Napadený router?
Dobrý den,
rád bych touto formou požádal o případnou radu.
Zhruba před několika měsíci ke mně domů dovedl lokální poskytovatel konečně gigabit internet, takže jsem změnil tarif a pořídil nový router, který gigabit zvládne. Jedná se o Mercusys MR30G.
Vše běhalo bez problémů, ale 10.12. večer jsem najednou zaregistroval, že mi extrémně spadla rychlost připojení. Na speedtestu se mi místo standardních 800-900 mbs ukázalo 20 mbs download a 2 mbs upload. Po nějaké době se to srovnalo, tak jsem to neřešil a šel spát.
Ráno mi však do práce volal poskytovatel internetu, že z mé přípojky probíhal "útok" a že mě tedy musel zablokovat. Dle jeho slov jim to "zabilo dvě podsítě."
Uvedl mi časy, kdy se to dělo, a to 13:00, poté 21:00 (to jsem zaregistroval) a poté prý také další den ráno.
Zvláštní však je, že kromě času 21:00 v tyto časy nikdo nebyl doma, nebyla doma dokonce ani většina zařízení. V domácnosti tou dobou byl pouze můj desktop, samozřejmě vypnutý.
Dle domluvy s poskytovatelem jsem projel všechna zařízení v domácnosti antivirem, zmíněný desktop dokonce několika (Defender, Malwarebytes) a nic. Počítač je poměrně nový, takže tam ani zatím nemám příliš věcí.
Po dalším telefonátu s producentem mi doporučil, že to dle popisu vypadá na napadený router - že mi síť tedy znovu zprovozní, ale ať doma přeinstaluju firmware routeru. To jsem udělal, dal jsem jej do továrního nastavení, celé nastavení jsem provedl znovu a firmware updatoval na nejnovější verzi.
Pár hodin to bylo v pohodě, v cca 21:58 večer to však začalo znovu. Zrovna jsem hrál online hru, takže jsem zaregistroval zvýšený ping a ihned jsem skočil na speedtest, kde mi to vyhodilo opět cca 20 mbs download a 0,5 - 1 mbs upload. Síťové zatížení měl však počítač v tu chvíli minimální, takže z toho soudím, že škodlivé soubory nevycházely z počítače.
Chvíli na to mě poskytovatel znovu "odstřihl".
Po tom restartu firmwaru routeru jsem celý den nepřipojil k síti žádná jiná zařízení, než zmíněný desktop. Vše ostatní zůstalo na mobilních datech, chtěl jsem každý den připojit jedno a případně tak ověřit, které dělá brikule.
V rozhraní routeru žádné jiné zařízení, než můj PC, nebylo.
Nenapadá Vás, prosím, někoho rada, co by to mohlo způsobovat? Na netu jsem toho příliš nenašel, poskytovatel internetu také neví. V tuto chvíli jsem ještě odpojil zmíněný router a zapojil starý, tak pokud se mi podaří přemluvit poskytovatele, ať mi to znovu pustí, tak ještě prověřím, zda se to bude dít opět i na tomto starém.
Pokud by někdo měl nějaké rady či nápady, tak budu moc rád. Děkuji a přeji pěkný den.
Jsi na té internetové lince sám (není sdílená)? Mám veřejnou pevnou IP, ale už se dříve několikrát stalo,
že poskytovatel sítě mi zablokoval internet, protože "někdo v domě" byl zdrojem
"podezřelého provozu" (a nebyl jsem to já). Po přechodu na optiku takový problém nenastal.
Otázka je, jestli si je provider jistý tím, že ten "útok" opravdu šel od tebe.
Upřímně úplně nevím, jak tohle zjistit.
Řekl bych, že jsem asi sám - mám pevnou IP, avšak neveřejnou.
V domě je šest bytových jednotek a myslím si, že internet budeme mít všichni od stejného poskytovatele.
Provider zmínil, že útok šel z mé přípojky, takže mi jí musel zablokovat. Zda to 100% omezuje zmíněný útok jen na mě nedokáži posoudit. Optám se poskytovatele a dám vědět.
Mně se tohle nikdy nestalo, nyní mám však "nově" optiku (asi od července). Na adrese bydlím asi rok a půl, tedy nemám zkušenosti s tím, jestli by mohl být někdo jiný v domě problémový.
Díky za rady.
Pokud máš neveřejnou adresu, pak mě nenapadá moc možností, jak by se útočník dostal na router jinak, než z tvého počítače nebo jiného zařízení v síti.
Tak ještě to může být na úrovni sítě poskytovatele.
Muze, aly bylo by hloupe, kdyby poskytovatel nemel zakazniky izolovane a klidne by se mohli vzajemne vloupavat
Takže máš optiku dovedenou až do bytu, tam pak končí na nějakém převaděči
GPON od poskytovatele netu (tam toho moc nastavit nejde - nastavení je u poskytovatele netu),
za ním pak máš ten svůj router. Pokud je to tak, internet by ti měl jít i bez routeru (zkoušel jsi?).
Tento problem ma predsa jednoduche riesenie.
Mercusys spad pod TP-Link a ten je znamy, ze na zranitelnost obcas dlhodob kasle..vid ich diera vo webovom serveri, ktoru tam mali(maju?) uz niekolko rokov a ktora uzmoznovalo zhodit webove rozhranie akehokolvek ich routra. A to pisem ako dealer TP-Linku;o).
Teraz k rieseniu.
Mikrotik, AX2 ak chces aj wifi, ak nie tak nejaky hex variant.
Spolahlive zariadenie, ktore ti bude bezpecne fungovat uz v defaulte.
Ale teraz pride ta ceresnicka na torte...ak by pretrvavali problemy aj nadalej na MT ich vies lahko diagnostikovat a zaroven ti mozu sluzit ako nepriestrelne argumenty voci ISP ak by stale tvrdil, ze problem je u teba.
Pises totizto, ze mas optiku, ale tvoj router nema opticky vstup, cize v ceste bude bud nejaky prevodnik, v pripade ONT nejaky router od ISP, ktory moze byt tiez slabym clankom.
V kazdom pripade MT vie robit grafy na vystupe, vie ti urcit, ktore zariadeni komunikovalo smerom von, vie pocitat dat na interfesjoch, ci pripojenym zariadeniam, vie proste vsetko co potrebujes.
Takze tvoj prvy krok ma byt zmena routra.
https://www.alza.cz/mikrotik-c52ig-5haxd2haxd-tc-d7774755.htm?evt=ac&pos=1&qid=Algolia_63d5ce15557aaaf5dcac0f618c8e23da
https://www.alza.cz/mikrotik-rb750gr3-d4528206.htm
Podľa mňa samé "kecy" o optike, ale o zapnutej a nezabezpečenej WiFi na routri ani slovo...
Nepravdepodobne, zeby im nieco z jeho wifi dokazalo zabit 2 podsiete.
Ide to priamo z routra, alebo nieco cez kabel.