Intrusione nel router dall'esterno

Lionsquid · 26-04-2009, 19.31.55

Ciao ragazzi,

stamane sono andato a casa di un collega il quale improvvisamente aveva perso la possibilità di connettersi al suo router wifi da una postazione fissa ...

senza perdere troppo tempo in indagini, avendo avuto che la connessione internet era attiva e funzionante ho reinstallato il dongle wifi (TP-LINK)

al riavvio la connessione veniva effettuata ma non la navigazione e pingando non si riusciva a raggiungere alcuna destinazione esterna

resetto winsocks e tcp/ip e nulla cambia

a questo punto la mia attenzione si sposta sull'altro pc e soprattutto sul router

il 2° pc connesso via ethernet sembra ok, ma non ho fatto alcuna indagine approfondita "antimalware" visto che tutto rispondeva perfettamente, attraverso MSCONFIG non c'era nulla di strano e pertanto ho effettuato l'accesso al router quando scopro con orrore che la pwd di admin non era stata cambiata, il fw disattivato e molti parametri di protezione non standard, primo tra tutti i dispositivi wifi non riconosciuti

gironzolando per il menù del router (THOMPSON) scopro che il log riporta delle connessioni TELNET

capoisco al volo la gravità del problema e stacco immediatamente il doppino telefonico, trascivo gli IP incriminati e RESETTO il router alle condizioni di fabbrica

riconfiguro tutto e prima di rimettere il doppino cambio la pwd di admin con una chilometrica

il reset ha permesso di riconoscere i dispositivi wifi e riabilitare il fw

indagando sugli IP ho trovato che i telnettari sono 3 (o forse sempre lo stesso da 3 "posti" diversi" (il numero maggiore da una zona di catania, 1 connessione dal belgio e 2 dal pakistan)

arrivo al dunque... ( e considerando il tecnico che ha installato il router un farabutto o un'ignorante )

quali mezzi posso usare per capire se i telnettari hanno carpito informazioni dal pc??? (non è un campo in cui sono esperto)

intanto domani il mio collega chiederà il cambio del certificato di autenticazione con la sua banca, per precauzione

altri possibili interventi?? tutte le pwd sono state cambiate (MSN, FORUM, etc.)

leofelix · 26-04-2009, 21.56.19

orrore e raccapriccio,
non saprei proprio come scoprire se costoro hanno rubato dati dal PC in questione:

I sistemi in rete cosa condividevano oltre la connessione a internet?

Inoltre mi è venuto un atroce dubbio, sebbene io abbia disabilitato la possibilità di connettersi via WiFi al mio router e il Personal Firewal non mi segnala connessioni anomale, a questo punto farò dei controlli immediati e più approfonditi.

Alfabeto · 27-04-2009, 00.48.51

Purtroppo non ho nessuna idea per aiutarti a capire se e come possono aver avuto accesso ai dati sui PC della rete.

Io farei anche un salto sul sito del produttore per vedere se è disponibile un nuovo firmware che magari ha tappato qualche debolezza del router agli attacchi esterni.
Forse sarà scontato dirlo, ma attiva la restrizione sugli IP che possono accedere alla configurazione del router e l'accesso wireless solo ai MAC address consentiti.

Detto questo auguro a chi ha installato il router che tu non riesca mai a trovarlo per fargli i complimenti....

Lionsquid · 27-04-2009, 01.13.18

allora, come condivisione c'era (anzi c'è) solo la stampante, niente cartelle o unità

non ho pensato al firmware del router

vedrò se ci sono upgrade

quanto alle restrizioni l'ho ripristinate ma non gli ip, solo il mac address dei pc wifi ( 1 fisso e 1 portatile non presente di cui siamo riusciti a risalire al mac address via MSN col figlio (studia a padova).. non è il massimo, ma è quello che si può fare... soprattutto perchè il problema non è la presunta vulnerabilità del wifi, ma l'accesso al router sfruttando la bestialità di un tecnico pagato per esserlo...

la passphrase è abbastanza incasinata dato che è un proverbio... un casino di caratteri

infatti, mi sono tenuto sul leggero, ma chi installa quei dispositivi e non cambia la password admin standard è davvero un'irresponsabile

cmq, tornando al problema, domani pomeriggio ritorno sul luogo del delitto e vado a monitorare il log del router e l'event viewer del pc in cerca di qualcosa di sospetto

e tanto per non passare per fesso, lancio il combofix, così, tanto per...

boh, vi terrò aggiornati

notte

Sbavi · 27-04-2009, 10.23.56

Opera cancella i cookie quando viene chiuso.
I documenti stanno su pendrive.
Non uso antivirus.
La password del mio router è una parola di 6 caratteri.

Entrassero nel mio pc potrebbero fregarsi Cicciolina e Moana ai mondiali: beati loro.
Mi viene in mente la signature di Neddi: col pc risolvo problemi che prima non avevo

Non è per fare filosofia, ma basterebbe un minimo di accortezza per:
a) stare tranquilli
b) non rompere le palle al prossimo con richieste di aiuto (vedi caso di Leo)

se poi si è interdetti col PC allora sarebbe il caso di mollare e amen.

Vi racconto questa di sabato scorso.

Vado da un amico che ha comprato un pc su ebay. Accendo per vedere caratteristiche, scartabellare. Apro Firefox. Pagina iniziale, Mio Ebay, loggato e mi faccio un giretto. Account di posta, loggato. Username della banca, presente: per fortuna non c'era la pwd.
Poi presi dai rimorsi, abbiamo cancellato l'intero account utente di Vista.
Lasciatemi dire che se ad un tipo del genere gli fregano i soldi in banca se lo stramerita.

Vabbe, fine OT

Lionsquid · 27-04-2009, 16.17.09

sia FF sia IE possono essere configurati per cancellare i temp a chiusura sessione

i documenti su pendrive sono quanto di più inaffidabile si possa fare, non tanto per la probabilità di essere carpiti ma per la elevata possibilità di smarrire la pen drive (io stesso ne ho trovato ben 2 fino a oggi, una vuota e l'altra con mp3 e foto), infine aggiungi che la "solidità" ai guasti delle pen drive non è certamente il massimo

strategie a parte, i router vanno protetti al massimo, non fosse altro per diminuire le probabilità che qualcuno "catturi" il pc nella "propria" botnet da cui sferrare attacchi di qualsiasi tipo, o peggio, faccia propria la rete (wifi) collegandosi col portatile posteggiato sotto casa del malcapitato!!

come dire ..più sicuro io, più sicuri tutti

per concludere, se chi vende il pc si dimentica di rimuovere i dati personali,... beh, non ci sono parole,

stay tuned, .... vedremo cosa trovo di anomalo sul pc

RNicoletto · 27-04-2009, 17.17.41

Quota:

Inviato da Lionsquid

infatti, mi sono tenuto sul leggero, ma chi installa quei dispositivi e non cambia la password admin standard è davvero un'irresponsabile

Fino a qualche tempo fa il 90% dei tecnici che installano le ADSL nelle case/uffici degli italiani non modificavano la password di fabbrica del router. A tutt'oggi se un utente domestico si compra un router, magari per sostituire il vecchio modem ADSL che gli era arrivato con l'attivazione dell'ADSL, tenderà a lasciare inalterata la password pre-impostata dal costruttore (che sono di pubblico dominio da un pezzo).

leofelix · 27-04-2009, 19.57.27

Fantastico, mi mancavano le uscite di Sbavi:-)
Mi viene il sospetto che venda Router principalmente

Bentornato Trinacre moderator

/end OT

Lionsquid · 27-04-2009, 21.59.14

alla voce...

"visita" sfumata per mancanza di tempo, tutto rimandato a domani pomeriggio :anger:

@ leofelix

si, sbavi commercia in router taroccati con firmware fallato e con una backdoor che vende all'asta su ebay

26-04-2009, 19.31.55	#1
Lionsquid Gold Member Top Poster Registrato: 03-05-2001 Loc.: Trapani Messaggi: 11.639	Intrusione nel router dall'esterno Ciao ragazzi, stamane sono andato a casa di un collega il quale improvvisamente aveva perso la possibilità di connettersi al suo router wifi da una postazione fissa ... senza perdere troppo tempo in indagini, avendo avuto che la connessione internet era attiva e funzionante ho reinstallato il dongle wifi (TP-LINK) al riavvio la connessione veniva effettuata ma non la navigazione e pingando non si riusciva a raggiungere alcuna destinazione esterna resetto winsocks e tcp/ip e nulla cambia a questo punto la mia attenzione si sposta sull'altro pc e soprattutto sul router il 2° pc connesso via ethernet sembra ok, ma non ho fatto alcuna indagine approfondita "antimalware" visto che tutto rispondeva perfettamente, attraverso MSCONFIG non c'era nulla di strano e pertanto ho effettuato l'accesso al router quando scopro con orrore che la pwd di admin non era stata cambiata, il fw disattivato e molti parametri di protezione non standard, primo tra tutti i dispositivi wifi non riconosciuti gironzolando per il menù del router (THOMPSON) scopro che il log riporta delle connessioni TELNET capoisco al volo la gravità del problema e stacco immediatamente il doppino telefonico, trascivo gli IP incriminati e RESETTO il router alle condizioni di fabbrica riconfiguro tutto e prima di rimettere il doppino cambio la pwd di admin con una chilometrica il reset ha permesso di riconoscere i dispositivi wifi e riabilitare il fw indagando sugli IP ho trovato che i telnettari sono 3 (o forse sempre lo stesso da 3 "posti" diversi" (il numero maggiore da una zona di catania, 1 connessione dal belgio e 2 dal pakistan) arrivo al dunque... ( e considerando il tecnico che ha installato il router un farabutto o un'ignorante ) quali mezzi posso usare per capire se i telnettari hanno carpito informazioni dal pc??? (non è un campo in cui sono esperto) intanto domani il mio collega chiederà il cambio del certificato di autenticazione con la sua banca, per precauzione altri possibili interventi?? tutte le pwd sono state cambiate (MSN, FORUM, etc.) ___________________________________ ... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo

27-04-2009, 01.13.18	#4
Lionsquid Gold Member Top Poster Registrato: 03-05-2001 Loc.: Trapani Messaggi: 11.639	allora, come condivisione c'era (anzi c'è) solo la stampante, niente cartelle o unità non ho pensato al firmware del router vedrò se ci sono upgrade quanto alle restrizioni l'ho ripristinate ma non gli ip, solo il mac address dei pc wifi ( 1 fisso e 1 portatile non presente di cui siamo riusciti a risalire al mac address via MSN col figlio (studia a padova).. non è il massimo, ma è quello che si può fare... soprattutto perchè il problema non è la presunta vulnerabilità del wifi, ma l'accesso al router sfruttando la bestialità di un tecnico pagato per esserlo... la passphrase è abbastanza incasinata dato che è un proverbio... un casino di caratteri infatti, mi sono tenuto sul leggero, ma chi installa quei dispositivi e non cambia la password admin standard è davvero un'irresponsabile cmq, tornando al problema, domani pomeriggio ritorno sul luogo del delitto e vado a monitorare il log del router e l'event viewer del pc in cerca di qualcosa di sospetto e tanto per non passare per fesso, lancio il combofix, così, tanto per... boh, vi terrò aggiornati notte ___________________________________ ... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo

27-04-2009, 10.23.56	#5
Sbavi Gold Member Top Poster Registrato: 04-09-2004 Loc.: لثلاثم عفمشةشف Messaggi: 5.467	Opera cancella i cookie quando viene chiuso. I documenti stanno su pendrive. Non uso antivirus. La password del mio router è una parola di 6 caratteri. Entrassero nel mio pc potrebbero fregarsi Cicciolina e Moana ai mondiali: beati loro. Mi viene in mente la signature di Neddi: col pc risolvo problemi che prima non avevo Non è per fare filosofia, ma basterebbe un minimo di accortezza per: a) stare tranquilli b) non rompere le palle al prossimo con richieste di aiuto (vedi caso di Leo) se poi si è interdetti col PC allora sarebbe il caso di mollare e amen. Vi racconto questa di sabato scorso. Vado da un amico che ha comprato un pc su ebay. Accendo per vedere caratteristiche, scartabellare. Apro Firefox. Pagina iniziale, Mio Ebay, loggato e mi faccio un giretto. Account di posta, loggato. Username della banca, presente: per fortuna non c'era la pwd. Poi presi dai rimorsi, abbiamo cancellato l'intero account utente di Vista. Lasciatemi dire che se ad un tipo del genere gli fregano i soldi in banca se lo stramerita. Vabbe, fine OT ___________________________________ SOS ABRUZZO

27-04-2009, 16.17.09	#6
Lionsquid Gold Member Top Poster Registrato: 03-05-2001 Loc.: Trapani Messaggi: 11.639	sia FF sia IE possono essere configurati per cancellare i temp a chiusura sessione i documenti su pendrive sono quanto di più inaffidabile si possa fare, non tanto per la probabilità di essere carpiti ma per la elevata possibilità di smarrire la pen drive (io stesso ne ho trovato ben 2 fino a oggi, una vuota e l'altra con mp3 e foto), infine aggiungi che la "solidità" ai guasti delle pen drive non è certamente il massimo strategie a parte, i router vanno protetti al massimo, non fosse altro per diminuire le probabilità che qualcuno "catturi" il pc nella "propria" botnet da cui sferrare attacchi di qualsiasi tipo, o peggio, faccia propria la rete (wifi) collegandosi col portatile posteggiato sotto casa del malcapitato!! come dire ..più sicuro io, più sicuri tutti per concludere, se chi vende il pc si dimentica di rimuovere i dati personali,... beh, non ci sono parole, stay tuned, .... vedremo cosa trovo di anomalo sul pc ___________________________________ ... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo Ultima modifica di Lionsquid : 27-04-2009 alle ore 16.20.13

27-04-2009, 21.59.14	#9
Lionsquid Gold Member Top Poster Registrato: 03-05-2001 Loc.: Trapani Messaggi: 11.639	alla voce... "visita" sfumata per mancanza di tempo, tutto rimandato a domani pomeriggio :anger: @ leofelix si, sbavi commercia in router taroccati con firmware fallato e con una backdoor che vende all'asta su ebay ___________________________________ ... questi politicanti, ex fascisti, ex leghisti, piduisti a tempo pieno usano la crisi per rafforzare il loro potere ed eliminare gli altri, dalla magistratura, al Parlamento, alla Corte dei conti, alla presidenza della Repubblica.... Beppe Grillo

26-04-2009, 21.56.19	#2
leofelix Gold Member Top Poster Registrato: 10-12-2005 Messaggi: 3.514	orrore e raccapriccio, non saprei proprio come scoprire se costoro hanno rubato dati dal PC in questione: I sistemi in rete cosa condividevano oltre la connessione a internet? Inoltre mi è venuto un atroce dubbio, sebbene io abbia disabilitato la possibilità di connettersi via WiFi al mio router e il Personal Firewal non mi segnala connessioni anomale, a questo punto farò dei controlli immediati e più approfonditi.

27-04-2009, 00.48.51	#3
Alfabeto Senior Member Registrato: 19-01-2007 Messaggi: 203	Purtroppo non ho nessuna idea per aiutarti a capire se e come possono aver avuto accesso ai dati sui PC della rete. Io farei anche un salto sul sito del produttore per vedere se è disponibile un nuovo firmware che magari ha tappato qualche debolezza del router agli attacchi esterni. Forse sarà scontato dirlo, ma attiva la restrizione sugli IP che possono accedere alla configurazione del router e l'accesso wireless solo ai MAC address consentiti. Detto questo auguro a chi ha installato il router che tu non riesca mai a trovarlo per fargli i complimenti....

27-04-2009, 19.57.27	#8
leofelix Gold Member Top Poster Registrato: 10-12-2005 Messaggi: 3.514	Fantastico, mi mancavano le uscite di Sbavi:-) Mi viene il sospetto che venda Router principalmente Bentornato Trinacre moderator /end OT

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Problema con router e XP SP2	mcv93	Windows 7/Vista/XP/ 2003	13	11-09-2008 22.14.34
problema con router 3com	rosariok24	Internet e Reti locali	3	05-10-2007 13.49.12
Cerco Router ADSL	Cereal Killer	Internet e Reti locali	16	16-09-2005 12.30.29
Aiuto x router...	cionidvd	Internet e Reti locali	14	13-09-2005 13.15.55
Configurazione Router d-link DSL-500	STDK	Internet e Reti locali	0	09-11-2003 19.49.26