Атака на роутер Sercomm rv6699

Discussion in 'Песочница' started by lex-lv, 4 Sep 2021.

  1. lex-lv

    lex-lv New Member

    Joined:
    4 Sep 2021
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Добрый день!
    Помогите защититься.
    Кто-то взломал и подключается... вижу, что:
    1. в браузере создаются другие профили,
    2. в VK появляется ещё один вход через браузер (с моим же IP!!) и мобильное приложение (хотя у меня оно не запущено). Cбрасываю подтверждение на остальных устройствах, меняю пароль, но через несколько минут снова кто-то подключается параллельно. И это несмотря на то, что стоит двухфакторная аутентификация.

    В логах отображается:

    Send sigusr2 to cwmp.
    [Firewall] 2021-09-04T04:13:46Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=0 MARK=0x8200000 DROP
    [Firewall] 2021-09-04T04:13:47Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=1 MARK=0x8200000 DROP
    [Firewall] 2021-09-04T04:13:48Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=2 MARK=0x8200000 DROP
    [Firewall] 2021-09-04T04:13:49Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=3 MARK=0x8200000 DROP
    [Firewall] 2021-09-04T04:13:50Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=4 MARK=0x8200000 DROP
    [Firewall] 2021-09-04T04:13:51Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=5 MARK=0x8200000 DROP
    [Firewall] 2021-09-04T04:13:52Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=6 MARK=0x8200000 DROP
    [Firewall] 2021-09-04T04:13:53Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=7 MARK=0x8200000 DROP
    [Firewall] 2021-09-04T04:13:54Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=8 MARK=0x8200000 DROP
    [Firewall] 2021-09-04T04:13:55Z MAC=<вырезал>, SRC=<вырезал> DST=<вырезал> PROTO=ICMP TYPE=0 CODE=0 ID=24990 SEQ=9 MARK=0x8200000 DROP
    [System] 2021-09-04T04:14:20Z TR069 diag WiFi scan.
    [IPTV] 2021-09-04T04:15:46Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:17:51Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:19:56Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:22:01Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:24:05Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:26:10Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:28:15Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:30:20Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:32:25Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:34:30Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:36:06Z receive igmpv3 report: host addres:192.168.1.104, group addres:224.0.0.251
    [IPTV] 2021-09-04T04:36:08Z receive igmpv3 report: host addres:192.168.1.104, group addres:224.0.0.251
    [IPTV] 2021-09-04T04:36:35Z send igmpv3 query: group addres:0.0.0.0
    [IPTV] 2021-09-04T04:36:36Z receive igmpv3 report: host addres:192.168.1.104, group addres:224.0.0.251
    Local UDP Flood Detect has been disabled on LAN.
    Local ICMP Flood Detect has been disabled on LAN.
    Local Winnuke Detect has been disabled on LAN.
    Local LAN Source Detect has been disabled.
    Local Smurf Detect has been disabled on LAN.
    Local Fragment Flood Detect has been disabled on LAN.
    Local Ping Response Block has been enabled.
    Local UDP Flood Detect has been enabled on LAN.
    Local ICMP Flood Detect has been enabled on LAN.
    Local Winnuke Detect has been enabled on LAN.
    Local Smurf Detect has been enabled on LAN.
    Local Frament Flood Detect has been enabled on LAN.
    Local Ping Response Block has been enabled.
    Internet Access Generic Rule has been flushed.
    Fireall Level has been set to Medium.
    Local TCP/UDP Port Scan Detect has been enabled.
    Local TCP/UDP Port Scan Block has been enabled.
    Local TCP/UDP Half Open Detect has been enabled.
    Local TCP/UDP Half Open Block has been enabled.
    Forward TCP Port Scan Detect has been enabled.
    Forward TCP Port Scan Block has been enabled.
    Forward UDP Port Scan Detect has been enabled.
    Forward UDP Port Scan Block has been enabled.
    Forward TCP Half Open Detect has been enabled.
    Forward TCP Half Open Block has been enabled.
    Forward UDP Half Open Detect has been enabled.
    Forward UDP Half Open Block has been enabled.
    Local UDP Flood Detect has been disabled on WAN 0.
    Local ICMP Flood Detect has been disabled on WAN 0.
    Forward UDP Flood Detect has been disabled on WAN 0.
    Local Winnuke Detect has been disabled on WAN 0.
    Local Smurf Detect has been disabled on WAN 0.
    Local Fragment Flood Detect has been disabled on WAN 0.
    Local UDP Flood Detect has been disabled on WAN 1.
    Local ICMP Flood Detect has been disabled on WAN 1.
    Forward UDP Flood Detect has been disabled on WAN 1.
    Local Winnuke Detect has been disabled on WAN 1.
    Local Smurf Detect has been disabled on WAN 1.
    Local Fragment Flood Detect has been disabled on WAN 1.
    Local UDP Flood Detect has been enabled on WAN 0.
    Local ICMP Flood Detect has been enabled on WAN 0.
    Forward UDP Flood Detect has been enabled on WAN 0.
    [Firewall] 2021-09-03T22:49:41Z Local Winnuke Detect has been enabled on WAN 0.
    [Firewall] 2021-09-03T22:49:41Z Local Smurf Detect has been enabled on WAN 0.
    [Firewall] 2021-09-03T22:49:42Z Local Fragment Flood detect has been enabled on WAN 0.
    [Firewall] 2021-09-03T22:49:42Z Local UDP Flood Detect has been enabled on WAN 1.
    Local ICMP Flood Detect has been enabled on WAN 1.
    Forward UDP Flood Detect has been enabled on WAN 1.
    Local Winnuke Detect has been enabled on WAN 1.
    Local Smurf Detect has been enabled on WAN 1.
    Local Fragment Flood detect has been enabled on WAN 1.
     
  2. fandor9

    fandor9 Reservists Of Antichat

    Joined:
    16 Nov 2018
    Messages:
    604
    Likes Received:
    1,018
    Reputations:
    46
    Немного странные выводы, причём здесь роутер?
    Двухфакторная защита защищает в том случае, если вы заходите заново или с нового/ другого устройства, если же используется уже существующая сессия, то двухфакторная защита не защищает. Если у вас создаются новые профили для браузера, то роутер здесь не причём. Для этого нужно контролировать систему или же пользователя. Методов для этого куча (Hidden VNC, remote shell, agent, autostart итд.), но в конце концов всё идёт через сеть. Так-что вам нужно узнать что, где и куда стучит.
    Логи от роутера вообще ниочём...
     
  3. lex-lv

    lex-lv New Member

    Joined:
    4 Sep 2021
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Судя по всему, кто-то вместе со мной использует мой ПК и работает в браузере... Например, ВКонтакте в разделе "История активности" отображается несколько входов практически одновременно вместе со мной (через несколько минут после моего входа с двухфакторной аутентификацией).
    upload_2021-9-5_16-35-21.png
    Ещё в разделе "Настройки приложений" появляются:
    vk.com
    Официальное приложение
    iPhone
    Официальное приложение
    Тогда как я сам не заходил в ВК на iPhone...
    Сброс подтверждения на других устройствах временно всех выкидывает, но после моего очередного входа в аккаунт всё повторяется.
    Смена пароля тоже не решает проблему...
    Подскажите, пожалуйста, как защититься от этого?
    Антивирусы молчат, COMODO ругается на батники, создаваемые нормальными программами...
     
Loading...