DSLモデムが侵害されていますか?
プライマリDNSサーバーとセカンダリDNSサーバーが95.211.156.101と5.45.75.11に変更されたことがわかりました。
次の設定を行いました。
- WiFiのMACフィルタリングとWPA2。
- 管理者パスワードはデフォルトのままになっています。 (これは、抜け穴が悪用されたと思われます。クリックジャッキングは間違いないでしょうか?)
- NATとIPv4
- ICMPを含むすべてのサービスがWAN=側でオフにされました。
- LAN側でHTTPインターフェースのみがオンになりました。
- 他の2つのWindowsラップトップはWiFi経由でモデムに接続します。古い親と子供が使用します。おそらく最も簡単なターゲットです。ウイルス/トロイの木馬をスキャンしました。何も見つかりません。
ネットワークが再び侵害されないようにロックダウンするために実行する必要がある手順を知っておくと役立ちます。また、DNS名以外にどのようなデータ漏えいが発生したのでしょうか?これらのIPは誰にも知られていますか?
編集:
モデム:DSL-2750U
ファームウェアバージョン:IN_1.10
多くのDSLモデムは、WAN側からテレコムで使用するために開いています(WAN側からTelnetを試してみて、モデムで開いているかどうかを確認し、デフォルトのユーザー名/パスワーを試してください[1]) 、DNSサーバーを変更したのはISPであった可能性がありますが、IPが同じ範囲にないため、可能性は低いと思われます。
あなたが言ったように、最も可能性の高い侵入ベクトルは、単純なクロスサイトスクリプティング攻撃です。 XSSを防ぐことは一般に困難です。通常、ユーザーがブラウザーを更新し続ける以外にできることは多くありません。もちろん、パスワードを変更すると、そのような攻撃の大部分は回避されますが、モデムにログインしている間は脆弱なままです。
最悪のシナリオ(おそらく(?)の可能性が低い)は、モデムファームウェアの変更であり、モデムが再起動するときに数分のダウンタイムが発生します。データ漏洩に関して何が残されるかは誰もが推測できますが、理論的な最悪のケースは、エンドツーエンド認証(SSLなど)でエンドツーエンドで暗号化されていないすべてのネットワークトラフィックの侵害です。
DNSサーバー自体の変更により、キャッシュされていないすべてのドメイン名要求がサードパーティに漏洩し、DNS所有者が誤ったDNS結果を提供する可能性があります。 (たとえば、mybank.comのIPをリクエストしたときに、fakebank.comのIPを指定したり、適切なサイトに広告を追加したりします)。これはより可能性の高いシナリオです。