Как узнать домашний роутер заражен ли ботнет?
- Автор темы woxel
- Дата начала
- Регистрация
- 3 Апр 2006
- Сообщения
- 566
- Реакции
- 932
- Модер.
- #2
Зараза может проявляться по разному.
Если это подмена каких-то серверов, показ вам рекламы, то роутер будет просто подменять ип адреса этих серверов. может ип адреса рекламных сетей.
Можно попробовать сравнить резолвинг через роутер и через какойто сторонний сервер (но к нему надо подключиться защищённо, обычный dig/nslookup от вас через этот же роутер - не годится)
В таких случая надо просто обращать внимание на неожиданный контент... Но если рекламу не показывают, а подменяют только сайты отдельных крипто-бирж, обменок, то не заметите если не пользуетесь.
Другой случай, когда роутер часть ботнета, который когото ддосит. Тут у вас на выходе почти постоянно будет трафик кудато.
Проще всего проверить трафик от вас (tcpdump/wireshark-ом) подключившись свитчем с мониторинг портом между вашим WAN портом и кабелем к провайдеру.
Разумеется отфильтровав трафик только по вашему ип или МАК адресу.
Разумеется желательно при этом отключить все домашние устройства от роутера. И вайфай погасить.
Можно попросить админов провайдера это сделать на их стороне, кстати....
Длина пароля не важна. Ломают обычно не подбором паролей, а через уязвимости, дающие доступ без пароля в систему роутера, часто минуя админ доступ к интерфейсу управления роутером.
Да, часто можно просто перешить роутер на более новую или более старую прошивку (с дальнейшим обновленим) с полным сбросом, для очистки. Прошивку качать лучше мимио вашего роутера, а то адрес производителя могут быть недоступны.
PS: а лучше дайте старичку покой, поменяйте роутер на чтото современное. Благо сейчас есть недорогие Xiaomi которые умеют еще и в Openwrt (чтоб потом не было таких проблем)
Если это подмена каких-то серверов, показ вам рекламы, то роутер будет просто подменять ип адреса этих серверов. может ип адреса рекламных сетей.
Можно попробовать сравнить резолвинг через роутер и через какойто сторонний сервер (но к нему надо подключиться защищённо, обычный dig/nslookup от вас через этот же роутер - не годится)
В таких случая надо просто обращать внимание на неожиданный контент... Но если рекламу не показывают, а подменяют только сайты отдельных крипто-бирж, обменок, то не заметите если не пользуетесь.
Другой случай, когда роутер часть ботнета, который когото ддосит. Тут у вас на выходе почти постоянно будет трафик кудато.
Проще всего проверить трафик от вас (tcpdump/wireshark-ом) подключившись свитчем с мониторинг портом между вашим WAN портом и кабелем к провайдеру.
Разумеется отфильтровав трафик только по вашему ип или МАК адресу.
Разумеется желательно при этом отключить все домашние устройства от роутера. И вайфай погасить.
Можно попросить админов провайдера это сделать на их стороне, кстати....
Длина пароля не важна. Ломают обычно не подбором паролей, а через уязвимости, дающие доступ без пароля в систему роутера, часто минуя админ доступ к интерфейсу управления роутером.
Да, часто можно просто перешить роутер на более новую или более старую прошивку (с дальнейшим обновленим) с полным сбросом, для очистки. Прошивку качать лучше мимио вашего роутера, а то адрес производителя могут быть недоступны.
PS: а лучше дайте старичку покой, поменяйте роутер на чтото современное. Благо сейчас есть недорогие Xiaomi которые умеют еще и в Openwrt (чтоб потом не было таких проблем)
woxel
Постоялец
- Регистрация
- 11 Май 2013
- Сообщения
- 63
- Реакции
- 27
- Автор темы
- #3
Не мог долго ответить, меня не было.
Cогласен, модем-роутер древний D-Link DSL 2640U, версия прошивки у него установлена последняя 1.0.32. Живу в провинции, здесь безлимитная скорость ADSL2+ у меня не выше:
Скорость входящего потока: 13023 Кбит/с.
Скорость исходящего потока: 1159 Кбит/с.
Если ставить 4G роутер, там наверно скорость будет выше, но и лимит на месяц (например 100 Гб) на загрузку, а так я за сутки могу скачать 100-110 Гб.
Заметил в настройках Межсетевой экран - Виртуальные серверы эту запись: Teredo 192.168.1.6:58889->58889 UDP, у которого порт 58889 внешний и внутренний 58889 идут ip 192.168.1.6, но я его не ставил, его не было еще месяц назад. УДАЛИЛ.
Вчера модему я заблокировал навсякий случай: подключение к интерфейсу из интернета и также telnet. Все настройки его проводятся только из внутреннй сети модема. И пароль заменил на новый.
А так надо брать новой Xiaomi, но потом, по деньгам.
Cогласен, модем-роутер древний D-Link DSL 2640U, версия прошивки у него установлена последняя 1.0.32. Живу в провинции, здесь безлимитная скорость ADSL2+ у меня не выше:
Скорость входящего потока: 13023 Кбит/с.
Скорость исходящего потока: 1159 Кбит/с.
Если ставить 4G роутер, там наверно скорость будет выше, но и лимит на месяц (например 100 Гб) на загрузку, а так я за сутки могу скачать 100-110 Гб.
Заметил в настройках Межсетевой экран - Виртуальные серверы эту запись: Teredo 192.168.1.6:58889->58889 UDP, у которого порт 58889 внешний и внутренний 58889 идут ip 192.168.1.6, но я его не ставил, его не было еще месяц назад. УДАЛИЛ.
Вчера модему я заблокировал навсякий случай: подключение к интерфейсу из интернета и также telnet. Все настройки его проводятся только из внутреннй сети модема. И пароль заменил на новый.
А так надо брать новой Xiaomi, но потом, по деньгам.
- Регистрация
- 3 Апр 2006
- Сообщения
- 566
- Реакции
- 932
- Модер.
- #4
UDP маппинг могла и какаято программа с домашнего компа заказать через UPnP протокол...
Например игра, или какойто мессенджер для голоса, или чтото подобное, что хочет по удп связываться с миром с возможностью принять трафик к себе.
А вообще в домашней сети 192.168.1.6 адрес комуто выделяется ? или выделялся ?
Попробуйте в настройках найти и отключить UPNP , если это оно, то новый мапинг не должен появится.
Но еще раз. Если есть сомнения и нет возможности поменять роутер, а прошивка последняя, стоит попробовать даунгрейд прошивке, потом снова залить новую.
То есть :
найти предыдущую прошивку, скачать.
найти последнюю и тоже скачать.
Потом сделать сброс настроек роутера, накатить предыдущую прошивку снова без сохранения настроек,
потом накатить последнюю прошивку, без сохранения настроек.
Например игра, или какойто мессенджер для голоса, или чтото подобное, что хочет по удп связываться с миром с возможностью принять трафик к себе.
А вообще в домашней сети 192.168.1.6 адрес комуто выделяется ? или выделялся ?
Попробуйте в настройках найти и отключить UPNP , если это оно, то новый мапинг не должен появится.
Но еще раз. Если есть сомнения и нет возможности поменять роутер, а прошивка последняя, стоит попробовать даунгрейд прошивке, потом снова залить новую.
То есть :
найти предыдущую прошивку, скачать.
найти последнюю и тоже скачать.
Потом сделать сброс настроек роутера, накатить предыдущую прошивку снова без сохранения настроек,
потом накатить последнюю прошивку, без сохранения настроек.