Creo que mi frambuesa fue pirateada, ¿qué debo hacer? [duplicar]

Navega tus respuestas
0

En primer lugar, lo siento si todo esto parece un poco estúpido, pero mi campo de experiencia es el desarrollo de software, no la seguridad. Entonces, aquí está lo que pasó.

1 / La violación

Hice algo que realmente no debería haber hecho. Es decir, redirigí mi puerto de red externa 22 a mi raspberry pi, pensando que mi contraseña era lo suficientemente fuerte como para protegerme . El objetivo principal era trabajar de forma remota en mi desarrollador cuando no estaba en casa.

2 / El ataque

Ayer, mi padre me dijo que ya no podía enviar correos electrónicos. Lamentablemente, no pensé en tomar una captura de pantalla del mensaje de error, pero la línea básica era: "Esta dirección IP se ha bloqueado porque estaba intentando realizar ssh bruteforce en el puerto 22". Mi opinión es que un robot exploró mi red, vio que mi puerto 22 estaba abierto, registrado en mi pi por bruteforce y, una vez que inició sesión en el pi, intentó forzar la carga de otros dispositivos del mío. Estoy en lo correcto en esto? Como se señaló en el comentario, puede que no sea el caso, pero aquí están mis razones para pensar que fue:

  1. rasPi es el único dispositivo que acepta la conexión ssh desde Internet (de hecho, es el único dispositivo que acepta la conexión ssh)
  2. Los únicos otros puertos abiertos en mi enrutador son 80 y 8080. Ambos redireccionan a rasPi
  3. Cuando descubrimos el problema, desenchufé el Pi, reinicié el enrutador y todo funcionó bien. Puede que valga la pena señalar que cuando reiniciamos el enrutador, se produjo una especie de "cuarentena" que indica que se conectará a la red de Orange (ISP francés) en 5 minutos ", es la primera vez que veo este mensaje.

3 / La recuperación

Esta es la parte principal de mi pregunta: ¿qué acciones debo tomar ahora para recuperarme? Desde ayer, mi pi está desenchufado, tanto la alimentación como la Ethernet, y toda la redirección de mi puerto se ha cerrado. Ya no vemos ningún tráfico sospechoso, pero ¿existe algún riesgo de que toda mi red se haya visto comprometida? ¿Puedo reutilizar el pi como es con más medidas de seguridad? ¿Debo limpiarlo y empezar de nuevo? ¿Debo preocuparme por los datos de mi computadora de escritorio / teléfono inteligente o los de mi familia?

Muchas gracias.

TL; DR

¿Qué debo hacer si un dispositivo en mi red doméstica ha sido utilizado por un tercero para realizar la fuerza bruta a través de Internet?

    
pregunta F.Carette 30.11.2018 - 09:56
fuente

1 respuesta

2

Primero, trata de limitar la cantidad de dispositivos que tienes. Si quieres cuando el atacante se metió en tu dispositivo. ejecuta el siguiente comando 

cat /var/log/auth.log | grep 'Accepted'

comprueba si el atacante ya ha agregado un usuario en tu casilla 

cut -d: -f1 /etc/passwd

también trata de usar contraseñas seguras, Por cierto, tal vez sus servicios ssh ya son vulnerables! así que no se trata de tu contraseña! Si estás usando "libssh" como servicios ssh recientemente se ha lanzado un exploit para la autenticación de bypass también puede ser de sus otros servicios expuestos a internet

    
respondido por el wazehell 30.11.2018 - 10:11
fuente

Lea otras preguntas en las etiquetas

¿Existe un chile constante en riesgo si un atacante conoce el valor y el hash? Robo de Cookies