Potenziale malware del router? Ricezione di "Accesso negato" e altri blocchi strani da vari siti Web

Naviga le tue risposte
1

Quindi nelle ultime settimane ho avuto uno strano comportamento di navigazione e negli ultimi giorni è peggiorato molto. Sono stato bloccato / bannato da vari siti web. Ecco alcuni esempi:

Southwest.com : "Accesso negato" Non hai l'autorizzazione per accedere " link " su questo server.

Ricerca Google : mentre in incognito a volte vedo "Traffico insolito dalla rete del computer" e sono presentato con un captcha. Ciò non accade quando non sono in incognito, probabilmente perché sono connesso a uno dei miei account Google.

Yelp : talvolta mi viene presentato un captcha durante la visualizzazione di una pagina aziendale (in particolare proveniente da un motore di ricerca).

Login Playstation Vue : la stessa risposta "Accesso negato" come southwest.com ogni tanto.

Schwab.com : sono stato escluso dall'intero sito per 3 volte nel corso di alcuni mesi. Ho solo uno schermo bianco. Chiamato il supporto tecnico e hanno detto che il mio IP era vietato, che lo avrebbero sbloccato, ma non potevo darmi un motivo per cui.

Godaddy : ho provato ad accedere al mio account una volta con la password corretta e ho ricevuto un messaggio che diceva che ero bloccato per 5 ore.

Tutti questi accadono da più dispositivi e sistemi operativi (e solo quando sono connesso alla mia rete domestica), quindi chiaramente c'è qualcosa di strano in corso con il mio traffico di rete. Solo non so come rintracciarlo. Ho una certa familiarità con Wireshark e ho cercato con i filtri e le statistiche cercando di individuare il traffico impreciso, ma non ho ancora trovato nulla. Sembra che la nostra rete sia utilizzata come VPN / open proxy o che uno di noi abbia malware.

Vivo con un compagno di stanza con cui ho parlato ed è fermamente convinto che non stia eseguendo nulla di abbozzato e afferma di aver appena eseguito scansioni di virus / minacce informatiche sui suoi due dispositivi. Personalmente ho un desktop e un laptop. Entrambi sono tornati puliti da tutte le scansioni di virus / minacce informatiche che ho eseguito e sono generalmente abbastanza sicuro con il software e le abitudini di navigazione. Solo per essere più sicuro ho riformattato entrambe le macchine questa settimana. Ho anche controllato il mio router contro VPNFilter usando questo URL: link e è tornato pulito, ma non sono sicuro che il router è in realtà pulito. Riconosco tutti i dispositivi collegati al mio router e recentemente ho configurato il router per utilizzare il DNS di Google. Il mio prossimo passo è ripristinare il router alle impostazioni di fabbrica nel caso in cui in qualche modo venissi infettato da qualsiasi altra cosa.

Non ho idea di cosa fare dopo. Qual è il modo migliore per scoprire cosa sta succedendo? Posso utilizzare i filtri Wireshark per isolare qualsiasi potenziale traffico che utilizza la nostra rete come nodo di uscita VPN / proxy / tor? Posso in qualche modo filtrare i nomi di dominio o gli IP dei siti da cui sono bloccato e provare a catturare le richieste automatiche che vengono loro indirizzate?

    
posta Jeff 09.11.2018 - 18:56
fonte

1 risposta

0

Ognuno preso da soli, ognuna delle cose elencate potrebbe non essere troppo preoccupante. Presi insieme, è difficile da dire.

Southwest.com : Ricevo anche un accesso negato all'indirizzo link (e al link ). Il loro server non è configurato correttamente. Niente di cui preoccuparsi. Modifica: a seguito di un'indagine più approfondita, la pagina collegamento si carica bene per me quando utilizzo un Indirizzo IP negli Stati Uniti, e mi dà un accesso negato con un IP da qualsiasi parte del mondo (che ho provato - diversi attraverso Europa, India, Australia). Quindi non sono onestamente sicuro della sua. Possono filtrare gli IP in modo abbastanza aggressivo, e potrebbe essere una situazione simile al problema di Schwab.com che hai riscontrato (e se hai scoperto che il tuo IP è stato inserito nella lista nera, potrebbe non essere sorprendente).

Ricerca Google : ottengo anche CAPTCHA occasionali in modalità di navigazione in incognito, anche se questo potrebbe indicare un traffico insolito.

Yelp, Playstation Vue : non sono un utente di questi siti e non posso offrire commenti, ma la tua descrizione di questi problemi intermittenti non sembra troppo insolita.

Schwab.com : potrebbe indicare un vero problema. Se posso supporre che tu stia usando una normale connessione Internet a casa, allora con la maggior parte dei fornitori di servizi Internet il tuo indirizzo IP cambia molto spesso. Ciò potrebbe significare che ti è stato semplicemente assegnato automaticamente un IP che qualcun altro ha usato per attaccare il sito web di Schwab, intenzionalmente o (più probabilmente) come parte inconsapevole di una botnet. Se hai un IP dinamico (il tuo IP cambia regolarmente), non sarei troppo preoccupato per questo. Se, tuttavia, hai un IP statico (il tuo IP è sempre lo stesso), questa è una preoccupazione, poiché significa che è qualcosa nella tua rete domestica che in qualche modo diventa una parte inconsapevole di una bot-net . Il tuo IPS può dirti quale (IP dinamico o statico) hai e potrebbe essere in grado di passare dall'uno all'altro, se lo desideri.

Godaddy : è molto più probabile che qualcuno stia tentando di forzare la tua password Godaddy piuttosto che un'infezione sul tuo computer / rete / router di casa. Questo non è insolito, ma ci sono alcuni passaggi importanti per proteggere i tuoi account. Innanzitutto, Godaddy supporta l'autenticazione a due fattori , che devi abilitare immediatamente se non hai (I professionisti della sicurezza consigliano di abilitare 2FA ovunque sia supportato). In secondo luogo, dovresti registrare i tuoi indirizzi email con link , poiché se il tuo login in un posto come Godaddy viene attaccato, ci sono ottime possibilità che le tue credenziali sono stati divulgati da qualche parte, ed è molto importante sapere cosa sta succedendo con i tuoi dati.

In breve, non penso che tu abbia molte ragioni per preoccuparti a questo punto. Ognuno di questi sintomi ha una spiegazione separata e ragionevole. Hai anche fatto dei buoni passi avanti. Tuttavia, ci sono alcuni ulteriori passi da fare per proteggersi.

  1. haibeenpwned.com, come menzionato sopra.
  2. Sempre assicurati che il tuo software (sistema operativo, antivirus, ecc.) sia completamente aggiornato.
  3. Se disponi di dispositivi "intelligenti" o "Internet-of-Things" (lampadine intelligenti, lavastoviglie abilitate all'app, telecamere di sicurezza, cosa hai) assicurati che siano anche completamente aggiornati con il firmware e il software attuali ( le persone spesso dimenticano questi). Se non hanno bisogno di una connessione esterna a Internet per la loro funzionalità, allora considera di bloccarli dall'accesso a Internet. (Purtroppo, la maggior parte di questi dispositivi necessita di connettività Internet completa per funzionare, ma ancora.)
  4. Il ripristino delle impostazioni di fabbrica del router non guasta e vale la pena farlo. Dovresti anche assicurarti, come con qualsiasi altra cosa, che il software del router sia completamente aggiornato. Ho notato nei commenti che hai modem e router separati; risciacqua e ripeti per il modem.
  5. Se vuoi, puoi iniziare a guardare la tua rete come farebbe un utente malintenzionato. Strumenti come nmap possono essere utilizzati per trovare elementi sulla rete che potrebbero non apparire (per qualsiasi motivo) nell'interfaccia del router. Wireshark può essere utilizzato per investigare il traffico, ma se non sei in grado di eseguirlo direttamente sul tuo router, può essere necessario un certo sforzo per configurare un sistema in cui il tuo Wireshark possa vedere tutto il traffico che entra e che esce.

Spero che questo aiuti!

    
risposta data 09.11.2018 - 20:10
fonte

Leggi altre domande sui tag

È possibile che un'unità USB prodotta 3 mesi fa possa essere copiata di dati che mostra la data dell'ultima modifica del file prima della data di produzione? [chiuso] Qualcuno può clonare una chip card emv conoscendo le informazioni sulla banda magnetica? [duplicare]