Creo que mi enrutador está infectado con un virus. Si es así, se ha infectado durante un período prolongado de tiempo (quizás un año o más). Sin embargo, solo empecé a considerar que era un virus hace una semana.
Olvidé mi contraseña del enrutador en cuestión y no puedo conectarme a él. Supongo que existe la posibilidad de que si está infectado, el virus haya cambiado la contraseña. Escuché que los virus en los enrutadores se almacenan en la memoria RAM y que cambiar la contraseña del administrador después de un reinicio podría ayudar, pero también escuché que hay virus que permanecen después de un reinicio y comienzan a solicitar a su hogar una carga útil. p>
Quiero deshacerme de este virus por completo, pero antes de eso me gustaría averiguar de dónde vino (posiblemente al rastrear sus señales) y qué hace. ¿Cuál sería una manera de hacer esto?
Si se solicita una carga útil a casa (después del reinicio), existe la posibilidad de que pueda controlar de alguna manera dónde se está conectando, pero también existe la posibilidad de que el virus se elimine o comience a dormir, etc. no podrá encontrarlo.
Entonces, ¿cómo es posible recopilar la mayor cantidad de información posible sobre el virus (de dónde proviene y qué hace)? ¿Cómo puedo eliminarlo por completo (sin que vuelva después de un reinicio)?
He proporcionado información de un escaneo intenso con NMap, que escanea todos los puertos TCP (solo he publicado la información que puede ser útil).
Supongo que rtsp explica por qué Google siempre me pide que realice comprobaciones de robots / humanos.
It is an ordinary home network.
Here is the information about the router:
Zyxel router.
Open ports:
23/tcp
80/tcp
53/tcp
43254/tcp - seems to be the one, the virus is using
Scanning 4 services on 192.168.1.1
WARNING: Service 192.168.1.1:43254 had already soft-matched rtsp, but now soft-matched sip; ignoring second value
43254/tcp open rtsp
| fingerprint-strings:
| FourOhFourRequest, GetRequest:
| HTTP/1.0 404 Not Found
| Content-Type: text/html
| Connection: close
| Content-Length: 134
| Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
| Ext:
| <HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server.</BODY></HTML>
| GenericLines:
| 501 Not Implemented
| Content-Type: text/html
| Connection: close
| Content-Length: 149
| Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
| Ext:
| <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
| HTTPOptions:
| HTTP/1.0 501 Not Implemented
| Content-Type: text/html
| Connection: close
| Content-Length: 149
| Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
| Ext:
| <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
| RTSPRequest:
| RTSP/1.0 501 Not Implemented
| Content-Type: text/html
| Connection: close
| Content-Length: 149
| Server: ZyXEL Communications Corp. UPnP/1.1 MiniUPnPd/1.8
| Ext:
|_ <HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server.</BODY></HTML>
|_rtsp-methods: ERROR: Script execution failed (use -d to debug)
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port43254-TCP:V=7.50%I=7%D=8/28%Time=5B8500A3%P=x86_64-pc-linux-gnu%r(G
SF:enericLines,12F,"\x20501\x20Not\x20Implemented\r\nContent-Type:\x20text
SF:/html\r\nConnection:\x20close\r\nContent-Length:\x20149\r\nServer:\x20Z
SF:yXEL\x20Communications\x20Corp\.\x20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:
SF:\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x20Implemented</TITLE></HEAD><BOD
SF:Y><H1>Not\x20Implemented</H1>The\x20HTTP\x20Method\x20is\x20not\x20impl
SF:emented\x20by\x20this\x20server\.</BODY></HTML>\r\n")%r(GetRequest,122,
SF:"HTTP/1\.0\x20404\x20Not\x20Found\r\nContent-Type:\x20text/html\r\nConn
SF:ection:\x20close\r\nContent-Length:\x20134\r\nServer:\x20ZyXEL\x20Commu
SF:nications\x20Corp\.\x20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML
SF:><HEAD><TITLE>404\x20Not\x20Found</TITLE></HEAD><BODY><H1>Not\x20Found<
SF:/H1>The\x20requested\x20URL\x20was\x20not\x20found\x20on\x20this\x20ser
SF:ver\.</BODY></HTML>\r\n")%r(HTTPOptions,137,"HTTP/1\.0\x20501\x20Not\x2
SF:0Implemented\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nC
SF:ontent-Length:\x20149\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x
SF:20UPnP/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>501\x20
SF:Not\x20Implemented</TITLE></HEAD><BODY><H1>Not\x20Implemented</H1>The\x
SF:20HTTP\x20Method\x20is\x20not\x20implemented\x20by\x20this\x20server\.<
SF:/BODY></HTML>\r\n")%r(RTSPRequest,137,"RTSP/1\.0\x20501\x20Not\x20Imple
SF:mented\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nContent
SF:-Length:\x20149\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x20UPnP
SF:/1\.1\x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>501\x20Not\x2
SF:0Implemented</TITLE></HEAD><BODY><H1>Not\x20Implemented</H1>The\x20HTTP
SF:\x20Method\x20is\x20not\x20implemented\x20by\x20this\x20server\.</BODY>
SF:</HTML>\r\n")%r(FourOhFourRequest,122,"HTTP/1\.0\x20404\x20Not\x20Found
SF:\r\nContent-Type:\x20text/html\r\nConnection:\x20close\r\nContent-Lengt
SF:h:\x20134\r\nServer:\x20ZyXEL\x20Communications\x20Corp\.\x20UPnP/1\.1\
SF:x20MiniUPnPd/1\.8\r\nExt:\r\n\r\n<HTML><HEAD><TITLE>404\x20Not\x20Found
SF:</TITLE></HEAD><BODY><H1>Not\x20Found</H1>The\x20requested\x20URL\x20wa
SF:s\x20not\x20found\x20on\x20this\x20server\.</BODY></HTML>\r\n");
MAC Address: [---i wont share it---] (ZyXEL Communications)
Device type: WAP
Running: ZyXEL embedded
OS details: ZyXEL Keenetic Giga WAP 2.04 - 2.05
Uptime guess: 1.111 days (since Mon Aug 27 08:20:50 2018)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=201 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: Device: broadband router
IMPRESIÓN DEL DEDO EN FORMATO HUMANO LEGABLE:
SF-Port43254-TCP:V=7.50%I=7%D=8/28%Time=5B8500A3%P=x86_64-pc-linux-gnu%r(GenericLines,12F," 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(GetRequest,122,"HTTP/1\.0 404 Not Found
Content-Type: text/html
Connection: close
Content-Length: 134
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server\.</BODY></HTML>
")%r(HTTPOptions,137,"HTTP/1\.0 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(RTSPRequest,137,"RTSP/1\.0 501 Not Implemented
Content-Type: text/html
Connection: close
Content-Length: 149
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>501 Not Implemented</TITLE></HEAD><BODY><H1>Not Implemented</H1>The HTTP Method is not implemented by this server\.</BODY></HTML>
")%r(FourOhFourRequest,122,"HTTP/1\.0 404 Not Found
Content-Type: text/html
Connection: close
Content-Length: 134
Server: ZyXEL Communications Corp\. UPnP/1\.1 MiniUPnPd/1\.8
Ext:
<HTML><HEAD><TITLE>404 Not Found</TITLE></HEAD><BODY><H1>Not Found</H1>The requested URL was not found on this server\.</BODY></HTML>
");
EDITAR: Aquí hay una lista de razones por las que creo que hay un virus en primer lugar:
- un puerto abierto extraño con rtsp;
- algunas aplicaciones en mi teléfono dicen que la red no es segura y tiene una actividad extraña (aunque solo mi teléfono estaba en la red en ese momento y no tiene virus de los que yo sepa);
- google solicita chequeos de robots / humanos todo el tiempo. Recibe señales automatizadas, pero parece que no provienen de los dispositivos dentro de la red;
- mi cuenta de red social fue hackeada hace una o dos semanas. He restaurado el acceso a él.
P.S. Si tiene alguna pregunta o consejo sobre cómo puedo hacer mejor mis preguntas, no dude en sugerirlas en los comentarios.
P.P.S. Encontré este interesante artículo: enlace Podría estar relacionado con mi problema.