Autor Tema: Paranoia. ¿Me han hackeado o me estoy volviendo loco? (Leído 8011 veces)

peperfus · « **en:** 29-11-2017, 22:30 (Miércoles) »

Hola

Tengo un script en mi router open que me cambia de estado la conexión, cambiando los parámetros de DNS...., nada relevante.

El caso es que... este script lo ejecuto yo manualmente cuando quiero, no lo tengo programado en crontab ni nada por el estilo.

Pues la movida es que se me ejecuta solo, de vez en cuando, según le da.

Estoy muy rallado

Le he añadido al script unas lineas:
echo `date` >> /root/log.txt
echo $0 >> /root/log.txt
echo $1 >> /root/log.txt
echo $SSH_CLIENT >> /root/log.txt

Pero no me saca nada en claro. La IP de quien ejecuta el comando, me sale en blanco en el log; pero si lo ejecuto yo, sí que me pone mi IP local.

¿Alguna idea para investigar?

cimbor · « **Respuesta #1 en:** 29-11-2017, 23:09 (Miércoles) »

Cita de: peperfus en 29-11-2017, 22:30 (Miércoles)

Hola

Tengo un script en mi router open que me cambia de estado la conexión, cambiando los parámetros de DNS...., nada relevante.

El caso es que... este script lo ejecuto yo manualmente cuando quiero, no lo tengo programado en crontab ni nada por el estilo.

Pues la movida es que se me ejecuta solo, de vez en cuando, según le da.

Estoy muy rallado

Le he añadido al script unas lineas:
echo `date` >> /root/log.txt
echo $0 >> /root/log.txt
echo $1 >> /root/log.txt
echo $SSH_CLIENT >> /root/log.txt

Pero no me saca nada en claro. La IP de quien ejecuta el comando, me sale en blanco en el log; pero si lo ejecuto yo, sí que me pone mi IP local.

¿Alguna idea para investigar?

Pon echo "$USER" para ver tambien el mombre del usuario que ejecuta el script y ver si es root u otro usuario del sistema el que ejecuta el script.

Enviado desde mi LG-D802 mediante Tapatalk

peperfus · « **Respuesta #2 en:** 30-11-2017, 00:11 (Jueves) »

También me sale en blanco. $:-\$

Estoy pensando que seguro que va a ser una chorrada, pero hasta que lo averigüe, parece cosa de espíritus fantasmagóricos....

peperfus · « **Respuesta #3 en:** 30-11-2017, 00:11 (Jueves) »

Voy a cambiar la contraseña del router.

O mejor aún: Voy a desconectar el router de la red. Lo dejaré encendido, sin ninguna conexión. Si se vuelve aejecutar el script durante ese período, está claro que no es un hacker.

Cuando averigüe algo lo comentaré. De momento es todo un misterio.

r3sh0ck · « **Respuesta #4 en:** 30-11-2017, 00:46 (Jueves) »

Hola, tambien puedes usar ApateDNS que es un visor de conexiones para averiguar si tienes algun bichito por ahi, ahi te salen las conexiones que hace tu pc, si ves una que pone No-ip.org,No-ip.bz o cositas asi por ese estilo ya sabes lo que hay.
En mi windows hace tiempo me ha sido muy util pues me ha permitido eliminar dudas en varias ocasiones e incluso una vez me ha revelado una infeccion con Bifrost la cual daba al atacante todo el control sobre mi pc.

Tki2000 · « **Respuesta #5 en:** 30-11-2017, 22:06 (Jueves) »

Sin ver el script, no sé qué puede ser.
¿Tienes algún bucle en el script, que se pueda haber quedado pillado, y se esté ejecutando contínuamente? Mira con ps, si el script termina de verdad, o se queda ejecutando.

peperfus · « **Respuesta #6 en:** 30-11-2017, 22:17 (Jueves) »

El script funciona perfectamente, es un "filtro.sh" que sólo cambia unas DNS por otras, nada más. Siempre ha funcionado bien.

¿Sabéis si hay algo tipo rkhunter para openwrt?
No veo nada por el estilo y supongo que estaría bien tener una herramienta de ese tipo que escaneara los archivos del sistema para comprobar que no han sido infectados...

Además, tonto de mí, el password que tengo (tenía) de root era una ))))), una simple secuencia de 8 números aleatorios. Supongo que con cualquier ataque de fuerza bruta o algo de eso, desde algún ordenador infectado de la red, la habrán sacado en 5 minutos o algo así.

Si es que soy burro como yo solo.

A partir de ahora voy a tomarme más en serio la seguridad.
Acabo de cambiar todas mis contraseñas por unas nuevas y/o otras más robustas.

Tki2000 · « **Respuesta #7 en:** 03-12-2017, 17:11 (Domingo) »

Una pregunta: ¿el script lo tienes ligado a algún evento en el router? ¿Como por ejemplo, cuando se alce alguna interfaz de red? ¿o se conecte/desconecte algo?

Por mucho que te hackeen el router, debiera salir el usuario con el que acceden, en los scripts que has hecho. O están accediendo mediante algún exploit de openwrt, cosa que veo más improbable.

Ficht · « **Respuesta #8 en:** 03-12-2017, 18:24 (Domingo) »

@peperfus, que router usas con este scrpt? (es curiosidad)

peperfus · « **Respuesta #9 en:** 03-12-2017, 21:02 (Domingo) »

Tki2000:
Nop. Es un simple archivo .sh ejecutable que lo ejecuto yo manualmente cuando quiero. Sólamente está también en:
Como custom command en luci
Y en el etc/rc.local para que se ejecute al encender/reiniciar el router.
No tiene más.

Ficht: Un livebox arv7519rw22-alt

Openwrt 15.05

Sólo se me ocurre que hayan entrado desde una máquina virtual con un winxp con la que estuve haciendo pruebas con sw de dudosa fiabilidad dada su procedencia... y por lo visto llevaba algún troyano o algo por el estilo...

Lo peor es que no sé hasta dónde puede haber llegado la infección y/o la intrusión.
Ya he pasado un par de antivirus a mi ordenador principal (Win7) y no me han encontrado nada.

Gracias por las respuestas.

He visto que se puede instalar Rootkit Hunter en openwrt. Lo acabo de instalar (en otro router con open) y estoy trasteándolo hasta que aprenda a usarlo para pasarlo al "infectado" a ver si tiene algo.

Ficht · « **Respuesta #10 en:** 03-12-2017, 21:20 (Domingo) »

Cita de: peperfus en 03-12-2017, 21:02 (Domingo)

Tki2000:
Nop. Es un simple archivo .sh ejecutable que lo ejecuto yo manualmente cuando quiero. Sólamente está también en:
Como custom command en luci
Y en el etc/rc.local para que se ejecute al encender/reiniciar el router.
No tiene más.

Ficht: Un livebox arv7519rw22-alt

Openwrt 15.05

Sólo se me ocurre que hayan entrado desde una máquina virtual con un winxp con la que estuve haciendo pruebas con sw de dudosa fiabilidad dada su procedencia... y por lo visto llevaba algún troyano o algo por el estilo...

Lo peor es que no sé hasta dónde puede haber llegado la infección y/o la intrusión.
Ya he pasado un par de antivirus a mi ordenador principal (Win7) y no me han encontrado nada.

Gracias por las respuestas.

He visto que se puede instalar Rootkit Hunter en openwrt. Lo acabo de instalar (en otro router con open) y estoy trasteándolo hasta que aprenda a usarlo para pasarlo al "infectado" a ver si tiene algo.

Si lo tienes en rc.local, no es posible que tengas un softdog (kmod-softdog) instalado? me parece que esto puede hacer un reinicio del sistema, pero sin reiniciar la maquina o algo así, no lo he usado mucho, pero por mirar... si alguien sabe de esto, que me saque de dudas...

peperfus · « **Respuesta #11 en:** 03-12-2017, 21:54 (Domingo) »

Cita de: Ficht en 03-12-2017, 21:20 (Domingo)

......

Si lo tienes en rc.local, no es posible que tengas un softdog (kmod-softdog) instalado? me parece que esto puede hacer un reinicio del sistema, pero sin reiniciar la maquina o algo así, no lo he usado mucho, pero por mirar... si alguien sabe de esto, que me saque de dudas...

No tengo ni idea de qué es eso del softdog.

Edito: Por lo que acabo de leer (y entender) es una especie de software que reinicia automáticamente el router si detecta que se ha quedado colgado ??
Yo no he puesto nada de eso. A no ser que ya viniera por defecto con la instalación ....

Ficht · « **Respuesta #12 en:** 03-12-2017, 22:01 (Domingo) »

Cita de: peperfus en 03-12-2017, 21:54 (Domingo)

Cita de: Ficht en 03-12-2017, 21:20 (Domingo)
......

Si lo tienes en rc.local, no es posible que tengas un softdog (kmod-softdog) instalado? me parece que esto puede hacer un reinicio del sistema, pero sin reiniciar la maquina o algo así, no lo he usado mucho, pero por mirar... si alguien sabe de esto, que me saque de dudas...

No tengo ni idea de qué es eso del softdog.

Edito: Por lo que acabo de leer (y entender) es una especie de software que reinicia automáticamente el router si detecta que se ha quedado colgado ??
Yo no he puesto nada de eso. A no ser que ya viniera por defecto con la instalación ....

Revisa si tienes el módulo "kmod-softdog" y si está operativo.

peperfus · « **Respuesta #13 en:** 03-12-2017, 22:33 (Domingo) »

Ok, lo miraré (ahora no puedo).

De todas formas, si fuera cosa del softdog ese.... Yo creo recordar haber estado con la sesión SSH, logeado, y mientras tanto que se me ejecute el script y luego seguir logeado.
Si fuera que se reiniciara, me habría cerrado la sesión ssh, no??

No lo juraría, pero me suena recordar que las últimas veces que se me ejecutaba, lo hacía estando yo conectado por SSH... y luego seguía en la misma sesión, sin tener que volver a conectar (ya digo que me suena recordarlo así, tampoco estoy 100% seguro).

peperfus · « **Respuesta #14 en:** 04-12-2017, 10:50 (Lunes) »

En caso de tener el softdog activo, ¿hay alguna forma para detectar cuando salta?

Y otra cosa

¿Cómo miro si lo tengo?
¿era con lsmod, no?

peperfus · « **Respuesta #15 en:** 04-12-2017, 11:00 (Lunes) »

Salida de lsmod:

Código: [Seleccionar]

act_ipt                 2448  0
act_mirred              2368  0
act_police              3360  0
act_skbedit             1632  0
aead                    4256  0
arc4                    1296  0
ath                    21621  3 ath9k_htc
ath9k_common           17582  1 ath9k_htc
ath9k_htc              54809  0
ath9k_hw              345816  2 ath9k_htc
atm                    38082  2 pppoatm
br2684                  6848  0
cfg80211              224817  5 ath9k_htc
cls_basic               3344  0
cls_flow                5504  0
cls_fw                  3792  0
cls_route               5152  0
cls_tcindex             4608  0
cls_u32                 6784  0
compat                  1332  5 ath9k_htc
crc_ccitt               1019  1 ppp_async
crypto_blkcipher       10807  2 ltq_deu_vr9
drv_dsl_cpe_api       149416  0
drv_ifxos              15018  2 drv_dsl_cpe_api
drv_mei_cpe            97160  2 ltq_ptm_vr9
dwc2                   52103  1 dwc2_platform
dwc2_platform           2416  0
ehci_hcd               35228  1 ehci_platform
ehci_platform           3600  0
em_cmp                   752  0
em_meta                 4688  0
em_nbyte                 736  0
em_text                 1376  0
em_u32                   576  0
ext4                  346492  0
fat                    50175  1 vfat
fuse                   71737  0
gpio_button_hotplug     6144  0
ifb                     2864  0
ip6_tables              9569  3 ip6table_raw
ip6t_REJECT             1248  2
ip6table_filter          608  1
ip6table_mangle         1088  1
ip6table_raw             576  1
ip_tables               9789  4 iptable_nat
ipt_ECN                 1376  0
ipt_MASQUERADE           624  2
ipt_REJECT               992  2
iptable_filter           672  1
iptable_mangle           944  1
iptable_nat              768  1
iptable_raw              640  1
ipv6                  299699 28 nf_conntrack_ipv6
jbd2                   54258  1 ext4
ltq_deu_vr9            26368  0
ltq_ptm_vr9            27477  0
mac80211              412483  2 ath9k_htc
mbcache                 5021  1 ext4
nf_conntrack           52350 15 nf_nat_ipv4
nf_conntrack_ftp        5456  1 nf_nat_ftp
nf_conntrack_ipv4       5200 10
nf_conntrack_ipv6       5952  3
nf_conntrack_rtcache    2624  0
nf_defrag_ipv4           838  1 nf_conntrack_ipv4
nf_defrag_ipv6          9207  1 nf_conntrack_ipv6
nf_log_common           2511  2 nf_log_ipv4
nf_log_ipv4             3248  0
nf_log_ipv6             3664  0
nf_nat                 10540  5 nf_nat_ipv4
nf_nat_ftp              1248  0
nf_nat_ipv4             4321  1 iptable_nat
nf_nat_masquerade_ipv4    1532  1 ipt_MASQUERADE
nf_reject_ipv4          1907  1 ipt_REJECT
nf_reject_ipv6          2263  1 ip6t_REJECT
nls_cp437               4432  0
nls_iso8859_1           2896  0
ohci_hcd               24239  1 ohci_platform
ohci_platform           3056  0
option                 27200  0
ppp_async               7568  0
ppp_generic            22306  4 pppoe
pppoatm                 3664  0
pppoe                   9376  0
pppox                   1386  1 pppoe
sch_codel               4304  0
sch_dsmark              3696  0
sch_fq                  6144  0
sch_gred                6656  0
sch_hfsc               14496  0
sch_htb                13520  0
sch_ingress              960  0
sch_pie                 4320  0
sch_prio                3312  0
sch_red                 4672  0
sch_sfq                 8528  0
sch_tbf                 5392  0
sch_teql                4064  0
scsi_mod               93191  2 usb_storage
sd_mod                 27536  0
slhc                    4923  1 ppp_generic
tun                    16559  0
uhci_hcd               18976  0
usb_storage            39743  0
usb_wwan                4631  1 option
usbserial              19307  2 option
vfat                    8448  0
x_tables               10933 42 ipt_REJECT
xt_CLASSIFY              576  0
xt_CT                   2576  0
xt_DSCP                 1504  0
xt_HL                   1328  0
xt_LOG                   768  0
xt_REDIRECT             1264  0
xt_TCPMSS               2704  2
xt_comment               480 74
xt_connbytes            1584  0
xt_connlimit            3776  0
xt_connmark             1040  0
xt_conntrack            2160 12
xt_dscp                 1040  0
xt_ecn                  1312  0
xt_helper                864  0
xt_hl                    800  0
xt_id                    480  0
xt_length                688  0
xt_limit                1344 20
xt_mac                   624  0
xt_mark                  672  0
xt_multiport            1216  0
xt_nat                  1072  0
xt_recent               6704  0
xt_state                 704  0
xt_statistic             864  0
xt_tcpmss               1008  0
xt_tcpudp               1696 10
xt_time                 1808  0
zd1211rw               45236  0

peperfus · « **Respuesta #16 en:** 05-12-2017, 11:41 (Martes) »

¿Esto tiene algún sentido?:

Código: [Seleccionar]

root@OpenWrt:/# cd
root@OpenWrt:~# touch a
touch: a: No such file or directory
root@OpenWrt:~#

peperfus · « **Respuesta #17 en:** 05-12-2017, 12:23 (Martes) »

He reseteado a valores de fábrica y el mismo comando (touch a) me ha vuelto a funcionar.

Esto me da mal rollo.

Cuando tenga tiempo resetearé todos los routers de mi casa y cambiaré todas las contraseñas. Espero que con eso sea suficiente para garantizar un entorno 100 libre de esta clase de parásitos....

peperfus · « **Respuesta #18 en:** 05-12-2017, 12:27 (Martes) »

Lo que no entiendo es cómo coño vuelve a entrar el tío.
Además, en el router principal (ADSL, no openwrt) tengo activado el firewall y ningún puerto abierto. ¿Cómo conecta? Supongo que conecta desde dentro de mi red, con una especie de "backdoor"....
He escaneado mi ordenador principal con 2 antivirus distintos y está limpio.

Tki2000 · « **Respuesta #19 en:** 07-12-2017, 17:10 (Jueves) »

Sospecho de rc.local
Se ejecuta al final de la secuencia de arranque. ¿Algún módulo te está provocando algún fallo que salga en los logs? Puede que esté disparando esa secuencia, y por eso sale sin usuario.

Noticias:

Autor Tema: Paranoia. ¿Me han hackeado o me estoy volviendo loco? (Leído 8011 veces)

peperfus

cimbor

peperfus

peperfus

r3sh0ck

peperfus

Ficht

peperfus

Ficht

peperfus

Ficht

peperfus

peperfus

peperfus

peperfus

peperfus

peperfus