Gehackt op ASUS RT-AC68U - Netwerken

Vraag

vrijdag 6 juli 2018 16:04

Acties:

Topicstarter

Beste tweakers,

Vannacht gingen ineens enkele Philips Hue lampen in mijn woning branden. Aangezien ik niet degene was die deze had geactiveerd ging ik op onderzoek uit.

In de log van mijn router (ASUS RT-AC68U) trof ik honderden pogingen tot inloggen aan. Waarbij ook een aantal gelukte pogingen op mijn VPN Server rond de tijd dat het licht aanging. Toen ik verder in het log keek bleek dit al een aantal dagen aan de gang te zijn met non-stop pogingen vanaf diverse ip-adressen.

Ik ben maar gestart gezien mijn gebrek aan benodigde kennis omtrent veiligheid met het loskoppelen van mijn nas. Verder heb ik de VPN server uitgeschakeld en ben tijdelijk overgeschakeld op een 4g modem om de router in isolatie te kunnen herstellen.

Wat ik mij afvraag is welke gegevens de hacker of hackers nu kunnen hebben. En wat ik moet doen om weer veilig op het internet te kunnen en het belangrijkste dit in de toekomst zien te voorkomen.

Met vriendelijke groet,

Stef

Beste antwoord (via stefjuh op 06-07-2018 18:34)

vrijdag 6 juli 2018 16:55

Apache

amateur software devver

Je zegt honderden login attempts op de router, en ook op de vpn. De web interface stond hopelijk niet web facing aan? Dat is namelijk een typische security loophole.

Dan is het iets minder praktisch en moet je via vpn en dan admin console van de router openen.

If it ain't broken it doesn't have enough features

Alle reacties

vrijdag 6 juli 2018 16:16

Acties:

jvanhambelgium

Als "ze" gelukte inlogpogingen hebben gedaan via je VPN-server is het mogelijks dat ze eigenlijk volledig aan je (interne) network zijn kunnen raken, drives-mappen op je NAS, een hoop files copieren etc.
Stond er buiten je NAS nog iets actief ? Vb een PC waarop ze iets van malware hebben kunnen zetten ?
Heeft de NAS ook wat logging zodat je kan zien of er bestanden geopend,beschreven,aangepast zijn geweest en door welke gebruiker ?

Ik vraag me af of je gebruikte password dan wel zo complex waren en van voldoende lengte ? Nu op enkele dagen valt er wel héél wat te proberen met te bruteforcen/dictionaries etc.
Heb je dan geen settings in je VPN-software om slechts X aantal inlog-pogingen toe te laten ?
Zijn allemaal "beetjes" die kunnen helpen om het anderen wat lastiger te maken.

vrijdag 6 juli 2018 16:19

Acties:

jvanhambelgium

Is de VPN van het type PPTP (poort 1723 ?)
PPTP zou je echt niet meer mogen gebruiken...

vrijdag 6 juli 2018 16:26

Acties:

Dacuuu

Ben ik ook benieuwd naar, welk type vpn? En welke firmware draai je op je 68u?

vrijdag 6 juli 2018 16:28

Acties:

tweakict

Log van je router? Je bedoeld administratieve (externe) logins tot je router?

vrijdag 6 juli 2018 16:34

Acties:

stefjuh

Topicstarter

Ik gebruik OpenVPN met de reguliere firmware op de router. Ik heb voor de router gebruik gemaakt van een lang gegenereerd wachtwoord. De logs van mijn nas heb ik nog niet bekeken. Mijn nas is wel beveiligd met X aantal login pogingen en twee-staps verificatie dus ga ervan uit dat daar niks is gebeurd. Voor zover ik weet waren er geen pc’s actief de afgelopen dagen enkel wat tablets, telefoons en printers.

vrijdag 6 juli 2018 16:48

Acties:

mvrhrln

OpenVPN ook zo geconfigureerd dat er met certificaat & password moet worden ingelogd?

Welke versie van de reguliere firmware gebruik je?

[ Voor 24% gewijzigd door mvrhrln op 06-07-2018 16:55 ]

vrijdag 6 juli 2018 16:55

Acties:

Beste antwoord ✓

Apache

amateur software devver

If it ain't broken it doesn't have enough features

vrijdag 6 juli 2018 17:03

Acties:

stefjuh

Topicstarter

Voor de open VPN gebruik ik inderdaad wachtwoord en certificaat. Firware version was 3.0.0.4.380_3831.

@Apache Waar zou ik dat kunnen zien?

vrijdag 6 juli 2018 17:04

Acties:

SniperGuy

Heb je binnen je netwerk een systeem draaien waarmee je je Hue kan bedienen? (domoticz oid)
Want je kan niet zomaar je Hue bridge aanspreken om je lampen aan/uit te zetten, daarvoor moet het IP van het aansturende systeem eerst geautoriseerd worden op je Hue bridge (ronde knop indrukken)

vrijdag 6 juli 2018 17:19

Acties:

AP3X

Hue lampen kunnen ook (kort) aan gaan als ze geüpdate worden.
Dus even kijken of je automatisch updaten aan hebt staan want je kan niet zomaar lampen bedienen als je op het netwerk zit

vrijdag 6 juli 2018 17:41

Acties:

stefjuh

Topicstarter

@SniperGuy @Chaser2600 Excuus staat inderdaad los van de hack kom ik ook nu achter. Het heeft mij in ieder geval wel wakkergeschut letterlijk en figuurlijk.

Web interface stond inderdaad webfacing ongeloofelijk stom. De login attempts zijn gelijk gestopt nu ik deze uit heb gezet. Zijn er nog andere dingen waar ik op moet om nu weer veilig aan de slag te gaan.

Ik zie bijvoorbeeld in het VPN menu geen optie om maximaal aantal pogingen in te stellen.

vrijdag 6 juli 2018 18:12

Acties:

jvanhambelgium

Ok, een iets genuanceerder verhaal dus. Dat van die web-interface toegangkelijk maken vanaf Internet is een kleine f*ckup (zeker dan nog op de standaard poorten), tenzij je op een exotisch poortje gaat draaien is het aantal poging gelijk héél wat minder. Ik heb hier dagelijks in de logs op m'n Mikrotik honderden pogingen op 80/443/22

Mischien toch even checken of er geen extra users zijn aangemaakt (of anders soort config? extra tunneltje ofzo, 1 of andere FW-policy ;-) ?
Als de hackers toch even toegang tot de management-console van je ASUS hadden...

vrijdag 6 juli 2018 18:34

Acties:

stefjuh

Topicstarter

Bedankt, ik ga het checken en voor de zekerheid denk ik gewoon factory resetten en vanaf het begin opbouwen.

Groet,

Stef

vrijdag 6 juli 2018 18:47

Acties:

Dacuuu

Apache schreef op vrijdag 6 juli 2018 @ 16:55:
Je zegt honderden login attempts op de router, en ook op de vpn. De web interface stond hopelijk niet web facing aan? Dat is namelijk een typische security loophole.

Dan is het iets minder praktisch en moet je via vpn en dan admin console van de router openen.

Bedoel je met web facing:enable web access from wan?

Afbeeldingslocatie: https://i.imgur.com/DLnYLMp.jpg

vrijdag 6 juli 2018 19:23

Acties:

jvanhambelgium

stefjuh schreef op vrijdag 6 juli 2018 @ 18:34:
Bedankt, ik ga het checken en voor de zekerheid denk ik gewoon factory resetten en vanaf het begin opbouwen.

Groet,

Stef

Kan idd ook nooit kwaad als je zeker wil zijn.

vrijdag 6 juli 2018 22:21

Acties:

valkenier

stefjuh schreef op vrijdag 6 juli 2018 @ 16:04:

In de log van mijn router (ASUS RT-AC68U) trof ik honderden pogingen tot inloggen aan. Waarbij ook een aantal gelukte pogingen op mijn VPN Server rond de tijd dat het licht aanging. Toen ik verder in het log keek bleek dit al een aantal dagen aan de gang te zijn met non-stop pogingen vanaf diverse ip-adressen.

Waar is nu precies op ingelogd? De web interface van je router? Die zou nooit via WAN beschikbaar mogen zijn. Op je VPN? vraag me dan wel af hoe je dat had opgezet?
Misschien kun je ons toch nog eens vertellen waar je probleem zit/zat ter lering ende vermaeck.

zaterdag 7 juli 2018 11:16

Acties:

stefjuh

Topicstarter

Er is in eerste instantie ingelogd op de webinterface. Deze stond onwetend beschikbaar. Ik ben wel benieuwd hoe jullie je OpenVPN zo veilig mogelijk maken. Ik zie in het menu op de ASUS niet erg veel opties met betrekking tot login attempts.

Pagina: 1

Reageer