Seguridad Wireless - Wifi

Equipos y materiales => Puntos de acceso, routers, switchs y bridges => Openwrt & LEDE => Mensaje iniciado por: Tki2000 en 13-04-2017, 17:06 (Jueves)

Título: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 13-04-2017, 17:06 (Jueves)
Hoy soy yo el que tiene un problema, y me he dicho de usar el foro, para ver si entre todos sacamos alguna idea.
No está totalmente relacionado con openwrt, pero sí me gustaría solucionarlo, con dicha herramienta, y por eso lo planteo aquí.

Planteo la situación que vengo observando desde hace unos días, para ver si alguien puede darme alguna idea del por qué, y si a alguien se le ocurre, qué puedo hacer para que "no me vuelvan a encontrar".

Desde hace varios días vengo sufriendo un ataque, a los puertos que tienen servicios abiertos al exterior. No sé exactamente cómo lo hacen, pero son capaces de encontrarme en cuestión de minutos, y vuelven a lanzar el ataque. Veo que el log me muestra múltiples intentos de acceso en openwrt, a la consola por SSH, y en estos días, una o dos veces al servicio de FTP. No sé si al resto de dispositivos que tienen puertos abiertos habrá algo. He mirado logs y parece que no, pero no sé si en otros sistemas, dejaría rastro. He mirado en los logs iLO de un servidor Proliant, y no aparecen intentos, pero no estoy seguro al 100% de si los hay o no, si no salen en el log (pudiera tener algún exploit que no sepa).

Ninguno de los puertos abiertos, está en su sitio, es decir, están redirigidos.
No tengo habilitado el ping exterior.
Tengo un wemo, y dos cámaras IP chinas, al que les he denegado el tráfico directo al exterior, por si estuvieran mandando alguna señal para localizarme. El acceso se hace a través de otro dispositivo que concentra el tráfico, es decir, no necesitan comunicación directa con internet.
He cambiado los puertos externos de sitio, por si acaso estuvieran usando la localización de mis puertos como huella digital para encontrarme. Aún así, me encuentran.

Mi pregunta es, si cambio de IP, y he hecho lo anterior, ¿cómo narices me encuentran en cuestión de minutos?

Pasa incluso si sólo dejo el router ADSL (que no tiene acceso desde internet), y el router con openwrt. Al poco, empieza a haber logs de ataques.

Lo único que comunica datos de IP al exterior, es el script de change-ip.com, para poder acceder al router desde fuera. ¿Podrían estar interceptando estos datos? Es lo siguiente que pienso probar, pero lo digo por si alguien tiene idea, ahora.

Las IPs provienen de todas partes del mundo, y parece que son dispositivos cautivos a los que hayan podido tener acceso. Me he encontrado alguno con openwrt, un asus RT-AC87U, Macs, etc, etc.

Evidentemente baneo todas aquellas IPs que hacen más de 2 intentos de entrar, pero la lista de baneos es ya de cientos, y no me apetece malgastar uso de CPU en las comprobaciones de prohibición de tráfico entrante.

Preferiría desaparecer de su objetivo.

¿A alguien le ha pasado lo mismo?
¿Alguien tiene idea de qué tipo de ataque es?
¿Alguna idea que podamos desarrollar entre todos?

Título: Re:
Publicado por: Ficht en 13-04-2017, 17:24 (Jueves)
Si, te confirmo que veo lo mismo, va a épocas del año, hay meses en que la actividad disminuye, y en cambio  en estos últimos dos o tres meses, es constantemente, exactamente como lo describes, un par de intentos a FTP, pero el resto a ssh.
Pienso que obviamente son robots aunque en algunos de ellos si se ve que hay alguien mirando y cuando haces algo activo, desaparecen al instante.

Me he encontrado con algún ataque de estos realmente interesante, que sin lograr entrar al openwrt, si que me he liado a desconectar cables, viendo como el tráfico del ataque se redirigía hacia el router principal "dando la impresión" de resolver su ruta interna...

Realmente de ataques yo no sé mucho, pues nunca me ha dado por jugar y lo que leo, se me olvida por no ejercitar...
Pero bueno, interesante el tema, muy útil.

Enviado desde mi Y635-L01 mediante Tapatalk

Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 13-04-2017, 17:48 (Jueves)
Sí, si lo de que son robots, lo tengo muy claro, pero lo que no sé es cómo con IP nueva, me localizan en pocos minutos.
Tampoco sé si los passwords ya comprobados se sincronizan entre ellos. Aunque a la velocidad que van, van a tardar siglos, pero me cabrea. El caso es que de igual manera que veo los intentos de acceso por SSH, hay servicios en los que no queda rastro del intento, y si tienen algún exploit, pueden empezar a arañar por ahí.

O soy yo mismo el que les está mandando la señal para localizarme, o están haciendo un escaneo dentro del rango de IPs que mi ISP (Pazztel) me está dando.
Curiosamente ahora me ha dado IP en otro rango distinto. Voy a esperar a ver qué pasa.


Edito: Rango nuevo, con scripts de DDNS desactivados para no mandar datos. Me han vuelto a encontrar... ¿Cómo lo hacen?  :P
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: drvalium en 13-04-2017, 18:47 (Jueves)
¿no puede ser que estes infectado y seas tu quien los llame?
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 13-04-2017, 18:59 (Jueves)
¿no puede ser que estes infectado y seas tu quien los llame?

Eso es lo que intento dilucidar.
Pero ¿qué está infectado? Con el módem ADSL y el router openwrt sólo, ya hay ataques. Ningún aparato más en la red. El módem no es accesible exteriormente. El router openwrt me lo conozco, y no hay procesos extraños ejecutándose.
Nueva IP, y nuevo puerto para SSH externo, y a los pocos minutos ya han encontrado la IP y el puerto de SSH. No hay forma de hacerlo a no ser que estén contínuamente haciendo un escaneo de puertos, o yo les esté diciendo el puerto. Que yo sepa las conexiones externas pueden decirte de qué IP provienen, pero el puerto redirigido de SSH no, a no ser que estén escaneando.
Lo que me gustaría saber es qué tipo de ataque es, ya que para usar todas las IPs que están usando, el que lo hace no debe de ser el panadero del pueblo..., y si supiera qué tipo de ataque y cómo se comporta, podría aprender a defenderme mejor... de ahí el hilo...
Tampoco hay dispositivos Android ni nada por el estilo. Exclusivamente módem y router. Dejo un rato, enciendo un ordenador y miro los logs: hay actividad, luego me han encontrado.
 :(
Título: Re:
Publicado por: Ficht en 13-04-2017, 19:09 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo  o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk

Título: Re:
Publicado por: Tki2000 en 13-04-2017, 19:41 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo  o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk



Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584). Va como un reloj suizo...
Título: Re:
Publicado por: Ficht en 13-04-2017, 20:05 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo  o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk



Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.



Pue sí, da la impresión de que es eso, solo vemos la punta del iceberg.

Citar
Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Esto es así.
Para mi, que está entre los chinos y los rusos (dígase tb a las antiguas rep... de la urss) desde luego, no es el panadero, el ataque es sofisticado y constante.

El ataque entra por ejemplo desde rep checa, luego salta a china, luego a colombia, luego a USA y así...

Al parecer hay un patrón, es decir, una ip está activa durante 5 min luego cambia a otra durante 5 min más y así sucesivamente...
pero mientras van cambiando las ip's el primer bloque de Ip's de los primeros 5 min sigue repitiendo el ataque de manera mas aislada, cada 10 min o 20 min, luego las del segundo ciclo y así.


EDITO:

Citar
Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584).
Yo tampoco lo creo, ya que veríamos la actividad de la red desde dentro haciendo las llamadas, y no es así
vemos la actividad rechazando las conexiones... nada mas.
Título: Re:
Publicado por: Tki2000 en 13-04-2017, 20:17 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo  o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk



Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.



Pue sí, da la impresión de que es eso, solo vemos la punta del iceberg.

Citar
Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Esto es así.
Para mi, que está entre los chinos y los rusos (dígase tb a las antiguas rep... de la urss) desde luego, no es el panadero, el ataque es sofisticado y constante.

El ataque entra por ejemplo desde rep checa, luego salta a china, luego a colombia, luego a USA y así...

Al parecer hay un patrón, es decir, una ip está activa durante 5 min luego cambia a otra durante 5 min más y así sucesivamente...
pero mientras van cambiando las ip's el primer bloque de Ip's de los primeros 5 min sigue repitiendo el ataque de manera mas aislada, cada 10 min o 20 min, luego las del segundo ciclo y así.


EDITO:

Citar
Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584).
Yo tampoco lo creo, ya que veríamos la actividad de la red desde dentro haciendo las llamadas, y no es así
vemos la actividad rechazando las conexiones... nada mas.


En mi caso hay muchas de Vietnam, Malasia, China... algunas de Brasil y Portugal...
Hay veces que veo que una IP se conecta y dropbear dice que hay conexión, pero se queda congelada, no pone ni usuarios ni contraseñas. Creo que ése es el momento en el que están haciendo el escaneo de puertos, y por eso no transmite datos. Sólo hace intentos de conexión. Dropbear lo echa cuando hace el timeout. Luego desde otra IP, conectan y es cuando empiezan a probar usuarios...

Sin ping desde el exterior, puede que incluso estén haciendo intentos en todas las IPs de un rango, que puede ser por países (lo cual ya huele a atún). Por eso lo estamos viendo varios aquí ahora mismo (dices que tú también lo ves, ¿verdad?).

¿Alguien más al que le esté pasando esto?

Título: Re:
Publicado por: Ficht en 13-04-2017, 20:26 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo  o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk



Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.



Pue sí, da la impresión de que es eso, solo vemos la punta del iceberg.

Citar
Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Esto es así.
Para mi, que está entre los chinos y los rusos (dígase tb a las antiguas rep... de la urss) desde luego, no es el panadero, el ataque es sofisticado y constante.

El ataque entra por ejemplo desde rep checa, luego salta a china, luego a colombia, luego a USA y así...

Al parecer hay un patrón, es decir, una ip está activa durante 5 min luego cambia a otra durante 5 min más y así sucesivamente...
pero mientras van cambiando las ip's el primer bloque de Ip's de los primeros 5 min sigue repitiendo el ataque de manera mas aislada, cada 10 min o 20 min, luego las del segundo ciclo y así.


EDITO:

Citar
Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584).
Yo tampoco lo creo, ya que veríamos la actividad de la red desde dentro haciendo las llamadas, y no es así
vemos la actividad rechazando las conexiones... nada mas.


En mi caso hay muchas de Vietnam, Malasia, China... algunas de Brasil y Portugal...
Hay veces que veo que una IP se conecta y dropbear dice que hay conexión, pero se queda congelada, no pone ni usuarios ni contraseñas. Creo que ése es el momento en el que están haciendo el escaneo de puertos, y por eso no transmite datos. Sólo hace intentos de conexión. Dropbear lo echa cuando hace el timeout. Luego desde otra IP, conectan y es cuando empiezan a probar usuarios...

Sin ping desde el exterior, puede que incluso estén haciendo intentos en todas las IPs de un rango, que puede ser por países (lo cual ya huele a atún). Por eso lo estamos viendo varios aquí ahora mismo (dices que tú también lo ves, ¿verdad?).

¿Alguien más al que le esté pasando esto?



Así es, desde que estamos hablando la última hr es desde china y vietnam y rep checa...

La gente que no tiene un router openwrt, dudo que lleguen a ver el ataque si no tienen un sistema que permita monitorizar las conexiones...

Desde mis router principales, no se puede ver nada de esto, y sin embargo estos "routers principales" responden al ataque también.... y a saber como, ya que están hechos en china y programados alí.... esto si que me da la paranoia....
Título: Re:
Publicado por: Tki2000 en 13-04-2017, 20:55 (Jueves)
Yo creo que nos encuentran al instante...
Rastreo agresivo  o no se como se llama eso.
A no ser que el exploit venga de openwrt (algún paquete del repo...) o que el router principal ya esté contaminado.
Yo he probado tb descativar cosas y no desaparecen.
Lo único que funciona es el script de baneo...
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Creo que da igual la compañía, yo tengo ONO y Movistar, pasa el los dos.

Enviado desde mi Y635-L01 mediante Tapatalk



Por eso te decía antes que no puedo permitir el gasto de CPU para parar este tipo de ataques. Terminaría petando todo.
En mi caso el script de baneo almacena los datos en RAM, por si acaso, de modo que un rearranque del router borraría todas las IPs baneadas, pero me garantiza el acceso al router. Tampoco me mola eso de estar machacando la flash con miles de escrituras.

En mi caso, el acceso al router es crítico. Yo no estoy en la misma instalación que el router, y dicho router tiene procedimientos críticos. Sólo suelo visitar esa instalación cuando estoy de vacaciones, ya que estoy a más de 300Km. Y las personas que hay ahí, no saben ni lo que es un router, así que de encender y apagar ni hablamos. Los enchufes no están accesibles.

Ahora mismo estoy pensando en poner otro router con openwrt, paralelo al principal, para que en caso de no poder acceder al primero, poder acceder al segundo, pero sin interruptor físico para resetear, a distancia las cosas se me pondrían chungas.
Si como me imagino, tienen miles de IPs infectadas, conque tan sólo hagan un escaneo de puertos mínimo, cada uno de ellos, a la misma IP, ya tienen resultados en poco tiempo. No es lo mismo que hacer un escaneo desde la misma IP, ya que eso hay formas de pararlo, pero desde distintas IPs, la cosa cambia. Esto me lleva a pensar, que este tipo de ataque es demasiado grande, como para luego intentar sólo un acceso por diccionario al SSH. Eso no es lo que me preocupa. Me preocupa que sólo esté viendo la punta del iceberg (Modo paranoia : ON).

Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.



Pue sí, da la impresión de que es eso, solo vemos la punta del iceberg.

Citar
Si como dices, también tú ves este tipo de ataques, me hace pensar también que concentran los ataques en un rango de IPs, con lo que sacan datos muy rápido. Una vez hecho el ataque durante un tiempo, habrán secuestrado una serie de dispositivos, y cambiarán de rango para hacerlo desde otro sitio.

Esto es así.
Para mi, que está entre los chinos y los rusos (dígase tb a las antiguas rep... de la urss) desde luego, no es el panadero, el ataque es sofisticado y constante.

El ataque entra por ejemplo desde rep checa, luego salta a china, luego a colombia, luego a USA y así...

Al parecer hay un patrón, es decir, una ip está activa durante 5 min luego cambia a otra durante 5 min más y así sucesivamente...
pero mientras van cambiando las ip's el primer bloque de Ip's de los primeros 5 min sigue repitiendo el ataque de manera mas aislada, cada 10 min o 20 min, luego las del segundo ciclo y así.


EDITO:

Citar
Edito: No creo que sea ningún paquete del repo. En mi caso, la versión de openwrt lleva instalada más de 2 años, y la hice yo, con todo el repo (r39584).
Yo tampoco lo creo, ya que veríamos la actividad de la red desde dentro haciendo las llamadas, y no es así
vemos la actividad rechazando las conexiones... nada mas.


En mi caso hay muchas de Vietnam, Malasia, China... algunas de Brasil y Portugal...
Hay veces que veo que una IP se conecta y dropbear dice que hay conexión, pero se queda congelada, no pone ni usuarios ni contraseñas. Creo que ése es el momento en el que están haciendo el escaneo de puertos, y por eso no transmite datos. Sólo hace intentos de conexión. Dropbear lo echa cuando hace el timeout. Luego desde otra IP, conectan y es cuando empiezan a probar usuarios...

Sin ping desde el exterior, puede que incluso estén haciendo intentos en todas las IPs de un rango, que puede ser por países (lo cual ya huele a atún). Por eso lo estamos viendo varios aquí ahora mismo (dices que tú también lo ves, ¿verdad?).

¿Alguien más al que le esté pasando esto?



Así es, desde que estamos hablando la última hr es desde china y vietnam y rep checa...

La gente que no tiene un router openwrt, dudo que lleguen a ver el ataque si no tienen un sistema que permita monitorizar las conexiones...

Desde mis router principales, no se puede ver nada de esto, y sin embargo estos "routers principales" responden al ataque también.... y a saber como, ya que están hechos en china y programados alí.... esto si que me da la paranoia....

Yo he reescaneado algunas de esas IPs, y tienen los puertos abiertos de routers corrientes y molientes. Me he encontrado un ASUS RT-AC57U, y varios que tenian pinta de tener incluso openwrt o dd-wrt. Routers con puertos de PPTP, Openvpn. Incluso ordenadores que tenían los puertos de carpetas compartidas abiertos (mala suerte que pidieran contraseña y no fuera 12345678) ¿quién comparte carpetas por internet a pelo? ¡Madre del amor hermoso...!  ;D

Sí, es cierto, otros no podrán ni monitorizar las conexiones, pero luego las grandes compañías no quieren darnos los datos de acceso para montar un receptor de fibra nosotros que podamos controlar, y nos tenemos que aguantar con la chufla china que nos pongan, que no sabemos qué privacidad tendrá, si tendrá algún exploit, o nos espía por la clavija del jack DC 12v..., eso es lo que creo que no tendríamos que aguantar.

Título: Re:
Publicado por: Ficht en 13-04-2017, 21:45 (Jueves)
Citar
Yo he reescaneado algunas de esas IPs, y tienen los puertos abiertos de routers corrientes y molientes. Me he encontrado un ASUS RT-AC57U, y varios que tenian pinta de tener incluso openwrt o dd-wrt. Routers con puertos de PPTP, Openvpn. Incluso ordenadores que tenían los puertos de carpetas compartidas abiertos (mala suerte que pidieran contraseña y no fuera 12345678) ¿quién comparte carpetas por internet a pelo? ¡Madre del amor hermoso...!  ;D

Yo en ocasiones tb me he encontrado cosas así, con lo que asusta más aún la cantidad de máquinas que pueden estar haciendo el trabajo de a pie...

Citar
Sí, es cierto, otros no podrán ni monitorizar las conexiones, pero luego las grandes compañías no quieren darnos los datos de acceso para montar un receptor de fibra nosotros que podamos controlar, y nos tenemos que aguantar con la chufla china que nos pongan, que no sabemos qué privacidad tendrá, si tendrá algún exploit, o nos espía por la clavija del jack DC 12v..., eso es lo que creo que no tendríamos que aguantar.

Esto no tiene fácil solución, desconozco los protocolos (que deberían existir) de seguridad del código que aplican los ISP, desde luego los accesos por defectos son de risa y nadie educa en ese sentido.
Creo que ya es descaradamente visible la repercusión de esto a todos los niveles, el aparatito tonto ese, que nadie da importancia....  (el router)

Ahora, a nivel nuestro..
Que pudiéramos hacer ? tal vez el trabajo sea más efectivo a nivel de proveedor, pero eso no va a ser...

Yo también llevo algún tiempo pensando en como evitarlo, pero no se me ocurre....

A ver si alguien da alguna luz....
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: eduperez en 13-04-2017, 22:07 (Jueves)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 13-04-2017, 22:34 (Jueves)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?  ;D
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Ficht en 13-04-2017, 22:40 (Jueves)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?  ;D

Creo que estás en lo cierto...

Un posible camino es, cerrar todos los puertos, y cuando se necesite acceder al router usar comandos por smsd, abrir lo que sea y luego cerrar...
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Warcry_returns en 13-04-2017, 23:11 (Jueves)
Banea los rangos de todos los paises y deja solo el rango de ip,s de tu país de los isp que utilices para conectarte.

con eso mitigaras el ataque y no consumiras recursos, ya que el router no tiene que consultar una por una las ips baneadas, sino el rango.

o mejor dicho, solo permite el rango que jazztel, orange, telefonica, vodafone, ono etc tenga en españa.

 

Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 14-04-2017, 00:03 (Viernes)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?  ;D

Creo que estás en lo cierto...

Un posible camino es, cerrar todos los puertos, y cuando se necesite acceder al router usar comandos por smsd, abrir lo que sea y luego cerrar...

Justo esta semana tenía planeado montar una VPN para acceder a todos los recursos que tengo, y ahora mismo estoy liado con ello a contrarreloj, ya que hay mogollón de IPs internas que cambiar. Así, en lugar de abrir varios puertos al exterior, sólo accedo mediante conexión segura. Lo malo es que si el router con VPN tiene algún exploit, hemos conseguido lo contrario.

Banea los rangos de todos los paises y deja solo el rango de ip,s de tu país de los isp que utilices para conectarte.

con eso mitigaras el ataque y no consumiras recursos, ya que el router no tiene que consultar una por una las ips baneadas, sino el rango.

o mejor dicho, solo permite el rango que jazztel, orange, telefonica, vodafone, ono etc tenga en españa.

Entonces deja de funcionar "la mula"... Prefiero ver si puedo encontrar otra solución.

Título: Re:
Publicado por: Tki2000 en 14-04-2017, 19:27 (Viernes)
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Ficht, ¿tienes idea de a partir de cuántas IPs baneadas, empieza a haber riesgo de perder el control sobre el router? ¿O cada cuánto tiempo tenías que resetear el router?
Es para hacerme una idea de si debo resetear por méritos propios antes del límite.
En el primer día baneé algo más de 110 IPs. En el segundo alrededor de unas 50. Parece que la actividad disminuye. Las IPs las aguanto 14 días, a no ser que reinicie el router, o haga el fichero permanente, para continuar por donde iba al reiniciar.

Título: Re:
Publicado por: Ficht en 14-04-2017, 21:25 (Viernes)
Pero al menos a mi, al cabo del tiempo iptables se corrompe y no permite que arranque el routet (toca restaurar la copia del pincho extroot)

Ficht, ¿tienes idea de a partir de cuántas IPs baneadas, empieza a haber riesgo de perder el control sobre el router? ¿O cada cuánto tiempo tenías que resetear el router?
Es para hacerme una idea de si debo resetear por méritos propios antes del límite.
En el primer día baneé algo más de 110 IPs. En el segundo alrededor de unas 50. Parece que la actividad disminuye. Las IPs las aguanto 14 días, a no ser que reinicie el router, o haga el fichero permanente, para continuar por donde iba al reiniciar.



Hola Tki2000; hace mas de año y medio que no uso el baneo... por  lo tanto, hablaré de memoria...
Los grupos de Ip's baneadas, superaban las 200's, (al cabo de 7 dias, iba liberando, luego baje a 3 dias) pero cuando se hacía critico el tema con "la perdida del router" era si estaba usando gestores de descargas, ahí si que al cabo de un mes o mes y medio ya quedaba inutilizable, primero la wifi se hacía inestable, y al reiniciar... nanaiii...
Mi conclusión [mas bien impresión (nunca llegué a saber de donde venía el bloqueo)] fue que quedaban baneadas direcciones internas de máquina, en dependencia de los tipos de ataques con su ip.
Recuerdo que intenté varias veces, limpiar la imagen (borrar ip's baneadas y buscar el rastro) pero el desastre dentro de iptables ya sería grande, porque nunca llegué a arreglar la imagen una vez corrupta... Simplemente tenía que reescribir la imagen "tipo"

1:- siempre uso extroot, cuando el router ya tonteaba, tampoco sabes si al reiniciar, está pendiente de escribir datos.... (tampoco podías hacer sesión ssh ni web-control) lo cual puede explicar la perdida de la uatilidad de la imagen en el usb...

2:- Teniendo en cuenta lo anterior, sé que tenía 3 copias de aquella imagen, la 1ª nueva y recién configurada, 2ª con unos 15 días de haber estado baneando IP's y la 3ª con un mes de baneos. Cuando usaba la 2ª el router me duraba entre 15 y 20 días, y cuando usaba la 3ª duraba mas o menos una semana.

Y desde entonces, lo tengo así, sin baneo, solo que cuando estás viendo algo reproducido desde el router, hay veces que despixela la peli de turno cuando está siendo atacado, vamos, que se nota el consumo de recursos.

Siento no poder ser mas preciso, y también que solo sean impresiones, ya que ahora mismo no estoy peleando con esto...  (estoy montándome una rtl-sdr en el router y todo lo tengo encaminado a esto ahora mismo...)
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: eduperez en 14-04-2017, 23:01 (Viernes)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?  ;D

Te encuentran tan fácilmente porque hay miles y miles de dispositivos comprometidos, que se dedican a probar todo el rango de direcciones IP posibles durante las 24 horas del día. Si tienes 1.000 equipos comprometidos a tu disposición (y es un número ridículamente pequeño), y cada equipo prueba 100 direcciones IP por segundo (y también es un número conservador), en una hora has probado todo el rango de direcciones IP disponibles.

Hay que ser paranoico, en el sentido de que ya no se puede pensar (como se hacía antes) en que si no tienes nada interesante no van a ir a por ti; ahora hay que pensar que Internet es "territorio comanche", donde continuamente vas a recibir ataques, y que te van a venir de todas partes. Pero no hay que ser paranoico y pensar te están buscando a ti en especial, ni que te hayas significado de alguna manera; simplemente es que es es un "todos contra todos".
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 15-04-2017, 00:15 (Sábado)
Son ataques automatizados, que vienen de todas partes y van a todas partes. Esa gente tiene miles y miles de dispositivos comprometidos, que se dedican a escanear Internet continuamente, buscando otros equipos vulnerables para comprometerlos. Prueban todos los puertos, y en los que tengas abiertos prueban todos los ataques que conocen; y después, a buscar otro dispositivo.

No creo que se pueda hacer mucho, sinceramente.

Sí, eso ha pasado siempre, pero lo que ahora me escama es, ¿por qué siempre me encuentran aunque cambie de IP y de puertos?
Me da que pensar también que lo que hay comprometido son los enrutadores de las ISP, ya que entonces dará igual la IP que me den, se están enchufando directamente al enrutador que me da esa IP, y así no hay forma de escapar. ¿Sigo estando paranoico?  ;D

Te encuentran tan fácilmente porque hay miles y miles de dispositivos comprometidos, que se dedican a probar todo el rango de direcciones IP posibles durante las 24 horas del día. Si tienes 1.000 equipos comprometidos a tu disposición (y es un número ridículamente pequeño), y cada equipo prueba 100 direcciones IP por segundo (y también es un número conservador), en una hora has probado todo el rango de direcciones IP disponibles.

Hay que ser paranoico, en el sentido de que ya no se puede pensar (como se hacía antes) en que si no tienes nada interesante no van a ir a por ti; ahora hay que pensar que Internet es "territorio comanche", donde continuamente vas a recibir ataques, y que te van a venir de todas partes. Pero no hay que ser paranoico y pensar te están buscando a ti en especial, ni que te hayas significado de alguna manera; simplemente es que es es un "todos contra todos".

Lo de encontrarme así, sería fácil si tuviera habilitado el ping exterior, pero no lo tengo. Luego no prueban IPs, prueban puertos.
Cada IP aunque esté muda, tiene 65535 puertos. Después de cambiarle los puertos, por si acaso me están buscando por la disposición de ellos, y a pesar de no contestar externamente, me encuentran en minutos el puerto SSH (que yo vea). Me huele a ataque masivo en un rango de IPs concreto, que pueden estar localizadas dentro de algún enrutador comprometido, por eso no puedo escapar, porque físicamente estoy en el enrutador que maneja las IPs que me puedan dar, y por eso es más rápido, porque son un rango de IPs manejadas por algún dispositivo en concreto.
Una vez que ordeñan el listado de IPs del enrutador, se lo pasan a las máquinas de a pie, como dice Fitch, y realizan el ataque.

Es una suposición, pero es lo que más me cuadra.
Si fuera un ataque generalizado, lo estaríamos viendo todos, y no es así, aunque lo veamos unos cuantos, que seguramente estemos en el mismo camino comprometido.
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: drvalium en 15-04-2017, 00:49 (Sábado)
¿que habrás hecho para que te persiga medio planeta? ;D
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 15-04-2017, 01:06 (Sábado)
¿que habrás hecho para que te persiga medio planeta? ;D

¡¡Chtssss!! No se lo cuentes a nadie...  ;D
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: sanson en 17-04-2017, 19:08 (Lunes)
hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.


saludos
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: dolfet15 en 17-04-2017, 23:22 (Lunes)
hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos

Esto iba a poner, puede ser que tu ISP esté siendo atacado o tenga alguna máquina infectada. No es normal que cuando cambies la ip al poco tiempo vuelvan los ataques.

PD: tengo entendido que cambias la ip, y al momento ya te están atacando teniendo solo encendido el router y nada más.
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 18-04-2017, 08:29 (Martes)
Esa es la sospecha que tengo.
Todos los ataques me entran por 4 MACs distintas, que supongo serán los 4 enrutadores directos que tengo conectados al ADSL. No significa que sean esos los enrutadores comprometidos, pero el tráfico a nivel mundial me entra por esos 4 enrutadores. No he podido hacer más comprobaciones.

Estoy por llamar al ISP y pedirle explicaciones...

De momento ya he puesto un firewall intermedio y una VPN. Cambio de contraseñas, etc, etc..., pero el primer bastión que debe resistir es openwrt. Si aguanta, todo lo demás también...  ;D

Edito: Puede que no sea ni siquiera de mi ISP. Hay otra gente de otras compañías que también está viendo ataques. Sólo puedo decir que de por medio hay un enrutador de level3, compañía que hace ya un tiempo, tuvo algún que otro achaque a nivel mundial...
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Ficht en 18-04-2017, 20:57 (Martes)
hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos
Esa es la sospecha que tengo.
Todos los ataques me entran por 4 MACs distintas, que supongo serán los 4 enrutadores directos que tengo conectados al ADSL. No significa que sean esos los enrutadores comprometidos, pero el tráfico a nivel mundial me entra por esos 4 enrutadores. No he podido hacer más comprobaciones.

Estoy por llamar al ISP y pedirle explicaciones...

De momento ya he puesto un firewall intermedio y una VPN. Cambio de contraseñas, etc, etc..., pero el primer bastión que debe resistir es openwrt. Si aguanta, todo lo demás también...  ;D

Edito: Puede que no sea ni siquiera de mi ISP. Hay otra gente de otras compañías que también está viendo ataques. Sólo puedo decir que de por medio hay un enrutador de level3, compañía que hace ya un tiempo, tuvo algún que otro achaque a nivel mundial...


Esto iba a poner, puede ser que tu ISP esté siendo atacado o tenga alguna máquina infectada. No es normal que cuando cambies la ip al poco tiempo vuelvan los ataques.

PD: tengo entendido que cambias la ip, y al momento ya te están atacando teniendo solo encendido el router y nada más.

Yo tengo dos ISP distintos, y veo los ataques por igual, si bien en uno, la Ip no cambia casi nunca (en los últimos 4 años ha cambiado 2 veces ...) en el otro, si que cambia frecuentemente, incluso 1 o 2 veces en un  día, pero lo mismo, en pocos minutos, comienzan los ataques.

Siempre teniendo en cuenta, que nunca hay mas servicios operativos  en la red que los routers en si, y sin hacer estos conexiones por si solos, es decir, solo responden a las llamadas mías de control. Hasta donde he visto, nunca han hecho log->in, si que he visto mensajes de wget... en el registro, pero con salida error, osea, parece que el router aguanta, pero, los ataques, si que le hacen trabajar.

También pienso en la probabilidad de que provengan del servicio ddns, es decir, mi proveedor de ddns, que sean ellos los que de un modo u otro reenvíen o propicien estas llamadas de maquinas, ya que es lo que coordina la dirección IP y en dominio web...
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 18-04-2017, 21:33 (Martes)
hola

yo creo que atacan a tu isp y el es el que tiene el problema aun que evidentemente te salpica a ti por estar conectados a su enroutadores.

saludos
Esa es la sospecha que tengo.
Todos los ataques me entran por 4 MACs distintas, que supongo serán los 4 enrutadores directos que tengo conectados al ADSL. No significa que sean esos los enrutadores comprometidos, pero el tráfico a nivel mundial me entra por esos 4 enrutadores. No he podido hacer más comprobaciones.

Estoy por llamar al ISP y pedirle explicaciones...

De momento ya he puesto un firewall intermedio y una VPN. Cambio de contraseñas, etc, etc..., pero el primer bastión que debe resistir es openwrt. Si aguanta, todo lo demás también...  ;D

Edito: Puede que no sea ni siquiera de mi ISP. Hay otra gente de otras compañías que también está viendo ataques. Sólo puedo decir que de por medio hay un enrutador de level3, compañía que hace ya un tiempo, tuvo algún que otro achaque a nivel mundial...


Esto iba a poner, puede ser que tu ISP esté siendo atacado o tenga alguna máquina infectada. No es normal que cuando cambies la ip al poco tiempo vuelvan los ataques.

PD: tengo entendido que cambias la ip, y al momento ya te están atacando teniendo solo encendido el router y nada más.

Yo tengo dos ISP distintos, y veo los ataques por igual, si bien en uno, la Ip no cambia casi nunca (en los últimos 4 años ha cambiado 2 veces ...) en el otro, si que cambia frecuentemente, incluso 1 o 2 veces en un  día, pero lo mismo, en pocos minutos, comienzan los ataques.

Siempre teniendo en cuenta, que nunca hay mas servicios operativos  en la red que los routers en si, y sin hacer estos conexiones por si solos, es decir, solo responden a las llamadas mías de control. Hasta donde he visto, nunca han hecho log->in, si que he visto mensajes de wget... en el registro, pero con salida error, osea, parece que el router aguanta, pero, los ataques, si que le hacen trabajar.

También pienso en la probabilidad de que provengan del servicio ddns, es decir, mi proveedor de ddns, que sean ellos los que de un modo u otro reenvíen o propicien estas llamadas de maquinas, ya que es lo que coordina la dirección IP y en dominio web...

Yo paré el servicio de ddns (changeip.com) y cambié la IP, y me seguían encontrando y atacando igual, así que lo descarté.
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 28-04-2017, 11:14 (Viernes)
Y en los logs de hoy, me encuentro que me están atancando también la VPN, desde varias IPs muy concentradas.
Escaneo una y me encuentro con esto:

http://216.218.206.118/ (http://216.218.206.118/)

Citar
The Shadowserver Foundation

If you are looking at this page, then more than likely, you noticed a scan coming from this server across your network and/or poking at a service that you have running.

The Shadowserver Foundation is currently undertaking a project to search for publicly accessible devices that have services running that should not be exposed because they are trivial to exploit or abuse. The goal of this project is to identify hosts that have these types of services exposed and report them back to the network owners for remediation.

Further details on this scanning project can be found on our blog at: http://blog.shadowserver.org/2014/03/28/the-scannings-will-continue-until-the-internet-improves/

Statistics on these scans can be found at: http://blog.shadowserver.org/2014/08/22/of-scannings-and-statistics/

If you would like to sign up for reports on any data that we have collected on your network, you can request them from here: https://www.shadowserver.org/wiki/pmwiki.php/Involve/GetReportsOnYourNetwork

All of the probes that are used in our tests are benign and do not ( and will never ) contain exploit code. Scans with these types of tools are off-limits for us.

All the data that we collect is visible to anyone who connects to a particular host with on the proper port using the proper commands.

If you have any more questions please feel free to send us an email at: gro [tod] revreswodahs [ta] nacssnd

The Shadowserver Foundation

No me gusta que me escaneen, ni para fines benéficos. ¿Ahora tengo que distinguir entre quien me "ataca", para bien, o para mal?
Al menos sé que no estoy paranoico...  >:D

Me gustaría saber cómo hacen eso de notificar al usuario, las brechas de seguridad que tiene. ¿Es que por mi IP, tienen mis datos personales o alguna clase de contacto?  (mi spider-sentido me alerta de nuevo) :P
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: eduperez en 02-05-2017, 13:02 (Martes)
Me gustaría saber cómo hacen eso de notificar al usuario, las brechas de seguridad que tiene. ¿Es que por mi IP, tienen mis datos personales o alguna clase de contacto?  (mi spider-sentido me alerta de nuevo) :P

Bueno, ellos hablan de "network owner", que estrictamente hablando es el propietario de la red; es decir, tu proveedor. Se supone que ellos sí saben a quién han asignado cada IP, y pueden avisarte. Otra cosa es lo que ocurre en la práctica...

En cualquier caso, yo tampoco estaría muy tranquilo pensando si alguien está atacando con buenas intenciones o con malas intenciones; la mejor manera de defenderse (y de colaborar con los supuestos buenos atacantes) entiendo que es reforzar la seguridad.
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: vk496 en 03-05-2017, 02:46 (Miércoles)
A falta de tiempo para leer todo...

Es posible que sea un ataque dirigido? Esas cosas no sólo son de películas, y con el IoT no es difícil hacerse con botnets.

Por otro lado, protegería el SSH con cosas básicas como no usar contraseña o usuarios limitados. Para evitar desbordamiento de recursos por listas de bloqueo, puedes intentar usar una solución ingeniosa con IPTables:
 https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/

Por otro lado, si te pones en paranoia total, usa un port knocking para proteger tus servicios. Reduces el riesgo a costa de la usabilidad.

PD: Si te cogen la IP cuando solo tienes Router y Módem, creo que se debe a que te hacen (o han hecho alguna vez) un reverse DNS lookup.

Salu2

Enviado desde mi Moto G4 Plus mediante Tapatalk

Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 03-05-2017, 20:21 (Miércoles)
A falta de tiempo para leer todo...

Es posible que sea un ataque dirigido? Esas cosas no sólo son de películas, y con el IoT no es difícil hacerse con botnets.

Por otro lado, protegería el SSH con cosas básicas como no usar contraseña o usuarios limitados. Para evitar desbordamiento de recursos por listas de bloqueo, puedes intentar usar una solución ingeniosa con IPTables:
 https://www.rackaid.com/blog/how-to-block-ssh-brute-force-attacks/

Por otro lado, si te pones en paranoia total, usa un port knocking para proteger tus servicios. Reduces el riesgo a costa de la usabilidad.

PD: Si te cogen la IP cuando solo tienes Router y Módem, creo que se debe a que te hacen (o han hecho alguna vez) un reverse DNS lookup.

Salu2

Enviado desde mi Moto G4 Plus mediante Tapatalk



El día que meta yo algo IoT en mi casa, conscientemente y sin capar, me meto a monja...  ;D
Lo de limitar el número de conexiones por minuto al SSH está curioso, lo que no sé es si iptables de openwrt, es tan completo como para usar todos esos parámetros.
Para limitar los puertos externos a servicios, he puesto una VPN. Hay que atravesar esa VPN, para llegar a ellos. Me joroba, porque en dispositivos como la tablet, ahora he perdido servicios, pero están más protegidos.
No hay más usuarios en la red, que yo, y su debida contraseña, y no es la misma para todo.
Lo del DNS inverso, no ha lugar, porque ya probé a ver qué pasaba si no activaba los servicios de DNS dinámicos (por si estaban interceptando la llamada del router), cambiando la IP, y me encuentran igual.
Me sigue dando en la nariz que es algún enrutador, de algún ISP, que esté comprometido, y sacan el listado de IPs asignadas, y empiezan a escanear. O concentran el escaneo en un rango de IPs concreto, en el que mi ISP siempre me da valores.
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 08-05-2017, 12:49 (Lunes)
Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...  ;D
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: sanson en 08-05-2017, 13:11 (Lunes)
 ;D ;D ;D ;D
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: jar229 en 08-05-2017, 20:25 (Lunes)

A este paso voy a acabar antes, enumerando los que no me atacan...  ;D

Deben pensar que tienes algún tesoro escondido por ahí  ;D ;D ;D
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Ficht en 13-05-2017, 20:58 (Sábado)
Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...  ;D

Tki2000, has comprobado hoy "día 13" los ataques, luego de lo que ha pasado ayer?
en mis routers, han bajado los ataques mas de un 90%, siguen habiendo algunos, pero muy poquitos. (estimo que tres /hr)

Seguiré mirando a ver....

 ???
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 13-05-2017, 21:40 (Sábado)
Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...  ;D

Tki2000, has comprobado hoy "día 13" los ataques, luego de lo que ha pasado ayer?
en mis routers, han bajado los ataques mas de un 90%, siguen habiendo algunos, pero muy poquitos. (estimo que tres /hr)

Seguiré mirando a ver....

 ???

¿Qué pasó ayer? Estoy en bavia y no me he enterado de nada...
Llevo unos 90 baneados en 60 horas, me temo que no me ha disminuído nada el índice de ataques.

Edito: Si te refieres al ataque a T-fónica, yo estoy con Pazztel...
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Ficht en 13-05-2017, 21:50 (Sábado)
Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...  ;D
Tki2000, has comprobado hoy "día 13" los ataques, luego de lo que ha pasado ayer?
en mis routers, han bajado los ataques mas de un 90%, siguen habiendo algunos, pero muy poquitos. (estimo que tres /hr)

Seguiré mirando a ver....

 ???

¿Qué pasó ayer? Estoy en bavia y no me he enterado de nada...
Llevo unos 90 baneados en 60 horas, me temo que no me ha disminuído nada el índice de ataques.

Edito: Si te refieres al ataque a Timofónica, yo estoy con Pazztel...




No se si tiene algo que ver, pero realmente, es lo único relevante que ha pasado, me refiero al  ataque,  (https://foro.seguridadwireless.net/local-new/telefonica-sufre-un-ciberataque/) y supongo que algo ha hecho alguien ya que la reducción de ataques de hoy, es notable.
Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 13-05-2017, 22:08 (Sábado)
Y ahora que parecía que iban disminuyendo los ataques a unos 50 por día, llegan y se suman estos individuos: inspire.census.shodan.io
Es un censo de dispositivos vulnerables...
Todos con muy buenas intenciones, eso sí...

¿Qué he hecho yo para merecer esto?

A este paso voy a acabar antes, enumerando los que no me atacan...  ;D
Tki2000, has comprobado hoy "día 13" los ataques, luego de lo que ha pasado ayer?
en mis routers, han bajado los ataques mas de un 90%, siguen habiendo algunos, pero muy poquitos. (estimo que tres /hr)

Seguiré mirando a ver....

 ???

¿Qué pasó ayer? Estoy en bavia y no me he enterado de nada...
Llevo unos 90 baneados en 60 horas, me temo que no me ha disminuído nada el índice de ataques.

Edito: Si te refieres al ataque a T-fónica, yo estoy con Pazztel...




No se si tiene algo que ver, pero realmente, es lo único relevante que ha pasado, me refiero al  ataque,  (https://foro.seguridadwireless.net/local-new/telefonica-sufre-un-ciberataque/) y supongo que algo ha hecho alguien ya que la reducción de ataques de hoy, es notable.

Eso es simplemente porque ¡HAN REINICIADO EL ROUTER! Muhahahahaha  ;D ;D ;D ;D
No, ahora en serio, puede ser que hayan cortado dispositivos por prevención, pero que cuando los vuelvan a poner online, vuelvan los ataques.
Yo, en la línea en la que recibo ataques, estoy con Pazztel, y no he notado nada de nada (de menos, se entiende).

Por cierto, si todo esto se ha liado por lo que dicen de abrir un email un empleado de T-fónica, entonces, una muestra más de lo que es un analfabeto tecnológico. Aquel que no sabe qué son las extensiones de fichero, y de qué es un archivo ejecutable o simplemente datos.
Luego dicen que lo soy yo, simplemente porque no tengo ni smartphone, ni whatsapp, ni redes sociales...
Título: Re:
Publicado por: Ficht en 13-05-2017, 22:41 (Sábado)
Jejeje
Si, con la roja se nota mucho, con la azul hay más, pero en cualquier caso, mucho menos de lo que venía siendo habitual.

Enviado desde mi Y635-L01 mediante Tapatalk

Título: Re: Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: Tki2000 en 30-05-2017, 19:09 (Martes)
Bueno, sigo recibiendo ataques, y como no hay mal que por bien no venga, he modificado un script que en su momento publicó hardwarer en este hilo:  Script Banear direcciones IP contra ataques SSH (Openwrt BB 14.07)  (https://foro.seguridadwireless.net/openwrt/script-baneador-de-direcciones-ip-ssh-para-openwrt/).

Si alguien quiere aprovecharlo, para lo que sea, o modificarlo, lo tiene aquí : https://foro.seguridadwireless.net/openwrt/script-baneador-de-direcciones-ip-ssh-para-openwrt/msg356446/#msg356446 (https://foro.seguridadwireless.net/openwrt/script-baneador-de-direcciones-ip-ssh-para-openwrt/msg356446/#msg356446)

El script me viene parando unos 600 ataques cada 14 días. En un router con 128MB de RAM, iptables parece que tira perfectamente, con esa cantidad de baneos concurrentes.
Título: Re:Recibo ataques desde múltiples IPs. Discusión de ideas.
Publicado por: peperfus en 04-04-2019, 13:34 (Jueves)
Hola, gracias por el script....

los enlaces no van. ¿Podrías arreglarlo, por favor?

Son cosas interesantes y es una lástima que se pierda o que cueste de encontrar.

Gracias.

Edito:
Ok ya lo he encontrado en el post de hilos relevantes. Perdón por la molestia, es que usé el buscador antes de mirar en dicho post.