Ho un router ASUS RT-AC66U e non sono l'individuo più esperto di tecnologia. All'inizio di oggi, la richiesta di accesso al router appariva nel mio browser, anche se non ero andato a 192.168.1.1. Ero preoccupato per questo, quindi ho installato l'ultimo aggiornamento del firmware dall'app Web del router (non il sito Web di ASUS), quindi ho deciso di reimpostarlo in fabbrica e modificare tutte le password. Per quanto ne so, tutte le impostazioni ASUS vulnerabili sono disabilitate. Il controllo del router di F-Secure mi ha fornito un rapporto "chiaro" prima e dopo l'aggiornamento del firmware.
Poche ore dopo, mentre nel registro di sistema, ho notato che la scheda Connessioni attive ha alcune destinazioni insolite. Ho provato a collegare alcuni di questi in Google, supponendo che avrebbero mostrato i siti web che avevo visitato. Quando ciò non ha funzionato (principalmente ottenevo risultati di ricerca IP), ho iniziato a collegare gli indirizzi a VirusTotal dopo averlo notato nei risultati di ricerca. Ho notato che in particolare mostrava i nomi dei server che pubblicizzavano siti porno nella ricerca WHOIS.
I miei server DNS sembrano essere server di Charter legittimi e, a un certo punto in questo processo, li ho trasformati nei server DNS di Google. Raramente vado a siti web con cui non ho familiarità, quindi non riesco a capire perché queste connessioni si presenteranno. Sono un po 'preoccupato per l'aggiornamento del firmware, dal momento che i server di ASUS non sono HTTPS. Non mi sono mai occupato di Active Connections, quindi non ho idea se è tipico che vengano visualizzati questi tipi di cose.
Qualsiasi aiuto qui sarebbe apprezzato sinceramente! Per qualsiasi motivo, sono estremamente nervoso per il mio router compromesso. Ho un Apple Airport Express che non ho configurato come router e sono tentato di passare a quello in opposizione all'AC66U.
Un piccolo aggiornamento ...
Ho disattivato Wi-Fi e attivato alcune volte per cancellare Active Connections. Non si cancella mai completamente (non sono sicuro se dovrebbe?) E ci sono più connessioni di quante ne abbia aperte i siti web (da 11 a 4). Strani indirizzi IP vengono ancora visualizzati (principalmente come TIME_WAIT, anche se alcuni come ESTABLISHED), anche se non necessariamente gli stessi ogni volta.
Il riavvio del router cancella quasi completamente le connessioni attive. In breve c'erano 4 connessioni aperte a 4 schede aperte (anche se non sono sicuro che corrispondessero). Ho eseguito un IP (104.16.13.13, che a mio avviso è stackexchange) tramite VirusTotal, e immediatamente diverse nuove connessioni ESTABLISHED mostrate nel registro delle attività. Sembrano cadere nel tempo, ma ci sono ancora 6 connessioni a 4 siti web aperti.