私のネットワークはちょうどハッキングされましたか？

非常に奇妙なことが起こりました。長い話を簡単に言えば、私は自分のコンピューターに進み、このPCへのアクセスがブロックされていることを教えてくれました。それで192.168.1.1に行こうとしましたが、ブロックされたPCでは動作しませんでした。だから、タブレットに乗って192.168.1.1に行き、接続されたデバイスに行くと、驚いたことに、私のものではないランダムなIPアドレスから21のランダムなデバイスが見えます。そこで次に考えたのは、すべてのランダムデバイスをブロックすることでした。しかし、これらのランダムなデバイスをブロックする直前に、タブレットはネットワークからブロックされます。そのため、ハッキングされてネットワークに接続できなくなった場合に備えて、ルーターをモデムに接続しているイーサネットケーブルを取り外します。次に、ブロックされていない最後のタブレットに飛び乗って192.168.1.1にアクセスし、アクセス制御を設定して新しいデバイスを自動的にブロックします。他のタブレットとPCのブロックを解除してから、イーサネットケーブルをルーターに接続します。だから今私は一体何が起こったのだろうと思っているので、ルーターログに行くと私はこれを得る：

[リモートからのLANアクセス] 88.180.30.194:60240から192.168.1.9:63457、2015年11月28日土曜日10:45:21
[管理者ログイン]ソース192.168.1.9から、2015年11月28日土曜日10:45:21
[リモートからのLANアクセス] 88.180.30.194:54493から192.168.1.9:63457、2015年11月28日土曜日10:45:21
[リモートからのLANアクセス] 105.101.68.216:51919から192.168.1.9:63457、2015年11月28日土曜日10:45:20
[リモートからのLANアクセス] 88.180.30.194:54490から192.168.1.9:63457、2015年11月28日土曜日10:45:19
[リモートからのLANアクセス] 105.101.68.216:48389から192.168.1.9:63457、2015年11月28日土曜日10:45:18
[リモートからのLANアクセス] 41.79.46.35:11736から192.168.1.9:63457、2015年11月28日土曜日10:42:49
[DoS攻撃：SYN / ACKスキャン]ソース：46.101.249.112、ポート80、2015年11月28日土曜日10:40:51
[リモートからのLANアクセス] 90.204.246.68:26596から192.168.1.9:63457、2015年11月28日土曜日10:40:15
[NTPサーバーと同期した時間] 2015年11月28日土曜日10:36:51
[リモートからのLANアクセス] 87.88.222.142:55756から192.168.1.9:63457、2015年11月28日土曜日10:36:38
[リモートからのLANアクセス] 87.88.222.142:35939から192.168.1.9:63457、2015年11月28日土曜日10:36:38
[リモートからのLANアクセス] 111.221.77.154:40024から192.168.1.9:63457、2015年11月28日土曜日10:31:06
[admin login] from source 192.168.1.9、Saturday、November 28、2015 10:23:53
[DoS攻撃：土地攻撃]送信元：255.255.255.255、ポート67、2015年11月28日土曜日10:23:44
[アクセス制御] MACアドレス00：09：4C：3BのデバイスANDROID-EFB7EA92D8391DF6：ネットワーク、2015年11月28日土曜日10:23:25
[リモートからのLANアクセス] 78.14.179.231:61108から192.168.1.9:63457、2015年11月28日土曜日10:21:19
[リモートからのLANアクセス] 78.14.179.231:62967から192.168.1.9:63457、2015年11月28日土曜日10:21:19
[UPnP set event：add_nat_rule] from 192.168.1.9、source、November 28、2015 10:21:15
[インターネット接続] IPアドレス：（私のIPアドレス、2015年11月28日土曜日10:21:05
[インターネット切断] 2015年11月28日土曜日10:20:25
[DHCP IP：192.168.1.6]からMACアドレス14：99：e2：1c：a0：19、2015年11月28日土曜日10:20:22
[DHCP IP：192.168.1.6]からMACアドレス14：99：e2：1c：a0：19、2015年11月28日土曜日10:20:21
[アクセス制御] MACアドレス14：99：E2：1C：A0：19のデバイスSETHS-APPLE-TVはネットワークです、2015年11月28日土曜日10:20:20
[アクセス制御] MACアドレス00：09：4C：3BのデバイスANDROID-EFB7EA92D8391DF6：ネットワーク、2015年11月28日土曜日10:20:19
[DHCP IP：192.168.1.2]からMACアドレス14：2d：27：bb：7d：93、2015年11月28日土曜日10:20:06
[アクセス制御] MACアドレスがF8：0F：41：CD：AC：0BのデバイスMAIN-PCは、ネットワークで許可されています。
[DHCP IP：192.168.1.5]からMACアドレス38：0f：4a：4f：60：90、2015年11月28日土曜日10:19:24
[アクセス制御] MACアドレス38：0F：4A：4F：60：90のデバイスCOMPUTERは、ネットワークで許可されます、2015年11月28日土曜日10:19:23
[DHCP IP：192.168.1.5]からMACアドレス38：0f：4a：4f：60：90、2015年11月28日土曜日10:19:23
[admin login] from source 192.168.1.7、Saturday、November 28、2015 10:19:22
[アクセス制御] MACアドレス00：09：4C：3BのデバイスANDROID-EFB7EA92D8391DF6：ネットワーク、2015年11月28日土曜日10:19:11
[アクセス制御] MACアドレス6C：AD：F8：7B：46：4AのデバイスCHROMECASTは、ネットワークを許可します、2015年11月28日土曜日10:19:10
[DHCP IP：192.168.1.8]からMACアドレス70：73：cb：78：69：c6、2015年11月28日土曜日10:19:09
[アクセス制御] MACアドレス70：73：CB：78：69：C6のデバイスGABRIELLES-IPODはネットワーク、2015年11月28日土曜日10:19:09
[DHCP IP：192.168.1.4]からMACアドレス00：09：4c：3b：40：54、2015年11月28日土曜日10:19:08
[DHCP IP：192.168.1.3]からMACアドレス6c：ad：f8：7b：46：4a、2015年11月28日土曜日10:19:08
[DHCP IP：192.168.1.7]からMACアドレス24：24：0e：52：8b：41、2015年11月28日土曜日10:19:02
[アクセス制御] MACアドレス24：24：0E：52：8B：41のデバイスGABRIELLEは、2015年11月28日土曜日10:19:02にネットワークを許可します
[DHCP IP：192.168.1.2]からMACアドレス14：2d：27：bb：7d：93、土曜日、2015年11月28日10:18:53
[DHCP IP：192.168.1.2]からMACアドレス14：2d：27：bb：7d：93、2015年11月28日土曜日10:17:22
[アクセス制御] MACアドレス14：2D：27：BB：7D：93の不明なデバイスは、ネットワークで許可されています、2015年11月28日土曜日10:16:33
[アクセス制御] MACアドレスF8：0F：41：CD：AC：0BのデバイスMAIN-PCは、ネットワークでブロックされています、2015年11月28日土曜日10:16:10
[DHCP IP：192.168.1.2]からMACアドレス14：2d：27：bb：7d：93、2015年11月28日土曜日10:15:42
[DHCP IP：192.168.1.9]からMACアドレスf8：0f：41：cd：ac：0b、2015年11月28日土曜日10:15:37
[初期化、ファームウェアバージョン：V1.0.0.58] 2015年11月28日土曜日10:15:29

ログhttps://db-ip.com/88.180.30.194で見つかった不明なIPアドレスの1つと、不明なMACアドレス00：09：4C：3B：40：54で、このWebサイトにMACアドレスをリンクしましたhttp://coweaver.tradekorea.com/

誰かが私に何が起こったのか教えてもらえたら、それは素晴らしいことです:)

はい、おそらくハッキングされました。

明確な兆候は、使用されるポートの範囲です。すべてのOSは、低ポート（<10,000）を使用して着信接続をリッスンし、高ポート（残りのポート、特に30,000を超えるポート）を発信接続にリッスンします。代わりに、ログには高いポートのペア間の接続が表示されます。つまり、PCへの従来のアクセス、telnet、ssh、httpなどは使用されていません。代わりに、ハイポートのペアの使用は、典型的なハッカーツールデュオ、netcat、 meterpreterの典型です。

特に、ハッカーがポート63457でリッスンしている192.168.1.9のPCにバックドアを残したことは明らかですが、このPCのこのポートへの接続がルーターを通過できるように、ポート転送も行いました。そのため、ハッカーはこのPC とルーターの両方に違反しました。これらの2行には、これに関するさらなる証拠があります。

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

タイムスタンプを見てください。1秒以内に、ハッカーはpc 192.168.1.9にログインし、そこからルーターへの管理者アクセス権を取得します。

軽減手順

1. ドアのすぐ外に強力な敵が潜んでいるので、あなたは狭い場所にいます。彼に対して強力な障壁を立てるのに十分な手段を講じるまで、あなたは切断されたままにしておくべきです。ここでのリスクは、彼が発見されたことを知っているので、ラインプリンターを含むすべてのマシンのハッキングに進み（そうです、できます）、彼を追い払うことは決してないということです。LANに5番目の列pc 192.168.1.9があるのは確かです。一度に1ステップずつ実行します。

2. 別のブランドのルーターを購入します。おそらく、簡単に設定できるファイアウォールを備えたルーターです。バッファロールーターには、強力なOSであるDD-WRTが事前にインストールされています。

3. 192.168.1.9で識別されるPCを切断し、オフのままにします。

4. 古いルーターを交換しますが、新しいルーターをまだインターネットに接続しないでください。

5. 使用してLAN内から、それを構成する任意の他のPC。

6. 特に、（DD-WRTルーターのこれらの手順は、非DD-WRTルーターでも何をすべきかのアイデアを提供します）、[サービス]タブに移動し、telnetアクセスとVNCリピーターを無効にし、syslogdを有効にします。

7. [管理]タブに移動し、[ リモートアクセス ]の下のすべてのボタンを無効にします。それでも[管理]タブで、パスワードをI_want_T0_k33p_all_Hacck3rs_0utなどの手ごわいものに変更します。（スペルミスは意図的なものです）。技術的に精通している人は、（サービス- >サービスでは、セキュアシェル）、そして、管理- >管理、Webアクセスの下で、彼らは無効にする必要があり、パスワードなしのログインを有効にする必要がありますhttpし、使用可能にhttpsクリアテキストのパスワードを渡し防ぐためにように、のみ。経由でDD-WRTのルータに接続する方法の詳細はhttps見つけることができるここでは、それが必要とssh我々だけで有効な接続を。

8. [管理]-> [コマンド]に移動し、[コマンド]エリアに次のように入力します。

     iptables  -A INPUT -s 88.180.30.194 -j DROP
     iptables  -A OUTPUT -d 88.180.30.194 -j DROP
     iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
     iptables -I INPUT -i $WAN_IFACE -DROP
   

   ここで、$ WAN_IFACEはISPに接続されているNICの名前です。私のシステムではになりvlan2ますが、システムを確認した方が良いでしょう。最初の2つのルールは、PC 192.168.1.9への不正な接続の原因となったIPアドレスの1つを完全に遮断します。また、105.101.68.216をシャットアウトするために他の同様のルールを追加したいとon.The第3の規則のでによって開始された接続の継続で入力できますがあります、つまり、おそらく法的な接続を。4番目のルールは、他のすべてをシャットダウンします。

   [ ファイアウォールを保存]をクリックして、完了です。

9. ルーターをオンのままにして約1日間インターネットから切断し、192.168.1.9以外の PCが奇妙なIPアドレスに接続しようとするかどうかを確認します。MicrosoftやApple、Akamai、Sonyなどの合法的な企業はカウントされませんが、アルジェリア、ブルンジ、フランス、ドイツ、シンガポール、イギリスの消費者アカウント（上記のログの接続の明らかなソース）はカウントします。そのような試みがある場合は、元のPCをオフラインにして電源を切り、手順11の処理を行います。

10. これで、新しいルーターをインターネットに接続できます。

11. 今、あなたの（オフ！）PC 192.168.1.9を取ると、他の場所でそれを持ってすなわち ないあなたの家で。オンにして、人類が利用できるすべてのアンチウイルステストを実行するか、オペレーティングシステムを再インストールします。

12. 新しいルーターのシステムログを毎日しばらくチェックして、上記のような接続がこれ以上ないことを確認します。ハッカーが家の他のシステムに侵入した可能性が常にあります。この痕跡が見られたらすぐに、ハッキングされたPCに対して上記の手順を繰り返し、感染したPCがオフラインになったら、ルーターのパスワードを変更します。

13. 古いルーターを放り投げるか、さらに良いことに、DD-WRTをインストールする楽しいプロジェクトであると判断するかもしれません。あなたは見つけることがあり、ここでそれが可能であるかどうか。それがである場合、それはいくつかの楽しみであり、あなたはまた、今日のゴミの山から輝く新しい、安全で強力なルーターを取得します。

14. 将来のある時点で、ファイアウォールをiptables適切に構成する方法、およびルーターへのパスワードなしのssh接続をセットアップする方法を学習する必要があります。これにより、パスワードログインを完全に無効にできます（方法の簡単な説明については、こちらを参照してください）それ）。しかし、これらのものは待つことができます。

あなたは幸せでなければなりません：あなたのハッカーはルーターに侵入したにも関わらず、システムログをそのままにしておくために十分に気を失い、最終的に彼の検出に至りました。次回はそれほどラッキーではないかもしれません。