Pomoc Atak na qnap z mojego adresu ip

[Divx97]

Cześć,
Chciałbym poprosić o pomoc w temacie ataku(?), mianowicie zauważyłem że z mojego adresu ip wykonywane są jakieś logowania o różnych loginach na serwer Qnap.

Dodatkowo przez ostatnie kilka dni, kilka osób w biurze otrzymało infromację od ESET o zagrożeniu ARP i zduplikowanym adresie ip w sieci.
Co to może oznaczać? Jak temu zapobiec ?

 

[Usunięty użytkownik pigers]

lepiej sprawdź czy nie masz syfu na kompie .. i sprawdź maszyny wirtualne jeśli masz na w/w kompie.

 

[Ice]

Zgadzam się z przedmówcą - z tym, że ja stawiam tezę: masz syf na tym adresie IP który atakuje.

 

[Divx97]

Ale co to konkretnie oznacza masz syf? Coś powinienem zrobić poza formatem którego za chwilę zrobię?

 

[Arecki87]

Ewidentnie ktoś dobija się do twojego ftp ? I to z twojej sieci lokalnej ? Może ktoś się do niej podłączył bez twojej wiedzy? Sprawdz jeszcze konfig ftp-a dla świętego spokoju

 

[Usunięty użytkownik pigers]

masz syf?

malware albo infiltracje sieci .. widziałem kiedyś ze user miał ma komputerze zainstalowanego Oracle VM Boxa , gdzie siedziała sobie VMka i robiła dziwne niebezpieczne rzeczy .. a on nie miał pojecia co to wirtualizacja i nigdy nie instalował tego

powyższe to tylko przykład .. polecam też sprawdzić liste wyjątków w programie AV.

 

[Divx97]

Jest to małe biuro, modem podłączony do routera a do niego qnap i switch do którego są podłączone komputery w biurze. Drugie biuro łączy się przez OpenVPN z routerem z biura pierwszego w celu uzyskania dostępu do QNAPa po ftp.

Eset nic nie wykrył, format może coś pomóc w tym temacie, czy warto coś jeszcze robić ?

Co konkretnie masz na myśli o wyjątkach ?

 

[Arecki87]

Do sprawdzenie wszystkie komputery :
1. Malwarebytes
2. Trojan Remover
3. Spybot

Dodatkowo weryfikacja każdego kompa. Sprawdzenie czy ktoś nie wykradł danych logowania. Weryfikacja logowań do OpenVPNa. Weryfkacja AV jak pisze @pigers czy nie mam jakiś dziwnych reguł, wyjątków w ustawieniach.

 

[Divx97]

Trojan remover nic nie wykrył, aktualnie skanuje spybot, potem malwate i format. sprawdzałem wyjątki, dodane są tylko takie :

Zastanawia mnie jeszcze to że eset wykrywał na kilku komputerach w sieci, nie na każdym zduplikowany adres IP, w jaki sposób ktoś mógł zduplikować te ip. Ataki były tylko w piątek kiedy komputer był w pracy włączony w godzinach 9-10, w weekend na chwilę odpalony w innej sieci i brak ataków, i dziś znowu w sieci z biura i znowu ataki były tylko w godzinach 9-10.

 

[Usunięty użytkownik pigers]

sprawdź wyjątki programu AV

 

[Divx97]

sprawdzałem wyjątki i nie ma tam chyba nic niepokojącego, teraz komputer już jest po formacie, i nadal takie komunikaty . Czy zmiana adresu ip mojego komputera w tej sieci na jakieś inne mogłoby pomóc ?

 

[Usunięty użytkownik pigers]

w/w loginy są domyślnymi loginami do routerów sprzed "badumm tss" 7 lat ?
już miałem pisac czy nie masz czasem AV od Kaspersky .. ale masz Eseta ..

zmień tego IPka i zobaczymy.

 

[Ice]

Ale ewidentnie IP się dobija, zobacz na routerze co się dzieje - albo zablokuj to IP w lokalnej.

 

[Divx97]

Zrobiłem tak, zablokowałem ten adres ip na routerze, nadałem inny na karcie sieciowej, i dzis rano nie było internetu w firmie. Po przywróceniu ustawień internet znowu się pojawił. Odłączyłem na razie komputer od sieci, jednak podejrzana jest drukarka, ciągle w esecie pojawia się komunikat o zduplikowanym adresie ip, a tym adresem jest adres jednej z drukarek.

poniżej log arp z innego komputera w sieci :

A tutaj log z mojego laptopa (z wirusem(?)) :

Drukarka jest z końcówką 138

 

[Sebaso22]

Sprawdz czy po wylaczeniu kompa - dalej masz to samo.
Mozliwe ze jakis program wysyla zapytania zmieniajac adres zrodlowy.
Muszisz zlokalizowac w sieci kto wysyla zapytania.

 

[Ice]

Generalnie, to nie problem z Qnapem tylko problem z siecią. Temat zamykam.