我的网络刚被黑客入侵吗？

发生了一件非常奇怪的事情。长话短说，我继续使用计算机，它告诉我该计算机的访问被阻止。因此，我尝试访问192.168.1.1，但在被阻止的PC上无法正常工作。因此，我上了平板电脑，转到192.168.1.1并转到连接的设备，令我惊讶的是，我看到了来自非我方的随机IP地址的21个随机设备。因此，我接下来想到的是阻止所有随机设备。但是就在我要阻止这些随机设备之前，我的平板电脑已被网络阻止。因此，我拔下了将路由器连接到调制解调器的以太网电缆，以防万一我遭到黑客攻击，从而无法连接到网络。然后，我跳上最后一块未被阻止的平板电脑，转到192.168.1.1并将访问控制设置为自动阻止任何新设备，解锁其他平板电脑和PC，然后将以太网电缆重新连接到路由器。所以现在我想知道到底发生了什么，所以我继续查看路由器日志，并得到以下信息：

[远程局域网访问]从88.180.30.194:60240到192.168.1.9:63457，2015年11月28日（星期六）10:45:21
[管理员登录]来自源192.168.1.9，2015年11月28日（星期六）10:45:21
[远程局域网访问]从88.180.30.194:54493到192.168.1.9:63457，2015年11月28日（星期六）10:45:21
[远程局域网访问]从105.101.68.216:51919到192.168.1.9:63457，2015年11月28日（星期六）10:45:20
[远程局域网访问]从88.180.30.194:54490到192.168.1.9:63457，2015年11月28日（星期六）10:45:19
[从远程访问LAN]从105.101.68.216:48389到192.168.1.9:63457，2015年11月28日（星期六）10:45:18
[远程局域网访问]从41.79.46.35:11736到192.168.1.9:63457，2015年11月28日（星期六）10:42:49
[DoS攻击：SYN / ACK扫描]来自：46.101.249.112，端口80，2015年11月28日，星期六，10:40:51
[从远程进行LAN访问]从90.204.246.68:26596到192.168.1.9:63457，2015年11月28日（星期六）10:40:15
[时间与NTP服务器同步] 2015年11月28日，星期六，10：36：51
[远程局域网访问]从87.88.222.142:55756到192.168.1.9:63457，2015年11月28日（星期六）10:36:38
[远程局域网访问]从87.88.222.142:35939到192.168.1.9:63457，2015年11月28日（星期六）10:36:38
[从远程局域网访问]从111.221.77.154:40024到192.168.1.9:63457，2015年11月28日（星期六）10:31:06
[管理员登录]来自源192.168.1.9，2015年11月28日（星期六）10:23:53
[DoS攻击：陆地攻击]来自：255.255.255.255，端口67，2015年11月28日，星期六，10:23:44
[访问控制]设备ANDROID-EFB7EA92D8391DF6，MAC地址为00：09：4C：3B：网络，2015年11月28日，星期六，10：23：25
[远程局域网访问]从2015年11月28日（星期六）从78.14.179.231:61108到192.168.1.9:63457
[远程局域网访问]从78.14.179.231:62967到192.168.1.9:63457，2015年11月28日（星期六）10:21:19
[UPnP设置事件：add_nat_rule]来自192.168.1.9，2015年11月28日（星期六）10:21:15
[已连接互联网] IP地址：（我的IP地址，2015年11月28日，星期六，10：21：05
[互联网已断开连接] 2015年11月28日星期六10:20:25
[DHCP IP：192.168.1.6]到MAC地址14：99：e2：1c：a0：19，2015年11月28日，星期六10:20:22
[DHCP IP：192.168.1.6]到MAC地址14：99：e2：1c：a0：19，2015年11月28日，星期六10:20:21
[访问控制] MAC地址为14：99：E2：1C：A0：19的设备SETHS-APPLE-TV是一个网络，2015年11月28日，星期六10:20:20
[访问控制]设备ANDROID-EFB7EA92D8391DF6，MAC地址为00：09：4C：3B：网络，2015年11月28日，星期六，10：20：19
[DHCP IP：192.168.1.2]到MAC地址14：2d：27：bb：7d：93，2015年11月28日，星期六，10：20：06
[访问控制]允许MAC地址为F8：0F：41：CD：AC：0B的设备MAIN-PC进入网络，2015年11月28日，星期六，10：20：01
[DHCP IP：192.168.1.5]到MAC地址38：0f：4a：4f：60：90，2015年11月28日，星期六，10：19：24
[访问控制]允许MAC地址为38：0F：4A：4F：60：90的设备COMPUTER进入网络，2015年11月28日，星期六，10：19：23
[DHCP IP：192.168.1.5]到MAC地址38：0f：4a：4f：60：90，2015年11月28日，星期六，10：19：23
[管理员登录]来自源192.168.1.7，2015年11月28日，星期六，10:19:22
[访问控制]设备ANDROID-EFB7EA92D8391DF6，MAC地址为00：09：4C：3B：网络，2015年11月28日，星期六，10：19：11
[访问控制]具有MAC地址6C：AD：F8：7B：46：4A的设备CHROMECAST允许网络，2015年11月28日，星期六，10:19:10
[DHCP IP：192.168.1.8]到MAC地址70：73：cb：78：69：c6，2015年11月28日，星期六，10：19：09
[访问控制] MAC地址为70：73：CB：78：69：C6的设备GABRIELLES-IPOD是网络，2015年11月28日，星期六，10：19：09
[DHCP IP：192.168.1.4]到MAC地址00：09：4c：3b：40：54，2015年11月28日，星期六10:19:08
[DHCP IP：192.168.1.3]到MAC地址6c：ad：f8：7b：46：4a，2015年11月28日，星期六，10：19：08
[DHCP IP：192.168.1.7]到MAC地址24：24：0e：52：8b：41，2015年11月28日，星期六10:19:02
[访问控制] MAC地址为24：24：0E：52：8B：41的设备GABRIELLE被允许进入网络，2015年11月28日，星期六，10：19：02
[DHCP IP：192.168.1.2]到MAC地址14：2d：27：bb：7d：93，2015年11月28日，星期六，10：18：53
[DHCP IP：192.168.1.2]到MAC地址14：2d：27：bb：7d：93，2015年11月28日星期六10:17:22
[访问控制]允许使用MAC地址14：2D：27：BB：7D：93的未知设备访问网络，2015年11月28日，星期六，10：16：33
[访问控制] MAC地址为F8：0F：41：CD：AC：0B的设备MAIN-PC被阻止了网络，2015年11月28日，星期六，10:16:10
[DHCP IP：192.168.1.2]到MAC地址14：2d：27：bb：7d：93，2015年11月28日，星期六，10：15：42
[DHCP IP：192.168.1.9]到MAC地址f8：0f：41：cd：ac：0b，2015年11月28日，星期六，10：15：37
[已初始化，固件版本：V1.0.0.58] 2015年11月28日，星期六，10：15：29

这是我在日志https://db-ip.com/88.180.30.194中找到的未知IP地址之一，以及未知的mac地址00：09：4C：3B：40：54，我将mac地址链接到了该网站http://coweaver.tradekorea.com/

如果有人能告诉我发生了什么，那将是非常棒的:)

是的，很可能是被黑客入侵了。

明显的迹象是所用端口的范围：所有操作系统都使用低端口（<约10,000个）侦听传入的连接，使用高端口（其余的端口，尤其是30,000以上的端口）侦听传入的连接。而是，您的日志显示了成对的高端口之间的连接，这意味着未使用对PC的常规访问，没有telnet，没有ssh，没有http等。相反，使用一对高端口是典型的黑客工具二人组，netcat和 meterpreter的典型用法。

特别是，很明显，黑客在PC 192.168.1.9上留下了后门，监听端口63457，但是他也做了一些端口转发，以允许到此PC上该端口的连接通过路由器。因此，黑客侵犯了这台电脑和您的路由器。在这两行中有进一步的证明，

[LAN access from remote] from 88.180.30.194:60240 to 192.168.1.9:63457, Saturday, November 28, 2015 10:45:21
[admin login] from source 192.168.1.9, Saturday, November 28, 2015 10:45:21

查看时间戳：在几秒钟内，黑客登录到PC 192.168.1.9，然后从那获得对路由器的管理员访问权限。

缓解步骤

1. 您处于困境中，因为您的门外潜伏着强大的敌人。在您采取足够的措施为他架设强大的屏障之前，您应该保持断开连接。这里的风险是，由于他知道自己已经被发现，因此他将继续入侵您的所有计算机，包括行式打印机（是的，可以做到），而您将永远不会摆脱他。所有这一切，而您肯定在局域网中有第五列，pc 192.168.1.9。我们将一次迈出一步。

2. 购买其他品牌的路由器，可能带有易于配置的防火墙。我将Buffalo路由器与预先安装的功能强大的DD-WRT一起使用。

3. 断开由192.168.1.9标识的PC，并保持其关闭状态。

4. 更换旧路由器，但尚未将新路由器连接到Internet。

5. 使用其他任何 PC 从LAN内对其进行配置。

6. 特别是（这些有关DD-WRT路由器的说明将使您了解即使在非DD-WRT路由器中也要做什么），转到“服务”选项卡，禁用telnet访问和VNC转发器，并启用syslogd。

7. 转到“管理”标签，然后禁用“ 远程访问”下的所有按钮。仍在“管理”选项卡中，将密码更改为令人讨厌的密码，例如I_want_T0_k33p_all_Hacck3rs_0ut！（拼写错误是故意的）。那些精通技术的人应该启用无密码登录（在“服务”->“服务”，“安全外壳”中），然后在“管理”->“管理”，“ Web访问”下，应仅禁用http和启用https，以防止传递明文密码；有关如何通过DD-WRT路由器连接的详细信息，请https参见此处，它需要ssh我们刚刚启用的连接。

8. 现在转到“管理”->“命令”，然后在“命令”区域中键入以下内容：

     iptables  -A INPUT -s 88.180.30.194 -j DROP
     iptables  -A OUTPUT -d 88.180.30.194 -j DROP
     iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
     iptables -I INPUT -i $WAN_IFACE -DROP
   

   $ WAN_IFACE是连接到ISP的NIC的名称，在我的系统中为vlan2，但最好检查一下系统。前两个规则完全封锁了与您的PC 192.168.1.9的非法连接所来自的IP地址之一。您可能希望添加其他类似的规则来也将105.101.68.216排除在外。依此类推。第三个规则允许输入，它是您启动的连接的延续，即合法连接。第四个规则将其他所有内容拒之门外。

   点击“ 保存防火墙”，您就完成了。

9. 现在，将路由器保持打开状态，但与 Internet 断开连接大约一天，然后查看192.168.1.9以外的其他 PC是否尝试与奇怪的IP地址联系。合法的公司，如微软或苹果，Akamai的还是索尼，不计，但消费占阿尔及利亚，布隆迪，法国，德国，新加坡，英国（日志上面的连接的表观源）做的。如果有这样的尝试，请使原始PC脱机，将其关闭，然后进行步骤11的处理。

10. 现在您可以将新路由器连接到Internet。

11. 现在，将您的（已关闭电源！）pc 192.168.1.9带到其他地方，即 不在您家中。打开它，然后运行人类可用的所有防病毒测试，或者更好的是，重新安装操作系统。

12. 每天检查您的全新路由器的系统日志一段时间，以确保不再有上述类型的连接：黑客总是有可能渗透到您家中的其他系统。看到此痕迹后，请对被黑客入侵的PC重复上述步骤，并在受感染PC脱机时更改路由器密码。

13. 您可以扔掉旧路由器，或者更好的是，确定这是一个在其上安装DD-WRT的有趣项目。您可以在这里找到是否可行。如果它是，那么它会很有趣，而且您还会从今天的一堆垃圾中得到一个闪亮的，新的，安全的，功能强大的路由器。

14. 在将来的某个时候，您应该学习iptables如何正确配置防火墙，以及如何建立到路由器的无密码ssh连接，这将使您完全禁用密码登录（有关如何操作的简要说明，请参见此处）它）。但是这些事情可以等待。

您应该感到高兴：尽管您的黑客已经侵入了路由器，却心不在to，无法将系统日志保留在原处，最终导致了他的发现。下次您可能不太幸运。