W tej chwili zmieniłem hasło admina na ruterze (niestety, bez odłączania od Internetu), przy użyciu klawiatury dotykowej Win 10 (na wypadek keylogera), a także usunąłem konto User z rutera.
DNSy są normalne Netii, ale przed chwilą wykonywałem reset rutera (przed zmianą hasła oczywiście):
87.204.204.204
62.233.233.233
Używam chińskiego antywirusa 360 Total Security (dodatkowe silniki Aviry i BitDefendera, poziom ochrony maksymalny ustawiony) plus zapory Glass Wire (też chińska i w sumie dziwna, być może mało skuteczna) wraz z zaporą Windows.
Podejrzenia padły najpierw na ten antywirus (bo pierwsze próby zdalnego dostępu, które dziś zauważyłem, były z z Chin), ale w sumie nie wiem, czy on mógłby mieć coś z tym wspólnego. Sprawdziłem nim oczywiście cały dysk i nie znalazł zagrożeń (bo może sam je stworzył ). Jest jeszcze sprawa z BitComet Portable, dziś go używałem i dodałem dla niego reguły do zapory Windows. Te porty, po których były próby dostępu, wyglądają niekiedy trochę na porty P2P, jednak wydają mi się dziwne próby dostępu zdalnego na tej zasadzie (i tak były i przez port HTTP). Na końcu postu dołączam obrazek z logu rutera.
Pytania:
1. Jak przejść do bardziej zaawansowanych ustawień DNS? Chodzi mi o to, czy w panelu rutera nie ma jakichś dodatkowych ustawień, pozwalających włamywaczowi na podmianę adresów/dodanie dodatkowych DNS, niewidocznych w ogólnej karcie połączenia z Internetem.
2. Czy najlepiej byłoby postawić system od nowa na wypadek jakiegoś złośliwego oprogramowania? Jaki ono może mieć związek z próbami zdalnego dostępu do rutera?
3. Czym w ogóle grozi taki zdalny dostęp? Wiadomo, była afera, że gościowi ukradziono chyba 5000 zł z konta właśnie dlatego, że przejęto kontrolę nad jego ruterem i postawiono mu fałszywą stronę banku. Poza tym, chyba analizowanie niezaszyfrowanego transferu jest możliwe. Ogólnie jednak zawsze sprawdzam czy łączę się przez SSL i certyfikat na takich stronach. Na wszelki wypadek i tak zmienię hasła do poczty, komunikatorów i e-banków.
4. Jak najlepiej skonfigurować ruter, by pozbyć się złych zmian wprowadzonych przez hackera?
http://screenshootereu.blob.core.windows.net/engine4files/ltvepmjjqmmsfzhsslfytdcjbgroecpkwrlgaqlioraxtsmqetebdjtirmdivvenwcvnnascaxjcdeqiuaklynhmydpnndmtnnaq