Come gestire il virus sul mio router?

-1

Credo che il mio router sia stato infettato da un virus. Se lo è, è stato infettato per un lungo periodo di tempo (forse un anno o più). Però, ho iniziato a considerarlo un virus solo una settimana fa.

Ho dimenticato la password per il router in questione e non riesco a connettermi. Suppongo che ci sia una possibilità che, se è infetto, il virus potrebbe aver cambiato la password. Ho sentito che i virus sui router sono archiviati nella RAM e che cambiare la password dell'amministratore dopo un riavvio potrebbe aiutare, ma ho anche sentito che ci sono virus che rimangono dopo un riavvio e iniziano a richiedere la loro casa per un carico utile.

Voglio sbarazzarmi completamente di questo virus, ma prima mi piacerebbe capire da dove viene (possibilmente tracciando i suoi segnali) e cosa fa. Quale sarebbe un modo per farlo?

Se chiederà a casa un carico utile (dopo il riavvio) c'è la possibilità che io possa in qualche modo monitorare dove sta cercando di connettersi, ma c'è anche la possibilità che il virus possa essere rimosso o inizi a dormire ecc., quindi io non sarà in grado di trovarlo.

Quindi, come è possibile raccogliere quante più informazioni possibili sul virus (da dove proviene e cosa fa)? Come posso rimuoverlo completamente (senza tornare dopo il riavvio)?

Ho fornito alcune informazioni da una scansione intensa con NMap, che ha scansionato tutte le porte TCP (ho solo pubblicato le informazioni che possono essere utili).

Suppongo che rtsp spieghi perché google mi chiede sempre di eseguire controlli robot / umani.

It is an ordinary home network.
Here is the information about the router:
Zyxel router.
Open ports:
23/tcp
80/tcp
53/tcp
43254/tcp - seems to be the one, the virus is using

Scanning 4 services on 192.168.1.1
WARNING: Service 192.168.1.1:43254 had already soft-matched rtsp, but now soft-matched sip; ignoring second value


43254/tcp open  rtsp
| fingerprint-strings: 
|   FourOhFourRequest, GetRequest: 
|     HTTP/1.0 404 Not Found
|     Content-Type: text/html
|     Connection: close
|     Content-Length: 134
|     Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
|     Ext:
|     <HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server.</BODY></HTML>
|   GenericLines: 
|     501 Not Implemented
|     Content-Type: text/html
|     Connection: close
|     Content-Length: 149
|     Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
|     Ext:
|     <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
|   HTTPOptions: 
|     HTTP/1.0 501 Not Implemented
|     Content-Type: text/html
|     Connection: close
|     Content-Length: 149
|     Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
|     Ext:
|     <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
|   RTSPRequest: 
|     RTSP/1.0 501 Not Implemented
|     Content-Type: text/html
|     Connection: close
|     Content-Length: 149
|     Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
|     Ext:
|_    <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
|_rtsp-methods: ERROR: Script execution failed (use -d to debug)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port43254-TCP:V=7.50%I=7%D=8/28%Time=5B8500A3%P=x86_64-pc-linux-gnu%r(G
SF:enericLines,12F,"\x20501\x20Not\x20Implemented\r\nContent-Type:\x20text
SF:/html\r\nConnection:\x20close\r\nContent-Length:\x20149\r\nServer:\x20Z
SF:yXEL\x20Communications\x20Corp\.\x20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:
SF:\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x20Implemented</TITLE></HEAD><BOD
SF:Y><H1>Not\x20Implemented</H1>The\x20HTTP\x20Method\x20is\x20not\x20impl
SF:emented\x20by\x20this\x20server\.</BODY></HTML>\r\n")%r(GetRequest,122,
SF:"HTTP/1\.0\x20404\x20Not\x20Found\r\nContent-Type:\x20text/html\r\nConn
SF:ection:\x20close\r\nContent-Length:\x20134\r\nServer:\x20ZyXEL\x20Commu
SF:nications\x20Corp\.\x20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML
SF:><HEAD><TITLE>404\x20Not\x20Found</TITLE></HEAD><BODY><H1>Not\x20Found<
SF:/H1>The\x20requested\x20URL\x20was\x20not\x20found\x20on\x20this\x20ser
SF:ver\.</BODY></HTML>\r\n")%r(HTTPOptions,137,"HTTP/1\.0\x20501\x20Not\x2
SF:0Implemented\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nC
SF:ontent-Length:\x20149\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x
SF:20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>501\x20
SF:Not\x20Implemented</TITLE></HEAD><BODY><H1>Not\x20Implemented</H1>The\x
SF:20HTTP\x20Method\x20is\x20not\x20implemented\x20by\x20this\x20server\.<
SF:/BODY></HTML>\r\n")%r(RTSPRequest,137,"RTSP/1\.0\x20501\x20Not\x20Imple
SF:mented\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nContent
SF:-Length:\x20149\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x20UPnP
SF:/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x2
SF:0Implemented</TITLE></HEAD><BODY><H1>Not\x20Implemented</H1>The\x20HTTP
SF:\x20Method\x20is\x20not\x20implemented\x20by\x20this\x20server\.</BODY>
SF:</HTML>\r\n")%r(FourOhFourRequest,122,"HTTP/1\.0\x20404\x20Not\x20Found
SF:\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nContent-Lengt
SF:h:\x20134\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x20UPnP/1\.1\
SF:x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>404\x20Not\x20Found
SF:</TITLE></HEAD><BODY><H1>Not\x20Found</H1>The\x20requested\x20URL\x20wa
SF:s\x20not\x20found\x20on\x20this\x20server\.</BODY></HTML>\r\n");
MAC Address: [---i wont share it---] (ZyXEL Communications)
Device type: WAP
Running: ZyXEL embedded
OS details: ZyXEL Keenetic Giga WAP 2.04 - 2.05
Uptime guess: 1.111 days (since Mon Aug 27 08:20:50 2018)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=201 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Device: broadband router

FINGER PRINT IN FORM LEGGIBILE PER L'UOMO:

SF-Port43254-TCP:V=7.50%I=7%D=8/28%Time=5B8500A3%P=x86_64-pc-linux-gnu%r(GenericLines,12F," 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(GetRequest,122,"HTTP/1\.0 404 Not Found
Content-Type: text/html
Connection: close
Content-Length: 134
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server\.</BODY></HTML>
")%r(HTTPOptions,137,"HTTP/1\.0 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(RTSPRequest,137,"RTSP/1\.0 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(FourOhFourRequest,122,"HTTP/1\.0 404 Not Found
Content-Type: text/html
Connection: close
Content-Length: 134
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server\.</BODY></HTML>
");

Modifica Ecco un elenco di motivi per cui penso che esista un virus, in primo luogo:

  • una strana porta aperta con rtsp;
  • alcune applicazioni sul mio telefono dicono che la rete non è sicura e ha una strana attività su di essa (ma solo il mio telefono era in rete in quel momento e non ha virus di cui sono a conoscenza);
  • google chiede continuamente controlli robot / umani. Ottiene i segnali automatici, ma non sembrano provenire dai dispositivi all'interno della rete;
  • il mio account di social network è stato violato circa una settimana o due fa. Ho ripristinato l'accesso ad esso.

P.S. Se hai domande o suggerimenti su come posso porre meglio le mie domande, non esitare a suggerirle nei commenti.

P.P.S. Ho trovato questo articolo interessante: link Potrebbe essere correlato al mio problema.

    
posta Mee 28.08.2018 - 10:21
fonte

2 risposte

0

Vorrei iniziare cercando di proteggere il router. Secondo Speednet.com, VPNFilter è un nuovo tipo di malware progettato specificamente per i router Internet di destinazione. È in grado di raccogliere informazioni di comunicazione dal router, attaccare altri computer e distruggere il dispositivo in remoto. Secondo Cisco, il malware ha già infettato oltre 500.000 router in tutto il mondo.

Non tutti i router sono suscettibili a VPNFilter, ma alcuni dei principali marchi sono a rischio. Il modo più semplice (e attualmente, l'unico) per rimuovere completamente VPNFilter è quello di eseguire un ripristino dei dati di fabbrica. In genere, ciò comporta l'abbassamento del pulsante di accensione per 5-10 secondi, ma potresti voler controllare in base al modello di router specifico.

Se non si desidera eseguire un ripristino dei dati di fabbrica completo (che può cancellare dati importanti dal dispositivo), è anche possibile riavviare semplicemente il router. Questo non ucciderà completamente VPNFilter, ma rimetterà il malware nella sua fase iniziale e ti acquisterà del tempo. Una volta cancellato il router, ci sono alcuni modi per proteggere te stesso andando avanti.

Per prima cosa, assicurati di eseguire il firmware più recente accedendo al tuo account router in un browser Internet e verificando la presenza di aggiornamenti. Devi anche cambiare la password dell'amministratore per un ulteriore livello di protezione.

Infine, assicurati che la gestione remota sia disattivata. Ciò impedirà agli hacker di controllare il router senza la tua autorizzazione. Questo dovrebbe tenerti al sicuro da eventuali attacchi futuri di malware. Per quanto riguarda ciò che sta accadendo con il virus, questo aiuterebbe. Quando si risolvono le porte aperte sconosciute, è utile trovare esattamente quali servizi / processi le stanno ascoltando. Questo può essere ottenuto sia con il prompt dei comandi di Windows sia con le varianti di Linux usando il comando "netstat -aon".

Per quanto riguarda RTSP, secondo Juniper.net, il Rapid Tree Spanning Protocol (RTSP) è il protocollo spanning tree predefinito per impedire loop su reti Ethernet. I protocolli Spanning Tree aiutano a prevenire le tempeste di trasmissione.

Vorrei anche assicurarmi di cambiare la password dell'amministratore e il MAC, se possibile.

    
risposta data 28.08.2018 - 15:46
fonte
1

a strange open port with rtsp;

RTSP è il protocollo di streaming in tempo reale. Ma l'intestazione dice chiaramente UPnP, quindi la mia ipotesi è che nmap abbia erroneamente identificato il servizio in esecuzione. La maggior parte dei router di consumo supporta UPnP.

some applications on my phone say that the network is not secure and has strange activity on it (yet only my phone was on the network at that time and it has no viruses that I am aware of);

Che cosa esattamente dice l'app? La rete è protetta ad esempio con WPA2, o solo WEP o addirittura senza sicurezza? Hai installato certificati di terze parti sul tuo telefono? Quale app ti dice questo?

Non mi confiderò molto su ciò che ti dice un'app per smartphone.

google asks for robot/human checks all the time. It gets automated signals, but they don't appear to be coming from the devices within the network;

Quale IP esterno ha il router? Se disponi di un ISP con NAT Carrier Grade o proxy di richieste HTTP o utilizza una VPN, Google potrebbe metterti in discussione con tali verifiche. Ciò indica molte richieste, che possono essere o non essere dovute al malware. Secondo me, è non un indicatore strong di malware.

my social network account was hacked about a week or two ago. I have restored access to it.

Facebook utilizza https e ha precaricato HSTS in tutti i principali browser. I malware al livello del router non saranno in grado di intercettare tale traffico, senza inserire un certificato di terze parti nell'archivio certificati radice del sistema operativo.

In breve; Il tuo router potrebbe avere malware, ma i motivi che fornisci non mi convincono davvero, e vorrei esaminare e cercare di capire ciascuno dei punti prima di saltare alle conclusioni, come fai tu.

    
risposta data 28.08.2018 - 18:41
fonte

Leggi altre domande sui tag