УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Атака на роутер Sercomm rv6699

Опции темы

Поиск в этой теме

Опции просмотра

04.09.2021, 12:33

lex-lv

Guest

Сообщений: n/a

Провел на форуме:
679

Репутация: 0

Добрый день!

Помогите защититься.

Кто-то взломал и подключается... вижу, что:

1. в браузере создаются другие профили,

2. в VK появляется ещё один вход через браузер (с моим же IP!!) и мобильное приложение (хотя у меня оно не запущено). Cбрасываю подтверждение на остальных устройствах, меняю пароль, но через несколько минут снова кто-то подключается параллельно. И это несмотря на то, что стоит двухфакторная аутентификация.

В логах отображается:

Send sigusr2 to cwmp.

[Firewall] 2021-09-04T04:13:46Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=0 MARK=0x8200000 DROP

[Firewall] 2021-09-04T04:13:47Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=1 MARK=0x8200000 DROP

[Firewall] 2021-09-04T04:13:48Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=2 MARK=0x8200000 DROP

[Firewall] 2021-09-04T04:13:49Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=3 MARK=0x8200000 DROP

[Firewall] 2021-09-04T04:13:50Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=4 MARK=0x8200000 DROP

[Firewall] 2021-09-04T04:13:51Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=5 MARK=0x8200000 DROP

[Firewall] 2021-09-04T04:13:52Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=6 MARK=0x8200000 DROP

[Firewall] 2021-09-04T04:13:53Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=7 MARK=0x8200000 DROP

[Firewall] 2021-09-04T04:13:54Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=8 MARK=0x8200000 DROP

[Firewall] 2021-09-04T04:13:55Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=9 MARK=0x8200000 DROP

[System] 2021-09-04T04:14:20Z TR069 diag WiFi scan.

[IPTV] 2021-09-04T04:15:46Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:17:51Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:19:56Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:22:01Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:24:05Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:26:10Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:28:15Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:30:20Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:32:25Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:34:30Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:36:06Z receive igmpv3 report: host addres:192.168.1.104, group addres:224.0.0.251

[IPTV] 2021-09-04T04:36:08Z receive igmpv3 report: host addres:192.168.1.104, group addres:224.0.0.251

[IPTV] 2021-09-04T04:36:35Z send igmpv3 query: group addres:0.0.0.0

[IPTV] 2021-09-04T04:36:36Z receive igmpv3 report: host addres:192.168.1.104, group addres:224.0.0.251

Local UDP Flood Detect has been disabled on LAN.

Local ICMP Flood Detect has been disabled on LAN.

Local Winnuke Detect has been disabled on LAN.

Local LAN Source Detect has been disabled.

Local Smurf Detect has been disabled on LAN.

Local Fragment Flood Detect has been disabled on LAN.

Local Ping Response Block has been enabled.

Local UDP Flood Detect has been enabled on LAN.

Local ICMP Flood Detect has been enabled on LAN.

Local Winnuke Detect has been enabled on LAN.

Local Smurf Detect has been enabled on LAN.

Local Frament Flood Detect has been enabled on LAN.

Local Ping Response Block has been enabled.

Internet Access Generic Rule has been flushed.

Fireall Level has been set to Medium.

Local TCP/UDP Port Scan Detect has been enabled.

Local TCP/UDP Port Scan Block has been enabled.

Local TCP/UDP Half Open Detect has been enabled.

Local TCP/UDP Half Open Block has been enabled.

Forward TCP Port Scan Detect has been enabled.

Forward TCP Port Scan Block has been enabled.

Forward UDP Port Scan Detect has been enabled.

Forward UDP Port Scan Block has been enabled.

Forward TCP Half Open Detect has been enabled.

Forward TCP Half Open Block has been enabled.

Forward UDP Half Open Detect has been enabled.

Forward UDP Half Open Block has been enabled.

Local UDP Flood Detect has been disabled on WAN 0.

Local ICMP Flood Detect has been disabled on WAN 0.

Forward UDP Flood Detect has been disabled on WAN 0.

Local Winnuke Detect has been disabled on WAN 0.

Local Smurf Detect has been disabled on WAN 0.

Local Fragment Flood Detect has been disabled on WAN 0.

Local UDP Flood Detect has been disabled on WAN 1.

Local ICMP Flood Detect has been disabled on WAN 1.

Forward UDP Flood Detect has been disabled on WAN 1.

Local Winnuke Detect has been disabled on WAN 1.

Local Smurf Detect has been disabled on WAN 1.

Local Fragment Flood Detect has been disabled on WAN 1.

Local UDP Flood Detect has been enabled on WAN 0.

Local ICMP Flood Detect has been enabled on WAN 0.

Forward UDP Flood Detect has been enabled on WAN 0.

[Firewall] 2021-09-03T22:49:41Z Local Winnuke Detect has been enabled on WAN 0.

[Firewall] 2021-09-03T22:49:41Z Local Smurf Detect has been enabled on WAN 0.

[Firewall] 2021-09-03T22:49:42Z Local Fragment Flood detect has been enabled on WAN 0.

[Firewall] 2021-09-03T22:49:42Z Local UDP Flood Detect has been enabled on WAN 1.

Local ICMP Flood Detect has been enabled on WAN 1.

Forward UDP Flood Detect has been enabled on WAN 1.

Local Winnuke Detect has been enabled on WAN 1.

Local Smurf Detect has been enabled on WAN 1.

Local Fragment Flood detect has been enabled on WAN 1.

04.09.2021, 16:15

fandor9

Guest

Сообщений: n/a

Провел на форуме:
169390

Репутация: 47

Цитата:

Сообщение от lex-lv

lex-lv said:
↑
Добрый день!
Помогите защититься.
Кто-то взломал и подключается... вижу, что:
1. в браузере создаются другие профили,
2. в VK появляется ещё один вход через браузер (с моим же IP!!) и мобильное приложение (хотя у меня оно не запущено). Cбрасываю подтверждение на остальных устройствах, меняю пароль, но через несколько минут снова кто-то подключается параллельно. И это несмотря на то, что стоит двухфакторная аутентификация.
В логах отображается:
Spoiler: Log
Send sigusr2 to cwmp.
[Firewall] 2021-09-04T04:13:46Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=0 MARK=0x8200000 DROP
[Firewall] 2021-09-04T04:13:47Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=1 MARK=0x8200000 DROP
[Firewall] 2021-09-04T04:13:48Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=2 MARK=0x8200000 DROP
[Firewall] 2021-09-04T04:13:49Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=3 MARK=0x8200000 DROP
[Firewall] 2021-09-04T04:13:50Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=4 MARK=0x8200000 DROP
[Firewall] 2021-09-04T04:13:51Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=5 MARK=0x8200000 DROP
[Firewall] 2021-09-04T04:13:52Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=6 MARK=0x8200000 DROP
[Firewall] 2021-09-04T04:13:53Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=7 MARK=0x8200000 DROP
[Firewall] 2021-09-04T04:13:54Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=8 MARK=0x8200000 DROP
[Firewall] 2021-09-04T04:13:55Z MAC=, SRC= DST= PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=9 MARK=0x8200000 DROP
[System] 2021-09-04T04:14:20Z TR069 diag WiFi scan.
[IPTV] 2021-09-04T04:15:46Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:17:51Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:19:56Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:22:01Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:24:05Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:26:10Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:28:15Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:30:20Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:32:25Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:34:30Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:36:06Z receive igmpv3 report: host addres:192.168.1.104, group addres:224.0.0.251
[IPTV] 2021-09-04T04:36:08Z receive igmpv3 report: host addres:192.168.1.104, group addres:224.0.0.251
[IPTV] 2021-09-04T04:36:35Z send igmpv3 query: group addres:0.0.0.0
[IPTV] 2021-09-04T04:36:36Z receive igmpv3 report: host addres:192.168.1.104, group addres:224.0.0.251
Local UDP Flood Detect has been disabled on LAN.
Local ICMP Flood Detect has been disabled on LAN.
Local Winnuke Detect has been disabled on LAN.
Local LAN Source Detect has been disabled.
Local Smurf Detect has been disabled on LAN.
Local Fragment Flood Detect has been disabled on LAN.
Local Ping Response Block has been enabled.
Local UDP Flood Detect has been enabled on LAN.
Local ICMP Flood Detect has been enabled on LAN.
Local Winnuke Detect has been enabled on LAN.
Local Smurf Detect has been enabled on LAN.
Local Frament Flood Detect has been enabled on LAN.
Local Ping Response Block has been enabled.
Internet Access Generic Rule has been flushed.
Fireall Level has been set to Medium.
Local TCP/UDP Port Scan Detect has been enabled.
Local TCP/UDP Port Scan Block has been enabled.
Local TCP/UDP Half Open Detect has been enabled.
Local TCP/UDP Half Open Block has been enabled.
Forward TCP Port Scan Detect has been enabled.
Forward TCP Port Scan Block has been enabled.
Forward UDP Port Scan Detect has been enabled.
Forward UDP Port Scan Block has been enabled.
Forward TCP Half Open Detect has been enabled.
Forward TCP Half Open Block has been enabled.
Forward UDP Half Open Detect has been enabled.
Forward UDP Half Open Block has been enabled.
Local UDP Flood Detect has been disabled on WAN 0.
Local ICMP Flood Detect has been disabled on WAN 0.
Forward UDP Flood Detect has been disabled on WAN 0.
Local Winnuke Detect has been disabled on WAN 0.
Local Smurf Detect has been disabled on WAN 0.
Local Fragment Flood Detect has been disabled on WAN 0.
Local UDP Flood Detect has been disabled on WAN 1.
Local ICMP Flood Detect has been disabled on WAN 1.
Forward UDP Flood Detect has been disabled on WAN 1.
Local Winnuke Detect has been disabled on WAN 1.
Local Smurf Detect has been disabled on WAN 1.
Local Fragment Flood Detect has been disabled on WAN 1.
Local UDP Flood Detect has been enabled on WAN 0.
Local ICMP Flood Detect has been enabled on WAN 0.
Forward UDP Flood Detect has been enabled on WAN 0.
[Firewall] 2021-09-03T22:49:41Z Local Winnuke Detect has been enabled on WAN 0.
[Firewall] 2021-09-03T22:49:41Z Local Smurf Detect has been enabled on WAN 0.
[Firewall] 2021-09-03T22:49:42Z Local Fragment Flood detect has been enabled on WAN 0.
[Firewall] 2021-09-03T22:49:42Z Local UDP Flood Detect has been enabled on WAN 1.
Local ICMP Flood Detect has been enabled on WAN 1.
Forward UDP Flood Detect has been enabled on WAN 1.
Local Winnuke Detect has been enabled on WAN 1.
Local Smurf Detect has been enabled on WAN 1.
Local Fragment Flood detect has been enabled on WAN 1.

Немного странные выводы, причём здесь роутер?

Двухфакторная защита защищает в том случае, если вы заходите заново или с нового/ другого устройства, если же используется уже существующая сессия, то двухфакторная защита не защищает. Если у вас создаются новые профили для браузера, то роутер здесь не причём. Для этого нужно контролировать систему или же пользователя. Методов для этого куча (Hidden VNC, remote shell, agent, autostart итд.), но в конце концов всё идёт через сеть. Так-что вам нужно узнать что, где и куда стучит.

Логи от роутера вообще ниочём...

05.09.2021, 17:42

lex-lv

Guest

Сообщений: n/a

Провел на форуме:
679

Репутация: 0

Судя по всему, кто-то вместе со мной использует мой ПК и работает в браузере... Например, ВКонтакте в разделе "История активности" отображается несколько входов практически одновременно вместе со мной (через несколько минут после моего входа с двухфакторной аутентификацией).

Ещё в разделе "Настройки приложений" появляются:

vk.com

Официальное приложение

iPhone

Официальное приложение

Тогда как я сам не заходил в ВК на iPhone...

Сброс подтверждения на других устройствах временно всех выкидывает, но после моего очередного входа в аккаунт всё повторяется.

Смена пароля тоже не решает проблему...

Подскажите, пожалуйста, как защититься от этого?

Антивирусы молчат, COMODO ругается на батники, создаваемые нормальными программами...

« Предыдущая тема | Следующая тема »

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход