Aiuto PC


Infezione al router (Come proteggersi) GUIDA

« Older   Newer »
 
  Share  
.
  1. vicky67
    Posted on 9/3/2015, 08:50 by: vicky67
     
    .

    Master Malware Expert

    Group
    Administrator
    Posts
    4,519
    Location
    Poggio Mirteto(RI)

    Status
    Anonymous

    INFEZIONE AL ROUTER



    L'infezione ai router è piuttosto diffusa a causa di dispositivi vulnerabili.Senza entrare nei particolari viene effettuato l'attacco sfruttando il vostro indirizzo IP associato al vostro modello di router.
    L'infezione di solito sfrutta un bug rom-0 di cui sono affetti alcuni modelli di router e in alcuni casi sfruttando password di default o password poco complesse.
    Dopo il reset il router potrebbe reinfettarsi proprio perchè come già detto viene sfruttata la vulnerabilità del router utilizzando il vostro range di indirizzi IP.Quindi vi consiglio di eseguire per intero la procedura.

    Per verificare se il router è stato infettato:

    Aprire START.Scrivere CMD.Cliccare in alto su cmd.exe.
    Copiare(copia-incolla) la seguente stringa reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters


    In caso il router non fosse stato infettato vi apparirà una schermata tipo questa con l'indirizzo del vostro router(di solito 192.168.0.1 ,192.168.1.1 ,192.168.1.254 ecc.)
    png

    Nel caso fosse stato infettato in dhcpname server troverete i dns infetti come nell'esempio
    png


    OPERAZIONI DA FARE IN CASO IL ROUTER FOSSE INFETTO



    Le operazioni vanno fatte senza ricollegarsi ad internet.Quindi prima di iniziare scaricatevi tutto cio' che vi serve.

    1)Aprire la pagina del router(chi non sà l'indirizzo,basta che apra il prompt dei comani "CMD" e scriva ipconfig)
    Alla voce gateway troverete l'indirizzo del vostro router che dovrete copiare nella pagina degli indirizzi del vostro browser.

    4ImxBAr

    Recarsi alla pagina dei DNS(ho postato un esempio di un router,le vostre opzioni potrebbero essere differenti)

    a5LjvRl

    Modificare i DNS infetti sostituendoli con N/A reinserendo la voce automatica o meglio resettare il router.
    Per resettare il vostro router leggete le istruzioni relative al vostro modello specifico(le potete anche trovare sul web)
    Di solito si deve premere un pulsantino per alcuni secondi a secondo del reset(soft o hard).
    In router di proprietà,non forni quindi dal vostro gestore sarà necessario riconfigurarli.Oggi la procedura è piuttosto semplice perchè dovrebbe essserci una procedura automatica nelle impostazioni del router.

    2)Per una maggior sicurezza dovrete inserire nei vostri dispositivi i dns di google e/o di opends.
    Questo perchè questi dns hanno la priorità su quelli impostati nel router.Quindi dato che avete un dispositivo vulerabile è facile che lo stesso in breve tempo venga reinfettato.

    Sul vostro PC "aprire centro connessioni di rete e condivisione"-"modifica impostazioni scheda"-andare sulla vostra connessione wireless-"proprietà"-"protocollo internet versione 4"
    In Primario inserire 8.8.8.8
    In Secondario inserire 208.67.222.222

    Per il vostro dispositivo mobile entrate nella configurazione della rete ed inserite gli stessi DNS.

    2)Resettare o meglio disinstallare i browser con i relativi dati personali.Qui trovi una guida per il reset dei browser.Ricordatevi se disinstallate i browser di salvare i segnalibri.

    3)Scaricare ed eseguire una pulizia dei file temporanei con TFC BY OLD TIMER.
    Scaricare ed eseguire una pulizia con Ccleaner
    Le istruzioni e relativi link sono qui https://aiuto-pc.forumfree.it/?t=66300938.

    Per chi usa dispositivi mobili cancellare dal browser tutta la cache,cookie,dati di navigazione ecc.

    4)Mettete in sicurezza il vostro router in questo modo:
    a)La miglior cosa in caso di infezione ai router è aggiornare il firmware e cambiare la password di default d'accesso al router inserendone una complessa(numeri e lettere).
    b)Dopo questa operazione si deve verificare su questa pagina http://rom-0.cz/ effettuando il test se il nostro router è rimasto comunque vulnerabile.
    c)In tal caso è importante seguire questa guida per alcuni modelli di router TP LINK e KRAUN o quest'altra per altri modelli per inibire l’accesso al router dall’esterno.

    In linea generale l'importanza dell'ACL sarà quella di bloccare l'intrusione dall'esterno:
    Quindi se ACL:
    è attivato l'IP che sarà contenuto in Access Control List potrà accedere al router.
    è disattivato tutti i client possono accedere al router
    In Secure IP Address:andrà inserito se lo vogliamo abilitare in wan(wireless) il nostro ip locale.
    Con l'indirizzo di default 0.0.0.0 ogni client potrà accedere da remoto al router.

    s3CdfTu

    Dall'immagine abbiamo attivato ACL
    Abbiamo inserito come secure ip address 0.0.0.0 (cio' significa qualsiasi indirizzo ip)
    In Application abbiamo inserito qualsiasi applicazione
    In interface la cosa più importante andrà inserito solo la LAN,in modo da escludere la WAN(wireless).
    In questo modo per accedere al router si dovrà utilizzare il cavo ethernet.

    Un test da effettuare è su questa pagina di questo sito www.yougetsignal.com/tools/open-ports/
    La porta 80 è quella usata dall'amministrazione remota.
    Eseguendo una scansione delle porte aperte sul nostro IP attuale se il nostro router presenta l'amministrazione remota raggiungibile dalla rete ci saranno alcune porte aperte all'accesso web della configurazione remota.
    Al contrario se abbiamo chiuso l'accesso remoto del router le porte saranno chiuse.

    Se la guida vi è stata utile per risolvere il problema è gradito darne una conferma in questo thread.Grazie

    Edited by vicky67 - 26/3/2015, 14:59
     
    .
38 replies since 9/3/2015, 08:50   11186 views
  Share  
.

Guide per la sicurezza del pc
Create your forum and your blog! · Top Forum · Categories · Help · Status · Contacts · Powered by ForumFree