Autor
|
Tema: Han entrando en mi WiFi - Necesito consejos para contrarrestar/localizar (Leído 11,633 veces)
|
sanson
Desconectado
Mensajes: 471
|
Hola
Si usas información tan sensible , conectate por cable es una irresponsabilidad lo que haces.
A un que pienso que con las medidas que has usado debería bastar.
Solo se me ocurren dos cosas posibles . Tienes un vicho en tu pc u otro gadget que uses en casa o y esta es un poco rara pero puede ser , tu isp se conecta remotamente , ya se han visto caso de puertas traseras en routers y cuentas ocultas con privilegios root , que son usados por los isp para dar soporte remoto y actualizaciones de firm
Saludos
|
|
|
En línea
|
|
|
|
Kensai
Desconectado
Mensajes: 18
|
Hola Sanson,
Gracias por responder.
Tienes razón, es una mala costumbre, porque del país donde vengo jamás ocurrió esto. Pero por ejemplo, en mi caso entonces ¿tendría que quitar las antenas del router?
La idea sería poder segmentar la red, usar la wifi para cosas mas triviales y usar cable para los trabajos más sensibles, pero al estar en el mismo router estaría igualmente expuesto, no?
Siguiendo los consejos de Sh4k4 formateé el PC, ya hice upgrade a nueva versión del AV e instalé el Malwarebytes Antimalware y revisé un par de veces todos mis medios de almacenamiento externo.
Lo curioso fue que luego de formatear esa noche llegué a casa y vi la MAC conectada al router, acto seguido hice los pasos que mencioné un par de posts atrás, vamos, reconfiguré todo. Otra cosa que me llamó la atención es que en el área NAT del router aparte de los puertos de eMule también estaban puertos TCP/UDP para Skype que no estaban antes. Ahora, lo que no tengo idea es si el router crea automáticamente estos puertos (lo dudo) o los ha colocado la persona que entró a mi red.
Se escuchan consejos. Gracias.
|
|
« Última modificación: 18 Julio 2014, 13:09 pm por Kensai »
|
En línea
|
|
|
|
MinusFour
|
Podría ser una vulnerabilidad de tu router que no han parchado. ¿Tienes WPS activado?
|
|
|
En línea
|
|
|
|
Kensai
Desconectado
Mensajes: 18
|
Buenas de nuevo, @Minusfour No está WPS activo Señores, mi paranoia no estaba tan mal después de todo. Este Viernes he desactivado la WiFi y me he conectado por ethernet y ha pasado exactamente lo mismo, la misma MAC de nuevo en mi red, lo que quiere decir que luego que he hecho el filtrado MAC simplemente ha podido entrar por "internet". Supongo que ha exportado toda la configuración del router (el modelo que tengo permite hacer backup a un archivo plano y lo mismo también subir nuevamente un backup para restaurar la configuración. Encontré al menos 3 usuarios propios de jazztel con passwords por defecto La idea de desactivar la WiFi era precisamente esto, ver si también tenía acceso por otro lado y que obligara a pasar el tráfico por jazztel. Este finde he llamado a Jazztel y como poncio pilatos se han lavado las manos, básicamente han dicho que son un departamento al mejor estilo N1, es decir, sólo incidencias básicas y problemas básicos de seguridad o acceso al servicio, no tienen un departamento especializado para rastrear tráfico en su red. Ya ayer muy tarde por la noche lo que he hecho es a través del tablet desactivar la Wifi, aplicar los cambios y quitar el cable xDSL. Tomé screenshots de la configuración actual. Hoy al llegar a casa lo que haré será cambiar yo mismo todas las passwords por defecto de todos los usuarios del router, lo mismo con las contraseñas de WiFi sin incluir ninguna de las que he usado, esta vez me volveré un poco loco y pondré una contraseña de 48 caracteres distinta para cada cosa. Si esto no funciona tengo que esperar que respondan la denuncia en la policia y conseguir otro PC para ejecutar el Kali, para no comprometer la información que tengo.
|
|
|
En línea
|
|
|
|
Kensai
Desconectado
Mensajes: 18
|
Buenas de nuevo señores,
Pues nada, he hecho todo lo que dije, he reseteado y cambiado las contraseñas de TODO, he desactivado la Wifi y solo estoy conectado por Ethernet.
Al iniciar de nuevo el router con todos los cambios hechos he dejado ejecutando el wireshark contra la interfaz eth0. Durante las pruebas, sólo 02 dispositivos tienen dirección IP en la LAN: Mi PC y el router.
Resultado, a las 3 horas este fue el mensaje que ví:
Who was [ip de mi pc ]? Tell [ip de mi router en la lan] (duplicate use of [ip de mi router en la lan] detected!)
Miro los detalles del frame de este mensaje y veo esto:
Duplicate IP address detected for [ip de mi router en la lan] (MAC que no es del router ni del PC) - also in use by [MAC de mi router]
Sender MAC Address [MAC que no me pertenece] (MAC que no me pertenece) Sender IP address: [ip de mi router en la lan] (ip de mi router en la lan) Target MAC address: [MAC de una red wifi en los alrededores] (MAC de una red wifi en los alrededores) Target IP Address: [ip de mi pc ] (ip de mi pc)
La MAC de la Wifi externa corresponde a una Wifi que está fuera de mi rango (estará usando alguna antena para tener mayor alcance?), tiene seguridad WEP sin contraseña, SSID escondido y la red es sólo 802.11a/b (o al menos eso dijo el netsurveyor)
Opiniones?
Gracias.
|
|
|
En línea
|
|
|
|
sanson
Desconectado
Mensajes: 471
|
Hola
Si tienes desactivado el WiFi, no puede conectar por WiFi, así que sera mac clonada. Lo que no se decirte es como lo hace .
¿has comprobado todos tus cacharros? Movil, tablet etc.
Parece una infección , pero como dices que ya has limpiado todo , pues no se me ocurre nada.
Montar semejante ataque para robar internet menparce una perdida de tiempo , salvo que lo que quiera son esas credenciales que usas .
Saludos
|
|
|
En línea
|
|
|
|
Kensai
Desconectado
Mensajes: 18
|
Hola sanson,
El móvil lo desconecté de la WiFi tan pronto vi el ataque y no lo he conectado desde entonces. La tablet que uso es android y no tiene ni una sola información privada ni la he sincronizado con google.
Podría hacerlo si ya una vez se descargó la configuración del router y se sabe los DNS del ISP, etc. aún y cuando yo haya cambiado todas las contraseñas?
Lo primero que haré con FING será buscar si la red está en mi edificio, vamos, a lo mejor tiene una señal bajísima no porque esté muy lejos como he pensado hasta ahora sino porque ha reducido considerablemente la señal.
Lo único que se me ocurre es que sea alguna banda que ande buscando dinero fácil robando información bancaria o que quiera hacer suplantación de identidad, que seguro que no soy el único que estará siendo "atacado" por la zona. Cómo tu dices y cómo lo pienso yo: es demasiado interés sólo por WiFi, y mas cuando hay al menos unas 12 o 14 Wifi alrededor, sin contar las que no estarán a mi alcance. Esto vendrá de algún "vecino" reciente de la zona, tengo casi 2 años por este barrio y no había pasado hasta ahora.
Ya les iré actualizando la odisea. Gracias por las respuestas.
|
|
|
En línea
|
|
|
|
vk496
Desconectado
Mensajes: 205
|
, tu isp se conecta remotamente , ya se han visto caso de puertas traseras en routers y cuentas ocultas con privilegios root , que son usados por los isp para dar soporte remoto y actualizaciones de firm
No será esto lo que te está pasando? Salu2
|
|
|
En línea
|
|
|
|
Kensai
Desconectado
Mensajes: 18
|
Hola vk496,
Gracias por tu respuesta.
¿Es posible ver estos usuarios escondidos si te descargas la configuración del router?
En el router dentro del área de Management hay un punto que dice "TR-069 Client", he leido por ahí que lo usan los ISP pero que realmente es un punto de vulnerabilidad. Hay alguna forma de acceder al daemon que ejecuta esto o acceder al SO del router? Vamos, que a lo mejor son preguntas tontas pero al ser un principiante en esto.
Saludos.
|
|
|
En línea
|
|
|
|
Kensai
Desconectado
Mensajes: 18
|
Saludos señores,
Espero tener suerte hoy con el Wifislax, ya lo descargué. Utilizaré linset no para atacarle sino para obtener la info de todas las estaciones que estén en su red y ver si puedo obtener mayor información.
Investigué por internet y el router tiene un backdoor que aparentemente aún no se ha corregido, comenzando por un usuario llamado nobody y hay una forma de entrar por telnet.
Pues bien, el personaje el otro día entró nuevamente y cambió todos los datos de mi red, incluyendo la mac del router y también escondió el SSID.
Ya les reportaré algo.
Saludos.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Necesito ayuda para localizar IP
Dudas Generales
|
gedeon98
|
0
|
3,873
|
19 Julio 2010, 02:02 am
por gedeon98
|
|
|
necesito ayuda, están entrando en mi cuenta gmail
« 1 2 »
Seguridad
|
matrix777
|
16
|
9,826
|
18 Agosto 2010, 06:21 am
por .(sWeEtHaCk).
|
|
|
Necesito su ayuda,NECESITO CONSEJOS PARA PROGRAMAR,MI VIDA DEPENDE D ESTO
Desarrollo Web
|
nevermind2403
|
7
|
6,178
|
25 Septiembre 2013, 03:53 am
por Graphixx
|
|
|
Necesito algunos consejos para mejorar la lectura y escritura de ficheros en C
Programación C/C++
|
DarkSorcerer
|
1
|
2,081
|
24 Enero 2014, 03:18 am
por rir3760
|
|
|
Consejos para que el wifi de tu casa vaya más rápido
Noticias
|
wolfbcn
|
0
|
1,633
|
28 Febrero 2015, 02:32 am
por wolfbcn
|
|