Modem con server DNS infetto - Micimiao Forum di discussione per tutti i gattofili

alepuffola · 03-08-2015, 23:39

Vengo subito al punto:
Se avete un modem-router non nuovissimo, diciamo di 4-5 anni fa o anche un pò meno, date una controllata nel pannello di configurazione, e assicuratevi che l'indirizzo DNS settato non appartenga a uno di quei server che si divertono a reindirizzare il browser su siti "maligni".
Cos'è un server DNS? in pratica è un elenco telefonico delle connessioni internet.
Voi gli date il nome di un sito, e il server DNS vi risponde, da internet, col numero IP del sito.
Conoscendo quel numero il browser può raggiungere effettivamente e poi caricare il sito.
Un esempio? E' il server DNS settato sul modem che dice al pc che Micimiao corrisponde all'IP 195.130.247.126

Naturalmente se il server DNS è fra i "buoni" tutto ok. Caricherà i veri IP dei siti.
Se invece non lo è siete in un bel guaio, perchè tenderà a mentire fornendo al browser numeri IP falsi per reindirizzarvi su siti "sosia" e rubare credenziali di posta e altro.
Non lo farà sempre, per non destare sospetti e far sembrare la navigazione normale. Ma prima o poi lo farà. Magari sui siti istituzionali, o magari potrà rendere irraggiungibili i siti antivirus impedendovi di scaricare aggiornamenti di sicurezza.

Vi chiederete perchè vi annoio con questa solfa...perchè qualche giorno fa è successo a me, per cui ho toccato con mano che non è fantainformatica.
Abbastanza per caso, sono entrato nella configurazione del mio modem router ( vecchio a dir la verità, ha quasi 6 anni ) Kraun KR.YL, e mi accorgo con sorpresa che il DNS primario era configurato su un numero IP strano e sconosciuto: 5.104.175.153.
Su http://www.ip2location.com/demo scopro che è un DNS bulgaro, di Sofia.
Cerco info su google e scopro che a quanto pare è un DNS infetto.

Come ha fatto a settarsi da solo?
Sui Pc Windows può farlo attraverso codice infetto ( virus, worm, rootkit ). Il virus prende il controllo della connessione e arriva al pannello modem attraverso la LAN (rete interna) stessa.
"Peccato" però che io navigo e uso Linux, che come noto è praticamente immune ai virus. Per cui la cosa era (anzi è) ben più grave perchè a questo punto l'unico modo è che qualcuno sia entrato sul router dall'esterno, sfruttando una falla di sicurezza del modem stesso.
E infatti googlando trovo immediatamente:
http://www.felicebalsamo.it/soluzion...ti-sui-router/
C'è una falla di sicurezza nel firmware di alcuni modem. Attraverso quella si può entrare nella configurazione modem da internet e cambiare il DNS.
Resettare il modem non serve a nulla. L'ho fatto diverse volte e dopo un pò mi ritrovavo il DNS cambiato. Sempre uno diverso, ma sempre infetto. Inoltre al mio modem non mi fa più settare DNS scelti da me.
Quindi devo affidarmi a quelli predefiniti scelti da Telecom. O buttare il modem
Purtroppo per molti modem non c'è alcuna soluzione, se non quella di chiudere del tutto la possibilità di accedere dall'esterno al modem. Come è spiegato nell'articolo sopra.

Per controllare se è successo anche a voi entrate sul modem digitando sul browser http://192.168.1.1
vi chiederà nome e password. Se non l'avete mai cambiate saranno quelle di default : admin - admin
Cercate una sezione LAN ( in genere è sulla scheda impostazioni avanzate ) e scorrendo le voci vi troverete la voce Server DNS. Se la voce è "spenta" o c'è uno dei numeri 8.8.8.8 o 8.8.4.4, tutto bene, sono quelli di google.
Se vedete un numero diverso segnatevelo. E controllate su http://www.ip2location.com/demo dove vedrete la provenienza.
Qui http://public-dns.tk/ controllate poi che sia fra quelli validi.

Se ci sono domande sono qui

03-08-2015, 23:39	#1
Profilo Utente alepuffola ModerCybercat Sostenitore Utente dal: 09 2007 Paese: Cetraro Regione: Calabria Sesso: Uomo Gatti: 5 Messaggi: 8,297	Modem con server DNS infetto Vengo subito al punto: Se avete un modem-router non nuovissimo, diciamo di 4-5 anni fa o anche un pò meno, date una controllata nel pannello di configurazione, e assicuratevi che l'indirizzo DNS settato non appartenga a uno di quei server che si divertono a reindirizzare il browser su siti "maligni". Cos'è un server DNS? in pratica è un elenco telefonico delle connessioni internet. Voi gli date il nome di un sito, e il server DNS vi risponde, da internet, col numero IP del sito. Conoscendo quel numero il browser può raggiungere effettivamente e poi caricare il sito. Un esempio? E' il server DNS settato sul modem che dice al pc che Micimiao corrisponde all'IP 195.130.247.126 Naturalmente se il server DNS è fra i "buoni" tutto ok. Caricherà i veri IP dei siti. Se invece non lo è siete in un bel guaio, perchè tenderà a mentire fornendo al browser numeri IP falsi per reindirizzarvi su siti "sosia" e rubare credenziali di posta e altro. Non lo farà sempre, per non destare sospetti e far sembrare la navigazione normale. Ma prima o poi lo farà. Magari sui siti istituzionali, o magari potrà rendere irraggiungibili i siti antivirus impedendovi di scaricare aggiornamenti di sicurezza. Vi chiederete perchè vi annoio con questa solfa...perchè qualche giorno fa è successo a me, per cui ho toccato con mano che non è fantainformatica. Abbastanza per caso, sono entrato nella configurazione del mio modem router ( vecchio a dir la verità, ha quasi 6 anni ) Kraun KR.YL, e mi accorgo con sorpresa che il DNS primario era configurato su un numero IP strano e sconosciuto: 5.104.175.153. Su http://www.ip2location.com/demo scopro che è un DNS bulgaro, di Sofia. Cerco info su google e scopro che a quanto pare è un DNS infetto. Come ha fatto a settarsi da solo? Sui Pc Windows può farlo attraverso codice infetto ( virus, worm, rootkit ). Il virus prende il controllo della connessione e arriva al pannello modem attraverso la LAN (rete interna) stessa. "Peccato" però che io navigo e uso Linux, che come noto è praticamente immune ai virus. Per cui la cosa era (anzi è) ben più grave perchè a questo punto l'unico modo è che qualcuno sia entrato sul router dall'esterno, sfruttando una falla di sicurezza del modem stesso. E infatti googlando trovo immediatamente: http://www.felicebalsamo.it/soluzion...ti-sui-router/ C'è una falla di sicurezza nel firmware di alcuni modem. Attraverso quella si può entrare nella configurazione modem da internet e cambiare il DNS. Resettare il modem non serve a nulla. L'ho fatto diverse volte e dopo un pò mi ritrovavo il DNS cambiato. Sempre uno diverso, ma sempre infetto. Inoltre al mio modem non mi fa più settare DNS scelti da me. Quindi devo affidarmi a quelli predefiniti scelti da Telecom. O buttare il modem Purtroppo per molti modem non c'è alcuna soluzione, se non quella di chiudere del tutto la possibilità di accedere dall'esterno al modem. Come è spiegato nell'articolo sopra. Per controllare se è successo anche a voi entrate sul modem digitando sul browser http://192.168.1.1 vi chiederà nome e password. Se non l'avete mai cambiate saranno quelle di default : admin - admin Cercate una sezione LAN ( in genere è sulla scheda impostazioni avanzate ) e scorrendo le voci vi troverete la voce Server DNS. Se la voce è "spenta" o c'è uno dei numeri 8.8.8.8 o 8.8.4.4, tutto bene, sono quelli di google. Se vedete un numero diverso segnatevelo. E controllate su http://www.ip2location.com/demo dove vedrete la provenienza. Qui http://public-dns.tk/ controllate poi che sia fra quelli validi. Se ci sono domande sono qui Powered by Puffola & Linux-like....Puffola, Cristina Birba e Crokkante nella luce ...gatta frettolosibus fecit gattini guerces.. Ultima Modifica di alepuffola; 04-08-2015 at 17:37.