Problemas con posible intruso en mi LAN

Iniciado por iiññaakkii, 1 Abril 2020, 12:10 PM

0 Miembros y 2 Visitantes están viendo este tema.

iiññaakkii

Citarpregunta, en la imagen de los servicios todos los de cuadrito azul están habilitados? D:

Así lo entiendo yo... ¿recomiendas que desactive algunos?

Citarno, dices que usas una vpn de prestigio y asumo que es algo tipo nordvpn, tunnel bear o alguna similar, en este caso no hay problema porque tu no eres el servidor vpn sino un cliente y entrar a tu lan desde allí es poco probable (tienen que vulnerar primero al servidor)

NordVPN, por tanto descartado.

Y por tanto la conclusión es que 192.168.0.1 y 192.168.0.10 es el router... dando respuestas diferentes.
¿sin ninguna duda?
Mira que no le veo lógica, pero teniendo en cuenta que sabéis mucho más que yo...

Muchas gracias

#!drvy

Ahí van otras tres pruebas.

Mira el Gateway (Puerta de enlace) por defecto con ethernet y por wifi.

En windows es con ipconfig, en Linux es con ip route. Conectate al Wifi y pilla la puerta de enlace. Seguramente sea 192.168.0.1 por lo que ya has dicho. Pero prueba también por cable a ver cual te tira.

Conectate al telnet a ver que te dice

Segun nmap, la IP tiene telnet abierto. En linux lo deberias tener instalado por defecto, en Windows lo tienes que habilitar ( https://rootear.com/windows/activa-telnet-w10 ), abres una consola/terminal y pones telnet seguido de o 192.168.1.10. Seguramente te pida usuario/contraseña pero seguramente tambien te imprima alguna cabecera previamente que pueda decirte si es un router o no.

https://www.youtube.com/watch?v=rpIokKihxIw

Tira todos los servicios que tienes en el NAT ALG Status de la captura que pasaste y vuelve a hacer el escaneo, es probable que si es el router, te retorne menos cosas o directamente no retorne a 192.168.1.10.



Yo sigo convencido al 99% que es un router xD

Saludos

iiññaakkii

CitarMira el Gateway (Puerta de enlace) por defecto con ethernet y por wifi.

Por ethernet:

default via 192.168.0.1 dev enp0s20 proto dhcp metric 100
169.254.0.0/16 dev enp0s20 scope link metric 1000
192.168.0.0/24 dev enp0s20 proto kernel scope link src 192.168.0.12 metric 100

Por Wifi:

0.0.0.0/1 via 10.8.0.1 dev tun0
default via 192.168.0.1 dev wlp2s0 proto dhcp metric 600
10.8.0.0/24 dev tun0 proto kernel scope link src 10.8.0.18
128.0.0.0/1 via 10.8.0.1 dev tun0
134.19.189.219 via 192.168.0.1 dev wlp2s0
169.254.0.0/16 dev wlp2s0 scope link metric 1000
192.168.0.0/24 dev wlp2s0 proto kernel scope link src 192.168.0.13 metric 600

CitarConectate al telnet a ver que te dice

$ telnet 192.168.0.10
Trying 192.168.0.10...
Connected to 192.168.0.10.
Escape character is '^]'.
(Me intento conectar con el user  y pass del router pero no puedo..


(none) login:

$ telnet 192.168.0.1

Trying 192.168.0.1...
telnet: Unable to connect to remote host: Connection refused

CitarTira todos los servicios que tienes en el NAT ALG Status


Todos deshabilitados. Pero sigue ahí:

$ nmap -sP 192.168.0.0/24


Starting Nmap 7.60 ( https://nmap.org ) at 2020-04-01 19:19 CEST
Nmap scan report for _gateway (192.168.0.1)
Host is up (0.018s latency).
Nmap scan report for 192.168.0.10
Host is up (0.019s latency).
Nmap scan report for 192.168.0.11
Host is up (0.037s latency).
Nmap scan report for lanekoa-W94-W95BU (192.168.0.13)
Host is up (0.000086s latency).
Nmap scan report for 192.168.0.16
Host is up (0.011s latency).
Nmap scan report for 192.168.0.18
Host is up (0.0096s latency).
Nmap done: 256 IP addresses (6 hosts up) scanned in 2.48 seconds

$ ping 192.168.0.10

PING 192.168.0.10 (192.168.0.10) 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=64 time=7.87 ms
64 bytes from 192.168.0.10: icmp_seq=2 ttl=64 time=2.91 ms
64 bytes from 192.168.0.10: icmp_seq=3 ttl=64 time=3.20 ms

#!drvy

¿Y tiene los mismos puertos abiertos que antes?

Saludos

iiññaakkii

#14
$ nmap -O -sV 192.168.0.10

Starting Nmap 7.60 ( https://nmap.org ) at 2020-04-01 19:42 CEST
Nmap scan report for 192.168.0.10
Host is up (0.0042s latency).
Not shown: 995 closed ports
PORT    STATE SERVICE     VERSION
23/tcp  open  telnet      security DVR telnetd (many brands)
80/tcp  open  http        BusyBox httpd 1.13
111/tcp open  rpcbind     2 (RPC #100000)
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
MAC Address: 00:10:95:XX:XX:XX (Thomson)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.9 - 2.6.30
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Yo diría que sí!


retr02332

Yo tambien estoy pasando por lo mismo justo justo ahora. Tal cual como mencionas me sucede. SI es bastante raro...

FFernandez

No lo entiendo usted entra al rooter y en DHCP Clients aparece tu ordenador y uno mas???


en time out no esta en infinito.
En este caso te da información de todos los dispositivos que se han conectado alguna vez.

TrashAmbishion

Hola,

En donde tienes configurado el VPN ?

Cuantos milisegundos te reporta el router con el ping ?

Y cuantos el otro host ?

Saludos