Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Överfallen! Massor av anrop från olika IP adresser.

1
Skriv svar
Permalänk
Medlem

Överfallen! Massor av anrop från olika IP adresser.

Sedan två månader får min ASUS router cirka 2 anrop i sekunden från IP adresser i hela världen. Det verkar vara en blandning av olika operatörers IP -serier, privatabonnemang, företag och VPN. Jag har inte gjort något speciellt, annonserat, köpt eller sålt.

Anropen går inte till någon speciell port. Öppnade DMZ mot en klient (smart lampa) för att minska risken för lyckad brute force attack mot routern.

Behöver några goda råd!

Visa signatur

Gudrun1

Redigera
Citera flera Citera
Permalänk
Medlem

Det kanske finns något allvarligt säkerhetshål hos vissa ASUSroutrar som de försöker utnyttja, se till att din router är uppdaterad är väl det viktigaste.

Redigera
Citera flera Citera
Permalänk
Medlem

Vad har du för router specifikt, Asus vad?

https://www.sweclockers.com/nyhet/33967-aldre-asus-routrar-ma...

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Routern heter AX-RT88U.

Tack och lov verkar den vara kraftfull och tycks klara belastningen utan några problem som jag upptäckt. Till och med den smarta lampan funkar normalt trots att den får 2 anrop i sekunden. I Trend Micro har jag aktiverat tvåvägs IPS.

Routern är inte åtkomlig att styras från WAN

Visa signatur

Gudrun1

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av larryd:

Routern heter AX-RT88U.

Tack och lov verkar den vara kraftfull och tycks klara belastningen utan några problem som jag upptäckt. Till och med den smarta lampan funkar normalt trots att den får 2 anrop i sekunden. I Trend Micro har jag aktiverat tvåvägs IPS.

Routern är inte åtkomlig att styras från WAN

Gå till inlägget

Har du rt ax eller rt AC 88u? Jag tror ingen heter Ax-rt88U?

Visa signatur

Intel i5 12600k OC 5.2GHz | Arctic Freezer II 240 | MSI Pro Z690 A | 2x 16Gb Corsair LPX 3200MHz | Asus Tuf 4070 Ti | Corsair Rm850x V3 | 2x 1Tb Samsung 980 m2 | 7x Noctua A14x25

Redigera
Citera flera Citera
Permalänk
Medlem

Mitt misstag!
Routern heter RT-AX88U

Visa signatur

Gudrun1

Redigera
Citera flera Citera
Permalänk
Medlem

Två ”anrop” per sekund är i princip inget att hantera för normal routerhårdvara eller för den inkommande linan. Det är möjligen något mer än vad man kan förvänta sig av den normala strömmen av attackförsök mot en internetansluten enhet. Det enda problemet som har någon rimlig chans att uppstå är om ASUS loggar till internt flash i stället för till RAM, vilket skulle kunna skriva sönder flashen över tid. Mer orimligt är förstås opatchade säkerhetshål som går att utnyttja från WAN, vilket man så klart måste hålla koll på gentemot tillverkaren av routern.

Om samma remote-IP gör mer än ett misslyckat försök mot samma port/transportlager-protokoll-kombination (TCP eller UDP) så är det lite intressant, alternativt en extra inkompetent fiende.

Jag har min router inställd på att slänga inkommande paket i stället för att skicka tillbaka ett svar som säger ”nej, det är stängt här”, det senare är det standardiserade korrekta beteendet. Inget jag rekommenderar eftersom man måste ha stöd i sitt OS, lite koll på vad man gör och det försvårar felsökningsmöjligheter. Men det gör också livet lite jobbigare för den som försöker portscanna/göra OS-fingerprinting.

Att du skulle vara utsatt för en attack mot just din person är osannolikt, då hade man sänkt din lina med mer trafik.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Sammanställning av de senaste 10 000 anslutninsgförsöken till min router.

Samtliga IPn listade verkar vara kända scanning-verktyg.

Den lilla trafik som faktiskt släpps igenom är knappt märkbar.

Visa signatur

:(){ :|:& };:

🏊🏻‍♂️   🚴🏻‍♂️   🏃🏻‍♂️   ☕

Får det lov att vara en kaffe?

Redigera
Citera flera Citera
Permalänk
Medlem

För några år sedan hade jag en router från MikroTik. Där kunde man lägga in Drop port scanner. Det innebar att hade det gjorts tre misslyckade kontaktförsök från en adress så blockerades den adressen i 30 dagar.
När man ser hur många som scannar internet borde man förstå riskerna med att ha default lösenord på utrustningen.

Redigera
Citera flera Citera
Permalänk
Medlem

Kanske det vore smart att be operatören byta min IP adress?
Jag har för mig att min operatör bytt några gånger under senare åren, utan att jag bett om det.
Så någon annan olycklig kund övertar adressen och får njuta av bombardemanget!

Visa signatur

Gudrun1

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av larryd:

Kanske det vore smart att be operatören byta min IP adress?
Jag har för mig att min operatör bytt några gånger under senare åren, utan att jag bett om det.
Så någon annan olycklig kund får njuta av bombardemanget!

Gå till inlägget

Det kommer nog inte ändra på något när de väl hittar din nya adress. Svarar din router på ping? Stäng av det i så fall så slipper du de som kör ping sweep innan de börjar knacka portar.

Visa signatur

ProArt X670E-Creator | Ryzen 7 7700X (NH-12UA Chromax) | 2x16GB G.Skill Trident DDR5 6000Mhz CL30 RGB | 4090 Founders Edition | ASUS TUF Gaming 1000W Gold | Fractal Design North Black TG

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av GLaDER:

Sammanställning av de senaste 10 000 anslutninsgförsöken till min router.

https://i.imgur.com/jkaA0eG.png

Samtliga IPn listade verkar vara kända scanning-verktyg.

Den lilla trafik som faktiskt släpps igenom är knappt märkbar.

https://i.imgur.com/tYZe6Fa.png

Gå till inlägget

Det är ju en och samma ISP 3 av 5.

Vad är det för Port det händer på?

Ny ip address får du per automatik om du har dynamisk ip address och byter mac adress

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av larryd:

Sedan två månader får min ASUS router cirka 2 anrop i sekunden från IP adresser i hela världen. Det verkar vara en blandning av olika operatörers IP -serier, privatabonnemang, företag och VPN. Jag har inte gjort något speciellt, annonserat, köpt eller sålt.

Anropen går inte till någon speciell port. Öppnade DMZ mot en klient (smart lampa) för att minska risken för lyckad brute force attack mot routern.

Behöver några goda råd!

Gå till inlägget

Jag är inte expert på nätverk, men skulle inte öppna en DMZ mot en smartlampa som troligtvis är mycket osäkrare än en dator utan låt routern blockera anslutningarna.

Jag skulle i ditt fall.
1. Se till att uppdatera routern. (som du säkert redan har gjort
2. fråga om du kan byta ipadress hos din ISP.

Tror som flera andra skriver att detta är vanligt, internet svämmar över av bottar som söker av säkerhetshål.

Visa signatur

7600X,Tomahawk B650,NH-U12A,32GB,RX6700,Black SN850 1TB,860Evo 1TB,RM850x, 27GL850,Torrent Compact

Redigera
Citera flera Citera
Permalänk
Medlem

Det är fullständigt meningslöst att byta IP-adress. Man skannar alla adresser eller så långt man orkar. Det är inte riktat mot någon viss adress. Det enda man kan göra är att ha bra lösenord och gärna undvika att öppna portar om man inte är absolut tvungen.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av larryd:

Sedan två månader får min ASUS router cirka 2 anrop i sekunden från IP adresser i hela världen. Det verkar vara en blandning av olika operatörers IP -serier, privatabonnemang, företag och VPN. Jag har inte gjort något speciellt, annonserat, köpt eller sålt.

Anropen går inte till någon speciell port. Öppnade DMZ mot en klient (smart lampa) för att minska risken för lyckad brute force attack mot routern.

Behöver några goda råd!

Gå till inlägget

Öppnar du upp något i routern är det högst sannolikt att du blir anfallen.
Jag blir t.ex. konstant anfallen från alla olika länder, brukar dock vara mer Tor än det har varit nu på sistone...
Listar 3 skärmdumpar nedan.

Nu är visserligen alla dessa attacker riktade mot min domän istället för mitt IP men,
helt klart skönt och låta CF ta alla smällar, då all trafik går genom CF och mitt IP inte svarar på något annat än begäran från CF IP range.

Men ja goda råd / tips då..
Kolla upp vad dessa IP:n som skickar anrop till dig gör till och börja med.
Du kan enkelt kolla genom att gå till shodan eller greynoice.
T.ex. om jag kollar det IP som kommer ifrån Tor i min skärmdump som jag postade.
Hittar jag detta.

Nu har vi en bättre förståelse för vad detta lilla IP håller på med, det är bara en liten crawler, som fiskar efter sårbarheter, och hittar den något skickar den en rapport tillbaka till den som konfigurerade allt, och så påbörjar dom en djupare pentest för att lyckas infiltrera, och sen sabotera, ect ect...

Inget jag behöver oroa mig för eller lägga ner mer tid på.

Visa signatur

[ Fractal Design Define S Svart ] [ ASUS ProArt X670E-Creator WIFI ] [ Amd Ryzen 9 7950x3D ]
[ G.Skill Trident 64GB DDR5 6000MHz ] [ Noctua NH-D15 Chromax Black ]
[ Western Digital Black SN850X 1TB Gen4 ] [ Samsung 870 QVO 2TB MZ-77Q2T0BW ]
[ ASUS TUF GeForce RTX 3080 10GB Gaming OC ]
[ Corsair AX860 80 Plus Platinum ] [ Gigabyte 32" M32U IPS 4K 144 Hz HDMI 2.1 ]

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Zidichy:

Öppnar du upp något i routern är det högst sannolikt att du blir anfallen.
Jag blir t.ex. konstant anfallen från alla olika länder, brukar dock vara mer Tor än det har varit nu på sistone...
Listar 3 skärmdumpar nedan.

<Uppladdad bildlänk>
<Uppladdad bildlänk>
<Uppladdad bildlänk>

Nu är visserligen alla dessa attacker riktade mot min domän istället för mitt IP men,
helt klart skönt och låta CF ta alla smällar, då all trafik går genom CF och mitt IP inte svarar på något annat än begäran från CF IP range.

Men ja goda råd / tips då..
Kolla upp vad dessa IP:n som skickar anrop till dig gör till och börja med.
Du kan enkelt kolla genom att gå till shodan eller greynoice.
T.ex. om jag kollar det IP som kommer ifrån Tor i min skärmdump som jag postade.
Hittar jag detta.

<Uppladdad bildlänk>
<Uppladdad bildlänk>

Nu har vi en bättre förståelse för vad detta lilla IP håller på med, det är bara en liten crawler, som fiskar efter sårbarheter, och hittar den något skickar den en rapport tillbaka till den som konfigurerade allt, och så påbörjar dom en djupare pentest för att lyckas infiltrera, och sen sabotera, ect ect...

Inget jag behöver oroa mig för eller lägga ner mer tid på.

Gå till inlägget

Vad för program behöver man för att kunna se detta /nyfiken novice

Visa signatur

Intel i5 12600k OC 5.2GHz | Arctic Freezer II 240 | MSI Pro Z690 A | 2x 16Gb Corsair LPX 3200MHz | Asus Tuf 4070 Ti | Corsair Rm850x V3 | 2x 1Tb Samsung 980 m2 | 7x Noctua A14x25

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Swedishchef_90:

Vad för program behöver man för att kunna se detta /nyfiken novice

Gå till inlägget

https://www.shodan.io
https://www.greynoise.io/

Redigera
Citera flera Citera
Permalänk
Medlem

Tackar!

Visa signatur

Intel i5 12600k OC 5.2GHz | Arctic Freezer II 240 | MSI Pro Z690 A | 2x 16Gb Corsair LPX 3200MHz | Asus Tuf 4070 Ti | Corsair Rm850x V3 | 2x 1Tb Samsung 980 m2 | 7x Noctua A14x25

Redigera
Citera flera Citera
Permalänk
Medlem

Nu vet jag inte om din router har stöd för det men om den kan, slå på geoblocking och droppa all ny trafik som inte är från Sverige.(Om du nu inte hostar nått som hela världen skall komma åt).

Redigera
Citera flera Citera
Permalänk
Medlem

Tack för alla goda råd!.

Problemet är att alla anrop loggas ju och klottrar till routerns logg så att den blir i praktiken oanvändbar för annan felsökning. Bytte macadress, fick en ny IP adress och helt oskriven logg. Sålänge det varar. Men då får jag väl byta IP igen!

Visa signatur

Gudrun1

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Swedishchef_90:

Vad för program behöver man för att kunna se detta /nyfiken novice

Gå till inlägget

Sry för sent svar
För att se själva loggarna så man gör i mitt inlägg så krävs det att man använder sig av cloudflare och sen går in via deras Firewall Events.

För att kolla upp IP:n som jag gör i mitt inlägg så använder man som en annan medlem redan länkat in.
Korrekt för shodan.
https://www.shodan.io/
Men inte för greynoice, länken som jag använder mig av är denna.
https://viz.greynoise.io/
Även censys är ett alternativ.
https://search.censys.io/

Skrivet av larryd:

Tack för alla goda råd!.

Problemet är att alla anrop loggas ju och klottrar till routerns logg så att den blir i praktiken oanvändbar för annan felsökning. Bytte macadress, fick en ny IP adress och helt oskriven logg. Sålänge det varar. Men då får jag väl byta IP igen!

Gå till inlägget

Jo, de blir jobbigt att lyckas hitta något, men se till att ha alternativet Logged Packets Type: Dropped aktiverat.
Får hoppas att det håller sig, men tveksamt tyvärr, ta bara en titt på shodan live :/
https://2000.shodan.io/#/
Tjänster som shodan hittar varje femte sekund...

För stunden är detta stats på shodan live.
Shodan Platform running - usage information:
Target: Internet
Ports: 1,225
Users: 2+ million

Senast redigerat
Visa signatur

[ Fractal Design Define S Svart ] [ ASUS ProArt X670E-Creator WIFI ] [ Amd Ryzen 9 7950x3D ]
[ G.Skill Trident 64GB DDR5 6000MHz ] [ Noctua NH-D15 Chromax Black ]
[ Western Digital Black SN850X 1TB Gen4 ] [ Samsung 870 QVO 2TB MZ-77Q2T0BW ]
[ ASUS TUF GeForce RTX 3080 10GB Gaming OC ]
[ Corsair AX860 80 Plus Platinum ] [ Gigabyte 32" M32U IPS 4K 144 Hz HDMI 2.1 ]

Redigera
Citera flera Citera
Permalänk
Medlem

Lugnt..

Faktiskt,

Har det varit helt lugnt nu en månad sedan jag bytte IP adress. Har kunnat använda loggen som vanligt med några tiotal transaktioner/dygn. Någon pirat har inte sniffat upp mig än, men det kommer nog.

Sannolikt har min IP operatör använt min gamla ip adress för en ny kund som nu får njuta av bombardemanget av anrop?

Visa signatur

Gudrun1

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara