Red de mi Hogar Hackeada? Modem Telmex en modo Bridge + PPPoA

Iniciado por GAdsg, Junio 06, 2021, 06:23:51 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Junio 06, 2021, 06:23:51 AM Ultima modificación: Junio 06, 2021, 07:11:03 AM por GAdsg
1) Despues de sospechar que varios dispositivos habian sido hackeados, descubri que el router Telmex HG658d esta en Modo Puente o Bridge y su PPPoE (o PPPoA?) configurado:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lo extraño es que hasta donde se cuando esta el router esta en modo puente, el wifi deja de funcionar. Sin embargo he continuado conectandome sin problemas.

2) Era un misterio hasta que note que la laptop detecta 2 routers o modems con el mismo nombre.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"This connection allows you to connect to the internet through a shared connection on another computer"

Del 1 al 10 para ti que probabilidades hay de que esta red este hackeada?

PD: Si la respuesta promedio señala a un hackeo, no duden que este hilo sera visitado por " "ellos" ...
PD 2: No se si estara relacionado pero segun el Microsoft Store ni siquiera esta conectada a internet esta PC:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Luego tambien esta la cuestion de los demonios en el log de mi router:

Es una configuración del ISP

Lo del "Demonio" es una traducción al español de "Daemon" que hace referencia a un servicio del sistema (demonio de red) para integrar las conexiones. Este se "levanta" al iniciar Windows.

Nada de lo que refiere indica intrusiones y sí cierta tendencia a la paranoia. #1- Un comienzo certero hacia la chifladura.

Disfrute su internet y relájese.

No obstante le quedará un "y si no...?" que no le dejará vivir. (Remítase a la referencia #1)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
1) Despues de sospechar que varios dispositivos habian sido hackeados, descubri que el router Telmex HG658d esta en Modo Puente o Bridge y su PPPoE (o PPPoA?) configurado:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lo extraño es que hasta donde se cuando esta el router esta en modo puente, el wifi deja de funcionar. Sin embargo he continuado conectandome sin problemas.

2) Era un misterio hasta que note que la laptop detecta 2 routers o modems con el mismo nombre.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"This connection allows you to connect to the internet through a shared connection on another computer"

Del 1 al 10 para ti que probabilidades hay de que esta red este hackeada?

PD: Si la respuesta promedio señala a un hackeo, no duden que este hilo sera visitado por " "ellos" ...
PD 2: No se si estara relacionado pero segun el Microsoft Store ni siquiera esta conectada a internet esta PC:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Respecto al modo bridge, solo veo capturas de configuración de bridge pero no veo que indique en ningún lado que está activado, el modo bridge sirve para poder direccionar directamente el internet del modem a un segundo ruter y delegarle a este otro las configuraciones generales, esto es cierto que desactiva el wifi, pero yo repito, no veo que tengas activado modo bridge, por que lo dices? (digo en las capturas no veo que diga el modo en el que está operando el router).

Luego respecto a que detecta dos internet, esto no es correcto, solo detecta uno, y detecta otra parte del modem/router como otro dispositivo adicional, pero no es específicamente otra red de wifi, esto puede ser normal.

Como dijo AXCESS los deamon se refieren a otra cosa (procesos en segundo plano que existen en casi todos los dispositivos).

En resumen, si tu red está comprometida, con la información que brindas no se ve, pero tampoco brindas suficiente información como para deducir el estado de tu red.

Comparto lo que dice AXCESS, quizá un poco de paranoia sumado a desconocimiento, generan lo que en los antivirus se conocen como "falsos positivos", ver fantasmas donde no los hay, pero lo que si te diría es que utilices una versión más actualizada de Windows, considerando que utilizas una versión del 2009 (aunque con posteriores parches, sigue siendo un diseño de esa epoca).

Saludos,

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Es una configuración del ISP

Lo del "Demonio" es una traducción al español de "Daemon" que hace referencia a un servicio del sistema (demonio de red) para integrar las conexiones. Este se "levanta" al iniciar Windows.

Nada de lo que refiere indica intrusiones y sí cierta tendencia a la paranoia. #1- Un comienzo certero hacia la chifladura.

Disfrute su internet y relájese.

No obstante le quedará un "y si no...?" que no le dejará vivir. (Remítase a la referencia #1)

Que fortuna la mia, justo vine a consultar con un experto en seguridad informatica que al mismo tiempo es psiquiatra...
Permitame no coincidir con su diagnostico doctor, pues no estoy tan chiflado como para evitarme el tramite de consultar a los expertos cuando tengo alguna duda. En todo caso se trata de una gran amplitud mental mezclada con ignorancia sobre seguridad en redes, y un poco de alarmismo propiciado por una búsqueda en google:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El documento explica cómo se utilizan los procesos llamados demonios para infectar computadoras y redes enteras. Y aunque está claro que existen demonios que no causan perjucio, admito que se me antojaba sospechoso que el router recibiera una petición de esas cada 10 segundos, o cada 1 o 3 minutos.

En la casa donde sospecho del hackeo hay una sola PC, en mi otra casa tenemos alrededor de 9 dispositivos que usan internet pero ningún aviso de demonios en el log del router.




No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
1) Despues de sospechar que varios dispositivos habian sido hackeados, descubri que el router Telmex HG658d esta en Modo Puente o Bridge y su PPPoE (o PPPoA?) configurado:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lo extraño es que hasta donde se cuando esta el router esta en modo puente, el wifi deja de funcionar. Sin embargo he continuado conectandome sin problemas.

2) Era un misterio hasta que note que la laptop detecta 2 routers o modems con el mismo nombre.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"This connection allows you to connect to the internet through a shared connection on another computer"

Del 1 al 10 para ti que probabilidades hay de que esta red este hackeada?

PD: Si la respuesta promedio señala a un hackeo, no duden que este hilo sera visitado por " "ellos" ...
PD 2: No se si estara relacionado pero segun el Microsoft Store ni siquiera esta conectada a internet esta PC:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Respecto al modo bridge, solo veo capturas de configuración de bridge pero no veo que indique en ningún lado que está activado, el modo bridge sirve para poder direccionar directamente el internet del modem a un segundo ruter y delegarle a este otro las configuraciones generales, esto es cierto que desactiva el wifi, pero yo repito, no veo que tengas activado modo bridge, por que lo dices? (digo en las capturas no veo que diga el modo en el que está operando el router).

Luego respecto a que detecta dos internet, esto no es correcto, solo detecta uno, y detecta otra parte del modem/router como otro dispositivo adicional, pero no es específicamente otra red de wifi, esto puede ser normal.

Como dijo AXCESS los deamon se refieren a otra cosa (procesos en segundo plano que existen en casi todos los dispositivos).

En resumen, si tu red está comprometida, con la información que brindas no se ve, pero tampoco brindas suficiente información como para deducir el estado de tu red.

Comparto lo que dice AXCESS, quizá un poco de paranoia sumado a desconocimiento, generan lo que en los antivirus se conocen como "falsos positivos", ver fantasmas donde no los hay, pero lo que si te diría es que utilices una versión más actualizada de Windows, considerando que utilizas una versión del 2009 (aunque con posteriores parches, sigue siendo un diseño de esa epoca).

Saludos,

Hola Alex! Muchas gracias por tu respuesta. Sobre la cuestión del modo bridge, encontré que estaba configurado el apartado de No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Reitero que no soy experto en redes así que a wikipedia me remití:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
CitarPuente de red (en inglés: bridge) es el dispositivo de interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace de datos) del modelo OSI.
Interconecta segmentos de red (o divide una red en segmentos) haciendo la transferencia de datos de una red hacia otra con base en la dirección física de destino de cada paquete.

Obviamente lo primero que me pregunté fue por qué diablos hay un puenteo configurado, y a dónde se conecta. Salvo que ese apartado de Puenteo capa 2 en el setup del router no sea la configuración del modo bridge en sí mismo.

Leí en algún lugar que con el modo bridge la telefonía VOIP no funciona, y efectivamente así figuran los teléfonos desde el panel del router (desconectados, inactivos). Obviamente no están ni desconectados ni inactivos, pero así se muestran:



Y pues, ese detalle era lo que me hacía pensar en un segundo modem, además del hecho explicito de que aparezcan dos en la red.
Si no llegase a ser el caso, tampoco se explica esta leyenda en el segundo dispositivo:
"This connection allows you to connect to the internet through a shared connection on another computer"

Saludos

Junio 06, 2021, 10:19:56 PM #5 Ultima modificación: Junio 06, 2021, 11:31:42 PM por DtxdF
Hola @GAdsg

Citar2) Era un misterio hasta que note que la laptop detecta 2 routers o modems con el mismo nombre.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Tengo entendido que en Windows, concretamente Conexiones de redes y recursos compartidos, si seleccionas dos interfaces de redes y luego las "unes", te puede aparecer un mensaje como ese. Mayormente cuando se realiza tal operación es para, por ejemplo, compartir la conexión a Internet u otras cosas similares.


No sé si tu router sigue la misma definición, pero no es demonio, es daemon de las siglas en inglés de Disk and Execution Monitor. Por supuesto, la nomenclatura es relativa al sistema operativo, pero generalmente, aunque en aspectos técnico sean diferentes, la finalidad es poder ejecutar una o muchas operaciones en segundo plano.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Por lo general, en una botnet se usa el término Maestro y Esclavo. En el diagrama se usa Atacante y Demonio, aunque mucho antes de ese párrafo se utiliza correctamente Maestro y luego al final, el autor (o autores) mencionan qué hace un Demonio, que básicamente es lo mismo que mencioné anteriormente, o al menos así me dio una idea al mencionar a la herramienta cron, que aunque su finalidad no es maligna, se puede prestar para ello.

No obstante, si un documento tiene coincidencias con cosas que te están pasando, no debes alarmarte (aunque la situación es relativa, para este caso tal parece a simple vista, que no es necesario).

Hay una variedad de artículos por la web, así que escribe en el buscador términos como «mi red está infectada» y que empiece la lectura.

Editado:

En hackxcrack también te dieron buenos consejos, pero requieren que estudies un pocos los aspectos técnicos, específicamente el de redes. Si no es un problema, entonces vas por buen camino para saber detectar, no obstante también, si sientes que te han vulnerado la red, puedes hacer lo que te dicen: cambiar la contraseña, asegurar mejor todo, escanear los sistemas operativos, etc.; pero puede que esto no sea lo único, todo es muy relativo.

~ DtxdF
~ DtxdF

Junio 07, 2021, 04:47:56 PM #6 Ultima modificación: Junio 09, 2021, 12:05:43 AM por AXCESS
De cualquier modo, además de las recomendaciones que le han brindado aquí y allá, para enraizar su seguridad, le voy a sugerir:

Instale el netcut v2.1.4. (búsquelo en internet)

Este es un escáner arp  del cual no es posible ocultarse.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Debe bloquearle el acceso a internet de una conexión que establece a su sitio (1), a través del firewall, de lo contrario le dirá que esa versión que es gratuita está obsoleta, cerrará y le remitirá al sitio donde promoverá una versión de pago, e igual en función.

Si hay un intruso accediendo a su red, con esta herramienta lo verá.
E incluso puede bloquearle el internet.

Previo a ello, debe auditar todos sus dispositivos (3) en cuanto a la Mac se refiere (2).
Porque si es un intruso versado, se enmascarará con la Mac de uno de los dispositivos que usa. Debe tener también en cuenta cuando es que sus dispositivos están conectados para no confundirse.

Según la configuración que remite, como el ISP configuró el Router en modo puente:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

debe ver con el escáner algo como esto:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El listado (4), además del Router suyo, hace referencia a los usuarios (IP dinámica) que están conectados a la terminal de la fibra, por donde salen todos. Es importante que sepa que ellos no tienen acceso a Ud., ni Ud. a ellos. Es solo una salida compartida, y es muy usual en proveedores de internet por fibra óptica. No siempre, valga mencionar, depende del ISP y de su configuración de accesos de los clientes a la terminal disponible. Por ende en condiciones diferentes (por fibra), no pudiera ser así (está condicionado por la disponibilidad de terminales físicas del ISP).

Otra herramienta que le ayudará es un buen Firewall que le gestione las conexiones de su dispositivo a través de reglas establecidas (modo interactivo, que cada vez que una aplicación solicite conexión, le preguntará solicitándole el permiso). Esto le dará el control de los programas y sus salidas.

Suerte


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Junio 10, 2021, 08:31:51 PM #7 Ultima modificación: Junio 11, 2021, 11:30:44 PM por Gabriela
Hola! Noté varios cambios en la configuración de mis dispositivos y la red después del posteo, se me hizo evidente que mientras no esté totalmente resuelto, compartir mis descubrimientos a través de mismos dispositivos que considero intervenidos no es lo más inteligente.

Aunque sí sirvió para confirmar que lo que estaba sucediendo.Prometo compartir los detalles una vez que ya esté todo arreglado aunque admito que de momento hasta me estoy divirtiendo con lo aprendido.
Por ahora solamente dejo 2 imágenes, 2 preguntas y 2 comentarios...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No obstante, si un documento tiene coincidencias con cosas que te están pasando, no debes alarmarte (aunque la situación es relativa, para este caso tal parece a simple vista, que no es necesario).

1) Imágen

1) Pregunta
¿Qué puede hacer que figure como LAN un dispositivo físicamente no conectado al router?

1) Comentario
Telmex confirmó que el router está en modo puente y que no es algo que hagan ellos.







No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Este es un escáner arp del cual no es posible ocultarse.

...

Si hay un intruso accediendo a su red, con esta herramienta lo verá.
E incluso puede bloquearle el internet.

2) Pregunta:
¿Netcut v2.1.4 detecta a una intrusión que utilice el protocolo IPv6 siendo que este maneja NDP y no ARP?
2) Comentario:
Tienes que evitar que se conecte a internet porque efectivamente es un programa obsoleto, como el criterio con el que te manejás a la hora responder.


Por mi parte nada más que agregarle.

Al parecer tiene Ud, respuestas, y juicio.

Por cierto está equivocado con el netcut, pero... tiene juicio y calificativos.

Lo del Meme... deja que desear la falta de glamur, y originalidad.

Con honestidad, no le sugerí algo con mala intensión o fe. Cada cual da lo que tiene, supongo.

Y mis toques humorísticos (donde otros coinciden) no eran para brindarme tan duro calificativo. Las personas suelen muchas veces mirarse en un espejo y proyectar lo que son.

Le deseo que encuentre respuestas a su entramado de incertidumbres, donde los problemas son complejos como libro de matemáticas.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuentaPor cierto está equivocado con el netcut, pero... tiene juicio y calificativos.

¿Y estoy equivocado porque el netcut v2.1.4 sí maneja el NDP para detectar intrusiones con IPv6?

Decir algo sin argumentar es tan fácil como tratar alguien de chiflado, y después ofenderte por un calificativo hacia tu persona.
Justamente por ese criterio es que vas borrando con el codo lo que escribís con la mano.

Junio 11, 2021, 10:56:52 AM #10 Ultima modificación: Junio 12, 2021, 09:11:58 PM por AXCESS
Como le dije:

Cada cual proyecta su imagen en los demás a modo de espejo:

Yo "chiflado" por contestarle y tomarle en serio; y Ud. por ser de orígenes nobles y de agradecidas maneras.

Doy por cerrado este asunto.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta