Seguridad Wireless - Wifi
Equipos y materiales => Puntos de acceso, routers, switchs y bridges => Openwrt & LEDE => Mensaje iniciado por: peperfus en 29-11-2017, 22:30 (Miércoles)
-
Hola
Tengo un script en mi router open que me cambia de estado la conexión, cambiando los parámetros de DNS...., nada relevante.
El caso es que... este script lo ejecuto yo manualmente cuando quiero, no lo tengo programado en crontab ni nada por el estilo.
Pues la movida es que se me ejecuta solo, de vez en cuando, según le da.
Estoy muy rallado :( :( ??? ???
Le he añadido al script unas lineas:
echo `date` >> /root/log.txt
echo $0 >> /root/log.txt
echo $1 >> /root/log.txt
echo $SSH_CLIENT >> /root/log.txt
Pero no me saca nada en claro. La IP de quien ejecuta el comando, me sale en blanco en el log; pero si lo ejecuto yo, sí que me pone mi IP local.
¿Alguna idea para investigar?
-
Hola
Tengo un script en mi router open que me cambia de estado la conexión, cambiando los parámetros de DNS...., nada relevante.
El caso es que... este script lo ejecuto yo manualmente cuando quiero, no lo tengo programado en crontab ni nada por el estilo.
Pues la movida es que se me ejecuta solo, de vez en cuando, según le da.
Estoy muy rallado :( :( ??? ???
Le he añadido al script unas lineas:
echo `date` >> /root/log.txt
echo $0 >> /root/log.txt
echo $1 >> /root/log.txt
echo $SSH_CLIENT >> /root/log.txt
Pero no me saca nada en claro. La IP de quien ejecuta el comando, me sale en blanco en el log; pero si lo ejecuto yo, sí que me pone mi IP local.
¿Alguna idea para investigar?
Pon echo "$USER" para ver tambien el mombre del usuario que ejecuta el script y ver si es root u otro usuario del sistema el que ejecuta el script.
Enviado desde mi LG-D802 mediante Tapatalk
-
También me sale en blanco. :-\
Estoy pensando que seguro que va a ser una chorrada, pero hasta que lo averigüe, parece cosa de espíritus fantasmagóricos....
-
Voy a cambiar la contraseña del router.
O mejor aún: Voy a desconectar el router de la red. Lo dejaré encendido, sin ninguna conexión. Si se vuelve aejecutar el script durante ese período, está claro que no es un hacker.
Cuando averigüe algo lo comentaré. De momento es todo un misterio.
-
Hola, tambien puedes usar ApateDNS que es un visor de conexiones para averiguar si tienes algun bichito por ahi, ahi te salen las conexiones que hace tu pc, si ves una que pone No-ip.org,No-ip.bz o cositas asi por ese estilo ya sabes lo que hay.
En mi windows hace tiempo me ha sido muy util pues me ha permitido eliminar dudas en varias ocasiones e incluso una vez me ha revelado una infeccion con Bifrost la cual daba al atacante todo el control sobre mi pc.
-
Sin ver el script, no sé qué puede ser.
¿Tienes algún bucle en el script, que se pueda haber quedado pillado, y se esté ejecutando contínuamente? Mira con ps, si el script termina de verdad, o se queda ejecutando.
-
El script funciona perfectamente, es un "filtro.sh" que sólo cambia unas DNS por otras, nada más. Siempre ha funcionado bien.
¿Sabéis si hay algo tipo rkhunter para openwrt?
No veo nada por el estilo y supongo que estaría bien tener una herramienta de ese tipo que escaneara los archivos del sistema para comprobar que no han sido infectados...
Además, tonto de mí, el password que tengo (tenía) de root era una ))))), una simple secuencia de 8 números aleatorios. Supongo que con cualquier ataque de fuerza bruta o algo de eso, desde algún ordenador infectado de la red, la habrán sacado en 5 minutos o algo así.
Si es que soy burro como yo solo. :P :P
A partir de ahora voy a tomarme más en serio la seguridad.
Acabo de cambiar todas mis contraseñas por unas nuevas y/o otras más robustas.
-
Una pregunta: ¿el script lo tienes ligado a algún evento en el router? ¿Como por ejemplo, cuando se alce alguna interfaz de red? ¿o se conecte/desconecte algo?
Por mucho que te hackeen el router, debiera salir el usuario con el que acceden, en los scripts que has hecho. O están accediendo mediante algún exploit de openwrt, cosa que veo más improbable.
-
@peperfus, que router usas con este scrpt? (es curiosidad)
-
Tki2000:
Nop. Es un simple archivo .sh ejecutable que lo ejecuto yo manualmente cuando quiero. Sólamente está también en:
Como custom command en luci
Y en el etc/rc.local para que se ejecute al encender/reiniciar el router.
No tiene más.
Ficht: Un livebox arv7519rw22-alt
Openwrt 15.05
Sólo se me ocurre que hayan entrado desde una máquina virtual con un winxp con la que estuve haciendo pruebas con sw de dudosa fiabilidad dada su procedencia... y por lo visto llevaba algún troyano o algo por el estilo...
Lo peor es que no sé hasta dónde puede haber llegado la infección y/o la intrusión.
Ya he pasado un par de antivirus a mi ordenador principal (Win7) y no me han encontrado nada.
Gracias por las respuestas.
He visto que se puede instalar Rootkit Hunter en openwrt. Lo acabo de instalar (en otro router con open) y estoy trasteándolo hasta que aprenda a usarlo para pasarlo al "infectado" a ver si tiene algo.
-
Tki2000:
Nop. Es un simple archivo .sh ejecutable que lo ejecuto yo manualmente cuando quiero. Sólamente está también en:
Como custom command en luci
Y en el etc/rc.local para que se ejecute al encender/reiniciar el router.
No tiene más.
Ficht: Un livebox arv7519rw22-alt
Openwrt 15.05
Sólo se me ocurre que hayan entrado desde una máquina virtual con un winxp con la que estuve haciendo pruebas con sw de dudosa fiabilidad dada su procedencia... y por lo visto llevaba algún troyano o algo por el estilo...
Lo peor es que no sé hasta dónde puede haber llegado la infección y/o la intrusión.
Ya he pasado un par de antivirus a mi ordenador principal (Win7) y no me han encontrado nada.
Gracias por las respuestas.
He visto que se puede instalar Rootkit Hunter en openwrt. Lo acabo de instalar (en otro router con open) y estoy trasteándolo hasta que aprenda a usarlo para pasarlo al "infectado" a ver si tiene algo.
Si lo tienes en rc.local, no es posible que tengas un softdog (kmod-softdog) instalado? me parece que esto puede hacer un reinicio del sistema, pero sin reiniciar la maquina o algo así, no lo he usado mucho, pero por mirar... si alguien sabe de esto, que me saque de dudas...
-
......
Si lo tienes en rc.local, no es posible que tengas un softdog (kmod-softdog) instalado? me parece que esto puede hacer un reinicio del sistema, pero sin reiniciar la maquina o algo así, no lo he usado mucho, pero por mirar... si alguien sabe de esto, que me saque de dudas...
No tengo ni idea de qué es eso del softdog.
Edito: Por lo que acabo de leer (y entender) es una especie de software que reinicia automáticamente el router si detecta que se ha quedado colgado ??
Yo no he puesto nada de eso. A no ser que ya viniera por defecto con la instalación ....
-
......
Si lo tienes en rc.local, no es posible que tengas un softdog (kmod-softdog) instalado? me parece que esto puede hacer un reinicio del sistema, pero sin reiniciar la maquina o algo así, no lo he usado mucho, pero por mirar... si alguien sabe de esto, que me saque de dudas...
No tengo ni idea de qué es eso del softdog.
Edito: Por lo que acabo de leer (y entender) es una especie de software que reinicia automáticamente el router si detecta que se ha quedado colgado ??
Yo no he puesto nada de eso. A no ser que ya viniera por defecto con la instalación ....
Revisa si tienes el módulo "kmod-softdog" y si está operativo.
-
Ok, lo miraré (ahora no puedo).
De todas formas, si fuera cosa del softdog ese.... Yo creo recordar haber estado con la sesión SSH, logeado, y mientras tanto que se me ejecute el script y luego seguir logeado.
Si fuera que se reiniciara, me habría cerrado la sesión ssh, no??
No lo juraría, pero me suena recordar que las últimas veces que se me ejecutaba, lo hacía estando yo conectado por SSH... y luego seguía en la misma sesión, sin tener que volver a conectar (ya digo que me suena recordarlo así, tampoco estoy 100% seguro).
-
En caso de tener el softdog activo, ¿hay alguna forma para detectar cuando salta?
Y otra cosa ^-^ ¿Cómo miro si lo tengo?
¿era con lsmod, no?
-
Salida de lsmod:
act_ipt 2448 0
act_mirred 2368 0
act_police 3360 0
act_skbedit 1632 0
aead 4256 0
arc4 1296 0
ath 21621 3 ath9k_htc
ath9k_common 17582 1 ath9k_htc
ath9k_htc 54809 0
ath9k_hw 345816 2 ath9k_htc
atm 38082 2 pppoatm
br2684 6848 0
cfg80211 224817 5 ath9k_htc
cls_basic 3344 0
cls_flow 5504 0
cls_fw 3792 0
cls_route 5152 0
cls_tcindex 4608 0
cls_u32 6784 0
compat 1332 5 ath9k_htc
crc_ccitt 1019 1 ppp_async
crypto_blkcipher 10807 2 ltq_deu_vr9
drv_dsl_cpe_api 149416 0
drv_ifxos 15018 2 drv_dsl_cpe_api
drv_mei_cpe 97160 2 ltq_ptm_vr9
dwc2 52103 1 dwc2_platform
dwc2_platform 2416 0
ehci_hcd 35228 1 ehci_platform
ehci_platform 3600 0
em_cmp 752 0
em_meta 4688 0
em_nbyte 736 0
em_text 1376 0
em_u32 576 0
ext4 346492 0
fat 50175 1 vfat
fuse 71737 0
gpio_button_hotplug 6144 0
ifb 2864 0
ip6_tables 9569 3 ip6table_raw
ip6t_REJECT 1248 2
ip6table_filter 608 1
ip6table_mangle 1088 1
ip6table_raw 576 1
ip_tables 9789 4 iptable_nat
ipt_ECN 1376 0
ipt_MASQUERADE 624 2
ipt_REJECT 992 2
iptable_filter 672 1
iptable_mangle 944 1
iptable_nat 768 1
iptable_raw 640 1
ipv6 299699 28 nf_conntrack_ipv6
jbd2 54258 1 ext4
ltq_deu_vr9 26368 0
ltq_ptm_vr9 27477 0
mac80211 412483 2 ath9k_htc
mbcache 5021 1 ext4
nf_conntrack 52350 15 nf_nat_ipv4
nf_conntrack_ftp 5456 1 nf_nat_ftp
nf_conntrack_ipv4 5200 10
nf_conntrack_ipv6 5952 3
nf_conntrack_rtcache 2624 0
nf_defrag_ipv4 838 1 nf_conntrack_ipv4
nf_defrag_ipv6 9207 1 nf_conntrack_ipv6
nf_log_common 2511 2 nf_log_ipv4
nf_log_ipv4 3248 0
nf_log_ipv6 3664 0
nf_nat 10540 5 nf_nat_ipv4
nf_nat_ftp 1248 0
nf_nat_ipv4 4321 1 iptable_nat
nf_nat_masquerade_ipv4 1532 1 ipt_MASQUERADE
nf_reject_ipv4 1907 1 ipt_REJECT
nf_reject_ipv6 2263 1 ip6t_REJECT
nls_cp437 4432 0
nls_iso8859_1 2896 0
ohci_hcd 24239 1 ohci_platform
ohci_platform 3056 0
option 27200 0
ppp_async 7568 0
ppp_generic 22306 4 pppoe
pppoatm 3664 0
pppoe 9376 0
pppox 1386 1 pppoe
sch_codel 4304 0
sch_dsmark 3696 0
sch_fq 6144 0
sch_gred 6656 0
sch_hfsc 14496 0
sch_htb 13520 0
sch_ingress 960 0
sch_pie 4320 0
sch_prio 3312 0
sch_red 4672 0
sch_sfq 8528 0
sch_tbf 5392 0
sch_teql 4064 0
scsi_mod 93191 2 usb_storage
sd_mod 27536 0
slhc 4923 1 ppp_generic
tun 16559 0
uhci_hcd 18976 0
usb_storage 39743 0
usb_wwan 4631 1 option
usbserial 19307 2 option
vfat 8448 0
x_tables 10933 42 ipt_REJECT
xt_CLASSIFY 576 0
xt_CT 2576 0
xt_DSCP 1504 0
xt_HL 1328 0
xt_LOG 768 0
xt_REDIRECT 1264 0
xt_TCPMSS 2704 2
xt_comment 480 74
xt_connbytes 1584 0
xt_connlimit 3776 0
xt_connmark 1040 0
xt_conntrack 2160 12
xt_dscp 1040 0
xt_ecn 1312 0
xt_helper 864 0
xt_hl 800 0
xt_id 480 0
xt_length 688 0
xt_limit 1344 20
xt_mac 624 0
xt_mark 672 0
xt_multiport 1216 0
xt_nat 1072 0
xt_recent 6704 0
xt_state 704 0
xt_statistic 864 0
xt_tcpmss 1008 0
xt_tcpudp 1696 10
xt_time 1808 0
zd1211rw 45236 0
-
¿Esto tiene algún sentido?:
root@OpenWrt:/# cd
root@OpenWrt:~# touch a
touch: a: No such file or directory
root@OpenWrt:~#
??? ??? ??? ???
-
He reseteado a valores de fábrica y el mismo comando (touch a) me ha vuelto a funcionar.
Esto me da mal rollo.
Cuando tenga tiempo resetearé todos los routers de mi casa y cambiaré todas las contraseñas. Espero que con eso sea suficiente para garantizar un entorno 100 libre de esta clase de parásitos....
-
Lo que no entiendo es cómo coño vuelve a entrar el tío.
Además, en el router principal (ADSL, no openwrt) tengo activado el firewall y ningún puerto abierto. ¿Cómo conecta? Supongo que conecta desde dentro de mi red, con una especie de "backdoor"....
He escaneado mi ordenador principal con 2 antivirus distintos y está limpio.
-
Sospecho de rc.local
Se ejecuta al final de la secuencia de arranque. ¿Algún módulo te está provocando algún fallo que salga en los logs? Puede que esté disparando esa secuencia, y por eso sale sin usuario.
-
En la página del banco que usa mi hermana, en su agenda de cuentas bancarias le han aparecido nuevas cuentas absolutamente desconocidas.
Está claro que tenemos un pirata - cracker (un hacker con malas intenciones) que está intentando sabotearnos... y robarnos todo lo que pueda y más.
El banco nos pide un PIN que envía al móvil para hacer una transferencia. El pirata lo sabe. Sabe que no puede hacer transferencias porque no tiene ese PIN; por eso intenta engañarnos (por ejemplo con el truco de meter cuentas nuevas en la agenda) para que seamos nosotros mismos los que le hagamos la transferencia.
-
Pues ves al banco personalmente, cancelas las cuentas nuevas y cambia las claves de acceso elecrónico.
De paso les pegas la bronca por la falta de seguridad. Aunque digan que la culpa es tuya.
Y durante un tiempo, en luga de usar internet, usa los cajeros automáticos.
-
Yo sigo siendo tan retrógrado, que sigo yendo al banco a realizar las transacciones, para que me conozcan personalmente, y no tengo ni activada la opción de transferencias por internet.
Por ahora, no me han hackeado la ventanilla.
¿Estás seguro de que la página a la que te conectas es la del banco? Si es así, móntales un pollo de órdago. Pero si lo que te aparece es cierto, y te pide el pin, casi seguro que no es la página del banco. Mucho cuidado con eso. Si te estás conectando a una página externa al banco, ellos no tienen culpa de nada.
Diles lo que te pasa, y pídeles que se conecten a tu cuenta de banca por internet, y que te digan qué cuentas bancarias aparacen ligadas. Supongo que sólo ellos pueden ligar una cuenta bancaria a una cuenta por internet. Pídeles explicaciones sobre esto.
Pero, si lo que creo que estás diciendo, es que el propio banco te está pidiendo confirmación sobre una transferencia, que tú no has realizado, eso es precisamente lo que ves en tu móvil, la petición de confirmación de transferencia, y para eso es por lo que el banco tiene tu número de móvil, para pedirte confirmación. Si no has sido tú, no des confirmación. Por otro lado, cualquiera que sepa tu número de cuenta puede haber pedido hacer esa transferencia (cualquiera a la que le hayas hecho un pago anterior, por ejemplo), o alguien que sepa nuestro número de tarjeta de crédito/débito y esté intentando pagar con ese número, o alguien que haya tenido acceso a tu cuenta de banca por internet, por ejemplo, por haber dejado la cuenta abierta, en el último sitio público en el que estuvimos, o haber dejado el móvil sin bloquear en la mesa 10 segundos con la aplicación abierta, mientras íbamos a mear, o habernos conectado a una red wifi pública, que bien podía haber tenido algún sniffer. No sé cuántas veces hay que repetir, que no hay que conectarse a sitios privados desde redes públicas. Yo sólo me conecto a sitios de esa índole desde ciertos equipos, que sé que no tienen la seguridad comprometida. Si estoy de viaje, y no tengo acceso a esos equipos, simplemente NO ME CONECTO. No hay nada que requiera tanta prisa, que no pueda esperar a que llegue a un equipo no comprometido.
No me cansaré de repetir eso de, inmediatez=estupidez.
Vivimos en un mundo, en el que cada avance, es un amplio retroceso... porque no lo usamos con cabeza, y no nos interesa aprender...
¡Hála!, ya he soltado la murga... >:D