Attacco router - DNS cambiati

[ambulanza]

ciao,

mi rendo conto solo oggi che qualcuno mi ha cambiato i DNS: ieri non Riuscivo più a navigare, controllando il router mi sono trovato questi DNS
- primario 23.253.94.129
- secondario 178.33.118.171
ed effettivamente facendo una ricerca sul primario risulta che altre persone hanno avuto problemi con questo DNS (pare reindirizzi il traffico e ti porti a scaricare un "aggiornamento di flash player", chiaramente maligno).
è un problema noto? Per ora ho trovato solo questi articoli che ne parlano

FELICE BALSAMO
PINNA

Come posso verificare da quando i DNS sono stati cambiati per capire se è stata compromessa la mia navigazione (mi han fatto le credenziali di mail etc)?

Ora ho impostato i DNS su "auto discovered DNS only", è una scelta sicura o è meglio impostare quelli do google (che vorrei vitare)?


grazie

[maxbigsi]

dopo l'aggiornamento di chrome non funzionavano alcuni siti in flash e mi richiedeva l'aggiornamento... ho proceduto in questo modo http://forum.ubuntu-it.org/viewtopic.ph ... 5#p4587228 io ho impostati i DNS di google e al controllo di "informazioni connessione" "sembra" siano quelli... mi stai facendo preoccupare...

[ambulanza]

dopo l'aggiornamento di chrome non funzionavano alcuni siti in flash e mi richiedeva l'aggiornamento... ho proceduto in questo modo http://forum.ubuntu-it.org/viewtopic.ph ... 5#p4587228 io ho impostati i DNS di google e al controllo di "informazioni connessione" "sembra" siano quelli... mi stai facendo preoccupare...

QUIl'articolo che mi ha illuminato, visto che sono un ciberniubbo non me ne sarei reso conto da solo.
Anche il secondario corrisponde? perchè in alcuni topic che ho letto hanno cambiato solo il primario.

EDIT forse ho frainteso, intendi corrispondono a quelli di google o a quelli infettati?

[ilovelinux]

Puoi mettere o i DNS di Google (consigliati se lo usi) (Io li ho sempre usati senza problemi) che sono: Primario 8.8.8.8 Secondario 8.8.4.4
O gli OpenDNS (Mai usati) che sono: Primario: 208.67.222.222 secondario: 208.67.220.220

[maxbigsi]

dopo l'aggiornamento di chrome non funzionavano alcuni siti in flash e mi richiedeva l'aggiornamento... ho proceduto in questo modo http://forum.ubuntu-it.org/viewtopic.ph ... 5#p4587228 io ho impostati i DNS di google e al controllo di "informazioni connessione" "sembra" siano quelli... mi stai facendo preoccupare...

QUIl'articolo che mi ha illuminato, visto che sono un ciberniubbo non me ne sarei reso conto da solo.
Anche il secondario corrisponde? perchè in alcuni topic che ho letto hanno cambiato solo il primario.

EDIT forse ho frainteso, intendi corrispondono a quelli di google o a quelli infettati?

credo hai frainteso, io ho quelli di google sia primario che secondario

[ambulanza]

uppettino sui sintomi: il blocco di internet è arrivato solo venerdi, ma da diverse settimane il telefono non riusciva ad aprire google play store se ttaccato al wifi. Adesso, invece, funziona na crema... Capisco il perchè. Chissà da quanto me li avevano cambiati

QUA per chi ci capise qualcosa degli accorgimenti tecnici. Ottobre 2013 cazzo.

[uAndrea]

ciao,

mi rendo conto solo oggi che qualcuno mi ha cambiato i DNS: ieri non Riuscivo più a navigare, controllando il router mi sono trovato questi DNS
- primario 23.253.94.129
- secondario 178.33.118.171
ed effettivamente facendo una ricerca sul primario risulta che altre persone hanno avuto problemi con questo DNS (pare reindirizzi il traffico e ti porti a scaricare un "aggiornamento di flash player", chiaramente maligno).
è un problema noto? Per ora ho trovato solo questi articoli che ne parlano

FELICE BALSAMO
PINNA

Come posso verificare da quando i DNS sono stati cambiati per capire se è stata compromessa la mia navigazione (mi han fatto le credenziali di mail etc)?

Ora ho impostato i DNS su "auto discovered DNS only", è una scelta sicura o è meglio impostare quelli do google (che vorrei vitare)?


grazie

ciao, anch'io stessi sintomi e le stavo provando tutte, reset browser, scansione antivirus etc.. ma nulla.. accedendo agli account google (drive, mail youtube etc) appariva il messaggio di IE non aggiornato oppure di flash da aggiornare che riportava ad un sospetto setup.exe.. e uso ubuntu/chromium

sono entrato nella configurazione del router e anch'io avevo i 2 DNS che hai indicato, li ho rimessi in automatico e ho cambiato pwd del router..
ma come hanno fatto..? ho un TP-LINK adls2+ modem router

[ambulanza]

ciao, anch'io stessi sintomi e le stavo provando tutte, reset browser, scansione antivirus etc.. ma nulla.. accedendo agli account google (drive, mail youtube etc) appariva il messaggio di IE non aggiornato oppure di flash da aggiornare che riportava ad un sospetto setup.exe.. e uso ubuntu/chromium

sono entrato nella configurazione del router e anch'io avevo i 2 DNS che hai indicato, li ho rimessi in automatico e ho cambiato pwd del router..
ma come hanno fatto..? ho un TP-LINK adls2+ modem router

Non ho idea, pare ci sia una vulnerabilità del firmware (ad oggi non aggiornabile) che viene sfruttata per cambiare i DNS... su come facciano tecnicamente non lo so, se ne capisci qualcosa prova a guardare l'articolo che ho postato appena sopra... Se riesci a tradurlo (non dall'inglese, ma dal tecnicismo )

[ilovelinux]

ciao, anch'io stessi sintomi e le stavo provando tutte, reset browser, scansione antivirus etc.. ma nulla.. accedendo agli account google (drive, mail youtube etc) appariva il messaggio di IE non aggiornato oppure di flash da aggiornare che riportava ad un sospetto setup.exe.. e uso ubuntu/chromium

sono entrato nella configurazione del router e anch'io avevo i 2 DNS che hai indicato, li ho rimessi in automatico e ho cambiato pwd del router..
ma come hanno fatto..? ho un TP-LINK adls2+ modem router

Non ho idea, pare ci sia una vulnerabilità del firmware (ad oggi non aggiornabile) che viene sfruttata per cambiare i DNS... su come facciano tecnicamente non lo so, se ne capisci qualcosa prova a guardare l'articolo che ho postato appena sopra... Se riesci a tradurlo (non dall'inglese, ma dal tecnicismo )

Di solito lo attaccano così: http://www.ilsoftware.it/articoli.asp?t ... -mail_9409

[maxbigsi]

non sono un grande esperto ma intanto si dovrebbe cambiare la password di default di quasi tutti i router per accedere alle impostazioni, e cioè user: admin password: admin è stata la prima cosa che ho fatto quando ho comprato il router, se poi questa "accortezza" si rivela inutile questo non lo so...

Edit: @ilovelinux manco a dirlo...

Affinché l'attacco possa avvenire con successo è indispensabile che l'utente-vittima abbia lasciato impostate sul router le credenziali di default per l'accesso al suo pannello di controllo web (esempio admin password).

[ilovelinux]

non sono un grande esperto ma intanto si dovrebbe cambiare la password di default di quasi tutti i router per accedere alle impostazioni, e cioè user: admin password:admin è stata la prima cosa che ho fatto quando ho comprato il router, se poi questa "accortezza" si rivela inutile questo non lo so...

Si, esatto, c'è un programma per windows (ufo wardriving) che trova tutte le password originali del modem partendo o dall'indirizzo MAC e l'SSID oppure partendo solo dall'SSID.
Testato funzionante .
Per la password di accesso del mio sitecom è:
Nome utente: admin
Password: passworddelmodem

[uAndrea]

non sono un grande esperto ma intanto si dovrebbe cambiare la password di default di quasi tutti i router per accedere alle impostazioni, e cioè user: admin password: admin è stata la prima cosa che ho fatto quando ho comprato il router, se poi questa "accortezza" si rivela inutile questo non lo so...

Edit: @ilovelinux manco a dirlo...

Affinché l'attacco possa avvenire con successo è indispensabile che l'utente-vittima abbia lasciato impostate sul router le credenziali di default per l'accesso al suo pannello di controllo web (esempio admin password).

certo, io però non avevo le password standard del router dalla sua instalalzione e non le salvo mai neanche nel browser.. ecco perchè la cosa mi preoccupa..

[maxbigsi]

allora ci sarà un modo diverso per accedere? mah...

[Pike]

Ma il modello del router smontato si può sapere?
La combinazione username/password di default, con certi router, è uno dei casi dove la vulnerabilità viene meglio sfruttata!

[maxbigsi]

ho fatto comunque una prova con il software citato e la mia rete "sembra" essere sicura... (si spera)

[ambulanza]

non sono un grande esperto ma intanto si dovrebbe cambiare la password di default di quasi tutti i router per accedere alle impostazioni, e cioè user: admin password: admin è stata la prima cosa che ho fatto quando ho comprato il router, se poi questa "accortezza" si rivela inutile questo non lo so...

Edit: @ilovelinux manco a dirlo...

Affinché l'attacco possa avvenire con successo è indispensabile che l'utente-vittima abbia lasciato impostate sul router le credenziali di default per l'accesso al suo pannello di controllo web (esempio admin password).

No... Io NON avevo la password di default e sono entrati lo stesso... Deve essere qualcosa di più complesso

[saxtro]

tipo questo?

http://securityaffairs.co/wordpress/212 ... rable.html

[uAndrea]

guardando sul sito tp-link ho trovato questa pagina dove cita cambi dns alice/wind (leggere in basso)
http://www.tp-link.it/support/contact/

[ambulanza]

tipo questo?

http://securityaffairs.co/wordpress/212 ... rable.html

per esempio...

guardando sul sito tp-link ho trovato questa pagina dove cita cambi dns alice/wind (leggere in basso)
http://www.tp-link.it/support/contact/

"In conseguenza ad una variazione degli indirizzi IP"... MAGIA

[maxbigsi]

tipo questo?

http://securityaffairs.co/wordpress/212 ... rable.html

c'è un aggiornamento del firmware http://www.tp-link.com/en/support/downl ... version=V5