Hoy soy yo el que tiene un problema, y me he dicho de usar el foro, para ver si entre todos sacamos alguna idea.
No está totalmente relacionado con openwrt, pero sí me gustaría solucionarlo, con dicha herramienta, y por eso lo planteo aquí.
Planteo la situación que vengo observando desde hace unos días, para ver si alguien puede darme alguna idea del por qué, y si a alguien se le ocurre, qué puedo hacer para que "no me vuelvan a encontrar".
Desde hace varios días vengo sufriendo un ataque, a los puertos que tienen servicios abiertos al exterior. No sé exactamente cómo lo hacen, pero son capaces de encontrarme en cuestión de minutos, y vuelven a lanzar el ataque. Veo que el log me muestra múltiples intentos de acceso en openwrt, a la consola por SSH, y en estos días, una o dos veces al servicio de FTP. No sé si al resto de dispositivos que tienen puertos abiertos habrá algo. He mirado logs y parece que no, pero no sé si en otros sistemas, dejaría rastro. He mirado en los logs iLO de un servidor Proliant, y no aparecen intentos, pero no estoy seguro al 100% de si los hay o no, si no salen en el log (pudiera tener algún exploit que no sepa).
Ninguno de los puertos abiertos, está en su sitio, es decir, están redirigidos.
No tengo habilitado el ping exterior.
Tengo un wemo, y dos cámaras IP chinas, al que les he denegado el tráfico directo al exterior, por si estuvieran mandando alguna señal para localizarme. El acceso se hace a través de otro dispositivo que concentra el tráfico, es decir, no necesitan comunicación directa con internet.
He cambiado los puertos externos de sitio, por si acaso estuvieran usando la localización de mis puertos como huella digital para encontrarme. Aún así, me encuentran.
Mi pregunta es, si cambio de IP, y he hecho lo anterior, ¿cómo narices me encuentran en cuestión de minutos?
Pasa incluso si sólo dejo el router ADSL (que no tiene acceso desde internet), y el router con openwrt. Al poco, empieza a haber logs de ataques.
Lo único que comunica datos de IP al exterior, es el script de change-ip.com, para poder acceder al router desde fuera. ¿Podrían estar interceptando estos datos? Es lo siguiente que pienso probar, pero lo digo por si alguien tiene idea, ahora.
Las IPs provienen de todas partes del mundo, y parece que son dispositivos cautivos a los que hayan podido tener acceso. Me he encontrado alguno con openwrt, un asus RT-AC87U, Macs, etc, etc.
Evidentemente baneo todas aquellas IPs que hacen más de 2 intentos de entrar, pero la lista de baneos es ya de cientos, y no me apetece malgastar uso de CPU en las comprobaciones de prohibición de tráfico entrante.
Preferiría desaparecer de su objetivo.
¿A alguien le ha pasado lo mismo?
¿Alguien tiene idea de qué tipo de ataque es?
¿Alguna idea que podamos desarrollar entre todos?