Dobrý den,

prosím o radu, neboť jsem z toho již zoufalý. Využívám modem Vodafone Station v režimu router, s verzí FW: AR01.04.046.07_072921_7244.SIP.10.X1.

1.11.2021 jsem obdržel od Vodafone e-mail o bezpečnostním incidentu, že byla  Odhalena u mě zranitelnost: Botnet - zjištěna infikace malwarem, s varováním, že
včasným odstraněním závadného stavu do 14 dnů od doručení tohoto sdělení předejdete situaci, při které bude společnost Vodafone nucena v souladu s Všeobecnými obchodními podmínkami omezit téměř veškerý odchozí provoz služeb. Bude povolena komunikace pouze na portech 80 (http), 443 (https), 110 (POP3), 143 (IMAP), 53 (DNS), 67 a 68 (DHCP).

Začal jsem hned pátrat, oskenoval jsme antivirem všechny zařízení v mé lokální síti, ale nic jsem neobjevil. Takto jsem Vodafone reagoval zpět, mimochodem bez jejich reakce, což se divím, když se jedná o bezpečností incident, že je to dál netankuje. Mrknul jsem v "expertním" režimu v modemu do logu a všimnul jsem si, že z venku někdo na modem utočil DoS útoky FloodingIN a SmurAttackIN. Navíc se zpomalila rychlost internetu ca na 30 Mbit/s, z toho usuzuji, že byl modem těmito útoky vytížen. Po restartu modemu (odpojení od napájení) se rychlost opět zvedla na odebíranou, v mém případě 1Gb/s (celý gigabit to nebyl :-) ), od té doby bylo ticho po pěšině až do 10.11., kdy v rozmezí dvou hodin opět dva útoky typu Flooding a Smurf. Setkal jste se s tím někdo? Četl jsem na neměckém Vodafone fóru a zřejmě to není ojedinělé, zde se o tom moc ale nehovoří.

 

Zde výpis z logu modemu:

11/10/202118:14:14DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=ac:db:48:36:0a:6e:00:01:5c:96:cc:46:08:00:45:00:00:3c SRC=47.242.7.229 DST=89.176.134.194 LEN=60 TOS=0x00 PREC=0x00 TTL=42 ID=7011 DF PROTO=TCP SPT=44912 DPT=830 WINDOW=64240 RES=0x00 SYN URGP=0Firewall

11/10/202116:32:39DoS Attack - Smurf AttackIN=erouter0 OUT= MAC=ac:db:48:36:0a:6e:00:01:5c:96:cc:46:08:00:45:00:00:28 SRC=2.238.18.129 DST=89.176.134.194 LEN=40 TOS=0x00 PREC=0x00 TTL=36 ID=19383 PROTO=ICMP TYPE=13 CODE=0Firewall

Skoro to tak vypadá, jakoby VF oprášil staré praktiky Karnevalu a UPC, kdy podobné výmysly chodily emailem snad každý půlrok (než někomu ve vedení došlo, že tím jenom nasírá zákazníky a tuto praktiku zrušil).

Jednou mi UPC zablokovalo nějaký porty z takového důvodu, ale příčinu jsem nikdy nezjistil a nic přesnějšího jsem od nich nedostal. Ani mi nic neposlali, zjistil jsem to, když jsem hlásil závadu. Standartní porty fungovaly dál, ale něco zlobilo (nechci psát konkrétně). Moje zařízení byly v pořádku ale v uvedeném termínu jsem měl návštěvu a pustil jsem je na Wifi tak to možná bylo nějaké jejich zařízení. Divný je, že u nich doma jsou připojeni taky přes (tehdy) UPC / VF a žádný problém neměli.

Díky @kenny a @Adolf.Shitler za názory, no mě to docela mrzí, protože DoS je v dnešním technickým světě běžný a že to buší do routerů také, od toho tam mají ten svůj firewall, ale aby mě kvůli tomu takto strašili mě taktéž nepřijde úplně normální. Paradoxně jsem předtím měl UPC a nikdy jsem žádnou takovou zprávu nedostal. Za mě by si spíš měli ty své krabičky vyladit tak aby byly co nejvíce zabezpečené z venčí a ne si to potom vyřizovat s platícím zákazníkem.

Počkat, ale UPC či Vodafone neposílá tyto upozornění, když jde něco k vám, ale od vás. A kontrola antivirem je hezká věc, ale neznamená to, že tam něco není. Ono bohatě stačí, aby se něco připojilo na IP, kterou využívá např. nějaký botnet.

 

@djvook Přečtete si toto: https://csirt.cesnet.cz/cs/services/intrus/botdron to se vás konkrétně dosti týká.

Ahoj já mám tohle zpomalování od 8.11 . Mail žádný nedorazil. Resetoval jsem router. Projel zařízení co mám ( mám všude Esety ) a nic . Ale v logu vidím taky asi 5x tyto utoky.  Vodafone bez reakce. 'Od 11/11 už FW nic nehlásí ale net zpomaluje až k nule.  A je jedno zda jede tablet, pc nebo telka 😞 Osobně mi přijde, že to zpomaluje více od doby, kdy jsem přesel na ten gigový tarif a měnil router

 

 

11/11/202122:49:01DoS Attack - TCP SYN FloodingIN=erouter0 OUT= MAC=70:54:25:3a:65:82:00:01:5c:a1:68:46:08:00:45:00:00:28 SRC=194.165.16.111 DST=89.103.198.244 LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=123 PROTO=TCP SPT=65533 DPT=8389 WINDOW=1024 RES=0x00 SYN URGP=0

Edited November 13, 20214 yr by tomy007

Pokud se ti zpomaluje internet tak to bude spíš nějakým problémem se signálem, kontaktuj Vodafone, oni už se ti na to podívají.

Hezký den, třeba pomůže ostatním. Dnes u mne byl technik. Vypadá to na vadu prvku na domě. Jsem jediný kdo má v domě 1Gb tak si zatím nikdo nestěžoval 😄 . Objednal se velký servis 

Díky @Marek-26 za popis, popsané si nastuduji, přesto je tedy zvláštní že jsem se s tímto setkal poprvé za x let.  Díky za tip @tomy007 a @tomus, po restartu "krabice" net sviští, asi se to prošťouchlo. Tak zaklepu na dřevo aby to vydrželo.