-
.
INFEZIONE AL ROUTER
L'infezione ai router è piuttosto diffusa a causa di dispositivi vulnerabili.Senza entrare nei particolari viene effettuato l'attacco sfruttando il vostro indirizzo IP associato al vostro modello di router.
L'infezione di solito sfrutta un bug rom-0 di cui sono affetti alcuni modelli di router e in alcuni casi sfruttando password di default o password poco complesse.
Dopo il reset il router potrebbe reinfettarsi proprio perchè come già detto viene sfruttata la vulnerabilità del router utilizzando il vostro range di indirizzi IP.Quindi vi consiglio di eseguire per intero la procedura.
Per verificare se il router è stato infettato:
Aprire START.Scrivere CMD.Cliccare in alto su cmd.exe.
Copiare(copia-incolla) la seguente stringa reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters
In caso il router non fosse stato infettato vi apparirà una schermata tipo questa con l'indirizzo del vostro router(di solito 192.168.0.1 ,192.168.1.1 ,192.168.1.254 ecc.)
Nel caso fosse stato infettato in dhcpname server troverete i dns infetti come nell'esempio
OPERAZIONI DA FARE IN CASO IL ROUTER FOSSE INFETTO
Le operazioni vanno fatte senza ricollegarsi ad internet.Quindi prima di iniziare scaricatevi tutto cio' che vi serve.
1)Aprire la pagina del router(chi non sà l'indirizzo,basta che apra il prompt dei comani "CMD" e scriva ipconfig)
Alla voce gateway troverete l'indirizzo del vostro router che dovrete copiare nella pagina degli indirizzi del vostro browser.
Recarsi alla pagina dei DNS(ho postato un esempio di un router,le vostre opzioni potrebbero essere differenti)
Modificare i DNS infetti sostituendoli con N/A reinserendo la voce automatica o meglio resettare il router.
Per resettare il vostro router leggete le istruzioni relative al vostro modello specifico(le potete anche trovare sul web)
Di solito si deve premere un pulsantino per alcuni secondi a secondo del reset(soft o hard).
In router di proprietà,non forni quindi dal vostro gestore sarà necessario riconfigurarli.Oggi la procedura è piuttosto semplice perchè dovrebbe essserci una procedura automatica nelle impostazioni del router.
2)Per una maggior sicurezza dovrete inserire nei vostri dispositivi i dns di google e/o di opends.
Questo perchè questi dns hanno la priorità su quelli impostati nel router.Quindi dato che avete un dispositivo vulerabile è facile che lo stesso in breve tempo venga reinfettato.
Sul vostro PC "aprire centro connessioni di rete e condivisione"-"modifica impostazioni scheda"-andare sulla vostra connessione wireless-"proprietà"-"protocollo internet versione 4"
In Primario inserire 8.8.8.8
In Secondario inserire 208.67.222.222
Per il vostro dispositivo mobile entrate nella configurazione della rete ed inserite gli stessi DNS.
2)Resettare o meglio disinstallare i browser con i relativi dati personali.Qui trovi una guida per il reset dei browser.Ricordatevi se disinstallate i browser di salvare i segnalibri.
3)Scaricare ed eseguire una pulizia dei file temporanei con TFC BY OLD TIMER.
Scaricare ed eseguire una pulizia con Ccleaner
Le istruzioni e relativi link sono qui https://aiuto-pc.forumfree.it/?t=66300938.
Per chi usa dispositivi mobili cancellare dal browser tutta la cache,cookie,dati di navigazione ecc.
4)Mettete in sicurezza il vostro router in questo modo:
a)La miglior cosa in caso di infezione ai router è aggiornare il firmware e cambiare la password di default d'accesso al router inserendone una complessa(numeri e lettere).
b)Dopo questa operazione si deve verificare su questa pagina http://rom-0.cz/ effettuando il test se il nostro router è rimasto comunque vulnerabile.
c)In tal caso è importante seguire questa guida per alcuni modelli di router TP LINK e KRAUN o quest'altra per altri modelli per inibire l’accesso al router dall’esterno.
In linea generale l'importanza dell'ACL sarà quella di bloccare l'intrusione dall'esterno:
Quindi se ACL:
è attivato l'IP che sarà contenuto in Access Control List potrà accedere al router.
è disattivato tutti i client possono accedere al router
In Secure IP Address:andrà inserito se lo vogliamo abilitare in wan(wireless) il nostro ip locale.
Con l'indirizzo di default 0.0.0.0 ogni client potrà accedere da remoto al router.
Dall'immagine abbiamo attivato ACL
Abbiamo inserito come secure ip address 0.0.0.0 (cio' significa qualsiasi indirizzo ip)
In Application abbiamo inserito qualsiasi applicazione
In interface la cosa più importante andrà inserito solo la LAN,in modo da escludere la WAN(wireless).
In questo modo per accedere al router si dovrà utilizzare il cavo ethernet.
Un test da effettuare è su questa pagina di questo sito www.yougetsignal.com/tools/open-ports/
La porta 80 è quella usata dall'amministrazione remota.
Eseguendo una scansione delle porte aperte sul nostro IP attuale se il nostro router presenta l'amministrazione remota raggiungibile dalla rete ci saranno alcune porte aperte all'accesso web della configurazione remota.
Al contrario se abbiamo chiuso l'accesso remoto del router le porte saranno chiuse.
Se la guida vi è stata utile per risolvere il problema è gradito darne una conferma in questo thread.Grazie
Edited by vicky67 - 26/3/2015, 14:59. -
.
ciao vicky io ho avuto un problema al router, mi si aprivano siti porno. Ho seguito tutte le istruzioni dei tuoi post. Mi ritrovo però che i 2 test che tu proponi mi danno ancora la vulnerabilità. E la porta 80 risulta aperta. Io non sono molto pratica e non sono riuscita a seguire la guida per inibire l'accesso dall' esterno. Puoi spiegarmi un po' accompagnandomi negli steps? grazie . -
.
mi dice anche di conflitti di indirizzo . -
.
Se non hai abilitato l'ACL la vulnerabilità rimane.
Dimmi che modello di router hai.
Sei riuscita ad entrare nel router?
Ti sei già ricollegata ad internet?
Edited by vicky67 - 24/3/2015, 07:41. -
.
Ciao Vicky, si ho abilitato l' acl sono entrata nel router con l'IP che ho copiato nell' indirizzo del browser. e mi sono ricollegata ad internet.
Ho un hamlet 815. Per favore tieni presente che non sono molto pratica e necessito che mi spieghi in modo dettagliato cosa fare.
Intanto grazie. -
.
Puoi farmi uno screenshot della pagina dell'ACL del router? . -
.
eccolo Attached Image
. -
.
In active metti su YES
In Application metti ALL
In interface metti LAN
Poi salva.
In questo modo ricorda che non potrai più accedere alla pagina di configurazione del router se non attraverso il cavo LAN o resettando il router.
Verifica se il problema delle pagine è risolto.. -
.
Ok, appena torno a casa provo. Questo serve per proteggere il router da nuovi virus?Poi faccio di nuovo il test del bug rom-0?
a porta 80 dee essere chiusa o aperta? a me risulta ancora aperta.
Mi dici che potrò accedere al router solo con LAN..difatto ho effettuato l'accesso con cavo, nn saprei fare diversamente, quindi non mi cambia nulla?
Application metti ALL: tolgo WEB e cosa significa che metto ALL (tutte)?
Te lo chiedo così sono al corrente di quello che succede al router e non si sa mai che potrebbe servirmi.
p.s. se non ricordo male hai messo dei post anche per pc lento. Facendo le varie analisi-scansioni al pc che tu indicavi ho letto da qualche risultato che ci sono conflitti di indirizzi .. ora però non saprei dirti quali. Puoi consigliarmi?
Io ho portato in riparazione il PC 1 anno fa perché non si apriva più l' account utente, mi compariva lo schermo tutto azzurro e non vedevo le icone. Dopo vari tentativi di riparazione il tecnico ha optato per la formattazione. In realtà le cose non sono migliorate, il pc è rimasto lento nell' avviar i processi e anche nell' aprire i programmi o nel navigare...sempre più lento...
Grazie intanto. -
.
Ma te ti colleghi in WI-FI o solo tramite cavo? . -
.
io collego PC e smartphone tramite wifi. il router l'ho collegato con cavo . -
.
Ok
Imposta come ti ho scritto.
Impostando ALL in applicazioni blocchiamo tutte le funzioni del router che a te non servono.
Impostando LAN il router è bloccato agli ACCESSI DALL'ESTERNO.Quindi non dovrebbe più reinfettarsi sempre che non trovino un altro metodo di infezione.
In questo modo non potrai entrare nel router in wi-fi mentre potrai accedere con cavo come stai facendo.
E' comunque importante, ma credo che te lo abbia già fatto, resettare prima il router e poi non collegarsi più fino alla fine della procedura.
Dopo che hai settato quelle impostazioni prova il controllo della porta collegandoti in wi-fi.. -
.
ok. per gli smartphone non devo fare nulla?
a più tardi.
grazie. -
.
Dopo che hai fatto per intero la procedura devi cancellare dal browser i dati di navigazione, cronologia ecc.
Lo trovi scritto anche nella guida.. -
.
fatto
ripeto il test?Attached Image
.
Infezione al router (Come proteggersi) GUIDA |