elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Comunicaciones
| |-+  Redes
| | |-+  Problemas con posible intruso en mi LAN
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Problemas con posible intruso en mi LAN  (Leído 8,076 veces)
iiññaakkii

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Problemas con posible intruso en mi LAN
« en: 1 Abril 2020, 12:10 pm »

Hola,
Antes de nada me presento, soy Iñaki, profesor (actualmente teletrabajando). Tengo algunos conocimientos informáticos, pero no llego a entender el problema que tengo.

El tema es que con tanto teletrabajo, es idispensable una buena conexión y no es así. Empecé monitoreando la red y me encontré con una IP y un MAC que no pertenecen a ninguno de mis equipos. Tengo apuntados todos los IP y MAC de los equipos de casa.

El router ( technicolor DOCSIS 3.0 de Euskaltel) no dice que esté conectado por wifi (tengo su MAC bloqueado), pero si como que está conectado a la red.

Buscando información del equipo misterioso hice esto:

nmap -O -sV 192.168.0.10

Starting Nmap 7.60 ( https://nmap.org ) at 2020-03-30 10:20 CEST
Nmap scan report for 192.168.0.10
Host is up (0.0029s latency).
Not shown: 995 closed ports
PORT    STATE SERVICE     VERSION
23/tcp  open  telnet      security DVR telnetd (many brands)
80/tcp  open  http        BusyBox httpd 1.13
111/tcp open  rpcbind     2 (RPC #100000)
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
MAC Address: XX:XX:XX:XX:XX:XX (Thomson)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.30
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 103.00 seconds


Y ahí me empecé a preocupar. Entiendo que con el puerto 80 estan dando un servicio web. Intento acceder vía navegador poniendo dicha IP (192.168.0.10) y me redirige al router (192.168.0.1). Y ahí ya no entiendo nada. Vía telnet me ofrece login.

Un detalle que no se si tiene alguna importacia es que, el DHCP del router ofrezco un rango entre 10-254. Entonces pensé que el 192.168.0.10 lo tomaba como si fuese el router (por ser el primero). Pero el nmap al router me da completamente diferente.

También cambié el password del wifi, pero al minuto miré y seguía conectado.
Añado que utilizo una VPN de cierto prestigio. ¿Puede ser un agujero y tengo alguien externo en mi LAN por VPN?
Y hasta ahí he llegado.

¿Alguna idea?
Gracias de antemano


En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Problemas con posible intruso en mi LAN
« Respuesta #1 en: 1 Abril 2020, 12:26 pm »

Citar
También cambié el password del wifi, pero al minuto miré y seguía conectado


eso significaría que está por cable

por otro lado si bloqueaste la mac y sigue conectado tambien es extraño

por otro lado veo puerto 23 abierto, eso no es comun en linux, usualmente es 21, ya que linux hace años que no usa telnet...

en parte pareciera ser el mismo router ya que por la mac (la marca thomson) es la misma gente de technicolor

tu router tiene algun sevicio activo para compartir discos (nas), o similar?

Citar
Technicolor SA, anteriormente conocida como Thomson SA, y antes como Thomson Multimedia
https://es.wikipedia.org/wiki/Technicolor_(empresa)


En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
iiññaakkii

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Problemas con posible intruso en mi LAN
« Respuesta #2 en: 1 Abril 2020, 12:40 pm »

Lo primero, gracias!
Citar
eso significaría que está por cable

Pero por cable solo tengo un equipo y el nmap es completamente diferente.


Citar
tu router tiene algun sevicio activo para compartir discos (nas), o similar?
No parece, estoy buscando y no veo nada relacionado.

Enlazo un pantallazo de algunos errores que me da el router.

Sigo pensando y buscando...



En línea

#!drvy


Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Problemas con posible intruso en mi LAN
« Respuesta #3 en: 1 Abril 2020, 12:44 pm »

Pues... tiene toda la pinta de ser un router. 192.168.0.10 es común en routers viejos de Thomson que es lo que te esta reportando nMap según la MAC.  Lo que no me cuadra es el Busybox pero puede ser un falso positivo o si acaso si has metido un firmware personalizado al router. Y si dices que tienes un router de Technicolor que es Thomson.. pues...


Prueba entrar a http://192.168.0.10 y mira que te sale puesto que el puerto 80 parece que lo tiene abierto.

Saludos
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Problemas con posible intruso en mi LAN
« Respuesta #4 en: 1 Abril 2020, 12:48 pm »

yo sigo creyendo que es el router, porque por much vulnerabilidad que haya si cambias la contraseña tomaría unos minutos a que la persona lo descubra y reintente.... por otro lado el puerto 23 me huele a que es el router

revisa las opciones de tu router a ver si tiene servicio de nas activado (asumo lo del nas por el servicio samba, que tampoco es comun en linux)


En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
iiññaakkii

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Problemas con posible intruso en mi LAN
« Respuesta #5 en: 1 Abril 2020, 12:50 pm »

Citar
en parte pareciera ser el mismo router ya que por la mac (la marca thomson) es la misma gente de technicolor

Citar
Pues... tiene toda la pinta de ser un router.

pero la MAC de mi router empieza por :      80:29:94
Y la del misterioso por: 00:10:95

Por eso pienso que no es le router.

Citar
Prueba entrar a http://192.168.0.10 y mira que te sale puesto que el puerto 80 parece que lo tiene abierto.
Esto me redirige a mi router. 192.168.0.1

 :-(

Un dato me dice que no es el router y el otro que sí

gracias
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Problemas con posible intruso en mi LAN
« Respuesta #6 en: 1 Abril 2020, 12:53 pm »

hmmm si es raro, pero empecemos por esa parte de revisar los servicios del router, por lo menos podemos descartar si es el router desde él mismo
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
#!drvy


Desconectado Desconectado

Mensajes: 5.855



Ver Perfil WWW
Re: Problemas con posible intruso en mi LAN
« Respuesta #7 en: 1 Abril 2020, 12:55 pm »

Ten en cuenta que los routers tienen 2 o más MAC. Al menos una para WLAN (WiFi) y otra para LAN (Ethernet) y sin contar la de WAN que es la que sale para afuera.

Saludos
En línea

iiññaakkii

Desconectado Desconectado

Mensajes: 8


Ver Perfil
Re: Problemas con posible intruso en mi LAN
« Respuesta #8 en: 1 Abril 2020, 13:17 pm »

La palabra NAS no aparece en ningún apartado del router.

Servicios activos del router:

Estos están activos. ¿Desactivo alguno?


Si hago esto:

sudo nmap -O -sV 192.168.0.1
[sudo] password for XXXX:

Starting Nmap 7.60 ( https://nmap.org ) at 2020-04-01 13:06 CEST
Nmap scan report for _gateway (192.168.0.1)
Host is up (0.73s latency).
Not shown: 998 closed ports
PORT     STATE    SERVICE    VERSION
80/tcp   open     tcpwrapped
8080/tcp filtered http-proxy
MAC Address: 80:29:94:XX:XX:XX (Technicolor CH USA)
Device type: general purpose
Running: Wind River VxWorks
OS CPE: cpe:/o:windriver:vxworks
OS details: VxWorks
Network Distance: 1 hop


Y claro, es diferente al posteado en el primer mensaje. ¿Una misma máquina puede dar dos respuestas diferentes?

Citar
Lo que no me cuadra es el Busybox pero puede ser un falso positivo o si acaso si has metido un firmware personalizado al router.
No entiendo lo del Busybox (aunque lo he buscado... :-( ) y no he metido ningún firmware...

¿Una conexión por VPN no valoráis? Que me hayan snifado el pass del VPN y accedan a mi LAN... no sería posible?

Gracias
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Problemas con posible intruso en mi LAN
« Respuesta #9 en: 1 Abril 2020, 14:11 pm »

Citar
¿Una misma máquina puede dar dos respuestas diferentes?


si porque por ejemplo las mac iniciando por diferente nombre puede ser que los puertos fisicos aun usen una asignacion de mac vieja y los de wifi usen una asignacion de mac que adquirieron mucho despues

sobre los servicios tambien porque es configuracion interna, pero para que sea apropiadamente funcional debe estar registrado en el mapeo normal del router como si fuera un equipo (porque de alguna manera lo es)

pregunta, en la imagen de los servicios todos los de cuadrito azul están habilitados? D:


Citar
¿Una conexión por VPN no valoráis? Que me hayan snifado el pass del VPN y accedan a mi LAN... no sería posible?

no, dices que usas una vpn de prestigio y asumo que es algo tipo nordvpn, tunnel bear o alguna similar, en este caso no hay problema porque tu no eres el servidor vpn sino un cliente y entrar a tu lan desde allí es poco probable (tienen que vulnerar primero al servidor)

En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Como averiguar el posible intruso
Seguridad
Pédrin-2 5 4,041 Último mensaje 29 Octubre 2013, 12:44 pm
por Yogur.org
Problemas con HTTPs o posible ataque?
Seguridad
R33B0T 1 2,239 Último mensaje 7 Abril 2015, 10:52 am
por Br1ant
Lentitud velocidad fibra ¿posible intruso? « 1 2 »
Redes
RogerSmith 15 9,455 Último mensaje 13 Diciembre 2016, 01:19 am
por Mr_House
¿Es posible que tenga un intruso en mi red?
Seguridad
HoroEco 2 3,038 Último mensaje 16 Agosto 2019, 21:13 pm
por HoroEco
posible intruso
Seguridad
finn 3 2,869 Último mensaje 17 Noviembre 2023, 16:51 pm
por finn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines