Problema Telnet

[ITApac]

Salve, ho posto il mio quesito in altri lidi, ricevendo risposte superficiali, se non nulle. Quindi mi sono iscritto qui per chiedere l'aiuto di qualche esperto che sani i miei quesiti.
Non conosco bene Telnet, ma so che è poco sicuro e può essere usato per controlo remoto di un sistema (riminescenze anni 90). Certi messaggi firewall che non sono i normali port scan, sincronizzazioni etc. Mi hanno un pò allarmato. Quindi, se decidete di rispondermi vi pregherei di sanare ogni mia domanda e spiegarmi i vari messaggi di cui non comprendo l'origine.

Vi spiego, ho dovuto accedere come admin al mio router Fastweb ”Technicolor TG788vn" non mi aspettavo che la cosa aprisse la porta 23 Telnet, rimasta aperta per 72 ore consecutive.
Il mio volume Os X è completamente criptato da Filevault2 (strong pass fuori dizionario)

1-Basta avere la porta 23 aperta perchè qualcuno possa aver visto in remoto i miei dati o le azioni che compivo sul mio PC, come l'immissioni di password? o peggio avermi sottratto i files? oppure gli serve di più? tipo che io accedessi in remto al mio PC con telnet attivo?
Non ci dormo la notte con il dubbio. nel log vedo tanti tentativi di log in Telnet, e molti log out.
vuol dire che tentavano di entrare nel router?

2-Non leggo mai i log dei firewall troppa paranoia, ma quando mi sono accorto della porta 23 mi sono preoccupato, ecco Il LOG, ho visto anche salvataggi di impostazioni che non avevo effettuato, qualcosa di preoccupante? mi spiegate cosa succedeva riguarda Telnet o qualcuno tentava di entrare nel mio router? ci saranno anche riusciti dato che il log è solo parziale?

Oct 9 16:11:15 LOGIN User admin tried to log in on TELNET (88.247.115.107)
Oct 9 16:11:23 LOGIN User support tried to log in on TELNET (88.247.115.107)
Oct 9 16:11:28 LOGIN User ubnt tried to log in on TELNET (88.247.115.107)
Oct 9 16:11:34 LOGIN User 888888 tried to log in on TELNET (88.247.115.107)
Oct 9 16:11:40 LOGIN User service tried to log in on TELNET (88.247.115.107)
Oct 9 16:11:23 LOGIN User support tried to log in on TELNET (88.247.115.107)
Oct 9 16:11:28 LOGIN User ubnt tried to log in on TELNET (88.247.115.107)
Oct 9 16:11:40 LOGIN User service tried to log in on TELNET (88.247.115.107)
Oct 9 16:33:28 LOGOUT User logged out on TELNET (46.161.40.28)
Oct 9 16:50:42 LOGOUT User logged out on TELNET (189.222.196.66)
Oct 9 16:56:16 LOGOUT User logged out on TELNET (119.162.41.246)
Oct 9 17:00:21 LOGOUT User logged out on TELNET (46.161.40.28)
Oct 9 17:04:03 LOGOUT User logged out on TELNET (119.162.41.246)

3-“CONFIGGURATION saved by TR69” è Fastweb in remoto da CD Router TR-69 che mi cambia i settings? possibile un uso improprio via telnet?

4-Dopo aver blindato la porta 23, ho letto questi messaggi, sono normali? indicativamente cosa significano? io li ricollego al fatto di essere rimasto esposto per giorni con porta aperta.

ICMP Src ip: 85.207.18.54 Time Exceeded Code: Time to Live exceeded in Transit
ICMP Src ip: 14.198.123.110 Destination Unreachable Code: Communication Administratively Prohibited
ICMP Src ip: 195.202.55.198 Destination Unreachable Code: Host Unreacheable Type: Destination Unreachable Code: Net Unreacheable
ICMP Src ip: 124.34.209.194 Type: Redirect Code: Redirect Datagram for the Host

5-Questo IP 10.17.34.7 e un altro simile hanno fatto port scan al router ma...sono IP IANA, quindi interni alla mia sottorete? come è possibile? Ho una rete casalinga solo un PC in Ethernet, nessuna Wlan.

6-Alla voce del router firewall, dettagli mi dice visite 2000, sarò entrato nel firewall al massimo 3 volte, a cosa si riferisce? tentativi come port scan etc?

7-Una delle cose che mi ha allarmato è il fatto che, Il firewall sia passato da Standard a "Disabilitato" DA SOLO! all'improvviso, sarà stato Fastweb da remoto? oppure qualcuno che ha bucato le difese?

8-Ieri Google mi manda un Email, comunicandomi che qualcuno aveva tentato di accedere al mio account da un dispositivo sconosciuto, “Da un un'app che non rispetta i più recenti standard di sicurezza” il fatto strano è che l’IP era il mio?! collegandolo ai recenti avvenimenti...

9-Prima di questi eventi non avevo mai notato che il router ogni tot mi manda un messaggio
FIREWALL event (1 of 1): deleted rules, credo sia normale giusto?

Tanto per informazione rilevamento intrusione mi dice:

fragment_sweep7
fragment_out-of-order 2246
udp_port_scan 11

Ho fatto un Whois nessun IP appartiene al mio provider.

Grazie per il tempo che mi dedicherete

[brancomat]

Non sono certo un espertone, però ultimamente mi sono baloccato con un server linux e qualcosa (penso) di averlo imparato.

Non conosco bene Telnet, ma so che è poco sicuro e può essere usato per controlo remoto di un sistema

Più che controllo remoto serve per aprire una sessione shell. Per essere sicuro è sicuro, nel senso che l'insicurezza riesiede nel fatto che la password e in generale il traffico viene inviato non criptato (si usa ssh).
Però questo non significa nulla di particolare: il rischio è alto se utilizzi una connessione wifi senza criptazione, non è per nulla facile intercettare la password (anzi pressochè impossibile).

Ma se lasci quella di default del router allora è praticamente immediato collegarsi al router medesimo.

Se qualcuno si collega al tuo router con telnet può fare grosso modo quello che si fa dall'interfaccia web.
Potrebbe attivare un instradamento nella condivisione di file e cartelle Windows verso il tuo Mac (se ci sono le condivisioni) e poi dopo essersi collegato (sempre ammesso di avere nome utente e password del Mac) leggere e/o scrivere i dati.
Non conosco bene Mac, forse ha una sorta di desktop remoto interno cui ci si può collegare?
Non so

1-Basta avere la porta 23 aperta perchè qualcuno possa aver visto in remoto i miei dati

No.
Per quanto ne so può riprogrammare il NAT del router per consentire l'instradamento delle porte verso il tuo Mac

2-Non leggo mai i log dei firewall troppa paranoia, ma quando mi sono accorto della porta 23 mi sono preoccupato, ecco Il LOG, ho visto anche salvataggi di impostazioni che non avevo effettuato, qualcosa di preoccupante? mi spiegate cosa succedeva riguarda Telnet o qualcuno tentava di entrare nel mio router? ci saranno anche riusciti dato che il log è solo parziale?

Boh a tutto quanto.
Apparentemente sembrano tentativi di collegarsi al router mediante coppie nome utente e password standard (tipo admin:admin o adminippo e così via)

3-“CONFIGGURATION saved by TR69” è Fastweb in remoto da CD Router TR-69 che mi cambia i settings? possibile un uso improprio via telnet?

Non ho Fastweb non so se fanno queste cose

4-Dopo aver blindato la porta 23, ho letto questi messaggi, sono normali? indicativamente cosa significano? io li ricollego al fatto di essere rimasto esposto per giorni con porta aperta.

Non so dire.
Però vedo ICMP che dovrebbe essere il protocollo usato da PING, non per trasferire i dati (TCP/UDP)

5-Questo IP 10.17.34.7 e un altro simile hanno fatto port scan al router ma...sono IP IANA, quindi interni alla mia sottorete? come è possibile? Ho una rete casalinga solo un PC in Ethernet, nessuna Wlan.

Potrebbe essere una macchina Fastweb. Come detto non so come funzioni, solo lurkato

6-Alla voce del router firewall, dettagli mi dice visite 2000, sarò entrato nel firewall al massimo 3 volte, a cosa si riferisce? tentativi come port scan etc?

Leggi il manuale del router, magari qualcosa dice.
O magari prova direttamente

7-Una delle cose che mi ha allarmato è il fatto che, Il firewall sia passato da Standard a "Disabilitato" DA SOLO! all'improvviso, sarà stato Fastweb da remoto? oppure qualcuno che ha bucato le difese?

Mi pare difficile che fastweb lo faccia (ma chi lo sa?).
Le "difese" sono solo nome utente e password del router. Se non le hai cambiate allora è possibile

8-Ieri Google mi manda un Email, comunicandomi che qualcuno aveva tentato di accedere al mio account da un dispositivo sconosciuto, “Da un un'app che non rispetta i più recenti standard di sicurezza” il fatto strano è che l’IP era il mio?! collegandolo ai recenti avvenimenti...

Un IP "tuo" o Fastweb?
Perchè - sempre vagamente - credevo che le macchine collegate a Fastweb condividessero un IP unico, mentre bisognava pagare un tot al mese per avere un IP pubblico personale.

9-Prima di questi eventi non avevo mai notato che il router ogni tot mi manda un messaggio
FIREWALL event (1 of 1): deleted rules, credo sia normale giusto?

Leggere il manuale?

[brancomat]

Da Fastweb leggo
Il nome utente predefinito è
fastweb
.
Password predefinita
La password predefinita è vuota

Per il firewall
Il firewall è disabilitato per impostazione predefinita. Ciò significa che
tutto
il traffico che passa attraverso MediaAccess
Gateway (in uscita da e in entrata su Internet) è consentito



Infine per il conteggio sembrerebbe
Selezionare un'Azione
da eseguire sul traffico per il quale sono valide le regole del firewall:

Accetta
: per consentire il passaggio del traffico

Nega
: per respingere il traffico (senza notifica)

Conta
: per consentire il passaggio del traffico effettuando il conteggio degli accessi

che implichi traffico avvenuto e non bloccato

[ITApac]

Sei stato molto attento oltre che esaustivo, ti ringrazio tantissimo! ne sai certo più di me ed è questo che mi occorre! non mi serve un super tecnico di rete bastava scansare risposte tipo "sei paranoico, ma che hai da nascondere?, ma vivi sereno, ma perchè vuoi saperlo? e fattela na risata, non leggo le tue domande ti rispondo ugualmente qualcosa che non centra nulla tanto per, etc etc" quando faccio domande un pò più serie la gente mi risponde così, o come fosse despoitario di una conoscienza "innata" che non può condividere con me, comune plebaglia, manco certe informazioni fossero oro zecchino o si sprecasse la vita a rispondre a chi manifesta curiosità

La password predefinita è vuota

Ahahahah! Avevo già scritto troppo per rompervi le scatole scrivendo per filo e per segno tutto quello che ho fatto con il router se noti tendo a diventare logorroico preciso ora che, logicamente ho immesso una nuova password, e ho cambiato il "nome utente" cosa che si può fare (stupidamente, ma forse anche no) solo previa login da Admin che fastweb blocca dopo qualche sec dopo il reset (e ora so perchè). Privilegi ottenibili solo con un trick, ho resettato e bloccato FW prima che eliminasse la possibilità di entrare da Admin, chissà quale era la pass?

1-Niente Wlan non la uso mai
La condivisione da me è sempre disattivata
Il Mac aveva un sistema di remoto mi ricordo nei primi Osx, Remote Desktop forse, ma mi pare sia stato rimosso da tempo, ora mi informo non vorrei dire cacchiate.
Ho richiesto a FW un nuovo IP tanto per allontanare le mosche dal miele (sperando me lo diano)

In teoria pass del router modificata o meno la possono crackare, e il tempo lo hanno avuto il router non ha un criptazione molto affidabile credo.
Mettiamo che siano entrati nel Router, abbiano superato il firewall, non credo che avrebbero potuto
crackare la pass di Filevault cosa praticamente impossibile a meno di non farlo con accesso fisico o avere una crack farm tipo NSA (o backdro in questo casa ), sempre che l'encript protegga online (credo di si)
L'ipotetico instradamento NAT dovrebbe essere scomparso con il reset del Router? o con una subent diversa? A questo punto mi preoccupano forse di più i dati che viaggiavano per accedere ad account online durante il mio picolo preiodo di crisi.

2-Si quel tizio non è entrato, ha fatto troppi tentativi alla cieca, ma ho comunque bloccato il suo IP nei firewall Router e Mac, e segnalato come abuse al suo provider (metti caso che per una volta serva a qualosa)

6-Avevo provato direttamente e non ci ho cavato molto, nel manuale avevo letto menzione solo di "Conta" "conteggio" (che nella mia regola firewall è disabilitata) ma la parola è Accessi, quindi, o si riferisce ad altro, oppure hanno tradotto in modo diverso da una pagina del firewall ad un altra? ora provo a mettere in inglese e lo scopro. (EDIT fatto c'è Count e anche Hits quindi significano due cose diverse) Nella regola specifica c'è la voce Azione: accetta/nega/conteggio.

7-

Il firewall è disabilitato per impostazione predefinita.

Ad ogni reset del Router, per prima cosa cambiavo nome e pass, e riabilitavo il firewall con le mie regole, mi sono accorto del cambio da log del firewall vedevo una voce firewall rules modificate, vado a vedere ed il firewall era tornato come default. Mi accorgo ora che anche l'FTP era stato riabilitato, ma non il DHCP che ho disabilitato ed altri settings...bha chissà!!

8- Ho un Fixed IP o Statico gratuito, che rimane uguale anche a reset Router (se faccio mio IP online salta fuori quello), ed è il medesimo apparso negli accessi di Google utilizzato dal dispositivo "sconosciuto" che ha tentato di connettersi, la cosa mi aveva lasciato perplesso dato il momento un pò precario, in altre situazioni avrei pensato ad un banale errore di conversazion tra google firefor etc.

9-Il manuale? è uno schifo il materiale fornito da Fastweb, non parla nemmeno di Mac filter per la Wlan (che in realta esiste anche se molto all'acqua di rose...) non c'è menzione sui messaggi del firewall nel manuale.

Grazie ancora, le tue risposte mi hanno sollevato da alcune preoccupazioni.

[ITApac]

Se qualcuno passasse di qui, ho ancora dubbio sul alcuni punti da me esposti nel primo post, 3-5-6-7-
al punto 4 aggiungo questi alarm:

Oct 14 18:55:03
IDS rate parser : tcp rate limiting (1 of 1) : 10.51.64.240 (mio ip) 44 40 TCP 49063->63270 [S.....] seq 4196236114 ack 0 win 1024

IDS proto parser : icmp code unknown (1 of 1) : 10.51.64.240 (mio ip) 148 42 ICMP Echo (Code 9)

IDS scan parser : tcp syn scan: 10.51.64.240 scanned at least 20 ports at (mio ip) . (1 of 1) : 10.51.64.240 (mio ip) 1 44 40 TCP 41960->554 [S.....] seq 433669032 ack 0 win 1024
IDS scan parser : tcp port scan: 23.37.43.27 scanned at least 10 ports at (mio ip) (1 of 1) : 23.37.43.27 (mio ip) 40 50 TCP 80->57165 [...R..] seq 269232852 ack 0 win 0

5-Aggiungo che continuo a ricevere molti port scan da IP IANA ora dal 100.84.59.28, io non ho port forward ma, una persona mi ha detto:
It’s possible that your router has IP forwarding set to send packets destined to some port to your machine in which case your machine will actually see the traffic coming from router’s internal interface, might be the case here.
Magari il router ha di default un port forward di qualche genere a me invisibile? dovrei avere delle porte aperte, e non mi risulta dallo scan che ho fatto.
Potrebbe essere qualcosa collegato a ciò che diceva Brancomat sul instradamento del NAT? magari avvenuto quando la porta 23 era aperta?
Poco fa l'IP che ho assegnato di mio pungo al mio Mac ha scansionato 20 porte di 93.51.6.99 56 64 UDP 43323->56686 che dovrebbe essere un block di Fastweb, che succede? un erroe di pacchetti? io non ho mai lanciato uno scan verso nessun IP.

Per chiarezze specifico cosa facevo con il rotuer in quei giorni:
L'intento delle mie prove sul Router era quello di limitare gli accessi a determinati IP e Mac address quest'ultima cosa complicata dato che il router non da una possibilità concreta ma solo fittizia
Dopo ogni reset facevo grossomodo questo:
-Modifica Login name e pass sicure, diverse dal default!
-Settata regole del firewall
-Cambia subnetmask con una meno comune, volevo limitare il numero di IP ho usato una maschera /29 ma credo che non serva a nulla perchè si possono creare altre 30 sottoreti, sono tornato ad una classe più banale (dovrei studiare lo so)
-Disabilitato DCHP autoassegnazione IPV4
-Disabilitato IPV6
-FTP disabilitato
-La Wlan non la uso ma l'ho impostata al meglio per evenienze rare in cui ne necessitassi:
-Disabilitato la Wlan a cui ho assegnato cmq un nome diverso dal default, una password WPA2 -lunghissima fuori dizionario etc
-disabilitato WPS
-disabilitato SSID broadcast (farà poco ma almeno gli scrocconi li tiene lontani)
-cambiato Canale ad uno usato poco.
-Non consentire nuovi dispositivi (una specie di MacFilter schifoso)
-E qualcosa d'altro che al momento non ricordo.
Sono pienamente cosciente che tutte queste blande protezioni sono aggirabili ma...Un ostacolo non rallenta, molti si.

Su Mac condivisioni sempre disabilitate, utente ospite disabilitato, e criptazione XTS-AES1024 o 512 totale del volume e del sistema con pass oltre 30 car, fuori dizionario, la cartella con i dati di lavoro è a sua volta criptata con un altro valido sistema.
Diciamo che per quel poco che so fare, cerco di difendemi al meglio, gli errori scemi come non accorgersi subito della porta 23 capitano.
Purtroppo non conoscendo la materia certe cose mi preoccupano un pò, ma se chi ne sa di più di me mi aiuta a capirle, mi sento meglio e conservo ciò che imparo.

[ITApac]

Il problema non si è risolto. Oltertutto ho resettato ad impostazioni di fabbrica il router, navigazione ok etc ma chiamo FastW per chiedere di constrollare attività estranee da router, il 14 FastW (pochi minuti dopo il mio ultimo messaggio qui) lancia un comando da remoto, che non va a buon fine:
[CWMP] Connection Request NOT ALLOWED.
[CWMP] > Inform (6 CONNECTION REQUEST)

Da quel momento tutto il traffico da broswer va a farsi benedire, qualsiasi broswer da qualsiasi Dispositivo collegato in ethernet o Wlan, carica al massimo 200kb di pagine poi i pacchetti vengono persi nel nulla.
Pingo youtube e perdo tutti i pachetti, stesa cosa per altri.
Il fatto strano è che down/up vanno alla grande con Torrent, piena banda, gli speed test di FastW confermano che il traffico è a posto, non sanno a cosa sia dovuto il problema e l'unica cosa che possono fare è cambiarmi il Router.
Il router nuovo "AdbVV2222" non cambia la situazione, il tecnico che è venuto era perplesso dice che sembra quasi che il trafico Broswer venga dirottato?
Io non so più che fare, oltre il casino che avevo, ora questo.
Solo oggi riesco a caricare questa pagina in modo decente per poter chiedervi aiuto!

I dati sul router:
Potenza di output (Upstream/Downstream) [dBm]: -1,6 / 12,8
Margine SN (Up/Down) [dB]: 10,1 / 6,3
Attenuazione (Upstream/Downstream) [dB]: 23,7 / 12,1
Errori FEC 1.500.688

[supertuxkart]

Riesci a provare con una qualsiasi live linux ubuntu e derivate se il router funziona ed escludere che tu non abbia il S.O bucato ?
Non so se su mac si possa installare, ma sicuramente in live dovrebbe funzionare.

[ITApac]

Mettiamo che riesca a trovare un live ubuntu da amici mi diresti gentilmente come dovrei procedere?
Non conosco Linux dovrei studiare in rete, scaricare un app per metterlo bootable da pendrive, ma non riesco a navigare alcune pagine non le carica del tutto, e tutti i files che tento di scaricare da broswer superiore ai 200kb caricano qualche minuto poi si bloccano, quindi sono incastrato.

Quello che posso dire ora è che:
–Il router è stato cambiato il 20 con uno nuovo da FW, credo sia funzionante e che lo fosse anche quello precedente.
–Con il nuovo ho provato a resettare, entrare da Admin (ricordo che FW inibisce questa possibilità dopo pochi minuti dalla connesisone) e bloccare il controllo remoto RT69, quindi l'update di FW che inibisce il log da admin e altri (ipotetici errori dovuti a dati in remoto) ci sono solo i dati di connessione di base e non il telefono, quindi se ricollego il doppino adsl, navigo ma sempre male con broswer, e ottimamemnte a piena banda, via P2P.
–Intendi il sistema operativo bucato? ho connesso molti dispositivi con i sistemi operativi più disparati sia in Wlan che Ethernet nessuno riesce a navigare, non è problema di un singolo dispositivo quindi.

[brancomat]

Errori FEC 1.500.688

Nella mia ignoranza direi che hai un problema hardware di rete intesa come linea

[brancomat]

Per la navigazione invece farei un

codice:

tracert www.html.it
tracert www.inter.it
tracert www.google.it