Han entrando en mi WiFi - Necesito consejos para contrarrestar/localizar

Iniciado por Kensai, 14 Julio 2014, 11:42 AM

0 Miembros y 1 Visitante están viendo este tema.

sanson

Hola

Si usas información tan sensible , conectate por cable es una irresponsabilidad lo que haces. 

A un que pienso que con las medidas que has usado debería bastar. 

Solo se me ocurren dos cosas posibles .  Tienes un vicho en tu pc u otro gadget que uses en casa o y esta es un poco rara pero puede ser , tu isp se conecta remotamente , ya se han visto caso de puertas traseras en routers y cuentas ocultas con privilegios root , que son usados por los isp para dar soporte remoto y actualizaciones de firm

Saludos
Es más difícil desaprender conocimientos inútiles, que aprender cosa nuevas.

MANUAL BÁSICO DE WIFISLAX Y SUS HERRAMIENTAS DE AUDITORIA WIRELESS

Kensai

Hola Sanson,

Gracias por responder.

Tienes razón, es una mala costumbre, porque del país donde vengo jamás ocurrió esto. Pero por ejemplo, en mi caso entonces ¿tendría que quitar las antenas del router?

   La idea sería poder segmentar la red, usar la wifi para cosas mas triviales y usar cable para los trabajos más sensibles, pero al estar en el mismo router estaría igualmente expuesto, no?

Siguiendo los consejos de Sh4k4 formateé el PC, ya hice upgrade a nueva versión del AV e instalé el Malwarebytes Antimalware y revisé un par de veces todos mis medios de almacenamiento externo.

Lo curioso fue que luego de formatear esa noche llegué a casa y vi la MAC conectada al router, acto seguido hice los pasos que mencioné un par de posts atrás, vamos, reconfiguré todo. Otra cosa que me llamó la atención es que en el área NAT del router aparte de los puertos de eMule también estaban puertos TCP/UDP para Skype que no estaban antes. Ahora, lo que no tengo idea es si el router crea automáticamente estos puertos (lo dudo) o los ha colocado la persona que entró a mi red.


Se escuchan consejos.
Gracias.

MinusFour

Podría ser una vulnerabilidad de tu router que no han parchado. ¿Tienes WPS activado?

Kensai

Buenas de nuevo,

@Minusfour No está WPS activo :)

Señores, mi paranoia no estaba tan mal después de todo. Este Viernes he desactivado la WiFi y me he conectado por ethernet y ha pasado exactamente lo mismo, la misma MAC de nuevo en mi red, lo que quiere decir que luego que he hecho el filtrado MAC simplemente ha podido entrar por "internet". Supongo que ha exportado toda la configuración del router (el modelo que tengo permite hacer backup a un archivo plano y lo mismo también subir nuevamente un backup para restaurar la configuración. Encontré al menos 3 usuarios propios de jazztel con passwords por defecto

     La idea de desactivar la WiFi era precisamente esto, ver si también tenía acceso por otro lado y que obligara a pasar el tráfico por jazztel.

     Este finde he llamado a Jazztel y como poncio pilatos se han lavado las manos, básicamente han dicho que son un departamento al mejor estilo N1, es decir, sólo incidencias básicas y problemas básicos de seguridad o acceso al servicio, no tienen un departamento especializado para rastrear tráfico en su red.

    Ya ayer muy tarde por la noche lo que he hecho es a través del tablet desactivar la Wifi, aplicar los cambios y quitar el cable xDSL. Tomé screenshots de la configuración actual. Hoy al llegar a casa lo que haré será cambiar yo mismo todas las passwords por defecto de todos los usuarios del router, lo mismo con las contraseñas de WiFi sin incluir ninguna de las que he usado, esta vez me volveré un poco loco y pondré una contraseña de 48 caracteres distinta para cada cosa.

    Si esto no funciona  tengo que esperar que respondan la denuncia en la policia y conseguir otro PC para ejecutar el Kali, para no comprometer la información que tengo.


Kensai

Buenas de nuevo señores,

    Pues nada, he hecho todo lo que dije, he reseteado y cambiado las contraseñas de TODO, he desactivado la Wifi y solo estoy conectado por Ethernet.

    Al iniciar de nuevo el router con todos los cambios hechos he dejado ejecutando el wireshark contra la interfaz eth0. Durante las pruebas, sólo 02 dispositivos tienen dirección IP en la LAN: Mi PC y el router.

Resultado, a las 3 horas este fue el mensaje que ví:

Who was [ip de mi pc ]? Tell [ip de mi router en la lan] (duplicate use of [ip de mi router en la lan] detected!)

Miro los detalles del frame de este mensaje y veo esto:

Duplicate IP address detected for  [ip de mi router en la lan] (MAC que no es del router ni del PC) - also in use by [MAC de mi router]

Sender MAC Address [MAC que no me pertenece] (MAC que no me pertenece)
Sender IP address: [ip de mi router en la lan] (ip de mi router en la lan)
Target MAC address: [MAC de una red wifi en los alrededores] (MAC de una red wifi en los alrededores)
Target IP Address: [ip de mi pc ] (ip de mi pc)

La MAC de la Wifi externa corresponde a una Wifi que está fuera de mi rango (estará usando alguna antena para tener mayor alcance?), tiene seguridad WEP sin contraseña, SSID escondido y la red es sólo 802.11a/b (o al menos eso dijo el netsurveyor)

Opiniones?

Gracias.

sanson

Hola

Si tienes desactivado el WiFi, no puede conectar por WiFi, así que sera mac clonada.  Lo que no se decirte es como lo hace .

¿has comprobado todos tus cacharros?  Movil, tablet etc. 

Parece una infección , pero como dices que ya has limpiado todo , pues no se me ocurre nada.

Montar semejante ataque para robar internet menparce una perdida de tiempo , salvo que lo que quiera son esas credenciales que usas .

Saludos
Es más difícil desaprender conocimientos inútiles, que aprender cosa nuevas.

MANUAL BÁSICO DE WIFISLAX Y SUS HERRAMIENTAS DE AUDITORIA WIRELESS

Kensai

Hola sanson,

     El móvil lo desconecté de la WiFi tan pronto vi el ataque y no lo he conectado desde entonces. La tablet que uso es android y no tiene ni una sola información privada ni la he sincronizado con google.

     Podría hacerlo si ya una vez se descargó la configuración del router y se sabe los DNS del ISP, etc. aún y cuando yo haya cambiado todas las contraseñas?

     Lo primero que haré con FING será buscar si la red está en mi edificio, vamos, a lo mejor tiene una señal bajísima no porque esté muy lejos como he pensado hasta ahora sino porque ha reducido considerablemente la señal.

     Lo único que se me ocurre es que sea alguna banda que ande buscando dinero fácil robando información bancaria o que quiera hacer suplantación de identidad, que seguro que no soy el único que estará siendo "atacado" por la zona. Cómo tu dices y cómo lo pienso yo: es demasiado interés sólo por WiFi, y mas cuando hay al menos unas 12 o 14 Wifi alrededor, sin contar las que no estarán a mi alcance. Esto vendrá de algún "vecino" reciente de la zona, tengo casi 2 años por este barrio y no había pasado hasta ahora.

Ya les iré actualizando la odisea.
Gracias por las respuestas.

vk496

Cita de: sanson en 18 Julio 2014, 09:13 AM
, tu isp se conecta remotamente , ya se han visto caso de puertas traseras en routers y cuentas ocultas con privilegios root , que son usados por los isp para dar soporte remoto y actualizaciones de firm

No será esto lo que te está pasando?

Salu2

Kensai

Hola vk496,

Gracias por tu respuesta.

     ¿Es posible ver estos usuarios escondidos si te descargas la configuración del router?

     En el router dentro del área de Management hay un punto que dice "TR-069 Client", he leido por ahí que lo usan los ISP pero que realmente es un punto de vulnerabilidad. Hay alguna forma de acceder al daemon que ejecuta esto o acceder al SO del router? Vamos, que a lo mejor son preguntas tontas pero al ser un principiante en esto.

Saludos.

Kensai

Saludos señores,

   Espero tener suerte hoy con el Wifislax, ya lo descargué. Utilizaré linset no para atacarle sino para obtener la info de todas las estaciones que estén en su red y ver si puedo obtener mayor información.

    Investigué por internet y el router tiene un backdoor que aparentemente aún no se ha corregido, comenzando por un usuario llamado nobody y hay una forma de entrar por telnet.

     Pues bien, el personaje el otro día entró nuevamente y cambió todos los datos de mi red, incluyendo la mac del router y también escondió el SSID.

Ya les reportaré algo.

Saludos.