En primer lugar, lo siento si todo esto parece un poco estúpido, pero mi campo de experiencia es el desarrollo de software, no la seguridad. Entonces, aquí está lo que pasó.
1 / La violación
Hice algo que realmente no debería haber hecho. Es decir, redirigí mi puerto de red externa 22 a mi raspberry pi, pensando que mi contraseña era lo suficientemente fuerte como para protegerme . El objetivo principal era trabajar de forma remota en mi desarrollador cuando no estaba en casa.
2 / El ataque
Ayer, mi padre me dijo que ya no podía enviar correos electrónicos. Lamentablemente, no pensé en tomar una captura de pantalla del mensaje de error, pero la línea básica era: "Esta dirección IP se ha bloqueado porque estaba intentando realizar ssh bruteforce en el puerto 22". Mi opinión es que un robot exploró mi red, vio que mi puerto 22 estaba abierto, registrado en mi pi por bruteforce y, una vez que inició sesión en el pi, intentó forzar la carga de otros dispositivos del mío. Estoy en lo correcto en esto? Como se señaló en el comentario, puede que no sea el caso, pero aquí están mis razones para pensar que fue:
- rasPi es el único dispositivo que acepta la conexión ssh desde Internet (de hecho, es el único dispositivo que acepta la conexión ssh)
- Los únicos otros puertos abiertos en mi enrutador son 80 y 8080. Ambos redireccionan a rasPi
- Cuando descubrimos el problema, desenchufé el Pi, reinicié el enrutador y todo funcionó bien. Puede que valga la pena señalar que cuando reiniciamos el enrutador, se produjo una especie de "cuarentena" que indica que se conectará a la red de Orange (ISP francés) en 5 minutos ", es la primera vez que veo este mensaje.
3 / La recuperación
Esta es la parte principal de mi pregunta: ¿qué acciones debo tomar ahora para recuperarme? Desde ayer, mi pi está desenchufado, tanto la alimentación como la Ethernet, y toda la redirección de mi puerto se ha cerrado. Ya no vemos ningún tráfico sospechoso, pero ¿existe algún riesgo de que toda mi red se haya visto comprometida? ¿Puedo reutilizar el pi como es con más medidas de seguridad? ¿Debo limpiarlo y empezar de nuevo? ¿Debo preocuparme por los datos de mi computadora de escritorio / teléfono inteligente o los de mi familia?
Muchas gracias.
TL; DR
¿Qué debo hacer si un dispositivo en mi red doméstica ha sido utilizado por un tercero para realizar la fuerza bruta a través de Internet?