Перейти к содержимому
Калькуляторы

achtung подмена DNS

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin,

был подменен DNS на 176.104.nnn.39 (точно не помню)

По смене паролей конечно было сказано подключальщикам заранее, но получилось как всегда)

Это вирус или кривые руки вендора ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Техническая поддержка сегодня сообщила о таком-же. Клиенты в один из наших офисов приволокли в течении дня два роутера с аналогичной проблемой.

На обоих адреса DNS-серверов подменены на 176.102.38.39 176.102.38.70. Логин/пароль были установлены дефолтные.

 

Цель вот в чём:

#host vk.com 176.102.38.70
Using domain server:
Name: 176.102.38.70
Address: 176.102.38.70#53
Aliases:

vk.com has address 176.102.38.39

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если проблема массовая, то можно просто поднять dns-ы 176.102.38.39 и 176.102.38.70 у себя в сети

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте?

А какая тут может быть оф.информация? Если есть доступ через wan порт и логин/пароль admin/admin, то nmap+curl + пару часов кодинга и все дела

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по умолчанию удаленный доступ на роутерах не включен...

мы включаем его нашим абонентам, но на сторого определенный айпишник нашего сервера

подозреваю, что некоторые "админы" делали просто доступ для всех... вот и страдают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по умолчанию удаленный доступ на роутерах не включен...

мы включаем его нашим абонентам, но на сторого определенный айпишник нашего сервера

подозреваю, что некоторые "админы" делали просто доступ для всех... вот и страдают.

Незнаю как у вас, но у нас модемы в руках держут только подключальщики, и настраивают тоже. Про пароли они забывают, а Вы говорите про исключение ip:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте?

А какая тут может быть оф.информация? Если есть доступ через wan порт и логин/пароль admin/admin, то nmap+curl + пару часов кодинга и все дела

 

Хммм, возможно я не так понял, была открыта админка наружу что ли? Странно тогда почему акцент сделан именно на длинки, в такой ситуации уязвим любой роутер Я почему то думал нашли какую то багу с доступом, вроде таких:

http://www.securitylab.ru/vulnerability/437251.php

http://www.securitylab.ru/vulnerability/446143.php

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хммм, возможно я не так понял, была открыта админка наружу что ли?

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для 2500 с не самыми новыми прошивками точно есть способ входа без пароля, лично проверял.

Вот, записи нашёл:

192.168.1.1/password.cgi

edit in notepad - посмотреть пароль в редакторе :)

fw < 1.54

Всякие скрытости:

http://192.168.1.1/enginfo.cmd

http://192.168.1.1/engdebug.cmd

 

Если проблема массовая, то можно просто поднять dns-ы 176.102.38.39 и 176.102.38.70 у себя в сети

Их могут раз в неделю менять, те это не окончательное решение проблемы.

Лучше сразу начать фильтровать 80 порт и снимать фильтрацию через ЛК. Либо самим просканить и где мыльницы тем включить, остальных не трогать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучше сразу начать фильтровать 80 порт и снимать фильтрацию через ЛК. Либо самим просканить и где мыльницы тем включить, остальных не трогать.

 

Прошивки 1.0.47 H4

 

А какой логин/пароль у них на telnet?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Без понятия.

См выше, там для вебморды хак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хммм, возможно я не так понял, была открыта админка наружу что ли?

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin

И все равно я не вижу связи между дефолтными аутентификационными данными, и открытым наружу доступом к админке. Вы думаете что отключение удаленного менеджмента закрывает доступ и к бэкдорам коих в длинке найдено немало?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хммм, возможно я не так понял, была открыта админка наружу что ли?

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin

И все равно я не вижу связи между дефолтными аутентификационными данными, и открытым наружу доступом к админке. Вы думаете что отключение удаленного менеджмента закрывает доступ и к бэкдорам коих в длинке найдено немало?

я тоже не могу утверждать что проблема из-зи открытого доступа.

Пока поменяли все пароли на свои, посмотритм, повторится или нет - тоже однозначно не скажешь )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выше вам инструкция как узнать ваши пароли имея доступ по 80 порту :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выше вам инструкция как узнать ваши пароли имея доступ по 80 порту :)

Закрыть на бордере всем из вне доступ на 80 порт ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По хорошему - всем у кого там вебморда торчит от длинка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Меня тоже смутило, что на 615-ом по-умолчанию тоже не включен удалённый доступ. Это я к тому, что может зараза ломится и не снаружи вовосе ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да запросто.

где то было как атаковать домашний роутер через буразер юзера, там что то типа сразу урлы в скрытом ифрейме открывались с нужными параметрами, подобно тому как тут некоторые через curl автоматизирует конфиг девайсов у которых только вебморда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, это понятно. Я на это и намекал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

очередная волна вирусни, кладет в настройки сетевухи (win7/win8, на других еще не попадалось) адреса днс 37.10.116.148 и 8.8.8.8 альтернативным.

ну и есесно днсы ведут куда не надо

>nslookup vk.com 37.10.116.148

╤хЁтхЁ: UnKnown

Address: 37.10.116.148

 

╚ь : vk.com

Address: 31.214.222.34

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

darkagent, такая вирусня достаточно распространена, обычно HijackThis'ом чистится на ура)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.