
tl,dr:
- Der Benutzer und seine Kollegen haben Zugriff auf einen Heimserver über SSH. Seit Kurzem treten bei den Kollegen Verbindungsprobleme auf, da sie auf andere SSH-Schlüssel als erwartet stoßen.
- Der Benutzer im lokalen Netzwerk hat aufgrund eines möglichen NAT-Loopbacks keine Probleme.
- Sie stellten fest, dass den Mitarbeitern ein Dropbear-SSH-Server und nicht das erwartete OpenSSH angezeigt wurde, was darauf schließen lässt, dass das Modem/der Router die Störung verursacht.
- Die Einstellungen des vom ISP bereitgestellten Modems/Routers RTF8115VW sind nicht leicht anpassbar, was zu Unsicherheiten hinsichtlich möglicher Hackerangriffe/Sicherheitsverletzungen oder Konfigurationsproblemen führt.
- Der Benutzer möchte Ratschläge zum weiteren Vorgehen erhalten.
Ganze Sache:
Ich habe zu Hause einen Server, mit dem ich mich über SSH (lokales Netzwerk) verbinde, und meine Kollegen greifen auch über SSH (Internet) direkt über meine IP darauf zu.
Vor ein paar Tagen begannen meine Kollegen Verbindungsprobleme zu haben. Das Terminal beschwerte sich, dass der öffentliche Schlüssel nicht derselbe sei. Wir begannen mit der Untersuchung.
Ich habe festgestellt, dass ich beim Zugriff über das lokale Netzwerk denselben Fingerabdruck sehe, den der Server meldet, wenn ich mich direkt mit ihm verbinde, beginnend mit yury4
. Dies passiert sogar, wenn ich auf meine externe IP zugreife: Es scheint, dass das Modem/der Router eine Art NAT-Loopback-Übersetzung durchführt und alles funktioniert. Meine Kollegen sehen jedoch XyTk/
durchgängig einen anderen Fingerabdruck, der mit beginnt, und können keine Verbindung mehr herstellen.
Bei genauerer Beobachtung fiel uns auf, dass ein anderer SSH-Server gemeldet wurde: Dropbear. Ich sah OpenSSH. Bei näherer Untersuchung stellte ich fest, dass Dropbear ideal für eingebettete Systeme zu sein scheint, was mich dazu brachte, das Modem/den Router zu verdächtigen. Bingo: Wenn ich das Modem/den Router nach seinem Fingerabdruck frage, antwortet er mit dem, der mit beginnt XyTk/
.
Das Problem ist, dass ich nicht erkennen kann, was passiert. Mein grundsätzliches Verständnis ist, dass das Modem/der Router Pakete nicht manipulieren, sondern nur weiterleiten sollte, richtig? Ich weiß auch nicht, wie ich das Problem beheben kann. Das Modem/der Router ist vom Zugangsanbieter und einige Einstellungen scheinen nicht zugänglich zu sein. Tatsächlich weiß ich nicht einmal, ob dieses kleine Ding angegriffen wurde und ob ein Man-in-the-Middle-Angriff stattfindet oder ob es sich nur um ein Konfigurationsproblem handelt.
Was wäre der nächste Diagnoseschritt?
EDIT: Das Gerät ist ein RTF8115VW.
Antwort1
Es wäre vielleicht eine nette Recherche, die Gründe herauszufinden. Aber was Sie schreiben, lässt mich vermuten, dass Sie möglicherweise gehackt wurden.
Fragen Sie sich also, was in einem solchen Fall vor allem zu tun ist.
- Wenn Sie nichts zu verlieren haben, können Sie einige gründliche forensische Untersuchungen zum Wie und Wo der festgestellten Probleme durchführen.
- Bei wichtigen Dingen sollten Sie über eine Isolierung und sofortige Sicherung nachdenken, jedoch keine vorhandenen Sicherungsmedien berühren. – Im schlimmsten Fall verschlüsselt eine Ransomware derzeit still und heimlich Ihre Dateien und taucht in ein paar Stunden oder Tagen auf, um Geld zu verlangen.
- Ein nicht ganz so aggressives Szenario besteht darin, dass der Router Teil eines Botnetzes geworden ist und die Bösewichte per Fingertipp darauf zugreifen können, um auf anderen Websites böse Dinge anzurichten.
Warum nehme ich einen Hack in Kauf?
Der erste bemerkenswerte Hinweis ist, dass Sie den SSH-Standardport zur Internetseite geöffnet haben.
Meine Meinung: Bei einem All-in-One-RouterniemalsMachen Sie das mit einem Standardport für SSH oder einen anderen Netzwerkdienst. – Wenn (innerhalb dieses Routers oder des Servers, an den Sie weiterleiten) ein Implementierungs- oder Konfigurationsfehler vorliegt, werden Sie gehackt. Zumindest die Standardports werden von den Bösewichten Tag und Nacht, weltweit und vollautomatisch gescannt, wie ein nie endender Regen.Das Problem trat einige Zeit nach der regulären Funktion wieder auf. Warum sollte sich diese Funktionalität also ändern?
Der SSH-Daemon des Routers bedient offensichtlich die Internetseite. (Oder die Portweiterleitung endet nicht beim Server, sondern beim Router. Aber warum?) Dies ist ganz plötzlich passiert und Sie wissen nicht einmal, wie Sie den SSH-Port des Routers aktivieren.
Da Sie (und Ihr Kollege) sagen, dass Sie nichts geändert haben (sind Sie sicher?), muss eines der folgenden Dinge berücksichtigt werden:
- Möglicherweise war ein Firmware- oder Konfigurationsupdate des Routers fehlerhaft.
- ein Servicetechniker des Internetproviders hat etwas falsch konfiguriert.
- es ist zu einem Hack gekommen.
Ich würde vom schlimmsten Fall ausgehen und wäre froh, wenn sich das Gegenteil bewahrheitet.
Was als nächstes?
Überprüfen Sie noch einmal, ob Dropbear wirklich auf dem Router gehostet wird. Je nachdem, ob diese Aussage zutrifft, kann sich das ganze Szenario ändern.
Wenn wahr:
Ich vermute, dass (zumindest) Ihr Router und Ihr Server kompromittiert wurden und dass eine unbefugte Person den SSH-Port geöffnet hat.
Informationen sammeln
- Wenn Sie eine Verkehrsanalyse durchführen können und möchten, tun Sie dies jetzt und trennen Sie anschließend Ihre Systeme vom Internet.
- Prüfen Sie die Logs (Router, Server, Clients) auf verdächtige Einträge (ggf. auch manipuliert), insbesondere in dem Zeitraum, in dem sich die Funktionalität geändert hat.
- Überprüfen Sie Ihre Daten und Installationen.
Eliminieren Sie potenzielle Risiken
Es wäre eine gute Idee, einige professionelle Tools wie Malware-Checker zu Rate zu ziehen.
- Trennen Sie die Internetverbindung, sofern dies noch nicht geschehen ist.
- Führen Sie eine Notfallsicherung durch (nicht mit den normalen Sicherungsmedien, sondern offline)
- Setze Deinen Router zurück und installiere (neu) am besten die Firmware. Mehr kannst Du gegen Backdoors kaum tun.
Sie können die Routerkonfiguration kopieren, aber führen Sie NICHT die Funktion „Konfiguration speichern“ und nach dem Zurücksetzen die Funktion „Konfiguration per Datei wiederherstellen“ aus. Sie würden möglicherweise einige unerwünschte Einstellungen erneut anwenden. - Überlegen Sie, was Sie mit Ihrem Server machen wollen. Durch die Portweiterleitung hat der potentielle Hacker direkten Kontakt zu diesem, kann ihn möglicherweise zuerst hacken und dann das ganze LAN kompromittieren.
- Überlegen Sie, welches mögliche Risiko einer Kommutierung Ihrer Clients (einschließlich der Clients Ihres Kollegen!) besteht, und treffen Sie eine Entscheidung.
Nach dem Reset einige Dinge, über die Sie nachdenken sollten
- Überprüfen Sie den Router auf der Internet- und LAN-Seite auf den offenen SSH-Port, bevor Sie Ihre persönliche Konfiguration anwenden. Informieren Sie sich unbedingt, wie dieser aktiviert/deaktiviert werden kann.
- Wenn Sie für Ihren Kollegen einen externen SSH-Zugriff benötigen, wählen Sie einen ungewöhnlichen Port, vorzugsweise zwischen 10000 und 65535, und verwenden Sie nicht die Zahl „22“ in der Nummer.
- Stellen Sie sicher, was Sie konfigurieren.„Oh, jetzt funktioniert es zufällig“ist eine schlechte Idee. — Genau aufräumen, das Ausprobieren bleibt.
- Denken Sie über eine echte Firewall nach, die Ihre über das Internet erreichbaren Server von Ihrem LAN isoliert.
- Schützen Sie Ihren Server vor dem Zugriff durch das Internet
- Wenn Sie einen Dynamic DNS-Anbieter verwenden müssen, wählen Sie keinen Dienst Ihres Router-Herstellers. Dies ist ein Honeypot für hardwarespezifische Hacks.
- Um die Verbindung zur Hacker-Datenbank zu trennen, wählen Sie einen anderen DNS-Namen. Wenn Sie eine feste externe IP-Adresse haben, ändern Sie diese, wenn möglich.
Antwort2
Das Problem ist, dass ich nicht erkennen kann, was passiert. Mein grundsätzliches Verständnis ist, dass das Modem/der Router Pakete nicht manipulieren, sondern nur weiterleiten sollte, oder?
Na ja, nicht genau.
Zum einen ist es zwar richtig, dass Routernormalerweisemanipulieren Sie keine Pakete auf oder über IP-Ebene (abgesehen von der Dekrementierung der IP-TTL). Sie haben neben einfachem Routing auch NAT, und NAT ist buchstäblich eine Form des „Manipulierens von Paketen“, da es das Umschreiben sowohl der L3- (IP) als auch der L4-Header (TCP/UDP) beinhaltet. (Und das ist noch bevor wir uns mit ALGs, auch bekannt als „NAT-Helfer“, befassen – z. B. umschreiben Router tatsächlich FTPBefehle und Antwortendamit es über NAT funktioniert…)
Aber in deinem Fall ist es nicht das Durcheinander mit Paketen, sondern dasderen Fehlendas verursacht die Unterschiede:
Denken Sie daran, dass Sie sich bei einer Verbindung von außen mit demRoutersöffentliche IP-Adresse. Wenn die Regel „Port-Umleitung“ aktiv ist (was im Grunde DNAT ist), schreibt der Router das Feld „Ziel-IP“ jedes Pakets neu, bevor er es weiterleitet (so dass es an die interne IP-Adresse des Servers weitergeleitet wird).
Wenn die Regel „Port-Umleitung“nichtaktiv, es wird jedoch nichts umgeschrieben – wenn Sie sich also mit der IP-Adresse des Routers verbinden, stellen Sie in Wirklichkeit nur eine Verbindung zu … dem Router her.
Es ist ziemlich normal, dass der Router einen eigenen SSH-Server hat. Normalerweise werden externe Verbindungen jedoch 1) durch die regulären Firewall-Regeln des Routers abgelehnt und 2) durch die DNAT-Regel „Port-Umleitung“ überschrieben, sodass der Router sie nie als eingehend betrachtet. Aber in Ihrem Fall klingt es sehr danach, als ob keine dieser Regeln richtig funktioniert – die DNAT-Umschreibung findet nicht stattUndder Firewall-Filter blockiert die eingehende Verbindung nicht.
Wenn ich also raten müsste (basierend auf der Tatsache, dass internes "NAT Loopback"tutscheint zu funktionieren), es handelt sich um eine Art Konfigurationsproblem – möglicherweise stellt der ISP über Nacht eine neue Konfiguration bereit –, das dazu führt, dass sowohl die Filter- als auch die NAT-Regeln eine andere Schnittstelle als „Eingangsschnittstelle“ erwarten. (Beispielsweise ist die WAN-Schnittstelle möglicherweise eth0.3, aber die Regeln erwarten, dass das WAN eth0.4 ist …)
- Überprüfen Sie, ob das Problem nach einem Neustart des Routers oder dem Löschen und erneuten Hinzufügen der Portumleitungsregel verschwindet.
- Überprüfen Sie, ob das Problem weiterhin auftritt, wenn Sie die Portumleitung für einen anderen Port als den üblichen einrichten. (Das Problem wird dadurch nicht behoben.
- Da der Router vom ISP gesperrt ist, liegt das Problem eigentlich beim ISP. Rufen Sie den technischen Support an und bitten Sie ihn um einen Ersatzrouter oder etwas Ähnliches.