Tror PC eller router er hacket, vil dere hjelpe meg?

[ITme]

Jeg har i det siste opplevd at dataen min oppfører seg anderledes, og lurer på om laptopen min kan være hacket. Jeg studerer IT, men har ikke kommet der i utdanningen min at jeg vet hvordan jeg skal feilsøke og oppdage hva som er galt. "Symptomene" jeg opplever er:

* Den er unormalt treg, men programmene jeg kan se som kjører på task manager er det jeg selv har åpnet

* Svært ofte når jeg åpner sider og lenker som jeg vet er trygge, får jeg opp at koblingen min ikke er privat (se bilde nummer 1)

 

* Navnet på wi-fi har endret seg på denne latopen (se bilde nummer 2). Navnet har alltid vært CiscoC8827  - uten et 2-tall bak

 

*Ved ett tilfelle jeg chattet med noen med webcam, så ville ikke webcam skru seg av etter samtalen var avsluttet (og lyset fortsatte å lyse).

 

Jeg kommer ikke på mer i farta.

Som nevnt er jeg student på IT, så jeg vil bruke dette som en form for læring, og ønsker å feilsøke slik at jeg ikke bare fjerner problemet, men også sørger for at det ikke skjer igjen. 

Har lurt på om det kan være noen åpne porter på routeren, om det kan være FTP, HTTPS e.l, men jeg aner ikke hvor jeg skal begynne. 

 

De andre elektroniske duppedittene koblet til routeren via wifi fungerer helt fint. 

[mobile999]

Jeg tviler på at feilsøking mht malware er noe som er omfattet av studiene dine.

Rask feilsøking:

Last ned og installer Malwarebytes Anti Malware. Det er tilstrekkelig med gratisversjon. Ikke aktiver 14 dagers prøveperiode nå. Kjør en scan og rens vekk det den foreslår. Post loggen

Test laptopen på et annet trådløst nettverk. Dette er en rask måte å luke ut routeren som et problem. Bruk evt. hotspot på mobilen for en kort test.

[ITme]

Vi var gjennom det grunnleggende i malware i februar og mars, et svært spennende tema der vi fikk prøvd oss på å laste ned diverse løspengevirus til en virtuell maskin, og lekte litt rundt med forskjellige antivirusprogrammer for å se om den oppdaget noe. Siden VM var koblet til nettverket gjennom vertsmaskinen, så kan det hende det har skjedd noe der? Ideelt sett skulle en vel hatt et eget nettverk til en VM, men så langt har jeg ikke kommet enda. VM ble alltid slettet, men klart, gjennom digital etterforskning har jeg lært at det er ikke "bare å slette" noe, om en skal fjerne det helt. Det var en annen laptop på samme nettverk som ble brukt som vert for VM.

Sorry digresjonen.

Scan fra MalwareBytes

 

Scan fra Windows Defender

 

 

Prøver å få til med McAfee, men av en eller annen grunn blir installasjons-prosessen blokkert. I shall try turning it on and off again... ?  

[Flin]

Nettverks navnet har plutselig endret seg? Har du en liste over alle de nettverkene PCen din kan se? Som foreslått burde du teste med et annet nettverk, lag hotspot med mobilen din. 

Forresten, http://www.googleleadservices.com/ er ikke en sikker adresse. Litt googling tilsier at du har fått deg noe redirect malware.

Endret 7. juni 2020 av Flin

[ddb2002]

Det er veldig teit hvis du gjennom et fag har installert virus som potensielt kan infisere andre datamaskiner på nettverket gjennom å ikke ha tilstrekkelig isolert det i en sandbox bl.a. ditt hjemmenettverk. Dette er noe en burde være 100% sikker på før dette gjøres og man kan vel rette kritikk mot faget om det ikke er noen rutiner som kan garantere at elevene ikke får virus. Jeg har selv hatt sikkerhets-fag på NTNU og det meste vi gjorde var å lære svært mye om klassisk kryptering og hvordan moderne TLS fungerer i praksis, samt mye om de største svakhetene i nettstedene og praktisk erfaring med å bryte seg inn, testing og patching av sikkerhetshull i webapplikasjoner (tipper dette var mer rettet mot utviklere og noe annet enn det du holder på med)

Jeg har selv vært bort i veldig sofistikerte programmer som har "nektet" å kjøre dersom de oppdager at det er en sandbox eller en VM de kjører i. Du må også huske at en god del virus er designet for å kunne spre seg så langt som mulig for å kunne generere mest mulig fortjeneste til skaperne (type orm som sender phishing videre til dine venner gjennom sosiale medier eller e-post).

Nå viser det seg at Microsoft Defender har blitt rimelig god på å oppdagere virus selv, så generelt så bruker jeg å anbefale folk å ta en full-scan med Malwarebytes grativersjon som nevnt over etter å ha tatt en full-scan med Defender. Men det er selvfølgelig ingenting i veien for å bruke noe annet enn Defender. Du har også trikset som vil funke desidert best av alle, og det er å re-installere hele operativsystemet! Jeg liker å gjøre det på årlig basis for å få PCen rask igjen, og har blitt så rutta på det at nå har jeg også begynt å klone partisjoner med Clonezilla etter drivere slik at det går rimelig raskt.

Til ruter er det ikke spesielt mye jeg kan si annet enn at svært mange rutere kan være veldig dårlige med tanke på sikkerhet. Det er f.eks. proprietær chipper fra Broadcom som kun kjører på Linux kernel 2.x i noen rutere, den er EOL: End Of Life og får ingen flere sikkerhetsoppdateringer til OS. Det er også slik at mange leverandører tilsynelatende har stoppet å oppdatert selve programvaren også, og dermed er den altså ikke noe særlig sikker av seg. Men hva skal jeg si? Med en ruter til 200-300 kr kan du ikke forvente topp-sikkerhet i 10 år frem i tid. Nå har det seg slik at en oppdatering til den som regel må signeres før den kjøres, men ingenting stopper en fra å benytte en svakhet for å bryte seg inn i den.

Personlig så tipper jeg at man må ha noe veldig sofistikert for å angripe en ruter, BIOS, dype rootkits eller noe slikt, men er ingen ekspert selv. Jeg ville derfor ha tenkt at ruteren ikke har blitt rørt, men du kan jo alltids sette ruteren til fabrikk med å holde inne reset-knappen inne i 30 sekunder etter oppstart og oppdatere den til nyeste versjon.

Og som et siste innspill: Husk å oppdatere alt du har. Windows 10 burde kontinuerlig oppdateres med siste sikkerhetsoppdateringer, ruteren burde også oppdateres, mobilen burde oppdateres, etc. Kan du ikke oppdatere det lenger? Vel, du kan bruke det, men vær forsiktig med å kjøre alt mulig dritt på dem. Noen sikkerhetshull kan pwne deg bare du besøker et nettsted. Se dette: https://deadline.com/2019/09/apple-iphones-massive-security-breach-1202708446/

 

Endret 7. juni 2020 av ddb2002