[streszczenie problemu] Długotrwały hack Wifi domowe

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
mdt_dak

Użytkownik
Posty: 1
Rejestracja: 07 mar 2023, 06:24

[streszczenie problemu] Długotrwały hack Wifi domowe

Post07 mar 2023, 07:14

Witam,
W niniejszym poście przedstawię najkrócej jak tylko mogę streszczenie wielkiego problemu, który kosztował mnie już kilka miesięcy czasu (od kiedy wiem o infekcji) i dużo zdrowia, prawie wróciła do mnie zaleczona depresja. Na szczęście - i nieszczęście - nie jestem jednak ofiarą li tylko paranoi.

Przepraszam z góry za niefachowość, nienapisanie o czymś oczywistym i potrzebnym dla konkretu i napisanie o czymś zbędnym.
Jestem użytkownikiem niby średnio zaawansowanym, który jednak, dowiaduje się, w sprawach bezpieczeństwa Windows i domowego Wifi - że jest zerem, zerową ma wiedzę i doświadczenie tudzież umiejętności; i to, że kiedyś robił sobie ghosty z Nortona a teraz umiał zrobić low level format to nic i na nic.

Ponieważ sprawa ma bogatą już historię i wiele aspektów, napiszę w punktach.

Jesli dany punkt rozwinąć = proszę (błagalnie!) o jakikolwiek cynk/wskazówkę - w jakim kierunku,
jakie konkretny dołączyć (printscreeny/scany/logi) = w jakim kierunku itd., najlepiej konkretnie na maxa i w jakim dziale forum najlepiej dać.

1. Mam od Ponad pół roku (możliwe, że dłużej) - intruza NON STOP (zapewne głównie botowo, ale człowiek czasem działa jak wnoszę po efektach) - na WSZYSTKIM - co choćby na chwilę podpięte jest do domowej sieci Wifi.

a) Sieć Wifi na Reuterze TMobile - pakiet "LTE Domowy Nielimitowany, obecnie 90mb/s", w listopadzie router wymieniany na nowy, nowa karta do routera, umowa z na czas nieokreślony = zmiana na 2 lata określony. BRAK WPŁYWU NA ZHACKOWANIE: przed i po tak samo intruz jest.

TUTAJ od razu jedno pytanie bo chcę podejść DZIŚ do TMobile:
Zakładam, że oni w sprawach pomocy fachowej rozłożą ręce, ale mam pytanie: Czy jakaś zmiana karty reuterowej (co za tym dzie numeru przypisanego) czy reutera - cokolwiek może zmienić?

b) DOSŁOWNIE - infekowane jeset wszystko co choćby na chwilę zostaje podpięte.
Przykłady konkretne z ostatnich kilku miesięcy:
- zauważyłem, że wgrywając obraz dysku (kompletny, sektorowy, z mbr/gtp itd. - sprzed roku czy nowszy - próbując różne, intruz - jest na nowo odpalanym komputerze - od razu - lub niemal od razu

ZARAŻONE JEDNOSTKI były to:
- Dell Precision 7720, Win 10 Pro 64b (zwykle podpinany przez Wifi lub na kablu Ethernet do Reutera LTE), kilka różnych ghostów programem Macrium Reflect - wszystko zaifnekowane
- Asus ZEN 301 XL, Win 10, tak samo, ghosty: tak samo

Sprzedałem Asusa, kupiłem (nowego!) Lenovo z Windows 11 - podpięty do domowego wifi, podstawowe konfiguracje, na następny dzień zauwazyłem, że - infekcja już na tym nowym w domu sprzęcie jest - wniosek - decyduje rozpoznanie nowej jednostki w tym Wifi ? IP? Nie mam pojęcia.

- Kupiłem inny sprzęt z Windows 10 Pro, tak samo, infekcja już jest

Obecnie zarażony jest dalej: 1. Dell - przestałem w ogole podłączyć do internetu w jakikolwiek sposob
2. nowy (tj uzywany ale kupiony jako nowa jednostka do domu) Lenovo 13, Windows 10 Pro
3. Być może - mam nadzieje, ze nie - telefon Android Huawi

W desperacji probowalem Chromebooka, ktory zupelnie sie nie sprawdzil.
Czy Android rzeczywiscie to przynajmniej ad hoc bezpieczne wyjscie?


OBJAWY/PROBLEM GŁÓWNY:

Objawy - do pewnej chwili nieewidentne, a dla laika w temacie, nie do wychwycania takie żelazne. Nie kasuje mi plików, nie zauważylem, zeby cos popsuł - ale okazało sie, ze to raczej gorzej niż lepiej, gdyż jedna sprawa przesądziła, że to nie dzieciak, który bawi się hackera, ale spokojny przestępca, o wiele groźniejszy w praktyce, bo taki, który przyczajony, bez nadmiernego zdradzania się, czeka, aż może ukraść/zepsuc coś naprawde istotnego; na marginecie, poza jakimś mitycznym "etycznym kodeksem hackera" (nie jestem bankiem, korporacją, a wprost odwrotnie: undergroundowym twórcą, który przygotowuje totalnie pro-bono projekty i który od 30 lat nie zarabiał na tym, co robił - ale..tutaj właśnie problem największy.

A więc, to, że atak i infekcja, w tym dostęp do emaili, haseł, hostingów (moich) etc. to nie paranoja itd. przesądza jeden fakt:
- Administratorzy hostingu (zagraniczenego) A2 - potwierdzili na moje podejrzenie, że do wszystkich moich baz SQL (instalacje wordpressa - w budowie strony mające zarabiać e-commerce/subsckrypcyjnie, przygotowywana kampania crowdfund.) zostali "dorobieni" dodatkowi użytkownicy, którzy mogli być przez intruza użyci do przejęcia władzy nad rozkręconą już witryną.
W ostatnich latach, w tym ostattnim czasie, całego roku i ostatnich mieś. cały czas były to jedynie mozolnie budowane/testowane instalacje - przed oficjalnymi premierami i podłączeniem do jakiegoś systemu finansowego/płatności. Tak więc wskazuje to na to, ze hacker czekał spokojnie, widząc, ze niedługo może być coś sensownego do kradzieży i warto cieprliwie czekac.

Co do emaili: była podejrzana aktywnosc/nieznany sprzet na kilku kontach z wlaczona historia gmail, - kilka mies. temu, po kilkakrotnej zmianie hasel, dodatniu 2-uwierz. - nie powtorzylo sie.
Jednak czy emaile sa czyste nie mam zadnej pewnosci.
Admini z hostingu (ktory tez nie mam pojecia czy jest czysty, czy dalej przyczajony, bo oni nie potrafia mi tego zagwarantowac) a co do identyfikacji nieprawomocnych polaczen, to napisali mi, ze intruz potrafi laczyc sie z moim IP, więc nie ma tutaj opcji sprawdzania.


Inne, wybrane, zaobserwowane, poszlaki i objawy:
Teraz kilka uwag z moich obserwacji (każda do rozwiniecia i dodania screenow itd - tylko proszę słówkiem pokierowac czego się chwycić bliżej?)

1) Intruz wpycha różne swoje całe pakiety programowa zamaskowane jako Updaty Microsoftu (np. Visual Basic itd.), jako jakies dodatki i telemetrie niby legalne, jako jakies agenty i dodatki do Office 2016/2019 - (Office Click to Run itp.) - jest tego mnóstwo.
Program Totall Uninstall wykrył szereg takich niby legalnym pakietów updatów Microsoft jako "niezgodne/nie z zawartością (?). Nie do końca poznalem mechanizm tego programu.

2) Intruz dodaje sobie jakieś dziwne dodatkowe urządzenia - w menadzerze urz. widac mnostwo jakichs wirtualnych kart, dodatkowe porty, dodatkowe protokoły - etc.

c) w jakis sposób korzysta z peryferii - zauważylem, ze zostały pozmieniane sterowniki w drukarce ktora laczylem - przez jej kartę sieciową (Epson XP-900) -- powlaczał WPS, z ktorego ja nigdy nie korzystalem i inne takie.. raz z jednym raz z drugim laptopem. Uwaga: nigdy nie spinalem komputerow w siec domową z drukara sieciową.
Druga drukarka to usb - bez karty sieciowej - Samsung laser, ktora tez dziwnie objawia sie na jakichs portach ktore wydawalo mi sie nie istnieja od wielu lat (ltp??)

[c]3)[/b] Pewnych ustawien nie moge jako administrator zmienic - albo po prostu nic sie nie dzieje, jak klikam, albo sie ekran jakby mignie i tyle.
Dotyczylo to np. odinstalowania/zkasowania folderu, ale takze np. nie moge pousuwac urządzen ktore sobie jakos dodał - na stale - np. na liscie urządzeń bluetooth: widnieja wszystkie kiedys podpiete, nie moge ich reczni usunąc, dodane są jakieś protokoly czy wirtualne quasi-coś tam (?) co moze - tak mnie tknelo - bez mojej wiedzy laczyc/wykorzystac internet z telefonu z androidem ktory czasem podlaczalem - teraz juz nigdy - tylko kablem i na chwile.

TUTAJ UWAGA: wydaje sie, ze telefon (Android 12) mam wolny od infekcji, ale nie jestem pewien. Co tutaj przedstawic/co analizowac?
Telefon to Huawei P40 Pro (wiec obciete uslugi google)

Od kiedy upewniłem sie, ze mam intruza wszedzie na Wifi, korzystam w telefonie tylko z internetu z karty SIM/LTE do rozmow - jest tam nielimitowany internet, wiec na szczescie mi to chodzi. Jednak czasem podlaczalem wifi - dla sprawdzenia. Probowalem tez - z hotspota w telefonie tym - laczyc laptopy domowe zamiast do trefnej Wifi: CZy to jakiś sposób? Ma jakieś znaczenie?

Jestem na skraju załamania/bankructwa, bo kilka mieś. przez to wszystko opóxnił mi sie start projektow, ktore mialy cos zarobic, a bylby to pierwszy zarobek, przy czym pro bono w dalszym ciągu bardzo mocno, od ponad 10 lat moj.

Na koniec dodam, że nie mam pojęcia, dlaczego na mnie nastąpił atak, poza jednym, jedynym incydentem - nie finansowo/sciagajacym uwage zlodziei, ale niestety niepotrzebnym. Bardzo rzadko caly ostatni rok wchodzilem na jakiekolwiek media społ. ale ok. pol roku temu - mniej wiecej wtedy gdy mogl zaczac sie powazny atak - o czym wniosek z analizy zainfekowania ghostow/obrazow dyskow z tego czasu i innych. Dodatkowo: nigdy prawie nie uzywalem swojego konta na Twiterze jednak jeden, jedyny raz - w roku wszedlem i pamietam, skomentowalem watek Ukrainsko - polityczno - Rosyjski - Amerykanski. Zapamietalem to, bo z miesiac pozniej zobaczylem, ze to konto Twitter ktos mi "zabral" - nie jest juz moje, a pod moim profilem jest jakies haselko po ukrainsku bukwą napisane. Oczywiscie konto nie do odzyskania - z Twitterem w zasadzie nie ma kontaktu i jego aministr. - ale nie zalezalo mi na tym - konta prawie nie uzywalem w ogole - niemniej, w podobnym czasie drobne zhacowania pojawily sie na innych moich kontach np. academia.edu - i stad jedny punkt zaczepny calej domowej inwazji - byc moze ..


Gdyby Ktokolwiek mógł mi pomoc, na tyle wyrozumiały, że wybaczy to, ze chaos wkradł się już w ten post, i że być może rozpisałem sie nie tam w ogolę, gdzie trzeba było, będę niezmiernie wdzięczny i chętnie się zrewanżuję (obrazem, fotografią, mogę też wykonać teledysk darmo/klip z efekami prezentację CV itp - od ponad 20 lat montuję - ale tylko artystycznie na wlasne potrzeby filmy itp.) - za każdą miarodajną pomoc - naprawdę obiecuję - z radością się zrewanżuję - póki starczy mi czasu i sił.


  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości