SSH フィンガープリントの違い

理由を見つけるのは良い調査になるかもしれません。しかし、あなたが書いている内容から、あなたはハッキングされた可能性があると私には思われます。

そのような場合にまず何をすべきか自問してみてください。

1. 失うものが何もない場合は、気づいた問題がどこでどのように発生したかについて、適切なフォレンジック調査を行うことができます。
2. 重要な情報がある場合は、隔離と即時バックアップを検討する必要がありますが、既存のバックアップ メディアには触れないでください。最悪の場合、ランサムウェアが現在、密かにファイルを暗号化しており、数時間または数日以内に現れて金銭を要求する可能性があります。
3. それほど攻撃的ではないシナリオとしては、ルーターがボットネットの一部となり、悪意のある人物が指先でアクセスして他の Web サイトに悪質な行為を行えるようになるというものがあります。

なぜハッキングを考慮する必要があるのでしょうか?

• 最初の注目すべきヒントは、SSH標準ポートをインターネット側に開いたことです。
  私の意見：オールインワンルーターでは、決してSSH またはその他のネットワーク サービスの標準ポートに対してこれを実行します。 – (このルーターまたは転送先のサーバー内に) 実装バグまたは構成バグがある場合、ハッキングされる可能性があります。少なくとも標準ポートは、悪意のある人物によって、昼夜を問わず、世界中で、完全に自動化され、終わりのない雨のように継続的にスキャンされています。

• 問題は、正常に動作していた後しばらくして発生しました。では、なぜこの機能を変更する必要があるのでしょうか?

• ルーターの ssh デーモンは明らかにインターネット側にサービスを提供しています。(または、ポート転送はサーバーではなくルーターで終了します。しかし、なぜでしょうか?) これは突然発生し、ルーターの ssh ポートを有効にする方法さえわかりません。

あなた (および同僚) が何も変更していないと言っている場合 (本当にそうでしょうか?)、次のいずれかを考慮する必要があります。

1. ルーターのファームウェアまたは構成の更新に誤りがあった可能性があります。
2. インターネットプロバイダーのサービス技術者が何かを誤って設定しました。
3. ハッキングが発生しました。

私は最悪のシナリオを想定し、それが誤りであると証明されれば幸せだろう。

次は何？

Dropbear が実際にルーター上でホストされているかどうかを再確認してください。この記述が真実かどうかによって、シナリオ全体が変わる可能性があります。

真であれば：

少なくともルーターとサーバーが侵害され、権限のない誰かが SSH ポートを開いたのではないかと疑っています。

情報を収集する

1. トラフィック分析が可能で、実行したい場合は、今すぐ実行し、システムをインターネットから切断してください。
2. ログ (ルーター、サーバー、クライアント) をチェックして、特に機能が変更された期間に疑わしいエントリがないか確認します (ただし、操作されている可能性があります)。
3. データとインストールを確認してください。

潜在的なリスクを排除する

マルウェア チェッカーなどの専門的なツールに相談するのも良いでしょう。

• まだ行っていない場合は、インターネットを切断します。
• 緊急バックアップを行う（通常のバックアップメディアは使用せず、オフラインのままにする）
• ルーターをリセットし、できればファームウェアをインストール（再インストール）してください。バックドアに対してこれ以上の対策はほとんどできません。
  ルーターの設定をコピーすることはできますが、「設定を保存」したり、リセット後に「ファイルで設定を復元」したりしないでください。不要な設定が再適用される可能性があります。
• サーバーをどうするか考えてください。ポート転送によって、潜在的なハッカーがサーバーに直接アクセスし、最初にハッキングしてから LAN 全体を危険にさらす可能性があります。
• あなたのクライアント（同僚のクライアントも含む）が危険にさらされる可能性のあるリスクについて考えて判断してください。

リセット後、考えるべきこと

• 個人設定を適用する前に、インターネット側と LAN 側のルーターの SSH ポートが開いているかどうかを確認してください。これを有効/無効にする方法を必ず確認してください。
• 同僚に外部 SSH アクセスが必要な場合は、珍しいポート (できれば 10000 から 65535 の間) を選択し、番号内に「22」を含めないようにしてください。
• 何を設定しているのかを確認してください。「ああ、今はうまくいっているんだ」は良くない考えです。 — 試行錯誤が残りますが、正確にクリーンアップします。
• インターネットにアクセス可能なサーバーを LAN から分離する実際のファイアウォールについて考えてみましょう。
• インターネットに公開されているサーバーを強化する
• ダイナミック DNS プロバイダーを使用する必要がある場合は、ルーターの製造元が提供するサービスを選択しないでください。これは、ハードウェア固有のハッキングのためのハニーポットです。
• ハッカーのデータベースから切断するには、別の DNS 名を選択します。固定の外部 IP アドレスがある場合は、可能であれば変更してください。

問題は、何が起こっているのかを識別できないことです。私の基本的な理解では、モデム/ルーターはパケットを操作せず、単に通過させるだけであるはずですよね?

まあ、正確にはそうではないです。

まず、ルーターは通常はIPレベル以上のパケットをいじらないでください（IP TTLを減らすこと以外）。また、プレーンルーティングに加えてNATもあります。NATは文字通り「パケットをいじる」形式であり、L3（IP）とL4（TCP / UDP）ヘッダーの両方を書き換えます。（これは、ALG（別名「NATヘルパー」）に入る前の話です。たとえば、ルーターは実際にFTPを書き換えます。コマンドと応答NAT経由で動作させるには…)

しかし、あなたの場合はパケットをいじっているのではなく、その欠如それが違いを引き起こしているのです:

• 外部から接続する場合は、ルーターのパブリック IP アドレス。「ポート リダイレクト」ルールがアクティブな場合 (基本的には DNAT)、ルータは各パケットの「宛先 IP」フィールドを書き換えてから渡します (サーバーの内部 IP アドレスにルーティングされるように)。

• 「ポートリダイレクト」ルールがないただし、アクティブの場合、何も書き換えられません。そのため、ルーターの IP アドレスに接続すると、実際にはルーターに接続するだけになります。

ルーターに独自の SSH サーバーがあるのはごく普通のことです。ただし、通常、外部接続は 1) ルーターの通常のファイアウォール ルールによって拒否され、2) 「ポート リダイレクト」DNAT ルールによって上書きされるため、ルーターはそれを受信と見なすことさえありません。しかし、あなたのケースでは、どちらのルールも正しく機能していないようです。つまり、DNAT の書き換えが行われていないのです。そしてファイアウォール フィルターが受信接続をブロックしていません。

それで、私が推測するなら（内部の「NATループバック」に基づいて）する動作しているように見える場合、これは何らかの構成の問題です。ISP が夜間に新しい構成を導入した可能性があります。これにより、フィルターと NAT ルールの両方で、異なるインターフェイスが「入力インターフェイス」として想定されます。(たとえば、WAN インターフェイスが eth0.3 であるのに、ルールでは WAN が eth0.4 であると想定されている可能性があります...)

• ルーターを再起動した後、またはポート リダイレクト ルールを削除して再度追加した後に問題が解決するかどうかを確認します。
• 通常のポートとは異なるポートにポートリダイレクトを設定しても、同じことが起こるかどうかを確認してください。（問題は解決しません。
• ルーターは ISP によってロックダウンされているため、実際には ISP の問題です。ISP のテクニカル サポートに連絡して、ルーターの交換などを依頼してください。