Sikkerheds problem "Remote administration Login"


Omdømme 2

Her kan du se, hvor mange omdømmepoints BrianMose har modtaget fra andre medlemmer.

I mange måneder har jeg lagt mærke til at der er ekstrem mange forsøg på remote login på min homebox.

Jeg har udlukket at der kan være en virus, botnet eller lign. på min computer der sender min IP og dermed lader en bot forsøge at logge på min homebox.

 

Dette har jeg gjort ved at frakoble alt udstyr til routeren og lader den stå slukket natten over.  Efter at jeg tændte den, modtog den en ny IP fra TDC og 4 timer efter loggede jeg ind via min telefon og så at der igen havde været forsøg på logins via remote admin.

 

Det jeg ikke forstår er, hvor kan nogle vide min IP addresse efter den er skiftet og intet udstyr har været sat til den.

 

Jeg har haft kontakt til TDC omkring det, men det eneste de kan gøre, er at råde mig til at kontakte politiet, hvis jeg syndes det er nødvendigt.

 

Der er førsøg på at logge ind via HTTP (port 80) og HTTPS (port 443) portende, men de bliver blokeret, og der er tillige en del ECHO requests, som bliver besvaret af routeren.

 

Her er et copy/paste fra min homeboks log.

 

Mar 28 22:43:19 2012Inbound TrafficAccepted - Remote administrationICMP type 8 code 0 87.48.145.151->2.105.139.*** on ethoa1Mar 28 22:37:46 2012Inbound TrafficBlocked - Remote administrationTCP 109.42.233.235:4457->2.105.139.***:443 on ethoa1 [repeated 3 times, last time on Mar 28 22:37:53 2012]Mar 28 22:20:49 2012Inbound TrafficAccepted - Remote administrationICMP type 8 code 0 87.48.145.151->2.105.139.*** on ethoa1 [repeated 4 times, last time on Mar 28 22:37:44 2012]Mar 28 22:17:45 2012Inbound TrafficBlocked - Remote administrationTCP 175.199.119.126:27130->2.105.139.***:80 on ethoa1Mar 28 22:17:39 2012Inbound TrafficBlocked - Remote administrationTCP 190.98.8.5:50730->2.105.139.***:443 on ethoa1 [repeated 2 times, last time on Mar 28 22:17:45 2012]Mar 28 22:17:39 2012Inbound TrafficBlocked - Remote administrationTCP 175.199.119.126:27130->2.105.139.***:80 on ethoa1Mar 28 22:17:36 2012Inbound TrafficBlocked - Remote administrationTCP 190.98.8.5:50730->2.105.139.***:443 on ethoa1Mar 28 22:17:36 2012Inbound TrafficBlocked - Remote administrationTCP 175.199.119.126:27130->2.105.139.***:80 on ethoa1Mar 28 22:09:43 2012Inbound TrafficAccepted - Remote administrationICMP type 8 code 0 87.48.145.151->2.105.***.193 on ethoa1 [repeated 2 times, last time on Mar 28 22:15:20 2012]Mar 28 22:06:34 2012Inbound TrafficBlocked - Remote administrationTCP 192.86.100.35:41493->2.105.139.193:*** on ethoa1 [repeated 9 times, last time on Mar 28 22:07:32 2012]

5 Kommentarer

Omdømme 1

Her kan du se, hvor mange omdømmepoints ThomasG har modtaget fra andre medlemmer.

Hej Brian

Tak for dit indlæg.

Jeg har haft sendt dit indlæg ned til vores specialister, for at få deres vudering på det Glad humørikon

De skriver at den trafik som står som, forsøg på remote login, ikke nødvendigvis er et forsøg på dette, men at HomeBox'en bare registrere det som dette. Det er højest sandsynligvis noget trafik, der forsøger at køre gennem port 80 og 443 og som Homeboxen så blokerer, som den skal.

Så vores specialister vuderer ikke, at der er grund til bekymring. De mener ikke, at der er nogen der forsøger at logge ind på din router, men at det bare er blokeret trafik der ikke registreres korrekt Glad humørikon

Med venlig hilsen

ThomasG

Omdømme 2

Her kan du se, hvor mange omdømmepoints HeinrichP har modtaget fra andre medlemmer.

Der er også utroligt mange blokeringer af "Spoofing" og "Remote Administration attempts" i loggen på min router? Er det måske en forkert konfiguration i Homeboxens software?

Omdømme 3

Her kan du se, hvor mange omdømmepoints PeterA1 har modtaget fra andre medlemmer.

Det - at man får et nyt IP-nummer er ikke nogen sikkerhed.

Ude i verden er der mange der har maskiner kørende som hele tiden scanner nettet og forsøger IP-adresser fra en ende af.

Når den så bliver afvist - ja så er det jo sådan set bare et udtryk for at trafikken bliver afvist korrekt. Man kan naturligvis kontakte politiet - men da det sandsynligvis hurtigt vil vise sig at "terrorristen" sidder i Kina eller Rusland, så vil den løbe ud i sandet.

Så - tag det som et udtryk for at systemet virker. De bliver jo afvist. Og så lad være med at bekymre sig mere om det Glad humørikon

Vh

peter

Omdømme 2

Her kan du se, hvor mange omdømmepoints BrianMose har modtaget fra andre medlemmer.

PeterA skrev:
Det - at man får et nyt IP-nummer er ikke nogen sikkerhed.

Ude i verden er der mange der har maskiner kørende som hele tiden scanner nettet og forsøger IP-adresser fra en ende af.

Når den så bliver afvist - ja så er det jo sådan set bare et udtryk for at trafikken bliver afvist korrekt. Man kan naturligvis kontakte politiet - men da det sandsynligvis hurtigt vil vise sig at "terrorristen" sidder i Kina eller Rusland, så vil den løbe ud i sandet.

Så - tag det som et udtryk for at systemet virker. De bliver jo afvist. Og så lad være med at bekymre sig mere om det Glad humørikon

Vh

peter

Ja du har sikkert ret med hensyn til at der er folk der sidder og skanner hele TDCs pool af IP adresser, og håber at finde nogle der er åbne.

Men det er stadigt mærkeligt IMO at der overhoved kan forsøges adgang via port 80 og 443.  Når nu kunder ikke selv har adgang til remote admin, burde de porte da selv ikke være tilrådigt ude fra.  Hvis TDC har brug for remote adgang til at opdatere ens homeboks og til at hjælpe med folks problemer, kunne de da bruge en vilkårligt port, og sørge for at de 2 http porte er lukket og slet ikke giver et response når man prøver at skanne dem.

Hej BrianMose,

du skriver:

"Men det er stadigt mærkeligt IMO at der overhoved kan forsøges adgang via port 80 og 443.  Når nu kunder ikke selv har adgang til remote admin, burde de porte da selv ikke være tilrådigt ude fra."

Det er jo nøjagtigt hvad routeren/firewall'en siger/gør!

Du får en besked i log'en om, at firewall'en har blokeret for adgang til TCP port 80 og 443. Det er fordi den indkommende "trafik" ikke er startet af dig (eller rettere din browser/mailprogram). Det betyder jo ikke at "banditterne" der prøver at komme ind på dit netværk, får et svar.

Du kan teste det her: https://www.grc.com/x/ne.dll?bh0bkyd2

Klik på "proceed" og tryk OK til advarsel om manglende kryptering. I "bjælken" midt på skærmen vælges "All service ports". Når testen er slut, skulle alle "kasserne" gerne være grønne.

Med hensyn til "Remote admin" der bliver accepteret, så er det ikke TCP men ICMP trafik. ICMP type 8 code 0 er "Ekko svar". Det vil sige at din router svarer TDC serverens ekko-anmodning (ping)... og det er kun fordi den IP adresse anmodningen kommer fra, er godkendt i den "overordnede" del af firewall'en i routeren - den del vi kunder ikke har adgang til. Alle andre IP adresser får intet svar.

Pyyha, det blev lidt langhåret. Håber du kan bruge det til noget Blinkende humørikon

med venlig hilsen

Flemming Mørch

Besvar

    • :D
    • :?
    • :cool:
    • :S
    • :(
    • :@
    • :$
    • :8
    • :)
    • :P
    • ;)