Потенциальное вредоносное ПО маршрутизатора? Получение “Доступ запрещен” и других странных блокировок с различных веб-сайтов.

Вопрос или проблема

На протяжении последних нескольких недель у меня наблюдается странное поведение при серфинге в интернете, и в последние дни ситуация заметно ухудшилась. Меня регулярно блокируют/забанивают на различных сайтах. Вот несколько примеров:

Southwest.com: “Доступ запрещен”. У вас нет разрешения на доступ к “http://www.southwest.com/” на этом сервере.

Поиск в Google: В режиме инкогнито я иногда вижу “Необычный трафик с вашей сетевой карманной сети” и мне предлагается капча. Этого не происходит, когда я не в режиме инкогнито, вероятно, потому что я вошел в один из своих аккаунтов Google.

Yelp: Иногда при просмотре страницы бизнеса мне предлагают капчу (особенно когда я захожу с поисковой системы).

Вход на Playstation Vue: То же самое “Доступ запрещен”, что и на southwest.com время от времени.

Schwab.com: Я трижды блокировался на весь сайт в течение нескольких месяцев. Я просто получаю белый экран. Позвонил в техническую поддержку, и они сказали, что мой IP был заблокирован, что они разблокируют его, но не смогли объяснить причину.

Godaddy: Однажды я попытался войти в свой аккаунт с правильным паролем и получил сообщение, что я заблокирован на 5 часов.

Все это происходит с нескольких устройств и операционных систем (и только когда я подключен к своей домашней сети), так что явно что-то странное происходит с моим сетевым трафиком. Я просто не знаю, как это отследить. Я немного знаком с Wireshark и проверял фильтры и статистику, пытаясь pinpoint подозрительный трафик, но пока ничего не нашел. Определенно, похоже, что наша сеть либо используется как VPN/открытый прокси, либо кто-то из нас подхватил вредоносное ПО.

Я живу с соседом, с которым я поговорил, и он настаивает на том, что не использует ничего подозрительного и сказал, что недавно провел вирусные/вредоносные сканирования на своих двух устройствах. У меня лично есть настольный компьютер и ноутбук. Оба вернулись чистыми после всех вирусных/вредоносных сканирований, которые я проводил, и в целом я довольно осторожен с программным обеспечением и своими привычками в веб-серфинге. Чтобы быть абсолютно уверенным, я переустановил обе машины на этой неделе. Я также проверил свой роутер на наличие VPNFilter с помощью этого URL: http://www.symantec.com/filtercheck/ и он оказался чистым, но я не уверен, что роутер действительно чист. Я признаю все устройства, которые подключены к моему роутеру, и недавно настроил роутер на использование DNS от Google. Мой следующий шаг — сбросить роутер к заводским настройкам на случай, если он каким-то образом был заражен чем-то другим.

У меня нет никаких идей о том, какие шаги предпринять дальше. Как лучше всего обнаружить, что происходит? Могу ли я использовать фильтры Wireshark, чтобы изолировать любой потенциальный трафик, использующий нашу сеть как VPN/прокси/узел выхода tor? Могу ли я как-то фильтровать по доменным именам или IP-адресам сайтов, с которых я заблокирован, и попытаться захватить любые автоматизированные запросы, идущие к ним?

Каждый из этих пунктов в отдельности возможно, и не является поводом для беспокойства. Однако вместе трудно сказать.

Southwest.com: Я также получаю Доступ запрещен на http://www.southwest.com/ (и на https://www.southwest.com/). Их сервер неправильно настроен. Нечего беспокоиться. Изменение: При более тщательном расследовании страница http://www.southwest.com/ загружается нормально для меня, когда я использую IP-адрес из США, и дает мне Доступ запрещен с IP-адреса из любой другой части мира (который я пробовал — несколько через Европу, Индию, Австралию). Так что я не совсем уверен по этому поводу. Они могут активно фильтровать IP-адреса, и это может быть похоже на проблему с Schwab.com, с которой вы столкнулись (и если вы обнаружите, что ваш IP был занесен в черный список, это не будет удивительно).

Поиск в Google: Я тоже получаю периодические CAPTCHA в режиме инкогнито, хотя это может свидетельствовать о настоящем необычном трафике.

Yelp, Playstation Vue: Я не являюсь пользователем этих сайтов и не могу дать комментарии, но ваше описание этих случайных проблем не кажется слишком необычным.

Schwab.com: Это может указывать на настоящую проблему. Если я могу предположить, что вы используете обычное домашнее интернет-соединение, то у большинства интернет-провайдеров ваш IP-адрес на самом деле часто меняется. Это может означать, что вам просто автоматически присвоили IP, который кто-то другой использовал для атаки на сайт Schwab, либо намеренно, либо (что более вероятно) совершенно случайно, будучи частью ботнета. Если у вас динамический IP (ваш IP меняется регулярно), я бы не слишком беспокоился об этом. Если же у вас статический IP (ваш IP всегда одинаковый), это вызывает беспокойство, так как это означает, что что-то в вашей домашней сети каким-то образом стало нежелательной частью ботнета. Ваш интернет-провайдер может сообщить вам, какой (динамический или статический IP) у вас, и может сменить вас на другой, если вы хотите.

Godaddy: Это гораздо более вероятно указывает на то, что кто-то пытается взломать ваш пароль Godaddy, чем на то, что на вашем домашнем компьютере/сети/роутере есть инфекция. Это не слишком необычно, но есть несколько важных шагов для защиты ваших аккаунтов. Во-первых, Godaddy поддерживает двухфакторную аутентификацию, которую вы должны включить немедленно, если еще не сделали этого (специалисты по безопасности рекомендуют включать 2FA, где это поддерживается). Во-вторых, вы должны зарегистрировать свои адреса электронной почты на https://haveibeenpwned.com/, так как если вашу учетную запись на таких сайтах, как Godaddy, взламывают, есть отличная вероятность, что ваши учетные данные были раскрыты где-то, и очень важно знать, что происходит с вашими данными.

Вкратце, я не думаю, что у вас есть много причин для беспокойства на данный момент. Каждый из этих симптомов имеет отдельное, разумное объяснение. Вы также предприняли несколько хороших шагов до сих пор. Тем не менее, есть несколько дополнительных шагов, которые вы можете предпринять для своей защиты.

  1. haveibeenpwned.com, как уже упоминалось выше.
  2. Всегда убедитесь, что ваше программное обеспечение (операционная система, антивирус и т. д.) полностью обновлено.
  3. Если у вас есть какие-либо “умные” или “интернет-вещи” устройства (умные лампочки, посудомоечные машины с приложениями, камеры безопасности и т. д.), убедитесь, что они также полностью обновлены с текущей прошивкой и программным обеспечением (люди часто забывают об этом). Если им не нужно внешнее подключение к интернету для их работы, то подумайте о том, чтобы заблокировать их доступ к интернету тоже. (К сожалению, большинство таких устройств нуждаются в полном доступе в интернет, чтобы работать, но все же).
  4. Сброс роутера к заводским настройкам не повредит и стоит сделать. Вам также следует убедиться, что программное обеспечение роутера полностью обновлено, как и все остальное. Я заметил в комментариях, что у вас отдельный модем и роутер; проделайте ту же процедуру с модемом.
  5. Если хотите, вы можете начать рассматривать свою сеть так, как это сделал бы злоумышленник. Инструменты, такие как nmap, могут быть использованы для поиска вещей в вашей сети, которые могут не отображаться (по той или иной причине) в интерфейсе вашего роутера. Wireshark можно использовать для расследования трафика, но если вы не можете запустить его непосредственно на своем роутере, может потребоваться некоторое усилие для настройки системы, с помощью которой ваш Wireshark сможет увидеть весь входящий и исходящий трафик.

Надеюсь, это поможет!

Ответ или решение

Потенциальное вредоносное ПО роутера? Ошибки «Доступ запрещен» и другие странные блокировки на различных веб-сайтах

Ваша ситуация действительно выглядит беспокойно, учитывая, что проблемы с доступом к веб-сайтам проявляются на нескольких устройствах в домашней сети. Давайте разберем возможные причины этих симптомов и предложим детальный план действий.

Анализ проблемы

  1. Блокировки на веб-сайтах:

    • Ошибка «Access Denied», возникающая при попытке доступа к таким сайтам, как Southwest.com, может быть связана с блокировкой IP-адреса. Это часто происходит, если ваш IP использовался для подозрительной активности или находился в списках черных IP-адресов.
    • Сообщение Google о "необычном трафике" может указывать на то, что ваш IP-адрес вызывает подозрения. Это может быть связано как с действиями других пользователей в вашей сети, так и с вредоносным программным обеспечением на вашем компьютере или роутере.
  2. Наличие вредоносного ПО:

    • Проведение сканирования на наличие вирусов и вредоносных программ на устройствах — это хороший первый шаг. Однако следует также проверить состояние самого роутера, так как он может быть скомпрометирован. Вы уже проверили роутер на уязвимости типа VPNFilter — это важно, но не исключает возможность наличия других угроз.
    • Обратите внимание на возможность наличия IoT-устройств (умных устройств), которые могут быть плохо защищены и выступать в качестве «врат» для вредоносных действий в вашей сети.
  3. Влияние динамического IP:

    • Как уже упоминалось, если у вас динамический IP-адрес, вероятно, IP-адрес, который вы получаете, был ранее использован для нежелательной активности. В этом случае стоит обратиться к вашему интернет-провайдеру (ISP) для запроса нового IP-адреса.

Рекомендации по выявлению и устранению проблем

  1. Сброс роутера и обновление прошивки:

    • Полный сброс роутера до заводских настроек может устранить возможные программные уязвимости. После сброса обновите прошивку роутера до последней версии. Убедитесь, что у вас есть надежный и уникальный пароль для доступа к админ-панели роутера.
  2. Анализ сетевого трафика с помощью Wireshark:

    • Использование Wireshark для анализа сетевого трафика может помочь выявить аномалии. Настройте фильтрацию для захвата трафика, исходящего от вашего IP-адреса к проблемным веб-сайтам. Вы можете использовать такие фильтры, как ip.src == YOUR_IP_ADDRESS и tcp.port == 80 || tcp.port == 443, чтобы сосредоточиться на HTTP и HTTPS трафике.
  3. Проверка других подключенных устройств:

    • Проверьте все устройства, подключенные к вашей сети. Убедитесь, что они обновлены и защищены. Если у вас есть устройства IoT, рассмотрите возможность ограничения их доступа к интернету, если это возможно.
  4. Использование дополнительных инструментов:

    • Инструменты, такие как Nmap, могут помочь вам проверить устройства в вашей сети, которые могут быть неправильно настроены или неизвестны вам. Это полезный способ узнать, не подключены ли к вашей сети устройства, которые вам не известны.
  5. Защита учетных записей:

    • Включите двухфакторную аутентификацию (2FA) на своих учетных записях, чтобы снизить риск доступа к ним. Регистрация вашей электронной почты на сайте Have I Been Pwned также поможет следить за утечками данных.

Заключение

Ваша проблема может иметь несколько причин, и важно подходить к её решению систематически. Начните с очистки и сброса роутера, проверьте состояние всех устройств, и анализируйте сетевой трафик, чтобы выявить потенциальные угрозы. Не забывайте поддерживать свои устройства в актуальном состоянии и следить за безопасностью своих учетных записей. Пользуясь предложенными рекомендациями, вы сможете значительно улучшить безопасность вашей домашней сети и восстановить нормальную работу с интернетом.

Оцените материал
Добавить комментарий

Капча загружается...