Моя домашняя сеть в составе ботсети.

[Mutabor]

Здравствуйте, моя домашняя сеть подключена к ботсети. Я узнал об этом из Касперского, зайдя в мониторинг умного дома увидел, что к моей домашней сети подключено 250 устройств.

Ранее хакер взломал мой роутер и почту, поменяв пороли. Я все пароли поменял,
на сложные, использовав генератор паролей, на почту смог войти по отпечатку пальца через смарфон, а роутер перезагрузил.

Для того чтобы выйти из этой бот сети я создал в роутере белый список, привезав мак адреса моих устройств, так же создал гостевую сеть и перенаправил в нее устройства которые не поддерживают шифрования WAN 3 personal, это две колонки Алиса и телевизор. Три устройства поддерживающие это шифрование я оставил в основной сети. Это два смартфона и андроид телевизор.

После этого Касперский показал что я вышел из ботсети, однако на следующее утро я снова увидел, что являюсь её участником.

Так же на компьютере Касперский пишет, что у меня открыт 22 SSH порт, как его закрыть на моем роутере TP-Link Archer C80 я не знаю, перерыл всё меню. интернет, задавал вопрос ии, ответа так и не нашёл.
Хотя я заходил на  https://www.yougetsignal.com/tools/open-ports/ чтобы проверить открыт ли этот порт у меня, пишет что порт закрыт.

Осталась единственная надежда на вас, может вы сможете помочь, пожалуйста помогите выйти из этой ботсети.

[Ummitium]

Нужно узнать конкретную ревизию роутера Archer C80.

Скорее всего, роутер взламывается через уязвимость в прошивке. Её необходимо обновить, но для этого надо знать версию модели роутера v1, v2 или ещё какая.

[ska79]

wps отключите в настройках роутера

[En1gma]

Если вас проломили, невзирая на сложный пароль, то это свидетельствует об эксплойте.

Вариантов рабочих 2:
1) Сбросьтесь к заводским, чтобы вышибить злодея из своей сети, затем первым делом смените пароль на нескомпрометированный.
Отключите WPS в настройках, это исключит вариант подбора типового кода для подключения.

Верните свои белые списки, привязку MAC-адресов и другие настройки.

Включите фильтрацию SPI и изоляцию IoT.

Укажите конкретное устройство в качестве локального администратора - Система - Администрирование.
Только после этого подключите интернет и обновитесь до максимальной версии прошивки. Должно быть примерно так.

Если это не zeroday, то проблема должна решиться, ну а если он, то придётся перейти к другому варианту.

 

2) От zeroday не поможет ничего, поэтому здесь есть 2 подварианта.

Первый - пойти и купить другой роутер, вас вряд ли атакуют специально, скорее всего автоматизированно атакуют веером устройства такого типа, поэтому проблема должна будет решиться в случае отсутствия соответствующей уязвимости в новом роутере.

Второй - оформить белый адрес у провайдера и попросить техподдержку включить на межсетевом экране фильтр для адресов злодея, таким образом он потеряет возможность подключаться к вам. Белый адрес - платно, фильтр - бесплатно, только придётся попотеть с техподдержкой.