Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

En principio saludar a todos y decir que como mi primer mensaje que es pues no se muy bien donde colocarlo asi que sin mas dilación expondré lo que creo que es un ataque a mi router wifi.

A ver resulta de que en los Logs hay algo algo que me llama la atencion y es una direccion Mac que se repite una y otra vez y no es mia ¿que deberia hacer?...¿Os publico los logs para que podríais verlo? gracias.

Si hay una dirección MAC que se repite y que no es la tuya posiblemente sea un ataque a tu router Wifi. El único ataque que se me ocurre que puedas estar sufriendo es el conocido como "man in the midle" ("hombre en el medio"). Este ataque informático consiste en colarse en una red para monitorizar todo el tráfico que circula por ella engañando al router haciéndole ver que la mejor vía por la que puede transitar toda la información que pasa por esa red es el ordenador del atacante. La manera más común de engañar al router para realizar un "man in the midle" es realizando otro ataque informático denominado envenenamiento de la tabla ARP. Yo creo que los logs podrían sernos de mucha utilidad, así que te aconsejo que los pegues aquí.

hola.
a modo de sugerencia no podria ser que alguien consiguio la contraseña de la señal wifi(en caso de tenerla) y por eso aparezcan mas direciones mac?
hoy en dia se puede codificar contraseñas tanto wep como wap.
saludos.si fuera eso te recomiendo cambiar la contraseña mas a menudo y poner la seguridad en contraseña mas alta posible y mirar si tienes el cortafuegos del ruter activado .

-------------------------------------------------
System Logs
-------------------------------------------------
Sat May 30 00:08:41 2009 Unrecognized attempt blocked from 189.202.6.67:2146 to 84.122.130.63 TCP:16849
Sat May 30 00:09:04 2009 Unrecognized attempt blocked from 189.26.22.178:1746 to 84.122.130.63 TCP:16849
Sat May 30 0011 2009 Unrecognized attempt blocked from 221.209.110.107:58973 to 84.122.130.63 UDP:1026
Sat May 30 00:11:44 2009 Unrecognized attempt blocked from 118.101.150.180:20885 to 84.122.130.63 UDP:21467
Sat May 30 00:12:33 2009 Unrecognized attempt blocked from 121.8.214.142:61182 to 84.122.130.63 UDP:21467
Sat May 30 00:12:53 2009 Unrecognized attempt blocked from 121.8.214.142:61182 to 84.122.130.63 UDP:21467
Sat May 30 00:12:53 2009 Unrecognized attempt blocked from 121.8.214.142:61182 to 84.122.130.63 UDP:21467
Sat May 30 00:13:44 2009 Unrecognized attempt blocked from 121.8.214.142:61182 to 84.122.130.63 UDP:21467
Sat May 30 00:13:54 2009 Unrecognized attempt blocked from 121.8.214.142:61182 to 84.122.130.63 UDP:21467
Sat May 30 00:14:14 2009 Unrecognized attempt blocked from 121.8.214.142:61182 to 84.122.130.63 UDP:21467
Sat May 30 00:14:44 2009 Unrecognized attempt blocked from 121.8.214.142:61182 to 84.122.130.63 UDP:21467
Sat May 30 00:14:54 2009 Unrecognized attempt blocked from 121.8.214.142:61182 to 84.122.130.63 UDP:21467
Sat May 30 00:14:54 2009 Unrecognized attempt blocked from 121.8.214.142:61182 to 84.122.130.63 UDP:21467
Sat May 30 00:16:14 2009 Unrecognized attempt blocked from 189.202.6.67:1178 to 84.122.130.63 TCP:16849
Sat May 30 00:16:17 2009 Unrecognized attempt blocked from 189.202.6.67:1178 to 84.122.130.63 TCP:16849
Sat May 30 00:16:23 2009 Unrecognized attempt blocked from 189.202.6.67:1178 to 84.122.130.63 TCP:16849
Sat May 30 00:16:35 2009 Unrecognized attempt blocked from 84.122.17.23:13327 to 84.122.130.63 UDP:6858
Sat May 30 00:17:15 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:16 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:16 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:16 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:16 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:16 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:17 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:26 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:26 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:28 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:28 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:29 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:29 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:29 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:29 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:29 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:29 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:29 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:29 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:29 2009 Unrecognized attempt blocked from 200.43.223.4:2236 to 84.122.130.63 TCP:56579
Sat May 30 00:17:29 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:30 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:31 2009 Unrecognized attempt blocked from 201.67.31.244:3280 to 84.122.130.63 TCP:19542
Sat May 30 00:17:32 2009 Unrecognized attempt blocked from 200.43.223.4:2236 to 84.122.130.63 TCP:56579
Sat May 30 00:17:33 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:36 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:37 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:38 2009 Unrecognized attempt blocked from 200.43.223.4:2236 to 84.122.130.63 TCP:56579
Sat May 30 00:17:39 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:43 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:44 2009 DHCP:renew
Sat May 30 00:17:44 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:44 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:45 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:45 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:45 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:45 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:45 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:45 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:45 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:45 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:46 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:46 2009 DHCP:ack(DOL=7200,T1=3600,T2=6300)
Sat May 30 00:17:46 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:46 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:46 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:47 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:47 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:48 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:49 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:49 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:51 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:51 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:51 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:51 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:51 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:52 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:52 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:53 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:54 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:54 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:54 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:54 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:55 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:55 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:55 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:56 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:56 2009 Unallowed access from 00-1B-9E-5F-37-F7
Sat May 30 00:17:56 2009 Unallowed access from 00-1B-9E-5F-37-F7
Sat May 30 00:17:56 2009 Unallowed access from 00-1B-9E-5F-37-F7
Sat May 30 00:17:56 2009 Unrecognized attempt blocked from 190.95.74.83:4115 to 84.122.130.63 TCP:53487
Sat May 30 00:17:56 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:56 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:56 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:56 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:56 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:57 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:57 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:58 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:17:59 2009 Unrecognized attempt blocked from 190.95.74.83:4115 to 84.122.130.63 TCP:53487
Sat May 30 00:18:00 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:00 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:01 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:01 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:01 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:01 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:02 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:02 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:02 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:02 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:02 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:02 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:03 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:04 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:05 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:05 2009 Unrecognized attempt blocked from 190.95.74.83:4115 to 84.122.130.63 TCP:53487
Sat May 30 00:18:05 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:05 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:05 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:05 2009 Unrecognized attempt blocked from 88.11.125.210:27840 to 84.122.130.63 TCP:48619
Sat May 30 00:18:05 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:05 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:05 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:05 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:05 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:06 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:07 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:07 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:07 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:07 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:08 2009 Unrecognized attempt blocked from 88.11.125.210:27840 to 84.122.130.63 TCP:48619
Sat May 30 00:18:11 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:11 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:11 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:11 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:11 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:11 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:12 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:12 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:12 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:12 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:12 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:12 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:12 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:12 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:13 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:13 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:13 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:13 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:13 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:13 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:13 2009 Unallowed access from 00-01-38-A2-69-CC
Sat May 30 00:18:14 2009 Unallowed access from 00-01-38-A2-69-CC

Como podras ver la direccion mac 00-01-38-A2-69-CC se repite muchas veces y no se si realmente la esta bloqueando el Router, desde luego como user conectado no aparece porque ademas tengo filtro Mac y la encriptacion es wpa-aes-ccmp ....vamos que es poco probable que se haya saltado los controles ademas de tener una politica de seguridad mas o menos robusta, la verdad es que este tipo de cosas me pasa poco amenudo ...por cierto el Pass lo cambie hoy mismo por otro diferente y mas robusto.

¿A ver que opinas? gracias.

No creo que se trate de ese ataque puesto que lo conozco bien. Ya sabemos que con una tarjeta en modo monitor y el Wireshark se hacen maravillas pero primero tienes que colarte en la red y eso no creo que este ocurriendo en mi caso....de todas maneras gracias.

PD: ¿Alguna opinión mas?, ya para mañana puesto que es tarde, sin embargo agradecería algún que otro punto de vista diferente. ¡Gracias¡.

Acabo de ver el log que has pegado, y por lo que se puede apreciar tu router sí está bloqueando a esa dirección MAC; lo cual descarta por completo que puedas ser objeto de un "hombre en el medio" (menos mal que estaba equivocado); y con las defensas tienes yo ni me preocuparía, puesto que es prácticamente una misión imposible hacerse con el control de tu router.

Se que es complicado asaltarlo puesto que yo mismo lo he intentado con otro pc de mi propiedad, sin embargo me mosquea el hecho de que el que sea es ya demasiado pesao y me huelo que estara utilizando algún Live-cd como wifiway e intentando asaltar la conexion por fuerza bruta -de ahi lo repetitivo de su Mac ¿No creeis? gracias.

Lo que puede ser que tu atacante intente hacer es obtener la clave de tu router o mediante un ataque de fuerza bruta o mediante un ataque de filtrado por MAC, pero si tu contraseña es muy robusta lo único que puede hacer es esperarse sentado; por que no lo va a conseguir.

Es lo mismo que yo pienso ademas cambio los pass con regularidad y observo los Logs igualmente, asi que lo unico que puedo hacer es esperar a que se aburra o si ya se pone muy pesao pues darle un toque.

PD:Gracias por responder y preocuparte un saludo amigo Gwain26.

Ante la insistencia del atacante he decido investigar un poco y el resultado es de lo mas extraño.

Resulta que la Mac que tanto se repite en mi Router es precisamente de otro Router ¿No os parece extraño?...lo único que se me ocurre es que el posible atacante haya falsificado su Mac por el ejemplo con el etherchange o algún programa similar y haya puesto una ya existente como la Mac de un Router...por recordemos que son las tarjetas y sus macs las que aparecen cuando existe un ataque y no la mac de los Routers. ¿Alguna idea?.