¿Cómo manejar el virus en mi enrutador?

-1

Creo que mi enrutador está infectado con un virus. Si es así, se ha infectado durante un período prolongado de tiempo (quizás un año o más). Sin embargo, solo empecé a considerar que era un virus hace una semana.

Olvidé mi contraseña del enrutador en cuestión y no puedo conectarme a él. Supongo que existe la posibilidad de que si está infectado, el virus haya cambiado la contraseña. Escuché que los virus en los enrutadores se almacenan en la memoria RAM y que cambiar la contraseña del administrador después de un reinicio podría ayudar, pero también escuché que hay virus que permanecen después de un reinicio y comienzan a solicitar a su hogar una carga útil. p>

Quiero deshacerme de este virus por completo, pero antes de eso me gustaría averiguar de dónde vino (posiblemente al rastrear sus señales) y qué hace. ¿Cuál sería una manera de hacer esto?

Si se solicita una carga útil a casa (después del reinicio), existe la posibilidad de que pueda controlar de alguna manera dónde se está conectando, pero también existe la posibilidad de que el virus se elimine o comience a dormir, etc. no podrá encontrarlo.

Entonces, ¿cómo es posible recopilar la mayor cantidad de información posible sobre el virus (de dónde proviene y qué hace)? ¿Cómo puedo eliminarlo por completo (sin que vuelva después de un reinicio)?

He proporcionado información de un escaneo intenso con NMap, que escanea todos los puertos TCP (solo he publicado la información que puede ser útil).

Supongo que rtsp explica por qué Google siempre me pide que realice comprobaciones de robots / humanos.

It is an ordinary home network.
Here is the information about the router:
Zyxel router.
Open ports:
23/tcp
80/tcp
53/tcp
43254/tcp - seems to be the one, the virus is using

Scanning 4 services on 192.168.1.1
WARNING: Service 192.168.1.1:43254 had already soft-matched rtsp, but now soft-matched sip; ignoring second value


43254/tcp open  rtsp
| fingerprint-strings: 
|   FourOhFourRequest, GetRequest: 
|     HTTP/1.0 404 Not Found
|     Content-Type: text/html
|     Connection: close
|     Content-Length: 134
|     Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
|     Ext:
|     <HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server.</BODY></HTML>
|   GenericLines: 
|     501 Not Implemented
|     Content-Type: text/html
|     Connection: close
|     Content-Length: 149
|     Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
|     Ext:
|     <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
|   HTTPOptions: 
|     HTTP/1.0 501 Not Implemented
|     Content-Type: text/html
|     Connection: close
|     Content-Length: 149
|     Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
|     Ext:
|     <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
|   RTSPRequest: 
|     RTSP/1.0 501 Not Implemented
|     Content-Type: text/html
|     Connection: close
|     Content-Length: 149
|     Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
|     Ext:
|_    <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
|_rtsp-methods: ERROR: Script execution failed (use -d to debug)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port43254-TCP:V=7.50%I=7%D=8/28%Time=5B8500A3%P=x86_64-pc-linux-gnu%r(G
SF:enericLines,12F,"\x20501\x20Not\x20Implemented\r\nContent-Type:\x20text
SF:/html\r\nConnection:\x20close\r\nContent-Length:\x20149\r\nServer:\x20Z
SF:yXEL\x20Communications\x20Corp\.\x20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:
SF:\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x20Implemented</TITLE></HEAD><BOD
SF:Y><H1>Not\x20Implemented</H1>The\x20HTTP\x20Method\x20is\x20not\x20impl
SF:emented\x20by\x20this\x20server\.</BODY></HTML>\r\n")%r(GetRequest,122,
SF:"HTTP/1\.0\x20404\x20Not\x20Found\r\nContent-Type:\x20text/html\r\nConn
SF:ection:\x20close\r\nContent-Length:\x20134\r\nServer:\x20ZyXEL\x20Commu
SF:nications\x20Corp\.\x20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML
SF:><HEAD><TITLE>404\x20Not\x20Found</TITLE></HEAD><BODY><H1>Not\x20Found<
SF:/H1>The\x20requested\x20URL\x20was\x20not\x20found\x20on\x20this\x20ser
SF:ver\.</BODY></HTML>\r\n")%r(HTTPOptions,137,"HTTP/1\.0\x20501\x20Not\x2
SF:0Implemented\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nC
SF:ontent-Length:\x20149\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x
SF:20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>501\x20
SF:Not\x20Implemented</TITLE></HEAD><BODY><H1>Not\x20Implemented</H1>The\x
SF:20HTTP\x20Method\x20is\x20not\x20implemented\x20by\x20this\x20server\.<
SF:/BODY></HTML>\r\n")%r(RTSPRequest,137,"RTSP/1\.0\x20501\x20Not\x20Imple
SF:mented\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nContent
SF:-Length:\x20149\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x20UPnP
SF:/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x2
SF:0Implemented</TITLE></HEAD><BODY><H1>Not\x20Implemented</H1>The\x20HTTP
SF:\x20Method\x20is\x20not\x20implemented\x20by\x20this\x20server\.</BODY>
SF:</HTML>\r\n")%r(FourOhFourRequest,122,"HTTP/1\.0\x20404\x20Not\x20Found
SF:\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nContent-Lengt
SF:h:\x20134\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x20UPnP/1\.1\
SF:x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>404\x20Not\x20Found
SF:</TITLE></HEAD><BODY><H1>Not\x20Found</H1>The\x20requested\x20URL\x20wa
SF:s\x20not\x20found\x20on\x20this\x20server\.</BODY></HTML>\r\n");
MAC Address: [---i wont share it---] (ZyXEL Communications)
Device type: WAP
Running: ZyXEL embedded
OS details: ZyXEL Keenetic Giga WAP 2.04 - 2.05
Uptime guess: 1.111 days (since Mon Aug 27 08:20:50 2018)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=201 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Device: broadband router

IMPRESIÓN DEL DEDO EN FORMATO HUMANO LEGABLE:

SF-Port43254-TCP:V=7.50%I=7%D=8/28%Time=5B8500A3%P=x86_64-pc-linux-gnu%r(GenericLines,12F," 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(GetRequest,122,"HTTP/1\.0 404 Not Found
Content-Type: text/html
Connection: close
Content-Length: 134
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server\.</BODY></HTML>
")%r(HTTPOptions,137,"HTTP/1\.0 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(RTSPRequest,137,"RTSP/1\.0 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(FourOhFourRequest,122,"HTTP/1\.0 404 Not Found
Content-Type: text/html
Connection: close
Content-Length: 134
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:

<HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server\.</BODY></HTML>
");

EDITAR: Aquí hay una lista de razones por las que creo que hay un virus en primer lugar:

  • un puerto abierto extraño con rtsp;
  • algunas aplicaciones en mi teléfono dicen que la red no es segura y tiene una actividad extraña (aunque solo mi teléfono estaba en la red en ese momento y no tiene virus de los que yo sepa);
  • google solicita chequeos de robots / humanos todo el tiempo. Recibe señales automatizadas, pero parece que no provienen de los dispositivos dentro de la red;
  • mi cuenta de red social fue hackeada hace una o dos semanas. He restaurado el acceso a él.

P.S. Si tiene alguna pregunta o consejo sobre cómo puedo hacer mejor mis preguntas, no dude en sugerirlas en los comentarios.

P.P.S. Encontré este interesante artículo: enlace Podría estar relacionado con mi problema.

    
pregunta Mee 28.08.2018 - 10:21
fuente

2 respuestas

0

Empezaría intentando proteger el enrutador. Según Speednet.com, VPNFilter es un nuevo tipo de malware diseñado específicamente para los enrutadores de Internet. Es capaz de recopilar información de comunicación de su enrutador, atacar otras computadoras y destruir su dispositivo de forma remota. Según Cisco, el malware ya ha infectado a más de 500,000 enrutadores en todo el mundo.

No todos los enrutadores son susceptibles a VPNFilter, pero algunas de las principales marcas están en riesgo. La forma más fácil (y actualmente, la única) de eliminar completamente VPNFilter es hacer un restablecimiento de fábrica. Por lo general, eso implica presionar el botón de encendido durante 5 a 10 segundos, pero es posible que desee realizar una doble verificación para su modelo de enrutador específico.

Si no desea realizar un restablecimiento completo de fábrica (que puede borrar datos importantes del dispositivo), también puede simplemente reiniciar su enrutador. Esto no matará a VPNFilter por completo, pero devolverá el malware a su etapa inicial y le dará más tiempo. Una vez que hayas eliminado tu enrutador, hay algunas formas de mantenerte protegido avanzando.

Primero, asegúrate de ejecutar la última versión del firmware iniciando sesión en la cuenta de tu enrutador en un navegador de Internet y buscando actualizaciones. También debe cambiar la contraseña de administrador para una capa adicional de protección.

Finalmente, asegúrese de que la administración remota esté desactivada. Esto impedirá que los piratas informáticos controlen su enrutador sin su permiso. Eso también debería protegerlo de futuros ataques de malware. En cuanto a ver lo que está pasando con el virus, esto ayudaría. Cuando resuelva problemas con puertos abiertos desconocidos, es útil encontrar exactamente qué servicios / procesos los están escuchando. Esto se puede lograr tanto en el símbolo del sistema de Windows como en las variantes de Linux usando el comando "netstat -aon".

En lo que respecta a RTSP, según Juniper.net, el protocolo Rapid Tree Spanning Protocol (RTSP) es el protocolo predeterminado de spanning-tree para prevenir los bucles en las redes Ethernet. Los protocolos del árbol de expansión ayudan a prevenir las tormentas de transmisión.

También me aseguraré de cambiar la contraseña de administrador y MAC si es posible.

    
respondido por el Mac IT 28.08.2018 - 15:46
fuente
1
  

un puerto abierto extraño con rtsp;

RTSP es el protocolo de transmisión en tiempo real. Pero el encabezado dice claramente UPnP, así que supongo que nmap identificó erróneamente el servicio en ejecución. La mayoría de los enrutadores de consumo admiten UPnP.

  

algunas aplicaciones en mi teléfono dicen que la red no es segura y tiene una actividad extraña (aunque solo mi teléfono estaba en la red en ese momento y no tiene virus de los que tenga conocimiento);

¿Qué exactamente dice la aplicación? ¿La red está protegida, por ejemplo, con WPA2, o solo WEP o incluso sin seguridad? ¿Ha instalado algún certificado de terceros en su teléfono? ¿Qué aplicación te dice esto?

No pondría mucha fe en lo que te dice una aplicación de teléfono inteligente.

  

google solicita chequeos de robots / humanos todo el tiempo. Recibe señales automatizadas, pero parece que no provienen de los dispositivos dentro de la red;

¿Qué IP externa tiene el enrutador? Si tiene un ISP que hace NAT de nivel de portadora o un proxy de solicitudes HTTP, o utiliza una VPN, google puede desafiarlo con esas comprobaciones. Esto indica muchas solicitudes, que pueden deberse o no al malware. En mi opinión, no es un indicador fuerte de malware.

  

Mi cuenta de red social fue hackeada hace una o dos semanas. He restaurado el acceso a él.

Facebook usa https y tiene HSTS precargados en todos los navegadores principales. El malware en el nivel del enrutador no podrá interceptar dicho tráfico, sin colocar un certificado de terceros en el almacén de certificados raíz de su sistema operativo.

En resumen; Su enrutador puede tener malware, pero las razones que me da no son realmente convincentes para mí, y me gustaría examinar y tratar de entender cada uno de los puntos antes de saltar a las conclusiones, como lo hace.

    
respondido por el vidarlo 28.08.2018 - 18:41
fuente

Lea otras preguntas en las etiquetas