Attacco router - DNS cambiati

[uAndrea]

..l'ultimo agg.to del mio tp-link è del 2010..
http://www.tp-link.com/lk/support/downl ... n=V3#tbl_j

[ambulanza]

Here we go again: altro attacco, nonostante password forte mi sono entrati nel router hanno modificato l'utilizzo di DNS automatici (che avevo impostato) e li hanno cambiati con questi:

primario: 63.141.225.114
secondario: 92.151.147.106

Questa volta non ho riavviato il router, ma solo reimpostato dal menu a tendina l'utilizzo dei soli DNS automatici, c'è modo di vedere i log del router e capire quando è avvenuto il cambiamento? (tanto per capire a quanti account devo reimpostare le pssw )

Grazie

[trekfan1]

Il mio consiglio è di aggiornare il firmware del router (se disponibile ovviamente), altrimenti meglio se cambi proprio router.

[Wilson]

In ogni caso imposta il router per non accettare nulla dall'esterno (salvo il port forwarding, se inoltri delle porte).

Poi aggiorna il firmware.

Una soluzione che non risolve, ma almeno permette di navigare, è impostare i dns direttamente sul pc, delegando al dhcp solo la scelta dell'ip.

ps: il router è in un'ottima posizione per spiare tutto il traffico ed eventualmente dirottarlo o inserire cose strane e in linea di massima bisogna tener conto del fatto che non è particolarmente affidabile.

[mibofra]

Se posso dire la mia io farei due cose:
1)Attivare il sistema di logging del device di rete, per avere i log di accesso (magari non ci pensano che ci sono e non li disattivano.
2) Mettere se puoi un altro device di rete che faccia da proxy nel mezzo, apiamente modificabile/gestibile ecc (tipo un router/modem con openwrt) per fare un'analisi del traffico di rete verso il tuo dispositivo di rete.

[ambulanza]

Il mio consiglio è di aggiornare il firmware del router (se disponibile ovviamente), altrimenti meglio se cambi proprio router.

purtroppo aggiornamento non disponibile

In ogni caso imposta il router per non accettare nulla dall'esterno (salvo il port forwarding, se inoltri delle porte).
Una soluzione che non risolve, ma almeno permette di navigare, è impostare i dns direttamente sul pc, delegando al dhcp solo la scelta dell'ip.
.

Le impostazione cambiano di modello in modello o c'è una procedura standard per bloccare traffico esterno?
impostare DNS da pc intendi dal menu a tendina delle impostazioni IPV4 dare "autmatic (DHCP) adresses only" e indicare i DNS nella maschera sotto?

Se posso dire la mia io farei due cose:
1)Attivare il sistema di logging del device di rete, per avere i log di accesso (magari non ci pensano che ci sono e non li disattivano.
2) Mettere se puoi un altro device di rete che faccia da proxy nel mezzo, apiamente modificabile/gestibile ecc (tipo un router/modem con openwrt) per fare un'analisi del traffico di rete verso il tuo dispositivo di rete.

Ottimo! Hai qualche tutorial da consigliarmi, soprattutto sulla seconda?

Grazie a tutti

[Wilson]

Per le impostazione del router purtroppo l'interfaccia varia da modello a modello o almeno da produttore a produttore, però quasi tutti quelli che ho incontrato avevano un opzione il cui significato è pressapoco "permetti accesso alle impostazioni dalla wan": toglierla non impedisce di collegarsi sfruttando una vulnerabilità, ma elimina le possibilità più facili.

Alcuni hanno pure un firewall: impostarlo per fare il "drop" di tutto tranne il traffico diretto ai singoli pc può aiutare.

Purtroppo la maggior parte di questi dispositivi sono stati prodotti con la possibilità di prenderne il controllo dall'esterno a uso del produttore o delle autorità (americane), ovviamente queste porticine nascoste non restano sconosciute a lungo ai malintenzionati.

Per quel che riguarda il dns sul pc, si esattamente l'opzione che hai riportato, così almeno usi il dns che vuoi tu (ovviamente il router ha ancora la possibilità di dirottare il tuo traffico come vuole, ma non nel modo in cui lo ha fatto ora, quindi servirebbe un malware diverso).

[Pike]

Il mio consiglio è di aggiornare il firmware del router (se disponibile ovviamente), altrimenti meglio se cambi proprio router.

purtroppo aggiornamento non disponibile

Cambia
Il
Router.

[toni00c]

non sono un grande esperto ma intanto si dovrebbe cambiare la password di default di quasi tutti i router per accedere alle impostazioni, e cioè user: admin password: admin è stata la prima cosa che ho fatto quando ho comprato il router, se poi questa "accortezza" si rivela inutile questo non lo so...

Edit: @ilovelinux manco a dirlo...

Affinché l'attacco possa avvenire con successo è indispensabile che l'utente-vittima abbia lasciato impostate sul router le credenziali di default per l'accesso al suo pannello di controllo web (esempio admin password).

No... Io NON avevo la password di default e sono entrati lo stesso... Deve essere qualcosa di più complesso

Avranno sfruttato una vulnerabilità software del router...