Kwetsbare IoT vinden op eigen netwerk - Netwerken

Vraag

maandag 27 juni 2022 16:34

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Ik kreeg een telefoontje van mijn provider dat ze konden zien dat er een backdoor mozi.A url op mijn ip stond te draaien. Ik heb geen idee hoe ik dit moet vinden en met name IOT devices.
...

Relevante software en hardware die ik gebruik
Alleen onze werk computers kunnen virusscanners draaien, de ipads en iphones niet (maar daar ben ik niet zo bang voor), wel heb ik een aantal internet gateways voor smarthome toepassingen
Somfy connexoon (krijgt regelmatig een update)
Ikea tradfri hub (regelmatig updates)
Tado verwarming bridge (weet niet hoe ik update kan checken)
Aqara hubs (regelmatig updates)

Ik gebruik een tp-link deco p9 wifi systeem.

...

Wat ik al gevonden of geprobeerd heb
Ik heb geen idee. Provider helpdesk medewerker zei dat ik alles moet virusscannen, en verder kwam hij niet. Stekker eruit halen en vragen of ze konden zien of het ophield kon ook niet want de backdoor zou niet altijd actief zijn. Dus niet een geschikte methode.
...

Alle reacties

maandag 27 juni 2022 16:39

Acties:

+1 Henk 'm!

corporalnl

Welke router heb je staan?

https://www.microsoft.com...-against-mozi-iot-botnet/

Is al een ouder artikel maar sommige merken/modellen zijn hier vatbaar voor.

[ Voor 23% gewijzigd door corporalnl op 27-06-2022 16:39 ]

maandag 27 juni 2022 19:05

Acties:

+1 Henk 'm!

Ben(V)

https://blog.lumen.com/ne...quietly-amasses-iot-bots/

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

maandag 27 juni 2022 20:11

Acties:

0 Henk 'm!

MikeVanD

Ik heb alle IoT apparaten in een eigen VLAN gezet en die dichtgetimmerd; geen verkeer naar buiten en geen verkeer naar binnen. Enige verkeer wat is toegestaan is, is van en naar de NVR.
De logs lopen vol met meldingen die aangeven dat ze allerlei vage adressen in China proberen te bereiken.
Lang leve de firewall! (en de logs maar uit gezet)

maandag 27 juni 2022 21:03

Acties:

0 Henk 'm!

Dooxed

In dit geval is het waarschijnlijk de router dus dan helpt je iot in een vlan niks.

maandag 27 juni 2022 23:45

Acties:

0 Henk 'm!

vjn

Topicstarter

Bedankt voor jullie reacties. De router van de provider is de Genexis Titanium.
Provider is SKPnet.nl

Ik heb de helpdesk gevraagd hoe ik de router zelf moest controleren; met als antwoord dat kan bijna niet meneer, het ligt eerder aan een pc waar jij iets verkeerds hebt geklikt

.

De sites had ik idd ook gezien, maar snap er vrij weinig van.

Is vlan / pihole makkelijk voor een leek?

maandag 27 juni 2022 23:53

Acties:

0 Henk 'm!

vjn

Topicstarter

Na het lezen van de lumen blog; besloten de oude d-link router die ik alleen gebruikte als “switch” voor extra lan poorten maar uit te zetten. Misschien kan ik over een paar de de provider vragen of ze verdere activiteit hebben gezien

dinsdag 28 juni 2022 00:05

Acties:

0 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

Heb je een managed switch die port mirroring kan doen? Dan kun je die tussen router en je Deco set hangen en dan Wireshark met een capture filter voor die Mozi-zooi laten draaien. Als je dan iets ziet, weet je dat het zeker dat het bij jou intern vandaan komt. Zie je niets, dan kun je je provider subtieltjes erop wijzen dat als zij het van jouw aansluiting zien en jij het direct achter hun router niet ziet, de schuldige er waarschijnlijk tussenin zit...

Overigens, het is zelden handig dit soort ding met telefonische helpdesk te bespreken. Kennisniveau en gelegenheid om uit te zoeken is daar beperkt (gemiddelde medewerker zit er max 6-9 maanden terwijl je pas na jaar vakvolwassen bent), dit kun je veel beter door webcare-achtige kanalen doen.

[ Voor 24% gewijzigd door dion_b op 28-06-2022 00:06 ]

Oslik blyat! Oslik!

Pagina: 1

Reageer