alibek Posted April 15 Уже третий случай за последний месяц, абоненты жалуются на недоступность сайтов. При этом выясняется, что у них прописаны сторонние DNS: 89.208.105.113, 79.137.195.192. У некоторых браузер или антивирус выдает предупреждение о попытке подмены сертификата. Роутеры: SNR-CPE, TP-Link. На Кинетиках такого вроде бы не наблюдается. В одном случае абонент точно исправлял на операторские DNS, но через какое-то время снова появляются чужие. У кого-то еще подобное наблюдается? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tcup Posted April 15 На роутерах прописаны dns левые? Роутеры на белых IP? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Urs_ak Posted April 15 Гм, надо в netflow статистике порыться - есть ли обращения на 89.208.105.113, 79.137.195.192 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted April 15 На роутере свежее ПО? Для TP-Link были серьезные CVE в последнее время: https://nvd.nist.gov/vuln/detail/CVE-2024-5035 https://nvd.nist.gov/vuln/detail/CVE-2024-53375 Также: https://www.abuseipdb.com/check/89.208.105.113 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 15 Да, на роутерах появляются левые DNS. На TP-Link они указаны в параметрах DHCP-сервера. На SNR они прописаны, как апстрим-сервера (для внутреннего dnsmasq). На роутерах "белые" IP. netflow не снимаются, но я не уверен, что это постоянные адреса. Я их указал с последнего обращения, в предыдущих могли быть немного другие, хотя первый октет тоже был 89 и 79. Цитата На роутере свежее ПО? Кто ж его знает. На SNR было довольно свежее, 2025 года, хотя не самое последнее, при обращении и исправлении настроек обновили. На TP-Link не проверяли, но вряд ли абонент сам обновлял прошивку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 15 Некоторые роутеры могут получать настройки DHCP сервера не только от физического сервера своей сети оператора, но и через некий пакет от сторонних IP адресов. Были случаи, когда роутеры ТП-Линк при запросе на некий порт 33189 и 979 пакета DHCP на смену IP адреса, его меняли на тот, который был в запросе. При этом на роутере пропадал интернет. Но так как у нас время аренды 5 минут, то через 5 минут роутер получал правильные данные снова и интернет работал. Через какое-то время интернет снова пропадал на несколько минут, до нового получения IP адреса. Пол года назад это вылавливали путем анализа пакетов из интернета, роутер просто был включен без абонентских подключений. Обновление прошивки на самую последнюю с сайта тп-линк исправляло проблему. Но, видимо, не для всех роутеров (может старых) выпускают обновленное ПО, то в случае проблем просто меняем приставку PON с бриджа на роутер и абонент уже свой роутер не использует. Тут никаких проблем уже не возникает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted April 16 Вы ж операторы. Самбу и смтп порезали вот и dhcp из инета порежьте. Левые днс - проще к себе завернуть и отвечать своими чем бегать абонентов патчить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted April 17 8 часов назад, Ivan_83 сказал: вот и dhcp из инета порежьте Судя по ссылками выше, уязвимости не связаны с доступным из мира DHCP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 17 Подозреваю, что это может быть не уязвимость роутера извне, а какой-то вирус, который меняет настройки изнутри. Поправили настройки роутера, попросили с ПК запустить пару команд. Команда "nslookup rutube.ru" возвращает ответ от сервера 79.137.248.21. Скорее всего абонент подцепил где-то вирус на ПК, и тот меняет настройки на роутере (видимо используя сохраненные пароли и журнал). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted April 17 8 hours ago, Умник said: Судя по ссылками выше, уязвимости не связаны с доступным из мира DHCP. Не так. Речь пр то что возможно есть кривая реализация DHCP клиента который всегда слушает ответы, и вот такой реализации можно налить пакетов с настройками извне. 6 hours ago, alibek said: Подозреваю, что это может быть не уязвимость роутера извне, а какой-то вирус, который меняет настройки изнутри. Для такого не нужен никакой вирус. Достаточно в браузере открыть сайт, который сам по вебсокетам или ещё чему потыркает заранее заготовленные запросы к 192.168.0.1, 192.168.1.1. Дурацкие банки и прочие доходяги так пытаются порты открытые сканировать на компе при заходе в онлайн кабинет на предмет всяких удалённых управлений. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted April 17 1 час назад, Ivan_83 сказал: Речь пр то что возможно есть кривая реализация DHCP клиента который всегда слушает ответы, и вот такой реализации можно налить пакетов с настройками извне. До сих пор не видел практических реализаций такого сценария. 1 час назад, Ivan_83 сказал: Достаточно в браузере открыть сайт, который сам по вебсокетам или ещё чему потыркает заранее заготовленные запросы к 192.168.0.1, 192.168.1.1. Просто "потыркать" будет мало. CORS по-умолчанию не позволит. Теоретически существует такой вектор: https://en.wikipedia.org/wiki/DNS_rebinding https://danielmiessler.com/blog/dns-rebinding-explained Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 18 У одного из абонентов исправляли настройки роутера, сегодня они снова вернулись на 79.137.248.21 и 83.147.255.216. Так что скорее всего тут не какой-то сайт со скриптами, разово пытающийся поменять параметры, а именно вирус. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted April 18 6 минут назад, alibek сказал: У одного из абонентов исправляли настройки роутера TP-Link? Модель? Версия прошивки? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 18 TP-Link TL-WR841N. Версия пока неизвестна, абонент сам посмотреть не может, завтра узнаем. Ну и еще была подобная проблема на SNR-CPE-ME1 с последней прошивкой, но тот с прошлой недели не обращался. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Andrei Posted April 18 5 часов назад, alibek сказал: TP-Link TL-WR841N. Версия пока неизвестна, абонент сам посмотреть не может, завтра узнаем. Пароль админский меняли с admin/admin на что-то вменяемое? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
straus Posted April 18 7 часов назад, alibek сказал: 79.137.248.21 и 83.147.255.216 Обе сетки мелкие /24, а вторая ещё и в РФ. Хм... Завернуть 53 порт с этих сеток, а потом разбираться. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted April 18 Заводской пароль меняли. Не особо сложный, но по словарю или перебором не угадаешь, нужно комбинировать (словарь+перебор). А сети вроде как не российские. RIPE говорит, что это UK. Еще один из адресов был NL. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
straus Posted April 18 Принадлежность UK, но расположение FI и RU. Видимо очередная дыра в роутерах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...