Modem arayüzüne google-proxy üzerinden izinsiz giriş

[afeser]

Merhaba arkadaşlar. DSL-N14U modemim var. Modem üzerinden port yönlendirme yaparak modem arayüzünü internete açtım. Ancak internet yavaş diye modemi yeniden başlatacakken arayüzüne girdiğimde 66.249.93.74 ip adresinden başkası girmiş olarak göründü. Başkası varken arayüze giremiyorum. 5 dk sonra tekrar denedim bu sefer girebildim. Ancak nmap ile taradığımda benim açmadığım portlar açılmış. Modemin kendi servis portları. Portları dışarı kapattım bir tek evdeki sunucunun ssh bağlantısı var. Şimdi merak ettiğim birkaç sorum var cevaplarsanız sevinirim.

1-Biri neden benim modemime girmiş olsun?
2-Bana ne zararı dokunabilir?
3-SSH key ile bağlantı yapıyorum. SSH şifremi de çalabilir mi?(modem arayüzü basit http ile bağlantı kuruyor)
4-Evde değilim ve muhtemelen 1 ay daha olmayacağım sizce tüm portları kapatmalı mıyım?
5-SSH üzerinden mesela afrikadan girişleri engellemek için bir şey yapabilir miyim veya olmaması gereken giriş yapıldığında otomatik shutdown komutunu kullanabilir miyim?
6-Siz ne önerirsiniz?

Sorularım bu kadar lütfen beni aydınlatın, ne yapacağımı bilemedim. Yardımlarınızı bekliyorum

[plazma]

Modem arayüz şifresi standartmı eğer öylesi ise değiştirin, gerçi sizin haricinde biri bağlandığı için arayüz şifresi, ssh vs değişiklik yapın, neden bağlanmıştır iyi niyet değildir orası kesin, size var ise verilerinizi çalmak için olabilir yada sizin üstünüzden bir şeyde yapmak için olabilir. Evde değilken kullanmayacaksanız kapatın dışarıya erişimi modemi, afrika ip lerini yasaklama ekleyebilirsiniz modemden ozaman reddedilir.

[Deathangel]

Evde senden baska kımse olmıcaksa ınternet kullanan çek fişi git otomatık engelleme işte


Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 29 Temmuz 2016 - 22:36:02
ssh server ın gerekli güvenlik ayarları var ona birşey yapamaz fail2ban bunu ssh serverına entegre et ssh server portuna yaklasamaz boylelıkle
sana tavsiyem düzenli log sistemi olustur log kaydı tutan bir cok program var
adsl arayüz şifreni degiştir
önemli verilerini şifreli bir hdd bölümü yaratarak oraya kaldır veri hırsızlıgı için gelmişse birsey yapamaz
gerçi modem arayüzünden bilgisayara erişim yapılabilirmi bilmiyorum ama modemden veri trafigini izleyebilicegini varsıyorum bu yuzden de datalarını dns ne kadar şifrelemeni öneririm

Dns şifreleme
https://forum.ubuntu-tr.net/index.php?topic=52231.0

Data Transferlerinde data şifreleme (Kendi Anlatımım )
https://forum.ubuntu-tr.net/index.php?topic=52294.0

Ip için ise Vpn öneririm pek bir faydası olmaz ama ugraştırır başka tür emelleri varsa

bide adls line mac filtreleme kur adamın mac ına ulastıysan kara listeye ekle buda onu ugrastırır mac degıstırır gene gırer eger nasıl girdigini bulamazsan valla benden bukadar network üzerinde aşagı yukarı bunu yapabılırsın herhalde

[Berkhan Berkdemir]

Merhaba,

İlk önerim vpn kullanmanız olacaktır. Ama benim şiddetle önerdiğim pfsense veya ipfire gibi firewall distroları kullanın.

Ama yok masrafdan kaçınmam gerek diyorsanız da port trafiklerini kontrol etmeniz gerekecek (bu da özelliği varsa modemin) ve admin -root- kullanıcısı şifresini internet kapalıyken değiştirin.

Bilgisayarınıda root kit, malware ve virüs/trojen lerden koruma amaçlı tarama yapın. Yine bilgisayarınızda ki güvenlik duvarı (server dan bahsetmiyorum) kurallarını kontrol edin. Birisi bilgisayarınızı dinliyor ve oradan da şifreyi alıyor olabilir. Mümkünse telefondan yapın WEB UI işlerinizi.

Şu kısmıda sormak istiyorum. SSH bağlantısı yaptığınız sunucu ne rolünde. Fail2ban gibi sistemler mevcut mu. Clamav ve root kit hunter ile bir tarama yapsanız iyi olur.

Ayrıca SQL, FTP veya WEB rolündeyse sisteminizin önceki yedeklerini hazırda bulundurun.

Kısadan hisse,
SSH bağlantısı dinlemek mümkün ama anlamak mümkün değildir. Benim şüphem bilgisayarınız dinleniyor. Büyük ihtimal ile crack yaparken sistemşnşze trojen girdi ve ağınızı hacker lara teslim etmiş olabilirsiniz. O yüzden önerim o bilgisayardan biraz uzak durun, taramları yapın.

Python, SQL Developer
İyi günler

[afeser]

Dün akşam portları kapadıktan sonra VPN ve ssh portları açık kalmıştı. SSH üzerinden herhangi bir giriş göremedim. Bilgisayarda trojan olsa istediği gibi şifreyi çalamaz mı?(ssh key ile giriş yapıyorum) Linux için anti virus bilmiyorum ama araştırıp yükleyeceğim yine de. Zaten veri transferini genelde ssh ile yapıyorum.

Asıl düşündüğüm modem arayüzü. Ben arayüze girerken  http ile giriş yapıyorum. Tam olarak protokolü bilmesem de telnet gibi bir şey sanırım şifreleme olmadan direk veri transfer ediliyor. Bugün VPN bağlantısında biri olduğunu farkettim. VPN gibi şifre ayarlamalarını falan hep http üzerinden yapıyorum. Direk kullanıcı adı ve şifre yazıp yolluyorum. Sanırım sorun burada. Ancak anlayamadığım yer şifre nerede çalınıyor?

Bilgisayarı bilgisayar dışından mı dinleniyor? Mesela ben veriyi yolladım yolda bir yere uğradı. Orada biri benim verimi alıp başkasına verebilir mi? Daha doğrusu verebilir de verir mi?
Yoksa bilgisayarda ağ dinleyen bir virus var da tüm ağ trafiğini görebiliyor mu?

Sizce hangisi daha mantıklı?

Not:Modem arayüzüne erişimi kaybettim(http yerine  https diye seçenek vardı. onu yaptım bir daha açılmadı arayüz sayfası. sanırım programsal bir hata) sadece telnet erişimi vardı ben de evdeki sunucudan gerekli dosyaları çekip modemde panic() fonksiyonunu başlattım. Şu anda herhangi bir yanıt vermiyor.

[Berkhan Berkdemir]

Merhaba,
Dediğiniz gibi HTTP şifre kullanmadan düz metin şeklinde gider. Bu yüzden (bu çağda) güvenli değildir. Ayrıca https yi aktif etmeniz için SSL e ihtiyacınız var.
Benim bilgisayarıma (centos 6.5 di o zaman) keyloger girmiş bilgidayarıma. Her şifre değiştirdiğimde adamlar benim şifremş alıyotlar. Sonradan uyandım ve temizledim bütün ağımı. Sizinde ne yaptıpınızı bilmiyorum ama dediğim gibi (bir ihtimal sonuçta) dinliyor olabilirler ağınızı.

Python, SQL Developer
İyi günler

[afeser]

Sonradan uyandım ve temizledim bütün ağımı. Sizinde ne yaptıpınızı bilmiyorum ama dediğim gibi (bir ihtimal sonuçta) dinliyor olabilirler ağınızı.

Hocam hangi program ile temizlediniz? Avast AVG gibi programlara baktım ama linux desteğini çekmiş. https://help.ubuntu.com/community/Antivirus şurada yazan open source programını denedim clamAV ancak bir türlü başlatamadım. Ne yüklememi önerirsiniz?

[Berkhan Berkdemir]

Sonradan uyandım ve temizledim bütün ağımı. Sizinde ne yaptıpınızı bilmiyorum ama dediğim gibi (bir ihtimal sonuçta) dinliyor olabilirler ağınızı.

Hocam hangi program ile temizlediniz? Avast AVG gibi programlara baktım ama linux desteğini çekmiş. https://help.ubuntu.com/community/Antivirus şurada yazan open source programını denedim clamAV ancak bir türlü başlatamadım. Ne yüklememi önerirsiniz?

Sizin linux kullandığınızı bilmiyordum. Ben kendi Windows bilgisayarıma McAfee SaaS, MalwareBytes ikilisi ile tarattım. Linux da ise sunucu tarafında kullandığım ikili clamav (veya şunu da bir deneyin derim https://www.comodo.com/home/internet-security/antivirus-for-linux.php) ve RKHunter. * bir şey çıkmazsa de yapılacak bence en akıllıca seçim modeminizin yedeğini alıp fabrika ayarlırına almak olacak. (Başka önerileride dinleyin derim)

Python, SQL Developer
İyi günler


EKLEME

Artık sondüşüncem, aile fertlerinizden biri bunu yapıyor yada siz sosyal mühendisliğe kurban gittiniz.
Anlamadığım nokta şu ki sizde eminim anlan vermediniz. Modem/Router'a niye saldırı yapılsın? Direkt olarak sizin modeminize bir backdoor açsa oradan rahatlıkla bilgisayarına girer, ağınızda dolanır. Ayrıca modem arayüzüne girebiliyorsa ben olsam sizin MAC adresinizi banlayıp öyle işime koyulurdum. Hem onuda geçtim, bunu yapınca hacker ın eline ne geçti diye de merak ediyorum (çinli bir arkadaşımızsa çokca tecrübe edindi).

[afeser]

Modem/Router'a niye saldırı yapılsın? Direkt olarak sizin modeminize bir backdoor açsa oradan rahatlıkla bilgisayarına girer, ağınızda dolanır. Ayrıca modem arayüzüne girebiliyorsa ben olsam sizin MAC adresinizi banlayıp öyle işime koyulurdum. Hem onuda geçtim, bunu yapınca hacker ın eline ne geçti diye de merak ediyorum (çinli bir arkadaşımızsa çokca tecrübe edindi).

Aynen neden olduğunu anlayamadım. Dediğiniz gibi MAC filitreleme olmasa dahi ssh portunu kapattığında direk tüm iletşimim kesilir zaten. Beni ağdan atmak istese atardı ama başka ne amacı olabilir ki tüm veriler ssh üzerinden geçiyor ve bildiğim kadarıyla güçlü bir şifrelemeye sahip ssh.
Eline ne geçtiğini ben de bilmiyorum. Belki ortada izinsiz giriş yoktur sadece modem yazılımı kafayı yiyip kafasına göre port açıp kapatmıştır diyeceğim ama elimde girişlerin yapıldığı ip adresleri var.
Bu işten hiç birşey anlamadım. Eve dönünce ilk iş modemi resetlemek olacak.

Hocam backdoor ile nasıl bilgisayara erişebilir? LAN üzerinde olması bilgisayarlara şifresiz erişim imkanı sağlar mı?

Aslında hepsi benim hatamdı modem arayüzünü internete açtım.(siz siz olun yapmayın  ssh tunnel falan kullanın) http ile çaıştığı için de muhtemelen şifreler kolaylıkla çalındı.

[Berkhan Berkdemir]

Şimdi ben bir önceki yazdıklarımın ne anlama geldiğini söyleyeyim

-Access log lardan sadece IP var ve WEB UI ya giriyor. Giriyorda bu adam neleri değiştiriyor.
-Bu ağda ne var ki adam meraklandı da SSH bağlantısı olan bir yere dadandı.

Şöyle backdoor arka kapı anlamında. Ben ağınızıda ki pc ye trojan bırakıp, ardından da backdoor bırakmış olabilir sistemde... Ama siz bu tezi çürüttünüz. Linux sistemin backdoor yemesi şu zamanlarda güç (imkansız demiyorum)

Ayrıca şunu sormak isterim SSH protocol version 1 mi kullanıyorsunuz yoksa 2 mi

Python, SQL Developer
İyi günler

[afeser]

Şimdi ben bir önceki yazdıklarımın ne anlama geldiğini söyleyeyim

-Access log lardan sadece IP var ve WEB UI ya giriyor. Giriyorda bu adam neleri değiştiriyor.
-Bu ağda ne var ki adam meraklandı da SSH bağlantısı olan bir yere dadandı.

Web UI üzerinden modemin smart access  diye bir özelliği var açınca modeme harddisk bağlıysa içine torrent indiriyor veya içinde veri varsa bunu internete açabiliyor.
Belki ssh olduğunu bilmiyordur çünkü SSH 8000. port üzerinde. Zaten ssh üzerinden giriş de yapılmamıştı.

Ayrıca şunu sormak isterim SSH protocol version 1 mi kullanıyorsunuz yoksa 2 mi

Bilmiyorum ama muhtemelen 2 çünkü arkadaşın sanal bilgisayarına yüklediğimiz aynı sistem ve 2. version.

Hocam şifreleri taşımak için ne kullanmalıyım? HTTP dışında bir tek SSH Tunnel var bildiğim ancak onu da android üzerinde kullanamıyorum. Önerileriniz var mı?

[Berkhan Berkdemir]

Şimdi ben bir önceki yazdıklarımın ne anlama geldiğini söyleyeyim

-Access log lardan sadece IP var ve WEB UI ya giriyor. Giriyorda bu adam neleri değiştiriyor.
-Bu ağda ne var ki adam meraklandı da SSH bağlantısı olan bir yere dadandı.

Web UI üzerinden modemin smart access  diye bir özelliği var açınca modeme harddisk bağlıysa içine torrent indiriyor veya içinde veri varsa bunu internete açabiliyor.
Belki ssh olduğunu bilmiyordur çünkü SSH 8000. port üzerinde. Zaten ssh üzerinden giriş de yapılmamıştı.

Ayrıca şunu sormak isterim SSH protocol version 1 mi kullanıyorsunuz yoksa 2 mi

Bilmiyorum ama muhtemelen 2 çünkü arkadaşın sanal bilgisayarına yüklediğimiz aynı sistem ve 2. version.

Hocam şifreleri taşımak için ne kullanmalıyım? HTTP dışında bir tek SSH Tunnel var bildiğim ancak onu da android üzerinde kullanamıyorum. Önerileriniz var mı?

Sizin durumuna hiç düşmedim Ben genel itibar ile ya ipfire ile kurtarırım işi [emoji2]. Yine bu konu üstlerde dursun. Benim çözğm yöntemlerim bitti

Python, SQL Developer
İyi günler