Resultados 1 al 4 de 4

Tema: Fallo de seguridad en router Comtrend 536+

  1. Ximi
    Ximi está desconectado
    Baneado
    Fecha de ingreso
    27 mar, 10
    Mensajes
    1,776

    Fallo de seguridad en router Comtrend 536+

    No entiendo mucho de ataques pero parece como si alguien atacara mi router , se puede ver en el log system del router los intentos de intrusion.


    Os pongo el log :


    System Log


    Date/Time Facility Severity Message
    Jan 1 00:00:25 user crit kernel: ADSL G.992 channel analysis
    Jan 1 00:00:26 user crit kernel: ADSL link up, interleaved, us=796, ds=10046
    Jan 1 00:00:51 daemon crit pppd[341]: PPP server detected.
    Jan 1 00:00:51 daemon crit pppd[341]: PPP session established.
    Jan 1 00:00:51 daemon crit pppd[341]: PPP LCP UP.
    Jan 1 00:00:51 daemon crit pppd[341]: Received valid IP address from server. Connection UP.
    Nov 8 09:29:04 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.231.222.40 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 09:32:12 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.239.248.245 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=8090 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 09:32:12 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.239.248.245 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=9064 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 09:33:28 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.230.125.133 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 09:33:48 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.239.248.246 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 09:42:00 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=122.225.97.106 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=103 ID=256 PROTO=TCP SPT=6000 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0
    Nov 8 09:50:07 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=69.64.43.168 DST=83.55.139.139 LEN=40 TOS=0x08 PREC=0x00 TTL=243 ID=63329 DF PROTO=TCP SPT=603 DPT=74 WINDOW=512 RES=0x00 SYN URGP=0
    Nov 8 10:02:31 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=114.113.55.198 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=230 ID=54321 PROTO=TCP SPT=47597 DPT=102 WINDOW=65535 RES=0x00 SYN URGP=0
    Nov 8 10:15:42 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.231.222.40 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 10:20:07 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.230.125.147 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 10:31:27 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.239.248.245 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=8090 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 10:48:44 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=78.151.58.216 DST=83.55.139.139 LEN=52 TOS=0x00 PREC=0x00 TTL=115 ID=14690 DF PROTO=TCP SPT=49571 DPT=37835 WINDOW=8192 RES=0x00 SYN URGP=0
    Nov 8 10:50:07 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.230.125.147 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 11:00:23 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=87.223.91.156 DST=83.55.139.139 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=31506 DF PROTO=TCP SPT=1282 DPT=139 WINDOW=65535 RES=0x00 SYN URGP=0
    Nov 8 11:20:33 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.230.125.147 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 11:23:38 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=122.225.109.102 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=102 ID=256 PROTO=TCP SPT=6000 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0
    Nov 8 11:31:18 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.239.248.245 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=8090 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 11:43:49 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=202.66.149.11 DST=83.55.139.139 LEN=48 TOS=0x08 PREC=0x00 TTL=106 ID=29650 DF PROTO=TCP SPT=2973 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
    Nov 8 11:51:10 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.231.222.40 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 12:01:00 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=62.210.132.11 DST=83.55.139.139 LEN=60 TOS=0x00 PREC=0x00 TTL=57 ID=57967 DF PROTO=TCP SPT=52665 DPT=21 WINDOW=29200 RES=0x00 SYN URGP=0
    Nov 8 12:22:02 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=222.186.56.116 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=103 ID=256 PROTO=TCP SPT=6000 DPT=1433 WINDOW=16384 RES=0x00 SYN URGP=0
    Nov 8 12:22:44 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.230.125.147 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 12:29:17 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=122.225.109.214 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=102 ID=256 PROTO=TCP SPT=6000 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0
    Nov 8 12:40:20 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.239.248.246 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0
    Nov 8 12:49:50 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=122.225.109.109 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=102 ID=256 PROTO=TCP SPT=6000 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0
    Nov 8 12:59:53 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=91.121.142.77 DST=83.55.139.139 LEN=60 TOS=0x00 PREC=0x00 TTL=53 ID=55264 DF PROTO=TCP SPT=42915 DPT=20981 WINDOW=11680 RES=0x00 SYN URGP=0
    Nov 8 13:12:41 user alert kernel: Intrusion -> IN=ppp_8_32_1 OUT= MAC= SRC=115.239.248.246 DST=83.55.139.139 LEN=40 TOS=0x00 PREC=0x00 TTL=112 ID=256 PROTO=TCP SPT=64316 DPT=16000 WINDOW=15500 RES=0x00 SYN URGP=0

    Ahora viene lo bueno las preguntas de como puede afectar a la navegacion o a mi seguridad en la red :


    es peligroso ?


    puede caerme la conexion ?


    lo puedo evitar ?


    es denunciable a la compañia ( Movistar ) ?


    Bueno espero algun entendido me resuelva las dudas ..... Gracias !!

  2. pritt
    pritt está desconectado
    Administrador Avatar de pritt
    Fecha de ingreso
    05 nov, 03
    Mensajes
    15,425
    Eso parece simplemente un chequeo de la ip que el Router ha bloqueado.

    ¿Es reciente? ¿Algún cambio de Router o de IP?

    Te lo digo porque es algo habitual cuando cambias de Router o de IP.

    ... pero siempre puede ser un ataque.

    La primera ip es de china (un tanto extraño), la segunda es la tuya.

    Lo que sí que debes hacer si es que no lo has hecho:

    - Cambiar todas las contraseñas del router para todos los usuarios (administrador, usuario y soporte).
    - Cambiar la contraseña del wifi y su SSID y ocultar la red. Incluso si aún quieres más seguridad filtrar las MAC que tu utilices para que solo puedan acceder desde ellas.
    - Comprobar que tienes el Firewall habilitado.
    - Mirar que tengas los puertos de entrada cerrados.
    - Deshabilitar UPnP.
    - Deshabilitar DMZ Host.

    Eso son medidas básicas que siempre se deben de tomar y con eso ya te pueden atacar lo que quieras que estarás protegido.

    Un saludo.

  3. Ximi
    Ximi está desconectado
    Baneado
    Fecha de ingreso
    27 mar, 10
    Mensajes
    1,776
    Buenas ....

    Gracias pritt , he tomado las medidas que me indicas y el log parece estar sin esa kernel intrusion.

    He cerrado los puertos de la WAN , activado el firewall del router , deshabilitado el UPNP , deshabilitado el QoS , deshabilitado el IGMP , etc ... ahora esta todo en orden.

    No se el tiempo que llevara asi , era un firmware de Jazztel usado con los datos de Telefonica , el Router es un Comtrend +536 de Telefonica.

  4. jeancarlos1100
    jeancarlos1100 está desconectado
    Usuario registrado
    Fecha de ingreso
    17 may, 16
    Mensajes
    10
    Le recomiendo Spy hunter que es un fabuloso antivirus antispywarefrance.com/