Jump to content
Калькуляторы

Вирус/троян с подменой DNS на CPE?

Уже третий случай за последний месяц, абоненты жалуются на недоступность сайтов.

При этом выясняется, что у них прописаны сторонние DNS: 89.208.105.113, 79.137.195.192. У некоторых браузер или антивирус выдает предупреждение о попытке подмены сертификата.

Роутеры: SNR-CPE, TP-Link. На Кинетиках такого вроде бы не наблюдается.

В одном случае абонент точно исправлял на операторские DNS, но через какое-то время снова появляются чужие.

У кого-то еще подобное наблюдается?

Share this post


Link to post
Share on other sites

На роутере свежее ПО?

 

Для TP-Link были серьезные CVE в последнее время:

 

https://nvd.nist.gov/vuln/detail/CVE-2024-5035

https://nvd.nist.gov/vuln/detail/CVE-2024-53375

 

Также: https://www.abuseipdb.com/check/89.208.105.113

 

Share this post


Link to post
Share on other sites

Да, на роутерах появляются левые DNS. На TP-Link они указаны в параметрах DHCP-сервера. На SNR они прописаны, как апстрим-сервера (для внутреннего dnsmasq).

На роутерах "белые" IP.

 

netflow не снимаются, но я не уверен, что это постоянные адреса.

Я их указал с последнего обращения, в предыдущих могли быть немного другие, хотя первый октет тоже был 89 и 79.

 

Цитата

На роутере свежее ПО?

Кто ж его знает.

На SNR было довольно свежее, 2025 года, хотя не самое последнее, при обращении и исправлении настроек обновили.

На TP-Link не проверяли, но вряд ли абонент сам обновлял прошивку.

Share this post


Link to post
Share on other sites

Некоторые роутеры могут получать настройки DHCP сервера не только от физического сервера своей сети оператора, но и через некий пакет от сторонних IP адресов.

 

Были случаи, когда роутеры ТП-Линк при запросе на некий порт 33189 и 979 пакета DHCP на смену IP адреса, его меняли на тот, который был в запросе. При этом на роутере пропадал интернет. Но так как у нас время аренды 5 минут, то через 5 минут роутер получал правильные данные снова и интернет работал. Через какое-то время интернет снова пропадал на несколько минут, до нового получения IP адреса.

 

Пол года назад это вылавливали путем анализа пакетов из интернета, роутер просто был включен без абонентских подключений. Обновление прошивки на самую последнюю с сайта тп-линк исправляло проблему. Но, видимо, не для всех роутеров (может старых) выпускают обновленное ПО, то в случае проблем просто меняем приставку PON с бриджа на роутер и абонент уже свой роутер не использует. Тут никаких проблем уже не возникает.

Share this post


Link to post
Share on other sites

Вы ж операторы.

Самбу и смтп порезали вот и dhcp из инета порежьте.

Левые днс - проще к себе завернуть и отвечать своими чем бегать абонентов патчить.

 

Share this post


Link to post
Share on other sites

8 часов назад, Ivan_83 сказал:

вот и dhcp из инета порежьте

 

Судя по ссылками выше, уязвимости не связаны с доступным из мира DHCP.

Share this post


Link to post
Share on other sites

Подозреваю, что это может быть не уязвимость роутера извне, а какой-то вирус, который меняет настройки изнутри.

 

Поправили настройки роутера, попросили с ПК запустить пару команд.

Команда "nslookup rutube.ru" возвращает ответ от сервера 79.137.248.21.

Скорее всего абонент подцепил где-то вирус на ПК, и тот меняет настройки на роутере (видимо используя сохраненные пароли и журнал).

Share this post


Link to post
Share on other sites

8 hours ago, Умник said:

Судя по ссылками выше, уязвимости не связаны с доступным из мира DHCP.

Не так.

Речь пр то что возможно есть кривая реализация DHCP клиента который всегда слушает ответы, и вот такой реализации можно налить пакетов с настройками извне.

 

6 hours ago, alibek said:

Подозреваю, что это может быть не уязвимость роутера извне, а какой-то вирус, который меняет настройки изнутри.

Для такого не нужен никакой вирус.

Достаточно в браузере открыть сайт, который сам по вебсокетам или ещё чему потыркает заранее заготовленные запросы к 192.168.0.1, 192.168.1.1.

Дурацкие банки и прочие доходяги так пытаются порты открытые сканировать на компе при заходе в онлайн кабинет на предмет всяких удалённых управлений.

Share this post


Link to post
Share on other sites

1 час назад, Ivan_83 сказал:

Речь пр то что возможно есть кривая реализация DHCP клиента который всегда слушает ответы, и вот такой реализации можно налить пакетов с настройками извне.

 

До сих пор не видел практических реализаций такого сценария.

 

1 час назад, Ivan_83 сказал:

Достаточно в браузере открыть сайт, который сам по вебсокетам или ещё чему потыркает заранее заготовленные запросы к 192.168.0.1, 192.168.1.1.

 

Просто "потыркать" будет мало. CORS по-умолчанию не позволит. Теоретически существует такой вектор: https://en.wikipedia.org/wiki/DNS_rebinding

 

https://danielmiessler.com/blog/dns-rebinding-explained

Share this post


Link to post
Share on other sites

У одного из абонентов исправляли настройки роутера, сегодня они снова вернулись на 79.137.248.21 и 83.147.255.216.

Так что скорее всего тут не какой-то сайт со скриптами, разово пытающийся поменять параметры, а именно вирус.

Share this post


Link to post
Share on other sites

TP-Link TL-WR841N. Версия пока неизвестна, абонент сам посмотреть не может, завтра узнаем.

Ну и еще была подобная проблема на SNR-CPE-ME1 с последней прошивкой, но тот с прошлой недели не обращался.

Share this post


Link to post
Share on other sites

5 часов назад, alibek сказал:

TP-Link TL-WR841N. Версия пока неизвестна, абонент сам посмотреть не может, завтра узнаем.

 

Пароль админский меняли с admin/admin на что-то вменяемое?

Share this post


Link to post
Share on other sites

7 часов назад, alibek сказал:

79.137.248.21 и 83.147.255.216

Обе сетки мелкие /24, а вторая ещё и в РФ. Хм...

 

Завернуть 53 порт с этих сеток, а потом разбираться.

Share this post


Link to post
Share on other sites

Заводской пароль меняли. Не особо сложный, но по словарю или перебором не угадаешь, нужно комбинировать (словарь+перебор).

 

А сети вроде как не российские. RIPE говорит, что это UK. Еще один из адресов был NL.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.