Προσπάθεια cracking από IP εξωτερικού στο καταγραφικό μου

[papars]

Έχω ένα IP καταγραφικό για να βλέπω τις κάμερες μου απομακρυσμένα.

Παρατήρησα μία μόνιμη προσπάθεια από IP εξωτερικού να κάνουν login.

Σίγουρα είναι τύπου brute force αφού "βαράνε" κάθε δευτερόλεπτο.  Το καταγραφικό απαντάει με "username or password error¨

Οι προσπάθειες είναι σε δέσμες των 7.  Δηλαδή έρχονται 7 requests από ένα IP, μετά άλλες 7 από άλλο IP και γίνεται αυτό το πράγμα συνέχεια.

Υπάρχει τρόπος να σταματήσω αυτές τις επιθέσεις;

[Loinen]

Ekει που ειναι οι καμερες υπαρχει ρουτερ; Αν ναι, τοτε μεσα απο εκει μπορεις να το περιορισεις. Δεν θυμαμαι πως το λενε, αλλα στα belkin ειχε μια παρομοια επιλογη.

[zx1234r]

30 λεπτά πριν, papars είπε

Έχω ένα IP καταγραφικό για να βλέπω τις κάμερες μου απομακρυσμένα.

Παρατήρησα μία μόνιμη προσπάθεια από IP εξωτερικού να κάνουν login.

Σίγουρα είναι τύπου brute force αφού "βαράνε" κάθε δευτερόλεπτο.  Το καταγραφικό απαντάει με "username or password error¨

Οι προσπάθειες είναι σε δέσμες των 7.  Δηλαδή έρχονται 7 requests από ένα IP, μετά άλλες 7 από άλλο IP και γίνεται αυτό το πράγμα συνέχεια.

Υπάρχει τρόπος να σταματήσω αυτές τις επιθέσεις;

Όπως λέει και ο απο πάνω. Αλλιώς άλλαξε Ip, άλλαξε dynamic dns (αν το έχεις έτσι σεταρισμένο) και βάλε ένα καλό firewall μετά το ρούτερ.

[papars]

Για hardware firewall το βλέπω και εγώ.  Έχω dynamic IP που αλλάζει κάθε μέρα - οπότε κάπως βρίσκουν την νέα (μάλλον από τον cloud server του καταγραφικού) και δεν σταματάνε με την αλλαγή IP.

 

[zx1234r]

Χμμμμ δες τι δυνατότητες security έχει το modem/router σου, γράψε και το μοντέλο του εδώ για να το ψάξουμε κι εμείς. Ποιό cloud του καταγραφικού είναι αυτό? Δίνει καμία δυνατότητα περιορισμού της πρόσβασης απο έξω?

[papars]

fritzbox 7590 έχω.

Cloud δεν ξέρω τι έχει - εφαρμογή έχω το XMEye

Προς το παρών έκλεισα από το fritz το port sharing για το καταγραφικό και δεν βλέπω χτυπήματα.  Θα το παρακολουθώ.

Έχω φόβο για το Fbot, γιατί το καταγραφικό έχει HiSilicon chipset

https://securityaffairs.co/wordpress/81567/malware/fbot-malware-hisilicon.html

[MiKe-Dee]

Πάντως, μια τακτική που βοηθά είναι η χρήση μη γνωστών ports. Δηλαδή, αν έχεις πρόσβαση στις κάμερές σου από την 8001, δοκίμασε να βάλεις την 20.000 ας πούμε. Οι περισσότεροι "κακόβουλοι" ας πούμε χρήστες ψάχνουν για κλασσικές πόρτες. Δες στο shodan.io με την public ip σου αν είσαι καταγεγραμμένος, πολύ πιθανό από εκεί να σε ψαρέψανε.

[papars]

Δεν είμαι με τις κλασικές default πόρτες - ούτε τα αρχικά Login/password.

Το ότι αλλάζω IP και επανέρχονται τα κτυπήματα αμέσως με προβληματίζει.  Για αυτό λέω ότι κάτι παίζει με το cloud του μηχανήματος - αφού το IP μου αλλάζει.

Θα δοκιμάσω factory reset και αλλαγή εσωτερικού IP να δω τι αλλάζει.

 

Βάζω και μια εικόνα από το Log.

Στην αρχή προσπαθούν από 190.15.108.107 να μπουν σαν admin, 7 φορές.  Μετά άλλες 7 από την 220.135.14.227.  Όλο το log είναι γεμάτο από επτάδες επιθέσεις.  Θα κατεβάσω το Log για να δω αν είναι συγκεκριμένος αριθμός των IP τους.  Πάντως είναι πολλές π.χ. 122.117.134.69 - 179.56.134.23 - 91.135.255.143 κλπ

Οι τελευταίες 2 είναι η δικιά μου σύνδεση από το desktop και από το κινητό - έχω σβήσει το login name.

Επεξ/σία 27 Σεπτεμβρίου 2019 από papars

[MiKe-Dee]

Πάντως η καλύτερη λύση ειδικά για κάτι τέτοια, θεωρώ πως είναι η προστασία με βάση την χώρα προέλευσης. Για κάτι οικονομικό, το Ubiquiti USG υποστηρίζει GeoLocation IP και έχει περίπου 120 ευρώ.

[Mene]

Δεν ξέρω αν το υποστηρίζει το fritzbox, πάντως σκέψου μήπως στήσεις ένα απλό VPN (π.χ. με raspberry) ώστε να κόψεις εντελώς οποιοδήποτε port forward.

[filipN]

Έχεις τσεκάρει στο FRITZ!Box τη λειτουργία "Firewall in stealth mode";

[M@dB0x]

automatic bot port scanners ειναι αυτο. Ειναι και ο λογος που εβαλα firewall. Οποιο πορτ σκανερ πιανω, του κανει αυτοματως ban την ip για οσο χρονο του δηλωσω εγω. Ειναι τακτικη πολυ του μοδος απο παντοτε και δεν υποστηριζεται σε firewall σχεδον απο κανενα ρουτερ.

 

Πρεπει να κλεισετε το upnp απο το ρουτερ σας..................... ολοι σας. Αλλιως μπορουν να αποκτησουν προσβαση ανοιγοντας αυτοματα πορτες.

Επεξ/σία 28 Σεπτεμβρίου 2019 από M@dB0x

[neo80]

Στις 27/9/2019 στις 11:48 ΠΜ, papars είπε

Υπάρχει τρόπος να σταματήσω αυτές τις επιθέσεις;

1. Να ενημερώνεις τακτικά το λειτουργικό αλλά και τα προγράμματα με patches,αλλά και να έχεις λίγα προγράμματα εγκατεστημένα όσο πιο λίγα τόσο λιγότερα και τα 0day exploits.
2. Να εγκαταστήσεις hardware firewall και να το σετάρεις σωστά,αλλά και antivirus κατα προτίμηση αυθεντικό και όχι πειρατικό (Kaspersky ή Bitdefender).
3. Να χρησιμοποιήσεις το nessus και να σκανάρεις το σύστημα σου και το δίκτυο για ευάλωτα σημεία "τρύπες".

Αν η επίθεση είναι APT (Advanced Persistent Threat) δηλ κρατική επίθεση απο χώρες όπως Κίνα,Ρωσία,ΗΠΑ,κτλ. τότε να ανησυχείς διπλά 

Και φυσικά απαγορεύονται τα bittorrent clients(πχ utorrent,qbittorrent,κτλ.) είναι πολύ ευάλωτα σε επιθέσεις 

Επεξ/σία 28 Σεπτεμβρίου 2019 από neo80

[papars]

Από την ώρα που έκλεισα την επιλογή "Independent port sharing allowed" στο fritz δεν ξαναείχα την παράξενη συμπεριφορά.

Που μου δίνει την εντύπωση ότι το ίδιο το καταγραφικό παίζει κάποιο ρόλο.

Έριξα μια ματιά σε κάμποσες από τις διευθύνσεις που με βάραγαν στο shodan.io και στο 99% υπήρχε καταγραφικό ή κάμερα (H264DVR στην πόρτα RTSP 554). (Το άλλο 1% δεν απάνταγε)

Οπότε μιλάμε για το Fbot που αναφέρω σε προηγούμενο Post.

Το firmware του καταγραφικού είναι από το 2015 - δεν βρήκα αναβάθμιση - μόνο ένα νεότερο γενικό λογισμικό που ίσως ταιριάζει και είναι του 2018.

Για ανακύκλωση το βλέπω.

Προσπάθησα να βάλω packet sniffing στο managed switch που έχω (για να δουλέψω το wireshark) αλλά κρεμάει και το ubiquiti  UAP και το MikroTik cAP από τα πολλά πακέτα.  Το fritz μου δίνει σύνδεση με το wireshark θα το κοιτάξω αργότερα.

[M@dB0x]

και το ιδιο το wireshark εχει sniffer και γενικως αυτα τα κανεις μονο σε test mode γιατι δε μπορεις να δουλεψεις αλλιως.