comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[SOLUCIONADO] Ataques DDoS a mi router

  • 13 Respuestas
  • 6702 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado meteor0

  • *
  • Underc0der
  • Mensajes: 66
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Junio 18, 2015, 04:37:17 pm »
Bueno hoy volvia de las recuperaciones de mi instituto, y como és normal llegue encendí el ordena inicie sesión a skype y de repente se me va la conexión, bueno hasta todo me parecía normal conecte unos cables de ethernet y ya pero de pronto veo skype y veo que alguien me habla diciendo en ingles ''Un negrata me dijo que le intentastes DOSEAR con una booter de 5 dolares y aqui estoy yo el listillo''.
Bueno cuando me dijo esto ya estaba completamente seguro que era un DDoS a mi router asi que me gustaria saber como mitigar este ataque, tambien me bloqueo la entrada a páginas web ya que cuando intentaba entrar a google me redirigia a la administración de router en la pagina inicial con un codigo que creo que enviaba la contraseña a una pagina web era codigo php como no sabía que hacer encendi el APATEDNS y el WIRESHARK para capturar el tráfico quisiera saber como arreglarlo y si puedo hacer algo con la infromación que tengo en los dos programas
Lo gracioso de esto es que yo no he doseado a nadie jajajaaj

Gracias Saludos Meteor
« Última modificación: Junio 22, 2015, 07:54:56 am por Cl0udswX »

Conectado Payasako

  • *
  • Underc0der
  • Mensajes: 86
  • Actividad:
    1.67%
  • Reputación 0
  • Éxito o fracaso, libertad o condena.
    • Ver Perfil
  • Skype: -
  • Twitter: @Payasak0
« Respuesta #1 en: Junio 18, 2015, 04:57:25 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Bueno hoy volvia de las recuperaciones de mi instituto, y como és normal llegue encendí el ordena inicie sesión a skype y de repente se me va la conexión, bueno hasta todo me parecía normal conecte unos cables de ethernet y ya pero de pronto veo skype y veo que alguien me habla diciendo en ingles ''Un negrata me dijo que le intentastes DOSEAR con una booter de 5 dolares y aqui estoy yo el listillo''.
Bueno cuando me dijo esto ya estaba completamente seguro que era un DDoS a mi router asi que me gustaria saber como mitigar este ataque, tambien me bloqueo la entrada a páginas web ya que cuando intentaba entrar a google me redirigia a la administración de router en la pagina inicial con un codigo que creo que enviaba la contraseña a una pagina web era codigo php como no sabía que hacer encendi el APATEDNS y el WIRESHARK para capturar el tráfico quisiera saber como arreglarlo y si puedo hacer algo con la infromación que tengo en los dos programas
Lo gracioso de esto es que yo no he doseado a nadie jajajaaj

Gracias Saludos Meteor
No sé si has doseado o no, según mencionas no.. Pero bueno, esto pasa si tocas esos temas.

Curioso mensaje te dejó el Sr Hacker
Citar
Un negrata me dijo que le intentastes DOSEAR con una booter de 5 dolares y aqui estoy yo el listillo

Cuando conectas el cable de Ethernet tienes que ir a la puerta de enlace (que es a donde te lleva por defecto cuando te atacan el router o por problemas técnicos), una vez alli debes acceder al panel, dependiendo de tu compañía tendrás un user y una pass diferente, yo por ejemplo tengo user y pass de mi router, (soy Jazztel) y cuando andes dentro te da diferentes opciones, y ya ahi me pierdo, no recuerdo que tenias que hacer.

Si no me equivoco, esto es un acto ilegal por parte del "Sr Hacker Pro" aparte de estár difamando algo sobre tí, está lanzando peticiones a tu router, siempre lo puedes denunciar o llamar a la centralita a que venga un técnico a reparar tu router.
« Última modificación: Junio 18, 2015, 04:59:01 pm por Payasako »

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1913
  • Actividad:
    5%
  • Reputación 15
    • Ver Perfil
« Respuesta #2 en: Junio 18, 2015, 05:08:52 pm »
Simplemente revisa las conexiones entrantes a tu router y bloquea las que no sean legítimas...

Cambia el usuario y la contraseña del panel del router y cierra el acceso desde fuera de la red.

Citar
tambien me bloqueo la entrada a páginas web ya que cuando intentaba entrar a google me redirigia a la administración de router

Revisa la opción de Firewall y NAT pues te habrán puesto la redirección.

Lo mejor que puedes hacer es restaurarlo de fabrica, cambiar los datos de acceso y cerrar las conexiones externas de la red

Saludos.



Desconectado Snifer

  • *
  • Underc0der
  • Mensajes: 1439
  • Actividad:
    0%
  • Reputación 1
  • Snifer@L4b's
    • Ver Perfil
    • Snifer@L4bs
  • Twitter: sniferl4bs
« Respuesta #3 en: Junio 18, 2015, 05:25:24 pm »
Tal cual lo que dice Black ademas de ello haz lo siguiente adicionado a lo indicando por el.

1.- Desconecta la salida a internet de tu router.
2.- Conectate directamente con la PC al router y revisa por curiosidad si gustas para donde va el ataque que te hizo lo comentado por @No tienes permisos para ver links. Registrate o Entra con tu cuenta
3.- Reinicia tu router cambia credenciales por otros que sean fuertes.
4.- Revisa si tu router no es vulnerable.

Regards,
Snifer
No tienes permisos para ver links. Registrate o Entra con tu cuenta


Llaman traidor a la persona que evito que caiga el foro, gente bruta!



Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    3.33%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #4 en: Junio 18, 2015, 06:05:10 pm »
Bueno amigo he de decirte que por lo que nmap me devuelve no tienes puertos abiertos en el router aqui tienes  el scan

21/tcp filtered ftp
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
110/tcp filtered pop3
143/tcp filtered imap
179/tcp filtered bgp
443/tcp filtered https
465/tcp filtered smtps
993/tcp filtered imaps
995/tcp filtered pop3s
1433/tcp filtered ms-sql-s
1720/tcp filtered H.323/Q.931
1723/tcp filtered pptp
3306/tcp filtered mysql
3389/tcp filtered ms-wbt-server
5060/tcp filtered sip
5900/tcp filtered vnc
8000/tcp filtered http-alt
8080/tcp filtered http-proxy
8443/tcp filtered https-alt

Que quiere decir toda esta información pues que el kindersorpresa lo tienes dentro de tu pc asi que te aconsejo que mires procesos y le pases un buen Antivirus a mi me gusta Avira ya que lleva un buen firewall y configurándolo bien dictas tú las reglas de conexión

Antes que nada si no estoy equivocado y mis datos no son erróneos eres de Madrid  Saludos
« Última modificación: Junio 18, 2015, 06:07:15 pm por Hu3c0 »
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado meteor0

  • *
  • Underc0der
  • Mensajes: 66
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #5 en: Junio 18, 2015, 07:43:11 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Bueno amigo he de decirte que por lo que nmap me devuelve no tienes puertos abiertos en el router aqui tienes  el scan

21/tcp filtered ftp
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
110/tcp filtered pop3
143/tcp filtered imap
179/tcp filtered bgp
443/tcp filtered https
465/tcp filtered smtps
993/tcp filtered imaps
995/tcp filtered pop3s
1433/tcp filtered ms-sql-s
1720/tcp filtered H.323/Q.931
1723/tcp filtered pptp
3306/tcp filtered mysql
3389/tcp filtered ms-wbt-server
5060/tcp filtered sip
5900/tcp filtered vnc
8000/tcp filtered http-alt
8080/tcp filtered http-proxy
8443/tcp filtered https-alt

Que quiere decir toda esta información pues que el kindersorpresa lo tienes dentro de tu pc asi que te aconsejo que mires procesos y le pases un buen Antivirus a mi me gusta Avira ya que lleva un buen firewall y configurándolo bien dictas tú las reglas de conexión

Antes que nada si no estoy equivocado y mis datos no son erróneos eres de Madrid  Saludos

Gracias por todo tu tiempo a ti a todos los demás pero siento decirte que soy de Catalunya

Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    3.33%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #6 en: Junio 18, 2015, 07:57:54 pm »
No pasa nada amigo ya he dicho que si los datos no me fallaban pues ese era el resultado del nmap  sobre esta ip 92.57.XXX.XXX y esa ip me devplvía   que es de alcobendas.

Es cierto tienes razón en este último scan me sale esto

ISP:    Orange Espana
City:    Barcelona
Region:    Catalonia
Country:    Spain (ES) flag


Del mateix Sabadell un salut 
« Última modificación: Junio 19, 2015, 02:06:54 pm por blackdrake »
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Cl0udswX

  • *
  • Colaborador
  • *
  • Mensajes: 869
  • Actividad:
    1.67%
  • Reputación 4
  • La fisica es el sistema operativo del universo.
    • Ver Perfil
    • cl0udswz - Sequre
  • Skype: cl0udzwx
  • Twitter: @cl0udswzsequre
« Respuesta #7 en: Junio 19, 2015, 04:06:27 pm »
Saludos hermano.

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Bueno hoy volvia de las recuperaciones de mi instituto, y como és normal llegue encendí el ordena inicie sesión a skype y de repente se me va la conexión, bueno hasta todo me parecía normal conecte unos cables de ethernet y ya

Perder la conexion wireless no es algo fuera de lo normal, dependen muchos factores como solapacion de canales, dispositivos que transmitan en la misma frecuencia etc... Asi que partiendo de ahi te diria que no esta relacionado con la visita del listillo.

No tienes permisos para ver links. Registrate o Entra con tu cuenta
de pronto veo skype y veo que alguien me habla diciendo en ingles ''Un negrata me dijo que le intentastes DOSEAR con una booter de 5 dolares y aqui estoy yo el listillo''.

Eso te lo dijo desde el mismo Skype?  ???

De ser afirmativa significa que le tienes en tus contactos, también podría significar que de alguna forma aceptaste algun regalito que te mandaron por Skype, lo que  a su vez puede significar que estas infectado con alguna basura de malware, asi que para comenzar podrias intentar:

1.- Buscar conexiones extrañas establecida con tu equipo usando netstat.
2.- Instalar algún buen antivirus, personalmente te recomiendo 360 security, muy buena suite de herramientas.
3.- Revisar tus descargas
4.- Revisar tus logs

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Bueno cuando me dijo esto ya estaba completamente seguro que era un DDoS a mi router

Seria tan sencillo como llamar a la ISP para preguntar si vieron algun tipo de actividad rara durante un periodo determinado (imagino tienes la fecha y hora de cuando sucedio).

Por lo demás de que te redirigía las peticiones http te aconsejo seguir los consejos de @No tienes permisos para ver links. Registrate o Entra con tu cuenta y @No tienes permisos para ver links. Registrate o Entra con tu cuenta, gracias al analisis de @No tienes permisos para ver links. Registrate o Entra con tu cuenta podría decirse que no tienes el acceso desde fuera habilitado, pero Nmap usado de forma básica solo busca puertos bien conocidos y puertos registrados que van desde el 0 hasta el 49 mil no se cuantos, los restantes (casi 16,000) son puertos que pueden ser usados por una aplicación, servicio, etc... de forma temporal y solo esta activo mientras se requiere la comunicación entre nodos, asi que no se puede descartar que alguien o algo (malware) este abriendo una conexion inversa por un puerto que no sea bien conocido, ni registrado.

Lo de utilizar Wireshark seria muy favorable siempre y cuando sepas interpretar la informacion que te arroja, podrias ordenar las tramas por destino, por puerto y por protocolo y ver si encuentras algo fuera de lo normal.

Podrías probar usar el servicio desde otro dispositivo y si te funka bien ya podrías estar casi seguro de infección.

Saludos.
« Última modificación: Junio 19, 2015, 04:09:26 pm por Cl0udswX »
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.


Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    3.33%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #8 en: Junio 19, 2015, 05:19:46 pm »
Muy bien explicado Cl0udswX pero existe la posibilidad de que  le hayan Doseado el router una vez se sabe su ip , también le hice un nmap para ver si tenia el puerto 80 administración remota de su router abierto.

En el volcado de información expuesto sale filtrado y por eso descarté que estuvieran accedindolo de forma remota, lo que me llamó la atención de su post fue esto
Citar
me bloqueo la entrada a páginas web ya que cuando intentaba entrar a google me redirigia a la administración de router en la pagina inicial con un codigo que creo que enviaba la contraseña a una pagina web era codigo php como no sabía que hacer encendi el APATEDNS y el WIRESHARK para capturar el tráfico quisiera saber como arreglarlo y si puedo hacer algo con la infromación que tengo en los dos programas

Yo bajo mi punto de vista es que esta infectado hasta la médula y el que lo tiene infectado está redirigiéndole las peticiones que realiza con su navegador, se me ocurren varias cosas que revises el archivos .host haber si te han modificado algo, comprueba encarecidamente tus conexiones(cierra todo ), comprueba conexiones sospechosas, échale  un vistazo a las HKCU, mira en Startup, escanea con un buen antivirus.

También me ha dado por pensar que puede estar infectado por una Botnet con la cual según vi en un tutorial de antrax  se puede dosear, en fin todo lo que exponemos son suposiciones y todo lo hacemos por ayudarte.

Saludos a todos compañeros



No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado Cl0udswX

  • *
  • Colaborador
  • *
  • Mensajes: 869
  • Actividad:
    1.67%
  • Reputación 4
  • La fisica es el sistema operativo del universo.
    • Ver Perfil
    • cl0udswz - Sequre
  • Skype: cl0udzwx
  • Twitter: @cl0udswzsequre
« Respuesta #9 en: Junio 19, 2015, 10:53:54 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Que post mas interesante !

 ???
El talento se parece al tirador que da en un blanco que los demás no pueden alcanzar; el genio se parece al tirador que da en un blanco que los demás no pueden ver.


Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    3.33%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #10 en: Junio 20, 2015, 06:00:01 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Que post mas interesante !

Espero que no los digas entre comillas, si de verdad te ha gustado es una satisfacción para mí y para todos los que colaboramos directamente o indirectamente en Underc0de.org , pues ese es el fin de underc0de.org , que aprendamos todos, yo muero por aprender,ayudar y no existe un día de mi vida que no haya aprendido algo nuevo.

Mi lema es para aprender hay que enseñar.
No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado meteor0

  • *
  • Underc0der
  • Mensajes: 66
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #11 en: Junio 20, 2015, 06:32:10 am »
Gracias amigos por todo el tiempo gastado voy hacer una limpieza del ordenador y ocultar mi ip por skype

Desconectado Hu3c0

  • *
  • Underc0der
  • Mensajes: 434
  • Actividad:
    3.33%
  • Reputación 0
  • In the middle Netbeans
    • Ver Perfil
« Respuesta #12 en: Junio 20, 2015, 07:07:07 am »
Gracias a tí meteor0 por confiarnos tu problema y por haber aprendido una cosa nueva con nosotros, efectivamente es así las Redes Sociales son una arma de doble filo, todos queremos estar conectados , pero son unos grandísimos snifers de información sabiendo dónde acudir se puede extraer grandes cantidades de datos vitales para elaboral perfiles, saber dónde vas , dónde vienes, con quién te juntas, dónde posteas , qué te gusta, etc.

Luego hay que tener mucho pero que mucho cuidado de dónde se descargan software que en la mayoría de los casos viene infectado bien por Rat , Botnets, o tipo rasonware estos últimos son una auténtica pesadilla a la hora de desinfectarte.

Un Salut y creo que el moderador podría dar por concluído este post y cerrarlo cualquier cosa que necesites aquí estamos.

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 364
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #13 en: Junio 20, 2015, 05:29:48 pm »
Y si no de ultima para estar mas seguros realiza un backup, después el típico formateo y reinstala el S.O, puede ser un poco tedioso pero yo en lo personal cada tantos meses lo hago ante cualquier duda y para agilizar la PC. jaja

Saludos!
« Última modificación: Junio 20, 2015, 05:39:19 pm por EPSILON »

 

¿Te gustó el post? COMPARTILO!



[SOLUCIONADO] ¿Kali Linux o Kali Linux Ligth ?

Iniciado por worq

Respuestas: 2
Vistas: 7033
Último mensaje Noviembre 21, 2017, 12:28:54 pm
por Codig0Bit
[SOLUCIONADO] ¿Como publicar un software como software libre?

Iniciado por FuriosoJack

Respuestas: 2
Vistas: 1591
Último mensaje Mayo 23, 2017, 07:24:22 am
por HATI
[SOLUCIONADO] Multiuploader de imagenes con mysql, hosting de imagenes con mysql

Iniciado por graphixx

Respuestas: 4
Vistas: 2185
Último mensaje Marzo 26, 2013, 05:42:58 pm
por Xt3mP
[SOLUCIONADO] Linux Mint, errores, errores y mas errores...

Iniciado por n1sendev

Respuestas: 12
Vistas: 2848
Último mensaje Noviembre 22, 2017, 06:50:55 am
por RuidosoBSD
[SOLUCIONADO] Ayuda urgente con Virus "Virus.Win32Sality"

Iniciado por Napsters

Respuestas: 6
Vistas: 3417
Último mensaje Junio 11, 2012, 03:38:18 am
por Satyricon