Új hozzászólás Aktív témák

• #48674 Flagstaff tag

  Új Válasz 2017-09-16 21:55:10 #48674

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Flagstaff

  tag

  Üdv!

  A következő nagyon érdekes problémám adódott:
  Adott egy otthoni hálózat, PC, vékonykliensek HTPC-ként, két noti és néhány mobil.
  Ezek mellé vettem egy hete egy Synology RT1900AC routert és ha már tudja akkor telepítettem rá az Intrusion Prevention nevű SW-t. Ez szépen naplóz és elvet gyanús hálózati csomagokat. Amikből egy hét alatt egyre több és több lett, valamint a fel és letöltési aktivitásmérő is folyamatos mozgolódást mutatott (10-20KB/sec). Az igazi érdekesség viszont nem ez. Hanem az, hogy az egyik legaktívabb IP ami gyanús, HIGH osztályzatú p2p kommunikációt folytatott a router szerint, elméletileg a fiam KIKAPCSOLT (jó,OS alól kikapcsolt, tehát áram alatt lévő, de nem alvó módban lévő) PC-je MAC address és IP cím alapján. A gép egyébként WIFIn kapcsolódik egy AP-hez ami powerLAN-on a routerhez. A router amennyire figyelemmel tudtam követni, inaktív, nem kapcsolódottként jelenítette meg ezt a gépet. Pár órája szétszedtem, így gyakorlatilag ténylegesen ki van kapcsolva, azóta a többi IP-re és IP-ről sincsenek gyanús csomagok. A szétszedés oka HW hiba keresése uis mióta kitiltottam a routerről tűzfallal és még utoljára ma bekapcsolt, nem bootol be a gép, BIOS indítóképig eljut, onnantól viszont bootloop.
  Kicsit tovább gondolva a dolgot viszont lehet nem is HW hiba, főleg hogy azóta a gyanús tevékenységek naplója üres.
  Amire gondolni tudok, bár nem igazán tudom mennyi valóságalapja van:
  1 - a kikapcsolt gép BIOS-ába befurakodott valami gyönyörűség és WIFI-n keresztül adta az ívet a hálózatomon keresztül a netre miközben a router inaktívnak látta az eszközt. Node ehhez ugye kell a WIFI jelszó is (persze ezt megszerezni ha a gépen van a vírus nemigen lehet nehéz) és álcázni a gépet a router felé mint inaktív eszköz miközben hálózati forgalmat bonyolít rajta keresztül.
  2 - az eddig routerként használt TL-WDR4300-as cuccos lett (akár még router korában) betámadva és egy a hálózaton amúgy fellelhető és rajta keresztül kommunikáló MAC addresst klónozva vagy mittomén hogy, de a fiam gépének a "nevében" randalírozik.
  3 - a TPLink powerLAN adaptereket fertőzték meg és azok randalíroznak egy a hálózaton létező MAC address nevében.
  A második és a harmadik lehetőséget annak fényében hogy a gyanús forgalom és fel illetve letöltési aktivitás a gép szétszedése után eltűnt, valamint a gép egyéb problémákat is produkál, elvetném.
  Találkozott vagy hallott/olvasott bárki hasonló problémával/-ról?
  Mit tudok tenni? Ha jól láttam az alaplapom dual BIOS-os. Lehet őket egymástól függetlenül flashelni, vagy az egyikről fertőződött a másik is és ha leflashelem valamelyiket a másik visszafertőzi? Ráadásul ne pendrive-ról flasheljek nehogy a frissen letöltött BIOS image már vissza legyen fertőzve.
  Gondolom ha ezen túl vagyok akkor a gépben lévő meghajtók formázás után friss telepítéssel ismét használatba vehetőek.

Új hozzászólás Aktív témák