Credo che il mio router sia stato infettato da un virus. Se lo è, è stato infettato per un lungo periodo di tempo (forse un anno o più). Però, ho iniziato a considerarlo un virus solo una settimana fa.
Ho dimenticato la password per il router in questione e non riesco a connettermi. Suppongo che ci sia una possibilità che, se è infetto, il virus potrebbe aver cambiato la password. Ho sentito che i virus sui router sono archiviati nella RAM e che cambiare la password dell'amministratore dopo un riavvio potrebbe aiutare, ma ho anche sentito che ci sono virus che rimangono dopo un riavvio e iniziano a richiedere la loro casa per un carico utile.
Voglio sbarazzarmi completamente di questo virus, ma prima mi piacerebbe capire da dove viene (possibilmente tracciando i suoi segnali) e cosa fa. Quale sarebbe un modo per farlo?
Se chiederà a casa un carico utile (dopo il riavvio) c'è la possibilità che io possa in qualche modo monitorare dove sta cercando di connettersi, ma c'è anche la possibilità che il virus possa essere rimosso o inizi a dormire ecc., quindi io non sarà in grado di trovarlo.
Quindi, come è possibile raccogliere quante più informazioni possibili sul virus (da dove proviene e cosa fa)? Come posso rimuoverlo completamente (senza tornare dopo il riavvio)?
Ho fornito alcune informazioni da una scansione intensa con NMap, che ha scansionato tutte le porte TCP (ho solo pubblicato le informazioni che possono essere utili).
Suppongo che rtsp spieghi perché google mi chiede sempre di eseguire controlli robot / umani.
It is an ordinary home network.
Here is the information about the router:
Zyxel router.
Open ports:
23/tcp
80/tcp
53/tcp
43254/tcp - seems to be the one, the virus is using
Scanning 4 services on 192.168.1.1
WARNING: Service 192.168.1.1:43254 had already soft-matched rtsp, but now soft-matched sip; ignoring second value
43254/tcp open rtsp
| fingerprint-strings:
| FourOhFourRequest, GetRequest:
| HTTP/1.0 404 Not Found
| Content-Type: text/html
| Connection: close
| Content-Length: 134
| Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
| Ext:
| <HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server.</BODY></HTML>
| GenericLines:
| 501 Not Implemented
| Content-Type: text/html
| Connection: close
| Content-Length: 149
| Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
| Ext:
| <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
| HTTPOptions:
| HTTP/1.0 501 Not Implemented
| Content-Type: text/html
| Connection: close
| Content-Length: 149
| Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
| Ext:
| <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
| RTSPRequest:
| RTSP/1.0 501 Not Implemented
| Content-Type: text/html
| Connection: close
| Content-Length: 149
| Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
| Ext:
|_ <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
|_rtsp-methods: ERROR: Script execution failed (use -d to debug)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port43254-TCP:V=7.50%I=7%D=8/28%Time=5B8500A3%P=x86_64-pc-linux-gnu%r(G
SF:enericLines,12F,"\x20501\x20Not\x20Implemented\r\nContent-Type:\x20text
SF:/html\r\nConnection:\x20close\r\nContent-Length:\x20149\r\nServer:\x20Z
SF:yXEL\x20Communications\x20Corp\.\x20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:
SF:\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x20Implemented</TITLE></HEAD><BOD
SF:Y><H1>Not\x20Implemented</H1>The\x20HTTP\x20Method\x20is\x20not\x20impl
SF:emented\x20by\x20this\x20server\.</BODY></HTML>\r\n")%r(GetRequest,122,
SF:"HTTP/1\.0\x20404\x20Not\x20Found\r\nContent-Type:\x20text/html\r\nConn
SF:ection:\x20close\r\nContent-Length:\x20134\r\nServer:\x20ZyXEL\x20Commu
SF:nications\x20Corp\.\x20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML
SF:><HEAD><TITLE>404\x20Not\x20Found</TITLE></HEAD><BODY><H1>Not\x20Found<
SF:/H1>The\x20requested\x20URL\x20was\x20not\x20found\x20on\x20this\x20ser
SF:ver\.</BODY></HTML>\r\n")%r(HTTPOptions,137,"HTTP/1\.0\x20501\x20Not\x2
SF:0Implemented\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nC
SF:ontent-Length:\x20149\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x
SF:20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>501\x20
SF:Not\x20Implemented</TITLE></HEAD><BODY><H1>Not\x20Implemented</H1>The\x
SF:20HTTP\x20Method\x20is\x20not\x20implemented\x20by\x20this\x20server\.<
SF:/BODY></HTML>\r\n")%r(RTSPRequest,137,"RTSP/1\.0\x20501\x20Not\x20Imple
SF:mented\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nContent
SF:-Length:\x20149\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x20UPnP
SF:/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x2
SF:0Implemented</TITLE></HEAD><BODY><H1>Not\x20Implemented</H1>The\x20HTTP
SF:\x20Method\x20is\x20not\x20implemented\x20by\x20this\x20server\.</BODY>
SF:</HTML>\r\n")%r(FourOhFourRequest,122,"HTTP/1\.0\x20404\x20Not\x20Found
SF:\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nContent-Lengt
SF:h:\x20134\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x20UPnP/1\.1\
SF:x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>404\x20Not\x20Found
SF:</TITLE></HEAD><BODY><H1>Not\x20Found</H1>The\x20requested\x20URL\x20wa
SF:s\x20not\x20found\x20on\x20this\x20server\.</BODY></HTML>\r\n");
MAC Address: [---i wont share it---] (ZyXEL Communications)
Device type: WAP
Running: ZyXEL embedded
OS details: ZyXEL Keenetic Giga WAP 2.04 - 2.05
Uptime guess: 1.111 days (since Mon Aug 27 08:20:50 2018)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=201 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Device: broadband router
FINGER PRINT IN FORM LEGGIBILE PER L'UOMO:
SF-Port43254-TCP:V=7.50%I=7%D=8/28%Time=5B8500A3%P=x86_64-pc-linux-gnu%r(GenericLines,12F," 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(GetRequest,122,"HTTP/1\.0 404 Not Found
Content-Type: text/html
Connection: close
Content-Length: 134
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server\.</BODY></HTML>
")%r(HTTPOptions,137,"HTTP/1\.0 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(RTSPRequest,137,"RTSP/1\.0 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(FourOhFourRequest,122,"HTTP/1\.0 404 Not Found
Content-Type: text/html
Connection: close
Content-Length: 134
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server\.</BODY></HTML>
");
Modifica Ecco un elenco di motivi per cui penso che esista un virus, in primo luogo:
- una strana porta aperta con rtsp;
- alcune applicazioni sul mio telefono dicono che la rete non è sicura e ha una strana attività su di essa (ma solo il mio telefono era in rete in quel momento e non ha virus di cui sono a conoscenza);
- google chiede continuamente controlli robot / umani. Ottiene i segnali automatici, ma non sembrano provenire dai dispositivi all'interno della rete;
- il mio account di social network è stato violato circa una settimana o due fa. Ho ripristinato l'accesso ad esso.
P.S. Se hai domande o suggerimenti su come posso porre meglio le mie domande, non esitare a suggerirle nei commenti.
P.P.S. Ho trovato questo articolo interessante: link Potrebbe essere correlato al mio problema.