Editado 24-03-2017 19:57
Editado 24-03-2017 19:57
Buenas tardes:
Después de unos años y desde otra línea, ésta actualmente mía, me ha llegado un mensaje de nemesys indicándome que desde mi conexión a internet se están sucediendo accesos no autorizados a otros.
Al igual que la anterior vez, he revisado qué pudiera ser dando por hecho que yo no he hecho nada.
Hace unos días instalé openelec en una raspberry con lo que ésta es la sospechosa. Con esta raspberry he hecho multitud de pruebas y con otros dispositivos habiénme olvidado de un fallo bastante grande:
* En el router tengo (tenía) nat hacia el puerto 22 para la ip de la raspberry, y, además, regla de mac para darle siempre esa ip y de esta forma me olvidaba de tener que modificar manualmente las direcciones de las distribuiciones que iba instalando.
Con esto, me pongo a revisar con wireshark y observo infinidad de paquetes mdns lanzados desde la raspberry.
Me conecto a la raspberry y con un netstat -anp y sin necesidad de buscar demasiado, multitud de conexiones ssh a direcciones sin sentido, en modo ESTABLISHED.
Esto, en parte, ha sido culpa mía, sin embargo comentar que esta distribuición de openelec no permite el cambio de contraseña por lo que su usuario y contraseña para estos sistemas siempre es la misma.
Ahora os pido ayuda para comprobar que se dejan de producir estos abusos y en caso de no ser así, ¿De qué forma podría tratarlo? Ya he pasado por OSI y no se detecta nada con los sistemas propuestos.
Un saludo.
Pd.- Actualmente no hay reglas mac ni nat para nada además de haberme deshecho de esa distribuición.
¡Resuelto! Ir a solución.
Editado 27-03-2017 7:55
Editado 27-03-2017 7:55
Buenos días jddiez,
Es mejor que respondas al correo que te hemos enviado. Así tendremos acceso a los datos de la incidencia y te podremos indicar si nos ha llegado alguna notificación más.
También en la respuesta te enviaremos las pruebas del incidente del que te hemos informado.
Saludos.
Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.es, abuse@movistar.es o en el formulario Némesys
También te invitamos a seguirnos en Twitter, Facebook y Google+.
Añado por último y para que quede aquí reflejado con ánimo de echarle una mano a quienes tenga un escenario similar:
https://www.kb.cert.org/vuls/id/544527
Vulnerabilidad: OpenELEC and RasPlex have a hard-coded SSH root password.
Gracias!!!
Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.es, abuse@movistar.es o en el formulario Némesys
También te invitamos a seguirnos en Twitter, Facebook y Google+.