Foro de elhacker.net

Muy buen día,
 
     Pues nada señores, me estreno en el foro con este tema. Espero hacerme asiduo visitante. Siempre me ha gustado el hacking pero del lado de la luz  :laugh: , no tengo intenciones de andar metiéndome con los demás. Aunque soy informático soy bastante neófito en temas de hacking.


     Os cuento mi odisea que ha empezado este viernes por la noche. Yo siempre he sido un poco paranoico con esto de que alguien se conecte a mi WiFi y más aún porque soy admin/DBA y muchas veces trabajo desde casa y manejo información bastante delicada, llevo en españa un par de años pero apenas hace unos meses instalé un par de programas en mi PC para monitorizar mi WiFi: Who's On My WiFi y Wireless Network Watcher, no los uso simultáneamente, por defecto siempre arranca el primero y el otro lo ejecuto bajo demanda.

    Para mi sorpresa el viernes bien entrada la noche escucho "Unknow computer found" saliendo de los altavoces a través del Who's on my wifi, abro la ventana y veo 2 equipos conectados a mi wifi. Entro al router y en efecto están en la lista de conexiones a la wifi.

     Lo que hago a continuación es cambiar la password de la red, cambiar el SSID y el rango de IPs; también cambié la password administrativa del router. Yo dije "pues bueno, ya está, asunto solucionado" y hasta cierto punto era cierto, a los pocos minutos vuelve a saltar la alerta y veo nuevamente una de las MAC que ya se habían registrado. Repito el mismo proceso nuevamente, sólo que ahora también escondo el SSID, a los pocos minutos PUM, nuevamente. Total, repetí el proceso al menos unas 16 veces mas sin suerte, pero también hice un par de cosas extras cómo cambiar la cantidad de dispositivos permitidos y reduje el rango del DHCP a sólo 6 IPs, sin importar lo que hiciera allí estaba de nuevo la misma MAC.

     Ayer por la mañana decidí hacer filtrado por MAC y he puesto la del intruso en lista negra, por unos minutos funcionó hasta que pum, nuevamente tenía una IP asignada en el rango de mi WiFi.


     Cosas que he observado durante el proceso:

1.- Si bien es cierto que tanto Who's on my Wifi como Wireless Network Watcher vuelven a detectar la misma MAC ya no aparece en las estaciones autenticadas en el router ni en la lista ARP, pero sin embargo si que se le ha asignado una IP en mi red.

2.- Previo al filtrado por MAC el device name de mi router cambió COMTREND a "xxx-xxx-xxx-1.dls.xxxx.xxx.net. Donde xxx-xxx-xxx-1 es la ip del router dentro del rango de ip de mi red wifi.

3.- Durante el filtrado de MAC he visto que ahora el device name del intruso cambió de estar en blanco a xxx-xxx-xxx-2.dls.xxxx.xxx.net, siendo esta la 2da ip de la red.

4.- La MAC del intruso (asumiendo que sea su MAC real) pertenece a Zinwell Corporation 00:05:9E:xx:xx:xx (no la he puesto porque ya se que se prohibe ponerla entera).

5.- Hice una escaneo con netsurveyor y Xirrus Wifi Inspector y las MAC de las redes cercanas (incluso las que tienen el SSID oculto) no coinciden con la del atacante, asumiendo que la MAC sea real.

6.- Sin importar que tan rápido me conectara nuevamente a la Wifi posterior a cada cambio, el DHCP siempre le asignaba primero una IP a él antes que a mi.

7.- Cómo última medida reduje la cantidad de IP's a 3 en el DHCP y cuando lo hice seguía con internet pero perdía automáticamente acceso al router. Luego de perder acceso al router, observé que la dirección IP de mi PC dejaba de ser una interna de la Wifi y se convertía en una IP pública (lo vi por Wireless Network Watcher).



Mi WiFi:

- El SSID de mi red y las passwords (router y red) no eran estándar.
- Uso WPA2/AES (hubo un momento que activé el WPS hasta que leí aqui que era una caca).
- La contraseña era/es de 16 dígitos, combinando letras (mayúsculas y minúsculas), números y caracteres especiales.
- No comparto la contraseña con nadie.  
- El router básicamente es basofia (es de Jazztel).
- El router tiene usuarios por defecto para las interfaces WAN y tenía puertos de eMule abiertos en el área NAT del router.  Edit: El ISP cambió las passwords de las interfaces y yo borré los puertos del área NAT.


     Ahora mismo estoy descargando el Moocher Hunter y sólo estoy navegando por una tablet totalmente en blanco sin programas o cuentas con contraseñas por lo acojonado que estoy :(. ¿Podría este atacante haber establecido un evil twin haciéndose pasar por mi router? Lo peor es que todos mis vecions por lo que veo tienen WPS activo, otros tantos con WEP y más de uno con la red abierta (incluyendo una impresora HP).

    Lo dicho, pues nada, básicamente lo que quiero es que esa persona vaya a la cárcel sin mas. Estoy dispuesto a escuchar sugerencias, tips, advertencias, consejos, medidas para contrarrestar o localizarle, etc. Y de más está decir que estaré eternamente agradecido.

Un saludo.

anota los datos macs, ips, capturas de pantalla, etc, desactiva tu wifi y llama a la policia, podrias ser inculpado de delitos ajenos a ti, asi quedara asentado que tu tuviste una intrusion, no se sabe el nivel de esta ya que hemos visto desde pequeños troyanos remotos, hasta routers envenenados, keyloggers hardware, por lo mientras usa cableado y formatea equipos y resintala SO, verifica sino hay actividades sospechosas revisa tus medios de almacenamiento, usa AV, FIREWALLS, ya sabes lo comun -> https://www.youtube.com/watch?v=ApCvi4MFgYY#t=17m57s (https://www.youtube.com/watch?v=ApCvi4MFgYY#t=17m57s)

Hola Sh4k4,

Muchas gracias por tu respuesta.

     Ya formateé el equipo. Justo antes de hacerlo hice un scan con KIS2015 y Malwarebytes y en teoría decía que estaba todo limpio, lo cual me parecía un poco extraño, y mas cuando ayer por la tarde (en mi empresa) un par de horas luego de postear el tema en el foro...de la nada comenzaron a abrirse decenas de sesiones de chrome con una página que tenía en mis favoritos, tan simple cómo desconectar mi pc de la red y cerrar todas las sesiones.

     En la noche mientras hacia respaldo en mi pc me pareció ver un par de archivos .csv en mi unidad C:\ que estoy casi seguro que no generé yo, o a lo mejor sí pero la paranoia puede más que yo.

    Ayer acudí a la sede local de la policia y ya me han dicho como actuar y a que brigada debo hacer la denuncia.

    Tengo un par de dudas ahora, y es que según lo que he investigado mi router junto con el de otra operadora en españa es de los mas fáciles de hackear (el ESSID anda por doquier al igual que diccionarios), ¿valdría la pena comprar un router por mi cuenta y dejar ese a un lado? El ISP me dice que ellos no tendrían problemas.

    Luego que esto pase, aparte de las medidas estándar de seguridad, valdría la pena usar mac changer para que mi verdadera MAC no estuviera disponible a algún atacante de mi WiFi? podría hacerse esto para mi router? Que software o configuraciones/técnicas recomiendas para ser menos vulnerable?

Igual no tienes que publicar lo que me comentes por aqui, si lo prefieres puede ser por privado.

Muchas gracias a ti y a los que puedan ayudarme.

Saludos.

Si lo mejor es usar otro router aunque en esto de la seguridad ya sabemos que un 0day puede ser el meollo del asunto, opta por alguna marca que si de soporte por lo menos en cuanto a soluciones y actualizaciones y se acople a tus necesidades

Algunos routers tienen ya esa capacidad de "cambiar la mac" pero en si, seguirian siendo parcialmente visibles si tienen las claves, wifi va por el aire y por ende le hace vulnerable y a la mano de cualquiera que escuche/capture/descifre_descodifique-analize, planteate cablear en algunos puntos donde haya informacion sensible y separar redes tanto wifi red- wifiinternet - wifi publico si es que lo utilizais, etc, añade mas capaz de seguridad como recomienda el propio chema alonso, cambia a WPA2 Enterprise, ademas de mas protocolos de seguridad, una memoria usb insertada por unos segundos es mas que suficiente para infectar sin tener que tocar el mouse y/o teclado, etc, hay pintura antiwifi para bloquear o reducir la salida de tu señal wifi, disminulle la potencia si no necesitas tanta potencia, usa software de deteccion de movimiento el cual verifica si un solo byte ah sido cambiado o incluso que archivos han sido modificados en sus fechas creado-modificado-acceso, etc vamos hay mucha tela donde cortar... salu2 y suerT!  ::)

Hola Sh4k4,

     Gracias nuevamente por tu tiempo y la info!  ;-)

1.- ¿Alguna marca recomendada de router? :) Este router que me dieron intenté cambiar el poder de transmisión pero no parece surtir efecto. ¿Cómo puedo estar seguro que el cambio de potencia ha surtido efecto? (Aparte de caminar por la calle y por el edificio y ver si la señal llega por fuera xD)

2.- ¿Hay algún software que sea mejor que el otro en este caso? He visto estos:

- Watch 4 Folder.
- Directory monitor.
- TheFolderSpy.
- TrackFolderChanges.
- FolderChangesView.
- Windows Explorer Tracker.
- Spy-The-Spy.
-SpyMe Tools.
- Disk Pulse.

Perdona por lo cansón :)
Gracias.

cisco? jeje no es comercial pero vamos tiene buen soporte  :xD

puedes medir con hardware especial, tambien lo de pasear por el edificio pero claro es incierto lo ideal es medir la señal entre el cambio de potencia mw con tools que muestren el rssi y no confiar en las tipicas barritas de windows o demas....

hay muchos creo con que cumplan con tus demandas y compruebes que son fiables y se mantengan los proyectos es mas que suficiente hay incluso algunos que te envian al cel cambias sencillos, logeos, updates, instalaciones, dispositivos de almacenamiento, etc por ejemplo pulseway o pc monitor, que necesitas revisar? archivos, red, ancho de banda, analizis de trafico, procesador? o todo?

     Sólo lo preguntaba si había alguna marca conocida por ser menos insegura :P Toda la vida he tenido LINKSYS, érase una vez tuve un TP-LINK.


De acuerdo intentaré varios métodos, entre ellos sacar las antenas  ;D



     Básicamente monitorizar o vigilar un par de carpetas específicas y de ser posible que obtenga correos o SMS al respecto :).

     Pregunta, si llego hoy a casa y esta MAC sigue alli? :(  Mi paranoia básicamente es la información, porque si es una persona que realmente sabe lo que hace no importa lo que haga supongo que tendrá acceso a mi PC  :huh: :(

    Ayer por la noche, dejé de ver la MAC luego que realicé todos los cambios nuevamente y volví a hacer el filtrado por MAC y eliminé los puertos NAT abiertos de eMule. ¿Me garantiza esto que la persona no tendrá acceso los archivos en mi disco? Es que me parece curioso:

1.- Que el intruso siempre obtenga por DHCP una IP por debajo de la mia, en este caso siempre obtiene la primera del rango. Supongo que el que ahora no lo vea "conectado" no quiere decir que no esté sniffeando, porque si fue capaz de cambiar el hostname del router eso quiere decir que tiene acceso pleno. Habrá configurado ya un Evil Twin?  :o

2.- ¿Qué puedo hacer para realmente estar tranquilo? Si quito las antenas del router y me conecto por cable, ¿igual no se ha metido ya en el router? Podría igual entrar, mirar y pasearse por mi red, no?

3.- ¿Serviría de algo a estas alturas, que bloquee todas las MAC de las WiFi circundantes?

Al final de todo, la mitad de mi jornada laboral la hago desde casa y no me he conectado por miedo a comprometer la seguridad de la información de la empresa. Ya he mandado a cambiar TODAS las contraseñas de todos los servidores, incluso he cambiado las contraseñas de todos los usuarios que tengo de cuentas de correo, etc. Por culpa de un imbécil (o varios) sin oficio estoy retrasándome en el trabajo  >:(

     Ayer intenté arrancar el moocher hunter pero me dió un error de filesystem, lo cual me pareció raro porque al final es un liveCD  :¬¬

EDIT: OJO: Olvidé mencionar que en Who's on my wifi y Wireless Network Watcher aún cuando aparecia un device name asociado a la MAC el hostname siempre ha sido invisible ¿ayuda esto en algo?  :huh:

Y bueno nada, necesito ventilar la frustración.

Siempre agradecido por tus respuestas. :)

Hola señores,

     Un par de preguntillas (aparte de las que ya tenía).

1.- Si se supone que ya he hecho un reset del router y he cambiado todo ¿hay alguna forma que el intruso haya capturado información de estos cambios que hice?  Basándonos en que fue capaz de entrar al router, cambiar el hostname del DNS proxy y posiblemente ocultar su MAC para que no le siga detectando.

2.- Luego de este reseteo del router ¿podría estar "tranquilo"? Coloqué una contraseña WPA2/AES de 32 caracteres con todo lo que podía.


     Ahora bien, cómo se están tardando una eternidad en responderme en el primer escalón de la denuncia (antes de llevarlo a mayores instancias), tengo un par de ideas que ya me dirás si son buenas o no, y es lo siguiente:

     Quisiera tratar de localizar esta MAC (de ser posible) en las redes circundantes, tengo al menos unas 12 Wifi's cerca, 2 con SSID escondido. Una vez localizada la verdad que ni pienso entrar sólo tomar pantallazos para que sirvan de prueba.

1.- ¿Usando el Kali + airodump-ng sería suficiente?.
2.- ¿Lo mejor sería usar una VM desde Windows o instalar una distro en dual boot?

Todos los consejos serán de mucha utilidad.
Muchas gracias.


P.D. Tengo la impresión que sólo he hecho preguntas que seguramente ameritan un "RTFM" porque sólo me ha respondido Sh4ka  :-X

verifica con el airodump ahora vemos que la wpa con TLS no es seguro(sin parchear), vete por AES como vas hasta ahora, un reset es eso, verfica tu version de firmware(actualiza), quien esta conectado es invisible? nadie es invisible, usa airodump-ng si crees que se han comprometido los protocolos(poco probable) y sales de dudas ve todo lo que este asociado aun sean fakes a tu router, o stations que generen trafico inusual...vm-dual o live como te acomodes- vm solo usb, dual espacio en hd, live arriba de 4gb, no no es RTFM solo que te estas paniqueando mucho, la mayoria de los atacantes cae simplemente al cambiar contraseñas, activar logs y activar software de monitoreo, que no lo veas no es razon para pensar que se invisibilizo o es un fantasma, usa airodump como tool final para ver quien esta alrededor(usa una buena antena), quizas hasta puedas encontrar su paradero con las redes a las que se conozca y la intensidad de su señal obviamente antes de proceder contacta a la policia para ver hasta donde puedes intervenir.... y si amigo contrata a alguien especializado en seguridad informatica, necesitas mucha info y muchos detalles que tapar, checar, revisar y probar.... lamentablemente este es un foro y no soporte tecnico y las dudas se estan convirtiendo en muchas cosas que uno se queda corto en leer y escribir, necesitas a alguien fisicamente, quizas 1 detalle que no sacas a relucir o simple paranoia...

Todo bien! Salvo lo del detalle a relucir que no entendí xD.

     La paranoia es porque muchas veces debo seguir trabajando desde casa y administro una cantidad considerable de sistemas y bases de datos de clientes, por lo que el que se cuele una password de alguno de los archivos que tengo en el HDD podría tener muy malas consecuencias.

     La verdad que necesito seguir leyendo en informándome de todas las precauciones que debo tener de ahora en adelante.

Gracias.

Hola

Si usas información tan sensible , conectate por cable es una irresponsabilidad lo que haces. 

A un que pienso que con las medidas que has usado debería bastar. 

Solo se me ocurren dos cosas posibles .  Tienes un vicho en tu pc u otro gadget que uses en casa o y esta es un poco rara pero puede ser , tu isp se conecta remotamente , ya se han visto caso de puertas traseras en routers y cuentas ocultas con privilegios root , que son usados por los isp para dar soporte remoto y actualizaciones de firm

Saludos

Hola Sanson,

Gracias por responder.

Tienes razón, es una mala costumbre, porque del país donde vengo jamás ocurrió esto. Pero por ejemplo, en mi caso entonces ¿tendría que quitar las antenas del router?

    La idea sería poder segmentar la red, usar la wifi para cosas mas triviales y usar cable para los trabajos más sensibles, pero al estar en el mismo router estaría igualmente expuesto, no?

Siguiendo los consejos de Sh4k4 formateé el PC, ya hice upgrade a nueva versión del AV e instalé el Malwarebytes Antimalware y revisé un par de veces todos mis medios de almacenamiento externo.

Lo curioso fue que luego de formatear esa noche llegué a casa y vi la MAC conectada al router, acto seguido hice los pasos que mencioné un par de posts atrás, vamos, reconfiguré todo. Otra cosa que me llamó la atención es que en el área NAT del router aparte de los puertos de eMule también estaban puertos TCP/UDP para Skype que no estaban antes. Ahora, lo que no tengo idea es si el router crea automáticamente estos puertos (lo dudo) o los ha colocado la persona que entró a mi red.


Se escuchan consejos.
Gracias.

Podría ser una vulnerabilidad de tu router que no han parchado. ¿Tienes WPS activado?

Buenas de nuevo,

@Minusfour No está WPS activo :)

Señores, mi paranoia no estaba tan mal después de todo. Este Viernes he desactivado la WiFi y me he conectado por ethernet y ha pasado exactamente lo mismo, la misma MAC de nuevo en mi red, lo que quiere decir que luego que he hecho el filtrado MAC simplemente ha podido entrar por "internet". Supongo que ha exportado toda la configuración del router (el modelo que tengo permite hacer backup a un archivo plano y lo mismo también subir nuevamente un backup para restaurar la configuración. Encontré al menos 3 usuarios propios de jazztel con passwords por defecto

     La idea de desactivar la WiFi era precisamente esto, ver si también tenía acceso por otro lado y que obligara a pasar el tráfico por jazztel.

     Este finde he llamado a Jazztel y como poncio pilatos se han lavado las manos, básicamente han dicho que son un departamento al mejor estilo N1, es decir, sólo incidencias básicas y problemas básicos de seguridad o acceso al servicio, no tienen un departamento especializado para rastrear tráfico en su red.

    Ya ayer muy tarde por la noche lo que he hecho es a través del tablet desactivar la Wifi, aplicar los cambios y quitar el cable xDSL. Tomé screenshots de la configuración actual. Hoy al llegar a casa lo que haré será cambiar yo mismo todas las passwords por defecto de todos los usuarios del router, lo mismo con las contraseñas de WiFi sin incluir ninguna de las que he usado, esta vez me volveré un poco loco y pondré una contraseña de 48 caracteres distinta para cada cosa.

    Si esto no funciona  tengo que esperar que respondan la denuncia en la policia y conseguir otro PC para ejecutar el Kali, para no comprometer la información que tengo.

Buenas de nuevo señores,

    Pues nada, he hecho todo lo que dije, he reseteado y cambiado las contraseñas de TODO, he desactivado la Wifi y solo estoy conectado por Ethernet.

    Al iniciar de nuevo el router con todos los cambios hechos he dejado ejecutando el wireshark contra la interfaz eth0. Durante las pruebas, sólo 02 dispositivos tienen dirección IP en la LAN: Mi PC y el router.

Resultado, a las 3 horas este fue el mensaje que ví:

Who was [ip de mi pc ]? Tell [ip de mi router en la lan] (duplicate use of [ip de mi router en la lan] detected!)

Miro los detalles del frame de este mensaje y veo esto:

Duplicate IP address detected for  [ip de mi router en la lan] (MAC que no es del router ni del PC) - also in use by [MAC de mi router]

Sender MAC Address [MAC que no me pertenece] (MAC que no me pertenece)
Sender IP address: [ip de mi router en la lan] (ip de mi router en la lan)
Target MAC address: [MAC de una red wifi en los alrededores] (MAC de una red wifi en los alrededores)
Target IP Address: [ip de mi pc ] (ip de mi pc)

La MAC de la Wifi externa corresponde a una Wifi que está fuera de mi rango (estará usando alguna antena para tener mayor alcance?), tiene seguridad WEP sin contraseña, SSID escondido y la red es sólo 802.11a/b (o al menos eso dijo el netsurveyor)

Opiniones?

Gracias.

Hola

Si tienes desactivado el WiFi, no puede conectar por WiFi, así que sera mac clonada.  Lo que no se decirte es como lo hace .

¿has comprobado todos tus cacharros?  Movil, tablet etc. 

Parece una infección , pero como dices que ya has limpiado todo , pues no se me ocurre nada.

Montar semejante ataque para robar internet menparce una perdida de tiempo , salvo que lo que quiera son esas credenciales que usas .

Saludos

Hola sanson,

     El móvil lo desconecté de la WiFi tan pronto vi el ataque y no lo he conectado desde entonces. La tablet que uso es android y no tiene ni una sola información privada ni la he sincronizado con google.

     Podría hacerlo si ya una vez se descargó la configuración del router y se sabe los DNS del ISP, etc. aún y cuando yo haya cambiado todas las contraseñas?

     Lo primero que haré con FING será buscar si la red está en mi edificio, vamos, a lo mejor tiene una señal bajísima no porque esté muy lejos como he pensado hasta ahora sino porque ha reducido considerablemente la señal.

     Lo único que se me ocurre es que sea alguna banda que ande buscando dinero fácil robando información bancaria o que quiera hacer suplantación de identidad, que seguro que no soy el único que estará siendo "atacado" por la zona. Cómo tu dices y cómo lo pienso yo: es demasiado interés sólo por WiFi, y mas cuando hay al menos unas 12 o 14 Wifi alrededor, sin contar las que no estarán a mi alcance. Esto vendrá de algún "vecino" reciente de la zona, tengo casi 2 años por este barrio y no había pasado hasta ahora.

Ya les iré actualizando la odisea.
Gracias por las respuestas.

No será esto lo que te está pasando?

Salu2

Hola vk496,

Gracias por tu respuesta.

     ¿Es posible ver estos usuarios escondidos si te descargas la configuración del router?

     En el router dentro del área de Management hay un punto que dice "TR-069 Client", he leido por ahí que lo usan los ISP pero que realmente es un punto de vulnerabilidad. Hay alguna forma de acceder al daemon que ejecuta esto o acceder al SO del router? Vamos, que a lo mejor son preguntas tontas pero al ser un principiante en esto.

Saludos.

Saludos señores,

   Espero tener suerte hoy con el Wifislax, ya lo descargué. Utilizaré linset no para atacarle sino para obtener la info de todas las estaciones que estén en su red y ver si puedo obtener mayor información.

    Investigué por internet y el router tiene un backdoor que aparentemente aún no se ha corregido, comenzando por un usuario llamado nobody y hay una forma de entrar por telnet.

     Pues bien, el personaje el otro día entró nuevamente y cambió todos los datos de mi red, incluyendo la mac del router y también escondió el SSID.

Ya les reportaré algo.

Saludos.

     

Hola.

Si es posible, pero necesitas tener acceso a la shell del router.

Si tu caso es una vulnerabilidad del router (y parece muy seria si es eso), te recomiendo cambiar de router.

Salu2