¿Posible malware del enrutador? Recibir "Acceso denegado" y otros bloques extraños de varios sitios web

1

Así que he tenido un comportamiento de navegación extraño en las últimas semanas y ha empeorado mucho en los últimos días. He sido bloqueado / prohibido por varios sitios web de vez en cuando. Aquí hay algunos ejemplos:

Southwest.com : "Acceso denegado" No tiene permiso para acceder a " enlace " en este servidor.

Búsqueda de Google : mientras estoy de incógnito, a veces veo "Tráfico inusual desde la red de tu computadora" y aparece un captcha. Esto no sucede cuando no estoy de incógnito, probablemente porque inicié sesión en una de mis cuentas de Google.

Yelp : a veces me aparece un captcha cuando veo una página de negocios (especialmente proveniente de un motor de búsqueda).

Inicio de sesión en Playstation Vue : la misma respuesta de "Acceso denegado" como southwest.com de vez en cuando.

Schwab.com : he sido bloqueado de todo el sitio 3 veces en el transcurso de unos pocos meses. Acabo de conseguir una pantalla blanca. Llamé a soporte técnico y me dijeron que mi IP estaba prohibida, que la iban a desbancar, pero no pudieron explicarme por qué.

Godaddy : Intenté acceder a mi cuenta una vez con la contraseña correcta y recibí un mensaje que decía que me habían bloqueado por 5 horas.

Todo esto sucede desde múltiples dispositivos y sistemas operativos (y solo cuando estoy conectado a mi red doméstica), así que claramente hay algo extraño en el tráfico de mi red. Simplemente no sé cómo rastrearlo. Estoy algo familiarizado con Wireshark y he hurgado con los filtros y las estadísticas que intentan identificar el tráfico incompleto, pero aún no he podido encontrar nada. Definitivamente, parece que nuestra red está siendo utilizada como VPN / proxy abierto o uno de nosotros tiene malware.

Vivo con un compañero de cuarto con el que he hablado y está convencido de que no está ejecutando nada superficial y dice que recientemente realizó análisis de virus / malware en sus dos dispositivos. Yo personalmente tengo un escritorio y una computadora portátil. Ambos han regresado limpios de todos los análisis de virus / malware que he ejecutado y, en general, estoy bastante seguro con el software y los hábitos de navegación. Solo para estar más seguro, reformateé ambas máquinas esta semana. También verifiqué mi enrutador contra VPNFilter usando esta URL: enlace y se volvió limpio, pero no estoy seguro de que el enrutador es realmente limpio. Reconozco todos los dispositivos que están conectados a mi enrutador, y recientemente configuré el enrutador para usar el DNS de Google. Mi siguiente paso es restablecer la configuración de fábrica del enrutador en caso de que de alguna manera se infecte con cualquier otra cosa.

No tengo ni idea de los pasos a seguir. ¿Cuál es la mejor manera de detectar qué está pasando? ¿Puedo usar los filtros Wireshark para aislar cualquier tráfico potencial que esté usando nuestra red como un nodo de salida VPN / proxy / tor? ¿Puedo filtrar de alguna manera los nombres de dominio o las direcciones IP de los sitios a los que estoy bloqueado e intentar capturar cualquier solicitud automatizada que vaya a ellos?

    
pregunta Jeff 09.11.2018 - 18:56
fuente

1 respuesta

0

Cada una tomada por su cuenta, cada una de estas cosas enumeradas puede no ser demasiado para preocuparse. Tomados juntos, es difícil de decir.

Southwest.com : También obtengo un Acceso denegado en enlace (y en enlace ). Su servidor está mal configurado. Nada de lo que preocuparse. Edit: Tras una investigación más detallada, la página enlace se carga bien para mí cuando estoy usando un Dirección IP en los EE. UU., Y me da un Acceso denegado con una IP desde cualquier parte del mundo (que he intentado, varios a través de Europa, India, Australia). Así que, sinceramente, no estoy seguro de él. Pueden filtrar los IP bastante agresivamente, y puede ser una situación similar al problema de Schwab.com que experimentaste (y si descubriste que tu IP ha sido incluido en la lista negra, eso no es sorprendente).

Búsqueda de Google : también obtengo CAPTCHA ocasionales cuando estoy en modo de incógnito, aunque esto podría indicar un tráfico inusual genuino.

Yelp, Playstation Vue : no soy usuario de estos sitios y no puedo ofrecer comentarios, pero su descripción de estos problemas intermitentes no parece demasiado inusual.

Schwab.com : esto podría indicar un problema genuino. Si puedo suponer que está utilizando una conexión a Internet doméstica normal, entonces, con la mayoría de los proveedores de Internet, su dirección IP cambia con bastante frecuencia. Esto puede significar que simplemente se le asignó automáticamente una IP que alguien más ha usado para atacar el sitio web de Schwab, ya sea intencionalmente o (más probablemente) como parte involuntaria de una red de bots. Si tiene una IP dinámica (su IP cambia regularmente), no estaría muy preocupado por esto. Sin embargo, si tiene una IP estática (su IP es siempre la misma), esto es una preocupación, ya que significa que es algo en su red doméstica que de alguna manera se convierte en una parte involuntaria de un bot-net . Su IPS puede decirle qué (IP dinámica o estática) tiene, y puede cambiarlo de uno a otro si lo desea.

Godaddy : es mucho más probable que indique que alguien está tratando de forzar su contraseña de Godaddy de forma bruta que una infección en la computadora / red / enrutador de su hogar. Esto no es tan inusual, pero hay algunos pasos importantes para proteger sus cuentas. En primer lugar, Godaddy admite la autenticación de dos factores , que debe habilitar de inmediato si no lo ha hecho. (Los profesionales de seguridad recomiendan habilitar 2FA donde sea compatible). En segundo lugar, debe registrar sus direcciones de correo electrónico con enlace , ya que si su inicio de sesión en un lugar como Godaddy está siendo atacado, existe una excelente posibilidad de que sus credenciales se han filtrado en algún lugar y es muy importante saber qué sucede con sus datos.

En resumen, no creo que tengas muchas razones para preocuparte en este momento. Cada uno de esos síntomas tiene una explicación separada y razonable. También has dado algunos buenos pasos hasta ahora. Sin embargo, hay algunos pasos adicionales que puede tomar para protegerse.

  1. haveibeenpwned.com, como se mencionó anteriormente.
  2. Siempre asegúrese de que su software (sistema operativo, antivirus, etc.) esté completamente actualizado.
  3. Si tiene algún dispositivo "inteligente" o "Internet de las cosas" (bombillas inteligentes, lavaplatos habilitados para aplicaciones, cámaras de seguridad, ¿qué tiene usted?), asegúrese de que también estén completamente actualizados con su firmware y software actuales ( la gente a menudo se olvida de estos). Si no necesitan una conexión externa a Internet para su funcionalidad, entonces considere bloquearles el acceso a Internet también. (Lamentablemente, la mayoría de estos dispositivos necesitan conectividad completa a Internet para funcionar, pero aún así).
  4. Restablecer la configuración de fábrica del enrutador no se verá afectado, y vale la pena hacerlo. También debe asegurarse, como en todo lo demás, de que el software del enrutador esté completamente actualizado. Observo en los comentarios que tiene módem y enrutador separados; enjuague y repita para el modem.
  5. Si lo desea, puede comenzar a mirar su red como lo haría un atacante. Se pueden usar herramientas como nmap para encontrar elementos en su red que pueden no aparecer (por cualquier motivo) en la interfaz de su enrutador. Se puede usar Wireshark para investigar el tráfico, pero si no puede ejecutarlo directamente en su enrutador, puede requerir un poco de esfuerzo configurar un sistema mediante el cual su Wireshark pueda ver todo el tráfico que entra y sale.

Espero que esto ayude!

    
respondido por el Johnny 09.11.2018 - 20:10
fuente

Lea otras preguntas en las etiquetas