Vermoedelijk gehackt, en nu?

Dag Tweakers,

Met trillende handen typ ik dit bericht omdat ik zojuist vermoedelijk mijn eerste cybergevecht heb gevoerd

Gisteren heb ik een prachtige pi-hole server ingesteld op mijn raspberry pi. Echter heb ik nooit zozeer nagedacht over de beveiliging en dergelijke. Bij nader inzien wist ik wel dat pi's niet zo enorm veilig zijn en omdat ik hem ingesteld had als DNS server zou die te hacken moeten zijn.

Het verhaal is als volgt:
Vandaag merkte ik afwijkend gedrag op mijn desktop doordat cmd steeds opensprong en sloot. Daarna direct virus scanners (avira, anti-malware bytes en adwcleaner) erover gegooid. Hiermee een trojan (TR/Starter.edcsu) opkunnen sporen. Daarmee hoopte ik het probleem aangepakt te hebben, echter bleef cmd openspringen en sluiten. Daarna viel mij op dat system-tray apps gesloten werden. Kort daarna deed het internet netwerk het ook niet meer. Toen wist ik dat het aan mijn pi servertje lag dus deze direct uitgeschakeld.

Mijn vraag is of ik nog nazorg moet verrichten zoals mijn pc herinstalleren o.i.d.

Graag hoor ik van jullie.

Bedankt voor jullie reactie. Ouders waren niet thuis dus gelukkig slechts een paar apparaten verbonden geweest. Alleen m'n desktop is aangevallen geloof ik, die zalnik zeker herinstalleren. Heb zojuist onze router een factory reset gegeven.

Verder alleen een SONOS, thermostaat, zonnepanelen gebeuren, printer en telefoon verbonden geweest maar daar maak ik me geen zorgen om. (Malware-Bytes op telefoon geeft niets aan)

Actieplan voor morgen is een back-up van m'n pc daarna wipe van de sd-kaart van de Raspberry gevolgd door een herinstallatie van mijn pc. Voor het eerst dat ik een systeem met sd én hdd ga herinstalleren maar we zullen het zien. (Gewoon eerst installeren op SSD met losgekoppelde HDD of kan beide tegelijk?)

[ Voor 26% gewijzigd door Cranzai op 26-05-2017 20:29 ]

Bah bah en nog eens bah, dit gaat toch ergens aan je vreten. Hoe controleer ik dat mijn netwerk nu weer schoon is. Ik zei dat ik wist dat het de pi moest zijn maar dat is slechts een vermoeden.

Alles wat ik zeker weet is dat ik gerommel zag met de system trays (die icoontjes rechtsonder) als m'n desktop verbonden was met internet. Even later had m'n telefoon wel verbinding met het netwerk maar geen verbinding met het internet. Toen heb ik de pi uit het netwerk gehaald en de dns opnieuw ingesteld. Daarmee leek het kwaad geschied.

Ik denk dus aan een remote access trojan ofzo maar waarschijnlijk maak ik mezelf nu gek. De trojan op m'n pc is weg maar op welke apparaten kan iets zitten?

En hoe weet ik zeker dat ze via de pi zijn binnen gekomen en niet via een andere manier? Heb iig nu ook WPS en UPnP uitgezet omdat de ingebouwde security scan (Asus Rt-n66u) dat aangaf.

[ Voor 13% gewijzigd door Cranzai op 26-05-2017 22:39 ]

Compizfox schreef op vrijdag 26 mei 2017 @ 22:55:
Inderdaad, hoe weet je zo zeker dat het aan je RPi lag? Uit je verhaal valt niet veel meer op te maken dan een geval van malware.

Waarom denk je dat er is binnengebroken op je RPi? Had je SSH naar het internet open staan met een zwak wachtwoord?

WPS is een goede manier om je netwerk kwetsbaar te maken maar (net als met de RPi) zou een aanvaller dan alleen nog maar toegang hebben tot je netwerk. Er is nog wat meer nodig voordat een aanvallen ook malware kan uitvoeren op je PC.

Mijn vermoeden was dat het de pi was omdat ik altijd goed oplet wat ik doe. Een vriend is ook weleens gehackt via zijn pi.

Maar nu je het zegt heb ik geen poorten open gehad naar het internet afgezien van dat pi-hole als dns server ingesteld stond. Mogelijk dat ik dat toch iets verkeerds gedownload heb.
Maar er moet haast wel iets met het internet geweest zijn aangezien loskoppelen van internet het sluiten van de tray-apps stopte.

Morgen maar eens de commando geschiedenis van m'n pi nakijken.

[ Voor 3% gewijzigd door Cranzai op 26-05-2017 23:01 ]

Compizfox schreef op vrijdag 26 mei 2017 @ 23:05:
[...]

Kun je dat laatste wat uitweiden? Ik kan me eigenlijk niet zo veel concreets voorstellen bij "gehackt via zijn RPi".

[...]

Als je je RPi niet naar het internet had openstaan zie ik eigenlijk geen reden om het in die hoek te zoeken. Het lijkt me waarschijnlijker dat de infectie gewoon op je PC zelf begonnen is.

[...]

Dat zegt niet per se alles; als je RPi daadwerkelijk gehackt zou zijn, dan is het niet onwaarschijnlijk dat hij geroot is (dat er een rootkit op staat). Zo'n rootkit weet zichzelf meestal aardig goed te verbergen.

Die vriend had een pi als webserver draaien waarvan hij ssh en ftp open had staan. Dat had ik niet dus pi is onwaarschijnlijk.

Het enige punt waar de pi in het verhaal komt was dat het netwerk niet verbonden was met internet dus vermoedelijk DNS. De infectie zal dus waarschijnlijk toch op m'n eigen pc ontstaan zijn.

Het aparte is dus dat het verdachte gedrag niet stopte nadat de virus scanner het virus "opgeruimd" had. Morgen offline maar eventjes pluizen denk ik, nog tips om op te letten of naar te kijken?

Bedankt allen voor jullie reacties. Vandaag op deze warne dag toch maar boven bezig met de pc. Herinstalleren is toch ook wel weer eens goed na een jaartje, ffkes alle rommel er ook af.