napadený router?
Dobrý den,
rád bych touto formou požádal o případnou radu.
Zhruba před několika měsíci ke mně domů dovedl lokální poskytovatel konečně gigabit internet, takže jsem změnil tarif a pořídil nový router, který gigabit zvládne. Jedná se o Mercusys MR30G.
Vše běhalo bez problémů, ale 10.12. večer jsem najednou zaregistroval, že mi extrémně spadla rychlost připojení. Na speedtestu se mi místo standardních 800-900 mbs ukázalo 20 mbs download a 2 mbs upload. Po nějaké době se to srovnalo, tak jsem to neřešil a šel spát.
Ráno mi však do práce volal poskytovatel internetu, že z mé přípojky probíhal "útok" a že mě tedy musel zablokovat. Dle jeho slov jim to "zabilo dvě podsítě."
Uvedl mi časy, kdy se to dělo, a to 13:00, poté 21:00 (to jsem zaregistroval) a poté prý také další den ráno.
Zvláštní však je, že kromě času 21:00 v tyto časy nikdo nebyl doma, nebyla doma dokonce ani většina zařízení. V domácnosti tou dobou byl pouze můj desktop, samozřejmě vypnutý.
Dle domluvy s poskytovatelem jsem projel všechna zařízení v domácnosti antivirem, zmíněný desktop dokonce několika (Defender, Malwarebytes) a nic. Počítač je poměrně nový, takže tam ani zatím nemám příliš věcí.
Po dalším telefonátu s producentem mi doporučil, že to dle popisu vypadá na napadený router - že mi síť tedy znovu zprovozní, ale ať doma přeinstaluju firmware routeru. To jsem udělal, dal jsem jej do továrního nastavení, celé nastavení jsem provedl znovu a firmware updatoval na nejnovější verzi.
Pár hodin to bylo v pohodě, v cca 21:58 večer to však začalo znovu. Zrovna jsem hrál online hru, takže jsem zaregistroval zvýšený ping a ihned jsem skočil na speedtest, kde mi to vyhodilo opět cca 20 mbs download a 0,5 - 1 mbs upload. Síťové zatížení měl však počítač v tu chvíli minimální, takže z toho soudím, že škodlivé soubory nevycházely z počítače.
Chvíli na to mě poskytovatel znovu "odstřihl".
Po tom restartu firmwaru routeru jsem celý den nepřipojil k síti žádná jiná zařízení, než zmíněný desktop. Vše ostatní zůstalo na mobilních datech, chtěl jsem každý den připojit jedno a případně tak ověřit, které dělá brikule.
V rozhraní routeru žádné jiné zařízení, než můj PC, nebylo.
Nenapadá Vás, prosím, někoho rada, co by to mohlo způsobovat? Na netu jsem toho příliš nenašel, poskytovatel internetu také neví. V tuto chvíli jsem ještě odpojil zmíněný router a zapojil starý, tak pokud se mi podaří přemluvit poskytovatele, ať mi to znovu pustí, tak ještě prověřím, zda se to bude dít opět i na tomto starém.
Pokud by někdo měl nějaké rady či nápady, tak budu moc rád. Děkuji a přeji pěkný den.
1. Mercursys je odpadní podznačka TPlinku. Tos fakt šetřil až jsi ušetřil.
2. Nějak nechápu proč jsi nezačal zjišťovat které zařízení ten traffic generuje?
3. Nijak jsi nespecifikoval co jsi na routeru nastavoval, doufám že nic jako DMZ, portforwarding/DNAT apod.
proč jsi nepořídil nějaký normální a spolehlivý (neděravý) router? Nový HEx stojí jen okolo 1300 Kč a za něj sis mohl klidně zapojit ten merkushit v režimu AP...
K bodu 2:
Začal, proto jsem po restartování firmware routeru zapojil pouze desktop a nic jiného. Večer se to stalo znovu, avšak síťové zatížení PC bylo téměř nulové. Žádné jiné zařízení k routeru připojené nebylo, ani v router samotný ve svém rozhraní žádné nezobrazoval.
3. Na routeru jsem nenastavoval vlastně vůbec nic. Udělal jsem jen quick setup aby to jelo, dle konfiguračního protokolu od poskytovatele a tím jsem skončil. V ničem dalším jsem se nevrtal.
Hesla, jak do rozhraní routeru tak k samotnému připojení jsem samozřejmě změnil.
3) a máš příčinu. Pokud má ten router nějakou zranitelnost, stačí jej na síti najít, nahrát exploit a útočník je tam.
Pokud nepotřebuješ žádné přesměrované porty a další věci, pak zakázat veškerou komunikaci, přicházející zvenku!
Děkuji moc za radu. Router je aktuálně u producenta, po návratu zkusím s Vaším nastavením a dám vědět.
Mohlo být třeba: napadený router a následně napadený PC
Když jsi dal router do továrního nastavení, nastavil jsi předpokládám i jiné heslo pro administraci routeru?
Máš u routeru nastavený firewall, aby odmítal všechny požadavky zvenku? Tzn. zakázat i administraci zvenku.
Používáš na routeru nějaké přesměrované porty?
Router má log, tam bys videl prubeh komunikace, prihlaseni do administrace atd...
Dej router znovu do továrního nastavení, zabezpeč jej, zkus nechat zapnutý pouze router bez tvého PC a uvidíš, jestli to pomohlo.
Ano, hesla jsem změnil.
U routeru firewall nastavený je. Upřímně jsem se v něm nijak víc nevrtal, udělal jsem počáteční nastavení, nastavil hesla a tím jsem skončil. Zabezpečení však jsou zapnutá.
Žádné přesměrované porty nepoužívám.
V logu routeru toho moc nebylo, víceméně jen info po prvotním nastavení a pak se tam nic víc neobjevilo.
Vámi zmíněnou metodu ozkouším, pokud mi bude poskytovatel ještě ochotný spustit připojení, když mu to dělá takové problémy. Děkuji za radu.
Tady je simulátor webového rozhraní:
https://www.mercusys.com/simulator/mr30g_eu_ap/index.html
(spustí se Quick Setup, lze přeskočit vpravo nahoře Skip)
V administraci můžeš povolit nastavení routeru (Local Management) jen z konkrétního PC, doporučuju nastavit.
Hned pod tím je volba System log, ten prostuduj nebo zkopíruj sem.
Bohuzel si to nenasimulujes v router mode, pouze v AP rezimu.
Děkuji za radu ohledně Local Management, určitě nastavím.
Router má v tuhle chvíli na "kontrolu" poskytovatel, po navrácení logy zkopíruji, pokud se k nim ještě dostanu. Do té doby již snad budu mít ozkoušené, zda se problém děje i na starém routeru či nikoliv.
Jsi na té internetové lince sám (není sdílená)? Mám veřejnou pevnou IP, ale už se dříve několikrát stalo,
že poskytovatel sítě mi zablokoval internet, protože "někdo v domě" byl zdrojem
"podezřelého provozu" (a nebyl jsem to já). Po přechodu na optiku takový problém nenastal.
Otázka je, jestli si je provider jistý tím, že ten "útok" opravdu šel od tebe.
Upřímně úplně nevím, jak tohle zjistit.
Řekl bych, že jsem asi sám - mám pevnou IP, avšak neveřejnou.
V domě je šest bytových jednotek a myslím si, že internet budeme mít všichni od stejného poskytovatele.
Provider zmínil, že útok šel z mé přípojky, takže mi jí musel zablokovat. Zda to 100% omezuje zmíněný útok jen na mě nedokáži posoudit. Optám se poskytovatele a dám vědět.
Mně se tohle nikdy nestalo, nyní mám však "nově" optiku (asi od července). Na adrese bydlím asi rok a půl, tedy nemám zkušenosti s tím, jestli by mohl být někdo jiný v domě problémový.
Díky za rady.
Pokud máš neveřejnou adresu, pak mě nenapadá moc možností, jak by se útočník dostal na router jinak, než z tvého počítače nebo jiného zařízení v síti.
Tak ještě to může být na úrovni sítě poskytovatele.
Muze, aly bylo by hloupe, kdyby poskytovatel nemel zakazniky izolovane a klidne by se mohli vzajemne vloupavat
Takže máš optiku dovedenou až do bytu, tam pak končí na nějakém převaděči
GPON od poskytovatele netu (tam toho moc nastavit nejde - nastavení je u poskytovatele netu),
za ním pak máš ten svůj router. Pokud je to tak, internet by ti měl jít i bez routeru (zkoušel jsi?).
Tento problem ma predsa jednoduche riesenie.
Mercusys spad pod TP-Link a ten je znamy, ze na zranitelnost obcas dlhodob kasle..vid ich diera vo webovom serveri, ktoru tam mali(maju?) uz niekolko rokov a ktora uzmoznovalo zhodit webove rozhranie akehokolvek ich routra. A to pisem ako dealer TP-Linku;o).
Teraz k rieseniu.
Mikrotik, AX2 ak chces aj wifi, ak nie tak nejaky hex variant.
Spolahlive zariadenie, ktore ti bude bezpecne fungovat uz v defaulte.
Ale teraz pride ta ceresnicka na torte...ak by pretrvavali problemy aj nadalej na MT ich vies lahko diagnostikovat a zaroven ti mozu sluzit ako nepriestrelne argumenty voci ISP ak by stale tvrdil, ze problem je u teba.
Pises totizto, ze mas optiku, ale tvoj router nema opticky vstup, cize v ceste bude bud nejaky prevodnik, v pripade ONT nejaky router od ISP, ktory moze byt tiez slabym clankom.
V kazdom pripade MT vie robit grafy na vystupe, vie ti urcit, ktore zariadeni komunikovalo smerom von, vie pocitat dat na interfesjoch, ci pripojenym zariadeniam, vie proste vsetko co potrebujes.
Takze tvoj prvy krok ma byt zmena routra.
https://www.alza.cz/mikrotik-c52ig-5haxd2haxd-tc-d7774755.htm?evt=ac&pos=1&qid=Algolia_63d5ce15557aaaf5dcac0f618c8e23da
https://www.alza.cz/mikrotik-rb750gr3-d4528206.htm
Podľa mňa samé "kecy" o optike, ale o zapnutej a nezabezpečenej WiFi na routri ani slovo...
Nepravdepodobne, zeby im nieco z jeho wifi dokazalo zabit 2 podsiete.
Ide to priamo z routra, alebo nieco cez kabel.