|
Título: Problemas con posible intruso en mi LAN Publicado por: iiññaakkii en 1 Abril 2020, 12:10 pm Hola,
Antes de nada me presento, soy Iñaki, profesor (actualmente teletrabajando). Tengo algunos conocimientos informáticos, pero no llego a entender el problema que tengo. El tema es que con tanto teletrabajo, es idispensable una buena conexión y no es así. Empecé monitoreando la red y me encontré con una IP y un MAC que no pertenecen a ninguno de mis equipos. Tengo apuntados todos los IP y MAC de los equipos de casa. El router ( technicolor DOCSIS 3.0 de Euskaltel) no dice que esté conectado por wifi (tengo su MAC bloqueado), pero si como que está conectado a la red. Buscando información del equipo misterioso hice esto: nmap -O -sV 192.168.0.10 Starting Nmap 7.60 ( https://nmap.org ) at 2020-03-30 10:20 CEST Nmap scan report for 192.168.0.10 Host is up (0.0029s latency). Not shown: 995 closed ports PORT STATE SERVICE VERSION 23/tcp open telnet security DVR telnetd (many brands) 80/tcp open http BusyBox httpd 1.13 111/tcp open rpcbind 2 (RPC #100000) 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) MAC Address: XX:XX:XX:XX:XX:XX (Thomson) Device type: general purpose Running: Linux 2.6.X OS CPE: cpe:/o:linux:linux_kernel:2.6 OS details: Linux 2.6.9 - 2.6.30 Network Distance: 1 hop Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 103.00 seconds Y ahí me empecé a preocupar. Entiendo que con el puerto 80 estan dando un servicio web. Intento acceder vía navegador poniendo dicha IP (192.168.0.10) y me redirige al router (192.168.0.1). Y ahí ya no entiendo nada. Vía telnet me ofrece login. Un detalle que no se si tiene alguna importacia es que, el DHCP del router ofrezco un rango entre 10-254. Entonces pensé que el 192.168.0.10 lo tomaba como si fuese el router (por ser el primero). Pero el nmap al router me da completamente diferente. También cambié el password del wifi, pero al minuto miré y seguía conectado. Añado que utilizo una VPN de cierto prestigio. ¿Puede ser un agujero y tengo alguien externo en mi LAN por VPN? Y hasta ahí he llegado. ¿Alguna idea? Gracias de antemano Título: Re: Problemas con posible intruso en mi LAN Publicado por: engel lex en 1 Abril 2020, 12:26 pm Citar También cambié el password del wifi, pero al minuto miré y seguía conectado eso significaría que está por cable por otro lado si bloqueaste la mac y sigue conectado tambien es extraño por otro lado veo puerto 23 abierto, eso no es comun en linux, usualmente es 21, ya que linux hace años que no usa telnet... en parte pareciera ser el mismo router ya que por la mac (la marca thomson) es la misma gente de technicolor tu router tiene algun sevicio activo para compartir discos (nas), o similar? Citar Technicolor SA, anteriormente conocida como Thomson SA, y antes como Thomson Multimedia https://es.wikipedia.org/wiki/Technicolor_(empresa) (https://es.wikipedia.org/wiki/Technicolor_(empresa))Título: Re: Problemas con posible intruso en mi LAN Publicado por: iiññaakkii en 1 Abril 2020, 12:40 pm Lo primero, gracias!
Citar eso significaría que está por cable Pero por cable solo tengo un equipo y el nmap es completamente diferente. Citar tu router tiene algun sevicio activo para compartir discos (nas), o similar? No parece, estoy buscando y no veo nada relacionado.Enlazo un pantallazo (https://drive.google.com/open?id=1DvR31yf-K7FAkd48aVuzH-p7x9YgW8f5)de algunos errores que me da el router. Sigo pensando y buscando... Título: Re: Problemas con posible intruso en mi LAN Publicado por: #!drvy en 1 Abril 2020, 12:44 pm Pues... tiene toda la pinta de ser un router. 192.168.0.10 es común en routers viejos de Thomson que es lo que te esta reportando nMap según la MAC. Lo que no me cuadra es el Busybox pero puede ser un falso positivo o si acaso si has metido un firmware personalizado al router. Y si dices que tienes un router de Technicolor que es Thomson.. pues...
Prueba entrar a http://192.168.0.10 y mira que te sale puesto que el puerto 80 parece que lo tiene abierto. Saludos Título: Re: Problemas con posible intruso en mi LAN Publicado por: engel lex en 1 Abril 2020, 12:48 pm yo sigo creyendo que es el router, porque por much vulnerabilidad que haya si cambias la contraseña tomaría unos minutos a que la persona lo descubra y reintente.... por otro lado el puerto 23 me huele a que es el router
revisa las opciones de tu router a ver si tiene servicio de nas activado (asumo lo del nas por el servicio samba, que tampoco es comun en linux) Título: Re: Problemas con posible intruso en mi LAN Publicado por: iiññaakkii en 1 Abril 2020, 12:50 pm Citar en parte pareciera ser el mismo router ya que por la mac (la marca thomson) es la misma gente de technicolor Citar Pues... tiene toda la pinta de ser un router. pero la MAC de mi router empieza por : 80:29:94 Y la del misterioso por: 00:10:95 Por eso pienso que no es le router. Citar Prueba entrar a http://192.168.0.10 y mira que te sale puesto que el puerto 80 parece que lo tiene abierto. Esto me redirige a mi router. 192.168.0.1:-( Un dato me dice que no es el router y el otro que sí gracias Título: Re: Problemas con posible intruso en mi LAN Publicado por: engel lex en 1 Abril 2020, 12:53 pm hmmm si es raro, pero empecemos por esa parte de revisar los servicios del router, por lo menos podemos descartar si es el router desde él mismo
Título: Re: Problemas con posible intruso en mi LAN Publicado por: #!drvy en 1 Abril 2020, 12:55 pm Ten en cuenta que los routers tienen 2 o más MAC. Al menos una para WLAN (WiFi) y otra para LAN (Ethernet) y sin contar la de WAN que es la que sale para afuera.
Saludos Título: Re: Problemas con posible intruso en mi LAN Publicado por: iiññaakkii en 1 Abril 2020, 13:17 pm La palabra NAS no aparece en ningún apartado del router.
Servicios activos del router: Estos (https://drive.google.com/open?id=1WVp8Bnvq_WeyANtOKE0kwpwOBOomHVNO) están activos. ¿Desactivo alguno? Si hago esto: sudo nmap -O -sV 192.168.0.1 [sudo] password for XXXX: Starting Nmap 7.60 ( https://nmap.org ) at 2020-04-01 13:06 CEST Nmap scan report for _gateway (192.168.0.1) Host is up (0.73s latency). Not shown: 998 closed ports PORT STATE SERVICE VERSION 80/tcp open tcpwrapped 8080/tcp filtered http-proxy MAC Address: 80:29:94:XX:XX:XX (Technicolor CH USA) Device type: general purpose Running: Wind River VxWorks OS CPE: cpe:/o:windriver:vxworks OS details: VxWorks Network Distance: 1 hop Y claro, es diferente al posteado en el primer mensaje. ¿Una misma máquina puede dar dos respuestas diferentes? Citar Lo que no me cuadra es el Busybox pero puede ser un falso positivo o si acaso si has metido un firmware personalizado al router. No entiendo lo del Busybox (aunque lo he buscado... :-( ) y no he metido ningún firmware...¿Una conexión por VPN no valoráis? Que me hayan snifado el pass del VPN y accedan a mi LAN... no sería posible? Gracias Título: Re: Problemas con posible intruso en mi LAN Publicado por: engel lex en 1 Abril 2020, 14:11 pm Citar ¿Una misma máquina puede dar dos respuestas diferentes? si porque por ejemplo las mac iniciando por diferente nombre puede ser que los puertos fisicos aun usen una asignacion de mac vieja y los de wifi usen una asignacion de mac que adquirieron mucho despues sobre los servicios tambien porque es configuracion interna, pero para que sea apropiadamente funcional debe estar registrado en el mapeo normal del router como si fuera un equipo (porque de alguna manera lo es) pregunta, en la imagen de los servicios todos los de cuadrito azul están habilitados? D: Citar ¿Una conexión por VPN no valoráis? Que me hayan snifado el pass del VPN y accedan a mi LAN... no sería posible? no, dices que usas una vpn de prestigio y asumo que es algo tipo nordvpn, tunnel bear o alguna similar, en este caso no hay problema porque tu no eres el servidor vpn sino un cliente y entrar a tu lan desde allí es poco probable (tienen que vulnerar primero al servidor) Título: Re: Problemas con posible intruso en mi LAN Publicado por: iiññaakkii en 1 Abril 2020, 14:29 pm Citar pregunta, en la imagen de los servicios todos los de cuadrito azul están habilitados? D: Así lo entiendo yo... ¿recomiendas que desactive algunos? Citar no, dices que usas una vpn de prestigio y asumo que es algo tipo nordvpn, tunnel bear o alguna similar, en este caso no hay problema porque tu no eres el servidor vpn sino un cliente y entrar a tu lan desde allí es poco probable (tienen que vulnerar primero al servidor) NordVPN, por tanto descartado. Y por tanto la conclusión es que 192.168.0.1 y 192.168.0.10 es el router... dando respuestas diferentes. ¿sin ninguna duda? Mira que no le veo lógica, pero teniendo en cuenta que sabéis mucho más que yo... Muchas gracias Título: Re: Problemas con posible intruso en mi LAN Publicado por: #!drvy en 1 Abril 2020, 18:17 pm Ahí van otras tres pruebas.
Mira el Gateway (Puerta de enlace) por defecto con ethernet y por wifi. En windows es con ipconfig, en Linux es con ip route. Conectate al Wifi y pilla la puerta de enlace. Seguramente sea 192.168.0.1 por lo que ya has dicho. Pero prueba también por cable a ver cual te tira. Conectate al telnet a ver que te dice Segun nmap, la IP tiene telnet abierto. En linux lo deberias tener instalado por defecto, en Windows lo tienes que habilitar ( https://rootear.com/windows/activa-telnet-w10 ), abres una consola/terminal y pones telnet seguido de o 192.168.1.10. Seguramente te pida usuario/contraseña pero seguramente tambien te imprima alguna cabecera previamente que pueda decirte si es un router o no. https://www.youtube.com/watch?v=rpIokKihxIw Tira todos los servicios que tienes en el NAT ALG Status de la captura que pasaste y vuelve a hacer el escaneo, es probable que si es el router, te retorne menos cosas o directamente no retorne a 192.168.1.10. Yo sigo convencido al 99% que es un router xD Saludos Título: Re: Problemas con posible intruso en mi LAN Publicado por: iiññaakkii en 1 Abril 2020, 19:23 pm Citar Mira el Gateway (Puerta de enlace) por defecto con ethernet y por wifi. Por ethernet: default via 192.168.0.1 dev enp0s20 proto dhcp metric 100 169.254.0.0/16 dev enp0s20 scope link metric 1000 192.168.0.0/24 dev enp0s20 proto kernel scope link src 192.168.0.12 metric 100 Por Wifi: 0.0.0.0/1 via 10.8.0.1 dev tun0 default via 192.168.0.1 dev wlp2s0 proto dhcp metric 600 10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.18 128.0.0.0/1 via 10.8.0.1 dev tun0 134.19.189.219 via 192.168.0.1 dev wlp2s0 169.254.0.0/16 dev wlp2s0 scope link metric 1000 192.168.0.0/24 dev wlp2s0 proto kernel scope link src 192.168.0.13 metric 600 Citar Conectate al telnet a ver que te dice $ telnet 192.168.0.10 Trying 192.168.0.10... Connected to 192.168.0.10. Escape character is '^]'. (Me intento conectar con el user y pass del router pero no puedo.. (none) login: $ telnet 192.168.0.1 Trying 192.168.0.1... telnet: Unable to connect to remote host: Connection refused Citar Tira todos los servicios que tienes en el NAT ALG Status Todos deshabilitados. Pero sigue ahí: $ nmap -sP 192.168.0.0/24 Starting Nmap 7.60 ( https://nmap.org ) at 2020-04-01 19:19 CEST Nmap scan report for _gateway (192.168.0.1) Host is up (0.018s latency). Nmap scan report for 192.168.0.10 Host is up (0.019s latency). Nmap scan report for 192.168.0.11 Host is up (0.037s latency). Nmap scan report for lanekoa-W94-W95BU (192.168.0.13) Host is up (0.000086s latency). Nmap scan report for 192.168.0.16 Host is up (0.011s latency). Nmap scan report for 192.168.0.18 Host is up (0.0096s latency). Nmap done: 256 IP addresses (6 hosts up) scanned in 2.48 seconds $ ping 192.168.0.10 PING 192.168.0.10 (192.168.0.10) 56(84) bytes of data. 64 bytes from 192.168.0.10: icmp_seq=1 ttl=64 time=7.87 ms 64 bytes from 192.168.0.10: icmp_seq=2 ttl=64 time=2.91 ms 64 bytes from 192.168.0.10: icmp_seq=3 ttl=64 time=3.20 ms Título: Re: Problemas con posible intruso en mi LAN Publicado por: #!drvy en 1 Abril 2020, 19:32 pm ¿Y tiene los mismos puertos abiertos que antes?
Saludos Título: Re: Problemas con posible intruso en mi LAN Publicado por: iiññaakkii en 1 Abril 2020, 19:44 pm $ nmap -O -sV 192.168.0.10
Starting Nmap 7.60 ( https://nmap.org ) at 2020-04-01 19:42 CEST Nmap scan report for 192.168.0.10 Host is up (0.0042s latency). Not shown: 995 closed ports PORT STATE SERVICE VERSION 23/tcp open telnet security DVR telnetd (many brands) 80/tcp open http BusyBox httpd 1.13 111/tcp open rpcbind 2 (RPC #100000) 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) MAC Address: 00:10:95:XX:XX:XX (Thomson) Device type: general purpose Running: Linux 2.6.X OS CPE: cpe:/o:linux:linux_kernel:2.6 OS details: Linux 2.6.9 - 2.6.30 Network Distance: 1 hop Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Yo diría que sí! Título: Re: Problemas con posible intruso en mi LAN Publicado por: retr02332 en 11 Agosto 2020, 21:58 pm Yo tambien estoy pasando por lo mismo justo justo ahora. Tal cual como mencionas me sucede. SI es bastante raro...
Título: Re: Problemas con posible intruso en mi LAN Publicado por: FFernandez en 12 Agosto 2020, 18:10 pm No lo entiendo usted entra al rooter y en DHCP Clients aparece tu ordenador y uno mas???
en time out no esta en infinito. En este caso te da información de todos los dispositivos que se han conectado alguna vez. Título: Re: Problemas con posible intruso en mi LAN Publicado por: TrashAmbishion en 24 Agosto 2020, 03:33 am Hola,
En donde tienes configurado el VPN ? Cuantos milisegundos te reporta el router con el ping ? Y cuantos el otro host ? Saludos |