Jump to content
Калькуляторы

achtung подмена DNS

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin,

был подменен DNS на 176.104.nnn.39 (точно не помню)

По смене паролей конечно было сказано подключальщикам заранее, но получилось как всегда)

Это вирус или кривые руки вендора ?

Share this post


Link to post
Share on other sites

Техническая поддержка сегодня сообщила о таком-же. Клиенты в один из наших офисов приволокли в течении дня два роутера с аналогичной проблемой.

На обоих адреса DNS-серверов подменены на 176.102.38.39 176.102.38.70. Логин/пароль были установлены дефолтные.

 

Цель вот в чём:

#host vk.com 176.102.38.70
Using domain server:
Name: 176.102.38.70
Address: 176.102.38.70#53
Aliases:

vk.com has address 176.102.38.39

Share this post


Link to post
Share on other sites

Если проблема массовая, то можно просто поднять dns-ы 176.102.38.39 и 176.102.38.70 у себя в сети

Share this post


Link to post
Share on other sites

Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте?

Share this post


Link to post
Share on other sites

Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте?

А какая тут может быть оф.информация? Если есть доступ через wan порт и логин/пароль admin/admin, то nmap+curl + пару часов кодинга и все дела

Share this post


Link to post
Share on other sites

по умолчанию удаленный доступ на роутерах не включен...

мы включаем его нашим абонентам, но на сторого определенный айпишник нашего сервера

подозреваю, что некоторые "админы" делали просто доступ для всех... вот и страдают.

Share this post


Link to post
Share on other sites

по умолчанию удаленный доступ на роутерах не включен...

мы включаем его нашим абонентам, но на сторого определенный айпишник нашего сервера

подозреваю, что некоторые "админы" делали просто доступ для всех... вот и страдают.

Незнаю как у вас, но у нас модемы в руках держут только подключальщики, и настраивают тоже. Про пароли они забывают, а Вы говорите про исключение ip:)

Share this post


Link to post
Share on other sites

Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте?

А какая тут может быть оф.информация? Если есть доступ через wan порт и логин/пароль admin/admin, то nmap+curl + пару часов кодинга и все дела

 

Хммм, возможно я не так понял, была открыта админка наружу что ли? Странно тогда почему акцент сделан именно на длинки, в такой ситуации уязвим любой роутер Я почему то думал нашли какую то багу с доступом, вроде таких:

http://www.securitylab.ru/vulnerability/437251.php

http://www.securitylab.ru/vulnerability/446143.php

Share this post


Link to post
Share on other sites

Хммм, возможно я не так понял, была открыта админка наружу что ли?

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin

Share this post


Link to post
Share on other sites

Для 2500 с не самыми новыми прошивками точно есть способ входа без пароля, лично проверял.

Вот, записи нашёл:

192.168.1.1/password.cgi

edit in notepad - посмотреть пароль в редакторе :)

fw < 1.54

Всякие скрытости:

http://192.168.1.1/enginfo.cmd

http://192.168.1.1/engdebug.cmd

 

Если проблема массовая, то можно просто поднять dns-ы 176.102.38.39 и 176.102.38.70 у себя в сети

Их могут раз в неделю менять, те это не окончательное решение проблемы.

Лучше сразу начать фильтровать 80 порт и снимать фильтрацию через ЛК. Либо самим просканить и где мыльницы тем включить, остальных не трогать.

Share this post


Link to post
Share on other sites

Лучше сразу начать фильтровать 80 порт и снимать фильтрацию через ЛК. Либо самим просканить и где мыльницы тем включить, остальных не трогать.

 

Прошивки 1.0.47 H4

 

А какой логин/пароль у них на telnet?

Share this post


Link to post
Share on other sites

Хммм, возможно я не так понял, была открыта админка наружу что ли?

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin

И все равно я не вижу связи между дефолтными аутентификационными данными, и открытым наружу доступом к админке. Вы думаете что отключение удаленного менеджмента закрывает доступ и к бэкдорам коих в длинке найдено немало?

Share this post


Link to post
Share on other sites

Хммм, возможно я не так понял, была открыта админка наружу что ли?

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin

И все равно я не вижу связи между дефолтными аутентификационными данными, и открытым наружу доступом к админке. Вы думаете что отключение удаленного менеджмента закрывает доступ и к бэкдорам коих в длинке найдено немало?

я тоже не могу утверждать что проблема из-зи открытого доступа.

Пока поменяли все пароли на свои, посмотритм, повторится или нет - тоже однозначно не скажешь )

Share this post


Link to post
Share on other sites

Выше вам инструкция как узнать ваши пароли имея доступ по 80 порту :)

Share this post


Link to post
Share on other sites

Выше вам инструкция как узнать ваши пароли имея доступ по 80 порту :)

Закрыть на бордере всем из вне доступ на 80 порт ?

Share this post


Link to post
Share on other sites

По хорошему - всем у кого там вебморда торчит от длинка.

Share this post


Link to post
Share on other sites

Меня тоже смутило, что на 615-ом по-умолчанию тоже не включен удалённый доступ. Это я к тому, что может зараза ломится и не снаружи вовосе ?

Share this post


Link to post
Share on other sites

да запросто.

где то было как атаковать домашний роутер через буразер юзера, там что то типа сразу урлы в скрытом ифрейме открывались с нужными параметрами, подобно тому как тут некоторые через curl автоматизирует конфиг девайсов у которых только вебморда.

Share this post


Link to post
Share on other sites

Да, это понятно. Я на это и намекал.

Share this post


Link to post
Share on other sites

очередная волна вирусни, кладет в настройки сетевухи (win7/win8, на других еще не попадалось) адреса днс 37.10.116.148 и 8.8.8.8 альтернативным.

ну и есесно днсы ведут куда не надо

>nslookup vk.com 37.10.116.148

╤хЁтхЁ: UnKnown

Address: 37.10.116.148

 

╚ь : vk.com

Address: 31.214.222.34

Share this post


Link to post
Share on other sites

darkagent, такая вирусня достаточно распространена, обычно HijackThis'ом чистится на ура)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this