Desde hace unos dias venia notando que la conexión a internet me iba lenta. Por mas que desactivaba servicios y herramientas como el utorrent, la cosa no iba del todo bien.
Me ha llamado la atencion ver esta mañana en los logs del router que el mes pasado descargue 40Gb.... y subi 55Gb!!. Esto puede ser en cualquier caso a causa del uTorrent, pero en todo caso me sigue pareciendo un uso excesivo de Internet.
A raiz de esta ingente cantidad de datos subida a internet desde mi red, me puse a mirar los logs. Cual fue mi sorpresa encontrar mensajes de indicaban a grandes rasgos (no tengo el mensaje original) que me estaban accediendo desde las IPs 46.174.199.10 (Rusia) y 113.200.214.43 (China) entre otras a un mismo puerto (el 64662) de mi portatil:
(...) [LAN access from remote] from 46.174.199.10:22342 to 192.168.XX.XX:64662, Tuesday, Nov 05,2013 11:16:22 [LAN access from remote] from 113.200.214.43:33121 to 192.168.XX.XX:64662, Tuesday, Nov 05,2013 11:14:01 (...)
¡Bicho!, pensé y seguro que no ando desencaminado. El caso es que al mirar los puertos abiertos dicho puerto no aparece en mi portatil, lo cual no quiere decir nada, puede ser que tenga un bicho que se conecta con un servidor C&C cada X tiempo.
Lo primero que he mirado ha sido a ver si el router (Un NetGear N-150 WR1000) tenia alguna vulnerabilidad y Google me ha respondido que si:
http://www.exploit-db.com/exploits/24916/Según nos comentan aqui en los NETGEAR N-150 WNR100v3 con firmware anterior a 1.0.2.60 se puede conseguir el fichero de configuración del router accediendo a la URL indicada en el articulo:
http:///NETGEAR_fwpt.cfg?.jpg
...y ciertamente se descarga un fichero cifrado con extension .cfg:
Como indica el articulo, el fichero esta cifrado. Pero dan una "solución" para eso: Un programita en Python.
Al pasarle el programita en python, con alguna pequeña modificación necesaria, entre toda la morralla de la configuración del NetGear, la contraseña aparece en limpio la contraseña de la interfaz web del router:
La solución ha sido, por supuesto, actualizar el firmaware del Router, cosa que he hecho, desde la versión 1.0.2.18 a la 1.0.2.62 (tiene sus años el aparato).
También he cambiado la contraseña del router y de la red wifi
Lo cierto es que despues de adoptar estas medidas:
- Me va mejor la red
- Me va mejor internet
- Han dejado de aparecer esos mensajes que mostraba más arriba.
En cualquier caso, dicho router no esta abierto al exterior, por lo que es poco probable que me hayan sacado la contraseña del router de esta manera. Tiene más bien aspecto de que uno de mis equipos ha sido infectado.
Ahora solo me queda revisar todos los equipos y seguir monitorizando la red. O sea lo de siempre!.
La verdad es que constantemente se recomienda actualizar todo el software y el sistema operativo a la ultima version, pero nos olvidamos muchas veces de que por los routers pasa toda la información y que tambien tenemos que actualizarlos y hacerles un mantenimiento...
No hay comentarios:
Publicar un comentario