Вирус/троян с подменой DNS на CPE?

[alibek]

Уже третий случай за последний месяц, абоненты жалуются на недоступность сайтов.

При этом выясняется, что у них прописаны сторонние DNS: 89.208.105.113, 79.137.195.192. У некоторых браузер или антивирус выдает предупреждение о попытке подмены сертификата.

Роутеры: SNR-CPE, TP-Link. На Кинетиках такого вроде бы не наблюдается.

В одном случае абонент точно исправлял на операторские DNS, но через какое-то время снова появляются чужие.

У кого-то еще подобное наблюдается?

[tcup]

На роутерах прописаны dns левые? Роутеры на белых IP?

[Urs_ak]

Гм, надо в netflow статистике порыться - есть ли обращения на 89.208.105.113, 79.137.195.192

[Умник]

На роутере свежее ПО?

 

Для TP-Link были серьезные CVE в последнее время:

 

https://nvd.nist.gov/vuln/detail/CVE-2024-5035

https://nvd.nist.gov/vuln/detail/CVE-2024-53375

 

Также: https://www.abuseipdb.com/check/89.208.105.113

 

[alibek]

Да, на роутерах появляются левые DNS. На TP-Link они указаны в параметрах DHCP-сервера. На SNR они прописаны, как апстрим-сервера (для внутреннего dnsmasq).

На роутерах "белые" IP.

 

netflow не снимаются, но я не уверен, что это постоянные адреса.

Я их указал с последнего обращения, в предыдущих могли быть немного другие, хотя первый октет тоже был 89 и 79.

 

Цитата

На роутере свежее ПО?

Кто ж его знает.

На SNR было довольно свежее, 2025 года, хотя не самое последнее, при обращении и исправлении настроек обновили.

На TP-Link не проверяли, но вряд ли абонент сам обновлял прошивку.

[Saab95]

Некоторые роутеры могут получать настройки DHCP сервера не только от физического сервера своей сети оператора, но и через некий пакет от сторонних IP адресов.

 

Были случаи, когда роутеры ТП-Линк при запросе на некий порт 33189 и 979 пакета DHCP на смену IP адреса, его меняли на тот, который был в запросе. При этом на роутере пропадал интернет. Но так как у нас время аренды 5 минут, то через 5 минут роутер получал правильные данные снова и интернет работал. Через какое-то время интернет снова пропадал на несколько минут, до нового получения IP адреса.

 

Пол года назад это вылавливали путем анализа пакетов из интернета, роутер просто был включен без абонентских подключений. Обновление прошивки на самую последнюю с сайта тп-линк исправляло проблему. Но, видимо, не для всех роутеров (может старых) выпускают обновленное ПО, то в случае проблем просто меняем приставку PON с бриджа на роутер и абонент уже свой роутер не использует. Тут никаких проблем уже не возникает.

[Ivan_83]

Вы ж операторы.

Самбу и смтп порезали вот и dhcp из инета порежьте.

Левые днс - проще к себе завернуть и отвечать своими чем бегать абонентов патчить.

 

[Умник]

8 часов назад, Ivan_83 сказал:

вот и dhcp из инета порежьте

 

Судя по ссылками выше, уязвимости не связаны с доступным из мира DHCP.

[alibek]

Подозреваю, что это может быть не уязвимость роутера извне, а какой-то вирус, который меняет настройки изнутри.

 

Поправили настройки роутера, попросили с ПК запустить пару команд.

Команда "nslookup rutube.ru" возвращает ответ от сервера 79.137.248.21.

Скорее всего абонент подцепил где-то вирус на ПК, и тот меняет настройки на роутере (видимо используя сохраненные пароли и журнал).

[Ivan_83]

8 hours ago, Умник said:

Судя по ссылками выше, уязвимости не связаны с доступным из мира DHCP.

Не так.

Речь пр то что возможно есть кривая реализация DHCP клиента который всегда слушает ответы, и вот такой реализации можно налить пакетов с настройками извне.

 

6 hours ago, alibek said:

Подозреваю, что это может быть не уязвимость роутера извне, а какой-то вирус, который меняет настройки изнутри.

Для такого не нужен никакой вирус.

Достаточно в браузере открыть сайт, который сам по вебсокетам или ещё чему потыркает заранее заготовленные запросы к 192.168.0.1, 192.168.1.1.

Дурацкие банки и прочие доходяги так пытаются порты открытые сканировать на компе при заходе в онлайн кабинет на предмет всяких удалённых управлений.

[Умник]

1 час назад, Ivan_83 сказал:

Речь пр то что возможно есть кривая реализация DHCP клиента который всегда слушает ответы, и вот такой реализации можно налить пакетов с настройками извне.

 

До сих пор не видел практических реализаций такого сценария.

 

1 час назад, Ivan_83 сказал:

Достаточно в браузере открыть сайт, который сам по вебсокетам или ещё чему потыркает заранее заготовленные запросы к 192.168.0.1, 192.168.1.1.

 

Просто "потыркать" будет мало. CORS по-умолчанию не позволит. Теоретически существует такой вектор: https://en.wikipedia.org/wiki/DNS_rebinding

 

https://danielmiessler.com/blog/dns-rebinding-explained

[alibek]

У одного из абонентов исправляли настройки роутера, сегодня они снова вернулись на 79.137.248.21 и 83.147.255.216.

Так что скорее всего тут не какой-то сайт со скриптами, разово пытающийся поменять параметры, а именно вирус.

[Умник]

6 минут назад, alibek сказал:

У одного из абонентов исправляли настройки роутера

TP-Link? Модель? Версия прошивки?

[alibek]

TP-Link TL-WR841N. Версия пока неизвестна, абонент сам посмотреть не может, завтра узнаем.

Ну и еще была подобная проблема на SNR-CPE-ME1 с последней прошивкой, но тот с прошлой недели не обращался.

[Andrei]

5 часов назад, alibek сказал:

TP-Link TL-WR841N. Версия пока неизвестна, абонент сам посмотреть не может, завтра узнаем.

 

Пароль админский меняли с admin/admin на что-то вменяемое?

[straus]

7 часов назад, alibek сказал:

79.137.248.21 и 83.147.255.216

Обе сетки мелкие /24, а вторая ещё и в РФ. Хм...

 

Завернуть 53 порт с этих сеток, а потом разбираться.

[alibek]

Заводской пароль меняли. Не особо сложный, но по словарю или перебором не угадаешь, нужно комбинировать (словарь+перебор).

 

А сети вроде как не российские. RIPE говорит, что это UK. Еще один из адресов был NL.

[straus]

Принадлежность UK, но расположение FI и RU.

 

Видимо очередная дыра в роутерах.

[alibek]

Еще один такой же, на Tenda 11N.