Показать сообщение отдельно
Непрочитано 14.04.2016, 13:17   #1
Полковник Исаев
Мужской Недосягаемый
Автор темы
 
Аватар для Полковник Исаев
 
Регистрация: 06.09.2003
Адрес: Москва
Какой дыркой воспользовались злоумышленники

Доброе время суток!
В этот вторник нагрянула ко мне полиция ранним утром с обвинением в распространении детского порно через программы Sharezza и какие-то ещё ни разу не популярные в нашей стране. Самих программ не нашли, видео тоже, иначе я бы сейчас не писал здесь -))
По их информации мой IP (а также ещё куча других адресов, в основном МГТС - потому как самый популярный и/или самый дырявый) засветился в раздаче этих видео.
Они предположили, что кто-то мог подключиться к вафле, тем более что на обоих железках работали точки доступа (три канала - на ONT провайдера самая медленная вафля, но в режиме совместимости с динозаврами B/G, а на моём маршрутизаторе в диапазоне 2.4 ГГц только N, настроенная на максимальную производительность и без поддержки старых N устройств и в диапазоне 5 ГГц AC+N также для максимальной производительности, чтоб тариф 500 Мб/с по воздуху протянуть).
Пароли были не самыми сложными, но и не простыми ни разу, свой роутер я всегда могу контролировать, а вот ONT МГТС нет, потому как если тупо забить в браузер мой прямой IP, то получим доступ к устройству через тырнэт, а пароли к ним легко гуглятся. Логи на нём по умолчанию отключены провайдером, сетевой экран также в минимальном режиме (сейчас всё это исправил, хоть вмешательство в оборудование и запрещено договором с провайдером)
Причём пароль я к ONT менял недавно, но учитывая большую инерцию нашей системы власти, то подключение могло произойти существенно раньше, а следствие как обычно упёрлось в бюрократию с получением решения суда на обыск и исследование техники.


Подскажите, как можно проверить свой маршрутизатор ASUS RT-AC68U на заражение и до кучи ONT провайдера ZTE F660 v3.0? При подключении к домашнему тырнэту через мобилы просто заваливает рекламой, о чём писал провайдеру, они перепрошивали удалённо ONT, а я менял пароль к его админке, но реклама продолжает переть - везде поставил рекламорезки, иначе беда - у меня в стиме даже реклама, на рабочем столе мобил, + постоянные редиректы во всех браузерах на всех ПК и мобилах (были до установки рекламорезки Adguard - кстати рекомендую, хоть и платное решение, но всякие бесплатные ADBlock и рядом не стоят, да ещё детектятся сайтами). При подключении к другому провайдеру рекламы такой нет.

Также остаётся вариант, что воспользовались одним из устройств внутри домашней сети - 2 ПК, 2 ноута, 4 мобилы, 1 смартТВ.
Все были отключены от сети и сейчас проверяю их по очереди установкой разных антивирей (360 Total Security, AVP Tool, CureIT + на ПК и буках стояли Emsisoft Internet Security) и полным сканом в параноидальном режиме, на 1 ноуте нашёл заражённый Firefox, почему-то добавленный в исключения антивиря 0_о пока больше ничего интересного не нашлось

Никакой доп. технической инфы у полиции не было, чтоб хоть как-то идентифицировать машины внутри своей сети - только мой прямой IP.

Сейчас перенастроил роутер и ONT, включил логирование на ONT, включил на нём же сетевой экран и сменил ещё раз пароль на сложный, но удалённое управление на нём никуда не делось конечно же, отключил на нём вафлю, запретил пинг с интернета и отключил услугу прямого IP, также выключил uPNP.
На домашнем роутере также сменил пароли на сложные, сменил SSID на другие и отключил вещание SSID (минимальная защита от лоха), осталось собрать все домашние устройства и вписать в фильтр по МАС, также отключил uPNP, хоть это и ударит по моим торрентам на закрытых трекерах (прощайте Redump и TOSEC ), но и пофигу, а то в следующий раз вместо вежливого, но настойчивого раннего визита, мне уже ОМОН дверь вынесет ночью -))

Сейчас ещё подам заявку на замену оборудования провайдера, пусть ставят другой ONT, к которому нет в открытом доступе логинов и паролей, но удалённое управление в них всё равно будет и это всё равно дыра - хоть провайдера меняй, но достойной альтернативы пока нет, никто выше 100 Мб/с не предлагает, а я уже не хочу меньше 500. Скорее бы к нам в район пришёл 2КОМ - у него гигабитный тариф есть! Правда не знаю, как там с безопасностью.

+ вспомнил ещё, что для доступа к заблокированным сайтам использовал прокси от Антизапрета - использовав сценарий автоматической настройки http://antizapret.prostovpn.org/proxy.pac - не может данная прокси иметь "обратный ход" использовав мою машину в качестве прокси для других?

Что ещё можно сделать, кроме бегства в глухую тайгу, где жить в землянке, питаться желудями и разводить медведей на ферме?
__________________
ПУК - Последняя Удачная Конфигурация.
(с) veroni4ka

Последний раз редактировалось Полковник Исаев; 14.04.2016 в 13:22.
Полковник Исаев вне форума  
Конфигурация ПК
Ответить с цитированием