Penso che il mio lampone sia stato violato, cosa dovrei fare? [duplicare]

0

Prima di tutto, scusa se tutto ciò sembra un po 'stupido, ma il mio campo di competenza è lo sviluppo del software, non la sicurezza. Quindi, ecco cosa è successo.

1 / La violazione

Ho fatto qualcosa che davvero non dovrei avere. Vale a dire, ho reindirizzato la mia porta di rete esterna 22 al mio raspberry pi, pensavo che la mia password fosse abbastanza strong da proteggermi . L'obiettivo principale era lavorare da remoto sul mio dev ogni volta che non ero a casa.

2 / L'attacco

Ieri, mio padre mi ha detto che non poteva più inviare email. Purtroppo non ho pensato di prendere uno screenshot del messaggio di errore, ma la linea di base era: "Questo indirizzo IP è stato bloccato perché stava cercando di eseguire ssh bruteforce sulla porta 22". La mia opinione è che un bot abbia scansionato la mia rete, visto che la mia porta 22 era aperta, loggata nel mio corpo da bruteforce, e una volta loggato in pi, ho provato a rinforzare altri dispositivi dal mio. Sono corretto su questo? Come notato nel commento, potrebbe non essere il caso, ma qui ci sono le mie ragioni per pensare che fosse:

  1. Il rasPi è l'unico dispositivo che accetta la connessione ssh da internet (infatti, è l'unico dispositivo che accetta la connessione ssh)
  2. Le uniche altre porte aperte sul mio router sono 80 e 8080. Entrambi reindirizzano a rasPi
  3. Quando abbiamo scoperto il problema, ho scollegato il Pi, riavviato il router e tutto ha funzionato correttamente. Potrebbe valere la pena notare che quando abbiamo riavviato il router, abbiamo creato una sorta di "quarantena" che afferma "ti connetteresti alla rete Orange (ISP francese) in 5 minuti", è la prima volta che vedo questo messaggio.

3 / Il recupero

Questa è la parte principale della mia domanda: quali azioni devo intraprendere ora per recuperare? Da ieri, il mio pi è scollegato, sia a livello di potenza che di ethernet, e tutto il mio reindirizzamento delle porte è stato chiuso. Non vediamo più alcun traffico sospetto, ma esiste il rischio che tutta la mia rete sia stata compromessa? Posso riutilizzare il pi come lo sono con più misure di sicurezza? Dovrei eliminarlo e iniziare da fresco? Dovrei preoccuparmi dei dati sul mio computer desktop / smartphone o sui miei familiari?

Grazie mille.

TL; DR

Cosa devo fare se un dispositivo sulla mia rete domestica è stato utilizzato da una terza parte per eseguire bruteforce su Internet?

    
posta F.Carette 30.11.2018 - 09:56
fonte

1 risposta

2

Prima di tutto cerca di limitare il numero di dispositivi che hai. se vuoi quando l'hacker entra nel tuo dispositivo eseguire il seguente comando

cat /var/log/auth.log | grep 'Accepted'

controlla se l'attaccante ha già aggiunto l'utente nella tua casella

cut -d: -f1 /etc/passwd

come pure provare a usare password complesse, forse i tuoi servizi SSH sono già vulnerabili! quindi non si tratta della tua password! se stai usando "libssh" come servizi ssh c'è recentemente exploit rilasciato per bypass di autenticazione così forse dai tuoi altri servizi esposti a Internet

    
risposta data 30.11.2018 - 10:11
fonte

Leggi altre domande sui tag