各位先進專家,
前陣子我重灌我的電腦作業系統,
然後把網路接到Synology RT6600ax,
但最近看到router紀錄了一些奇怪的現象,
例如在6/28紀錄了一個高風險的封包,
看似是外部有人嘗試要植入Trojan到我的電腦上,
對方IP為114.108.157.207跟110.45.217.199,
經查詢這兩個IP後端設備位於韓國,
且看起來跟LG有關,
這兩個IP有被兩個組織列為blacklist,
然後我家中有用一些LG的智能家電,
例如LG OLED TV以及LG Dryer,
這兩個家電皆有連網,
我的手機也有安裝LG app以控制這兩個家電,
不知道是否是我的家電被駭客入侵到我的內部網路,
然後嘗試要在我的電腦上植入後門?
然後這幾天我發現router大約每半小時就會回報一次,
看起來就是同時間內有分成兩段,
第一段是"Device Retrieving External IP Address Detected",
從我的HiNet光世代IP到HiNet的DNS伺服器(168.95.192.1 or 168.95.1.1),
第二段是"Attempted Information Leak",
從我的手機到某個外部IP: 210.71.227.98,
查詢該IP是中華電信的,
然後偶爾還會有"Potentially Bad Traffic",
從我的HiNet IP到DNS伺服器,
然後這類的traffic都被我設定為丟棄.
我想知道這些詭異的log是表示有外部的人想嘗試獲取我內部網路設備的資訊,
然後想辦法要入侵我的內部網路嗎?
如果要防堵這類的入侵,
如果我直接使用VPN連線,
是否會比較安全一點?
至少我的電腦跟手機開了VPN後,
上面的那些log似乎就沒有再出現(仍在觀察中),
然後針對防火牆policy,
目前的設置就是allow內網access,
其餘的一律block.
之所以我前陣子要重灌我的電腦,
就是因為我懷疑我的電腦作業系統已經被植入後門,
有發生一些疑似被駭入的跡象,
然後我重灌電腦後,
這些現象目前暫時沒有再看到,
只是router有上面的那些log,
所以還是有點擔心,
外部是否仍有駭客嘗試要入侵我的網路,
或許駭客發現他因為我重灌電腦後無法再連進來,
所以才想盡辦法要獲取我內部網路設備資訊,
然後再嘗試植入後門?
已邀請的邦友 {{ invite_list.length }}/5
基本上Potentially Bad Traffic可以忽略,木馬那個rt6600去攻擊,但不代表是路由器攻擊有可能是內部網路設備去攻擊
另外可使用https://search.censys.io/ 查看看是否自家的public ip 是否有port沒有關好
然後我剛在你提供的查詢網站輸入我主篇文上提到的114.108.157.207跟110.45.217.199, 有趣的是這兩個都有提到blizzard, 因為我自身有在玩暗黑4, 不知道是否跟電腦版上的Battle.net app有關? 因為我後來發現, Battle.net app隔一陣子就說要套用更新, 不知道是否是因為我擋了什麼東西, 導致他一直反覆更新?
剛開始我也很緊張,但是已開啟ddns服務就會時常出現device retrieving external ip address detected,您有提到LG iot設備,應該是iPhione使用該廠商app所導致,應該是不必太過在意,需在意的應該是homePC這個部分,先前有位同仁在電腦安裝夜O手機模擬器,經常導致Trojan報告,另外我會建議整理好問題後經ai修飾後向synology工程師詢問,他們人真的很好
了解, 感謝您的建議!
請使用VPN
你把機器對外,又沒防火牆保護,根本在internet裸奔。
這個是因為那台設備有啟用Snort(IPS/IDS)檢測,
你要看的是「行為特徵名稱:」這個所述,
而且從截圖來看是由內部往外部。
這些規則是很常見的,另外會一直收到通知應該是有啟用通知信。
這個建議要了解Snort原理後續比較才會清楚要怎麼調教。
很認真地看完樓主的截圖
發現一個事情
所有事件都是內部往外的流量
最起碼也是那台HomeRouter
並沒有所謂"駭客入侵到我的內部網路"這種事
所以大家都太替樓主擔心了
而樓主也太過緊張
如果擔心去的地方不安全
可以去virustotal查一下IP或URL
另外,買專業商用且帶技術支持的NGFW用
會比較對公司有幫助
資訊安全要做好確實比較要花錢
iThome鐵人賽
看影片追技術