上海贝尔RG200O-CA光猫日志记录异常，求高手指教！

yuchen666

进入电信送的上海贝尔RG200O-CA 光猫里查看日志，查看到有异地的iP在“访问记录”里！　求高手解惑！

访问记录内容如下：kernel: Intrusion -> IN=ppp0_2.41 OUT= MAC= SRC=222.186.24.6 DST=117.27.185.114 LEN=40 TOS=0x00 PREC=0x00 TTL=111 ID=256 PROTO=TCP SPT=6000 DPT=6670 WINDOW=16384 RES=0x00 SYN URGP=0


百度翻译了一下，翻译如下：内核：入侵-> = = ppp0_2.41 MAC = src= 222.186.24.6 DST = 117.27.185.114 len = 40，= 0x00 PREC = 0x00 TTL id = 256 = 111原= TCP SPT = 6000 = 6670 = 16384 DPT窗口RES = 0x00 SYN urgp = 0


居然有“入侵”二字，吓人哦！　　百度了一下前面的ＩＰ：222.186.24.6    　地址显示：江苏省镇江市 电信
且每个10分钟就有一组访问，ＩＰ显示都是不同的地点，另外光猫如果重启后，这些记录就不见了！隔个10-20分钟！　有继续有异地IP出现！　

配图如下：



在“安全记录”也有异地ＩＰ出现！

peng85344558

不用过于担心，网络上面错综复杂，或许是你在在上传下载而被路由错误记录了，偶尔来个找点攻击很是正常，有的就是在扫鸡。从日志上我是没看出什么大问题，如果电脑没什么不良反应，可以不用理会。当然对于给点建议你吧
1.将系统的漏洞对应打上补丁，每次别打多，几个几个来，打完就备份系统（一旦补丁修复出错造成系统问题可以及时恢复）
2.杀软+防火墙这个必须的，不是很技术就装吧
3.尽量不要使用来路不明的软件，特别是破解版、汉化版等，还有一些危险性高的网站。
4.过多的防护也是没用的，只能是日常了解了解，注意下就行了~~

yuchen666

等了一天了!  感谢 peng85344558  的解答!  

是这样，之前网络有出现一些问题！　一直没找到真正原因！之前问题可以排除不是电脑自身的情况！

所以怀疑是不是路由引起的！　

peng85344558

yuchen666 发表于 2013-3-21 15:50
等了一天了!  感谢 peng85344558  的解答!  

是这样，之前网络有出现一些问题！　一直没找到真正原因！ ...

你能说明下网络出了什么问题吗？？除了这个日志，还有发现其他一些什么吗？
ps：如果是回复我的话，直接点那个回复，这样我这里才有提示

yuchen666

peng85344558 发表于 2013-3-21 15:57
你能说明下网络出了什么问题吗？？除了这个日志，还有发现其他一些什么吗？
ps：如果是回复我的话，直 ...

具体的网络问题是：通过电脑上传的数据，出现了泄露！　因为上传的数据是卡密类型的！　一旦泄露就作废了！　当时出现的问题是，换电脑操作以后，电脑重装系统以后，都出现过泄露情况！所以可以确定应该不是电脑问题！　

peng85344558

yuchen666 发表于 2013-3-21 19:14
具体的网络问题是：通过电脑上传的数据，出现了泄露！　因为上传的数据是卡密类型的！　一旦泄露就作废了 ...

大概了解了，你之所以知道数据泄露，是因为这些卡密被别人提前激活了，是吧？按目前的技术，截取路由发送出去的技术还是有的（相对技术就高多了），晚上我不方便上，所以先说些方法你试试
1.路由器上面，你检查下是否有绑定了域名（因为要每天固定攻击进你这里，加上现在IP是动态，所以方法只有用绑定域名或者下马建立点），有的话就取消了这个域名。还有检查路由上面的DNS是否是电信分配的（像zlob是会攻击路由器改变设定的）。哦还有你的路由是否具备交换机功能，有的话看设定监控端口的是哪个电脑，一定得格式化了。
2.你每次上传数据时，哪些电脑有开着？具体到那一台，有可能就全盘格式化，有些病毒不是靠重装系统就能解决的~~
另外问下，你的路由器是不是破解过了？破解过的路由也是容易被攻破的
先找到问题电脑，格式化了并且重写MBR，之后再检查下路由的设定方面。明早我上来再帮你看看还有其他什么问题，现在的木马连路由器设定都可以改，所以要解决需要多方面。

yuchen666

peng85344558 发表于 2013-3-21 20:35
大概了解了，你之所以知道数据泄露，是因为这些卡密被别人提前激活了，是吧？按目前的技术，截取路由发送 ...

是的！ 情况就是卡密被提前激活了！

有几个疑问！
1、开篇的路由日志里的那些截图，能说明路由出现了什么状况！
2、如何检查路由是否绑定了域名！
3、“检查路由上面的DNS是否是电信分配的（像zlob是会攻击路由器改变设定的）”---这个不知如何操作

另外我的路由是电信送的上海贝尔RG200O-CA 光猫，应该是具备交换机功能，光猫没有直连电脑的，是先连到另一台交换机，然后在通过交换机连电脑！

这台光猫原来因为连接受限制的原因，有找人破解过！

peng85344558

yuchen666 发表于 2013-3-21 22:28
是的！ 情况就是卡密被提前激活了！

有几个疑问！

1.路由器里的日志，只能是说明有这些IP进入过你的路由器，至于是否入侵并绑架了路由器，还有待判断，就目前情况卡密提前激活，如果不是卡密的上游商泄露了（之前联通就不泄露了很多卡密了），那么问题就很可能是被入侵了。
2.路由器里一般有一个DNS功能（你点进去找找看），里面就可以对该路由绑定域名，不同路由器位置会不同，你看看看有没有一个DNS功能，里面对应几个wan口是否有域名，有截图给我
3.检查DNS就看路由器的运行状态（名字可能不大一样，反正就是有IP的页面），里面就有说到DNS，截图上来吧

peng85344558

yuchen666 发表于 2013-3-21 22:28
是的！ 情况就是卡密被提前激活了！

有几个疑问！

多补充下，我百度了下上海的DNS有这些
202.96.199.13
2202.96.199.133
202.96.209.5
202.96.209.133
你进路由看看状态那里（或者电脑里的本地连接-支持里面），看DNS是不是上面这些，不是的话百度下这个dns是怎么回事。
有一个方法可以试出是什么出现问题~~你把网内所有电脑都关了，路由器重启，开启一台电脑，连上网看看日志里是否有出现ip入侵，保持一台电脑是联网的，这样一台台地尝试下（切换电脑时重启路由）。。。最好找一台没连接过这个局域网的，单独一台连上网，看日志情况。这样是为了找出哪台是问题电脑，一旦某台电脑连上网，日志出现入侵了，那么那台就全盘格式化+重写MBR吧。开机时间久点，如果每一台都有出现入侵，那就是路由器本身的问题了~~~
经验来说，估计电脑中毒被入侵的概率比较大，其次是DNS被改写。。。以上都不是的话，对方的技术就不是我这里发帖说说就能解决掉的角色了~~~棘手的问题亲手操作才好知道哪里出问题

今夕

peng85344558 发表于 2013-3-22 17:11
多补充下，我百度了下上海的DNS有这些
202.96.199.13
2202.96.199.133

楼上的很专业，从我了解的技术看，如果是你电脑中毒，那么这些日志文件时不存在的。那么一种可能，路由器被入侵（不排除特殊客户端，上报ip之后再被入侵那种，好久没玩了）。这个路由器看日志是原版固件，我刷openwrt比较多，原版的还真没仔细看过，应该是没有dns功能，也就是没法向tp路由器原版固件一样，每次提交你获得的ip。这个叫做光猫，其实是有路由器的功能，不知道楼主开启了没有，谁帮你开启的，因为其中默认的只能是电脑端拨号pppoe上网，直接连接上去是没法上网的，如果连接网线就能上网，那么你的光猫被人修改过了，那样你去路由器看看，192.168.1.1那个你是看不到的，路由猫都有高级管理页面，具体请百度，不懂跟帖我回答。还有能，这个光猫2号口是iptv，你有没有接电视，说了这么多，所有的路由猫，电信都可以远程控制的，功能好像叫t069什么的，具体名字叫不上来，前面的钩钩去掉，在网络连接里面，去掉所有选项，除了iptv和internet，怎么找到这两个，你看VPI与VCI的通道值就知道，相关知识请百度。关闭wan登录功能，就是那个wan口改为0.0.0.0就只能内网登录，如果是255.255.255。255，那么恭喜你，可以确定没入侵了。改掉超级管理员密码，基本没问题。电脑的问题可能信较大，重装系统，格式化硬盘还存在的病毒，我遇过，eset查到杀不掉，用的专杀工具，这个用来查毒还是不错的。