ADSL

Me modifican el DNS del router

BocaDePez 19 mayo 2016 09:21

⋮

Tengo ADSL Pepephone y desde hace un tiempo observo cuando entro al router que me modifican el DNS primario a la dirección 37.235.53.166.

Lo cambio y a los pocos minutos se modifica solo. Esto produce que algunas paginas no las encuentre y me preocupa que sea maligno.

¿Alguien ha observado lo mismo?¿sabeis como evitarlo?

Saludos

BocaDePez 19 mayo 2016 09:33

⋮

Define los DNS que quieras en las propiedades de tu red y pasa de las que te diga Jazztel. Tito google te enseña como cambiarlas, es muy facil.

✖

BocaDePez 19 mayo 2016 13:12

⋮

¿Qué pinta Jazztel aquí si tiene Pepephone? ¿Te ha traicionado el subconsciente?

✖

BocaDePez 19 mayo 2016 23:35

⋮

A mediodia he reseteado el router y cargado de nuevo el archivo backup y lleva ya unas 10 horas sin que se me haya modificado el DNS. ¿lo tendria troyanizado el router?. Esta claro que algo se habia metido porque no tardaba ni media hora en cambiarse.

Gracias por la idea.

Saludos

✖

BocaDePez 11 junio 2016 15:00

⋮

Yo tambien tengo el mismo problema y, al parecer, desde este servidor cuando te conectas con el teléfono te aparecen páginas del estilo de "su telefono va muy lento o está infectado ..... y te redirigen a bajarte programas". Ya hace tiempo que me pasa, reseteo aguan ta unos días y vuelve a pasar. También tengo el adsl con pepephone y el router es reciclado de jazztel. Voy a ver si compro un router de pepephone a ver si consigo solucionarlo.

✖

BocaDePez 14 junio 2016 16:01

⋮

✖

vukits 14 junio 2016 16:59

⋮

✖

BocaDePez 3 septiembre 2016 12:32

⋮

✖

BocaDePez 3 septiembre 2016 12:42

⋮

Spyd 19 mayo 2016 11:13

⋮

Según geoIP, esta IP está en Madrid, y pertenece a una empresa que se llama "Edis".

pepejil 19 mayo 2016 13:52

⋮

El PPP del ADSL de Pepephone asigna DNS de forma automática (Las de Vodafone/Comunitel y esa IP no está ni siquiera dentro del AS de Vodafone, además de que empiezan por 212.x).

¿Es un router propio o se lo pediste a Pepephone? Mira a ver si ese firmware del router no está "troyanizado", que es la cosa más probable.

vukits 19 mayo 2016 23:56

⋮

vamos a ver.

si te hubiesen troyanizado el router, te habrían saltado mensajes como estos

✖

BocaDePez 9 junio 2016 13:22

⋮

Hola,

Troyanizar han troyanizado, lo único que han hecho es cambiar el DNS del router a una IP, concretamente el principal, el que se usa en primer lugar. No podemos saber si han hecho algo más.

El error que planteas es posible..... pero no necesariamente tiene que suceder.

Solo han cambiado el sitio a donde se dirigen las peticiones DNS, no sabemos si estas son legítimas o ilegítimas:

[root@lucas ~]# host -t MX gmail.com 8.8.8.8

Using domain server:

Name: 8.8.8.8

Address: 8.8.8.8#53

Aliases:

gmail.com mail is handled by 20 alt2.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 10 alt1.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 40 alt4.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 5 gmail-smtp-in.l.google.com.

gmail.com mail is handled by 30 alt3.gmail-smtp-in.l.google.com.

[root@lucas ~]# host -t MX gmail.com 37.235.53.166

Using domain server:

Name: 37.235.53.166

Address: 37.235.53.166#53

Aliases:

gmail.com mail is handled by 5 gmail-smtp-in.l.google.com.

gmail.com mail is handled by 40 alt4.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 10 alt1.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 30 alt3.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 20 alt2.gmail-smtp-in.l.google.com.

✖

vukits 9 junio 2016 13:46

⋮

He mandado un mail a abuse ...

a ver qué dicen

 whois 37.235.53.166

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See(link roto)

% Note: this output has been filtered.

%       To receive output for a database update, use the "-B" flag.

% Information related to '37.235.53.0 - 37.235.53.255'

% Abuse contact for '37.235.53.0 - 37.235.53.255' is 'abuse@edis.at'

inetnum:        37.235.53.0 - 37.235.53.255

netname:        EDIS-ES

descr:          EDIS Infrastructure in Spain

remarks:        Madrid, Metropolitana de Madrid, Spain

remarks:        Madrid, �rea Metropolitana y Corredor del Henares, Espa�a

country:        ES

geoloc:         40.42081487986971 -3.701019287109375

language:       ES

admin-c:        EDIS-AT

tech-c:         EDIS-AT

status:         ASSIGNED PA

mnt-by:         EDIS-MNT

mnt-routes:     COMVIVE-MNT

created:        2012-06-28T12:48:11Z

last-modified:  2012-07-20T09:16:04Z

source:         RIPE

role:           EDIS GmbH - Noc Engineer

address:        EDIS GmbH, Hauptplatz 3/3, 8010, GRAZ, Austria

address:edis.at

phone:          +43 316 827500300

admin-c:        EDIS-RIPE

admin-c:        GK2

admin-c:        ISAT

tech-c:         EDIS-RIPE

tech-c:         ISAT

abuse-mailbox:  abuse@edis.at

nic-hdl:        EDIS-AT

mnt-by:         EDIS-MNT

created:        2011-08-12T07:29:38Z

last-modified:  2016-04-08T06:50:42Z

source:         RIPE # Filtered

% Information related to '37.235.53.0/24AS39020'

route:          37.235.53.0/24

descr:          EDIS Infrastructure in Spain

origin:         AS39020

mnt-by:         COMVIVE-MNT

created:        2012-06-29T11:54:14Z

last-modified:  2012-06-29T11:54:48Z

source:         RIPE

% This query was served by the RIPE Database Query Service version 1.87.3 (DB-2)

BocaDePez 7 junio 2016 19:51

⋮

Hola a todos,

Nosotros estamos un poco en la misma. "Algo" modifica la configuración DNS de mi ADSL.

Aunque la configuración dice:

pero la configuración se cambia "sola" a:

Primary DNS Server:	37.235.53.166
Secondary DNS Server:	8.8.8.8

Un Saludo a todos.

La IP pertenece a un proveedor austriaco .at que se llama EDIS. Muy curioso.

Por ahora lo único que hace es redirigir las peticiones DNS desde el router a ese DNS..... Voy a seguir guardando datos a ver que mas hace....

El escaneo a esa máquina da estos resultados:

Starting Nmap 7.12 ( nmap.org ) at 2016-06-07 19:49 CEST

Nmap scan report for 166-53-235-37.static.edis.at (127.0.0.2)

Host is up (0.000011s latency).

Not shown: 993 closed ports

PORT STATE SERVICE

22/tcp open ssh

80/tcp open http

443/tcp open https

3128/tcp open squid-http

3306/tcp open mysql

8080/tcp open http-proxy

9090/tcp open zeus-admin

✖

BocaDePez 8 junio 2016 00:43

⋮

Wikipedia: IPv4 network standards reserve the entire 127.0.0.0/8 address block for loopback purposes. That means any packet sent to one of those 16,777,214 addresses (127.0.0.1 through 127.255.255.254) is looped back.

Algo me dice que el nmap te lo estás haciendo a ti mismo, tanto por la resolución inversa de dicho nombre, como por el tiempo de latencia.

✖

BocaDePez 9 junio 2016 13:14

⋮

Hola,

Si, perdón, el nmap es contra mi mismo pero porque el nombre de host que resuelve la IP 37.235.53.166 es 166-53-235-37.static.edis.at pero la IP que resulve el nombre de host es 127.0.0.2.

Ha sido listo este Affeluuuu.

vukits 8 junio 2016 10:38

⋮

Estimado cliente:
Nos ponemos en contacto con usted en relación a la solicitud que nos ha realizado a través de nuestra cuenta de correo electrónico.
En cualquier caso, las DNS que nos indica no son nuestras
Recomendamos que las tenga en modo automático.
Reciba un cordial saludo.
Atentamente,

✖

superllo 8 junio 2016 20:03

⋮

Estimado cliente:
Nos ponemos en contacto con usted en relación a la solicitud que nos ha realizado a través de nuestra cuenta de correo electrónico.
No tenemos ni idea de lo que nos está preguntando
Le vamos a dar una respuesta genérica y a ver si no nos vuelve a molestar.
Reciba un cordial saludo.
Atentamente,

✖

vukits 8 junio 2016 21:12

⋮

:joy:

BocaDePez 9 junio 2016 13:32

⋮

Hola a todos,

Ahora si que está bien:

Starting Nmap 7.12 (nmap.org ) at 2016-06-09 13:26 CEST

Nmap scan report for 166-53-235-37.static.edis.at (
37.235.53.166)

Host is up (0.0034s latency).

Not shown: 65533 open|filtered ports, 65531 closed ports

PORT      STATE    SERVICE

53/tcp    open     domain

80/tcp    open     http

2211/tcp  open     unknown    "
Es curioso es un servicio ssh (SSH-2.0-OpenSSH_5.3)"

49152/tcp filtered unknown

53/udp    open     domain

33435/udp filtered unknown

vukits 9 junio 2016 13:59

⋮

¿estás seguro segurisimo de que el firm está limpio?
Este parece un servicio de VPN . ¿Estás usando una VPN de pago?

Hello,
Could it be that you are using a Proxy service and that is the causing these nmap outcomes?
The IP is being used by one of our clients who have a VPN/Proxy service.
Mit freundlichen Grüßen | Best regards | Cordialement | Atentamente Herman
Beitsma Abuse Department --
EDIS GmbH
Hauptplatz 3
A-8010 Graz, Austria
VAT ID: AT U64124511 - FN: 308697t
T +43 316 827 5000 Monday to Friday 08:00 AM to 05:00 PM CET
T +44 20 35140582 Monday to Friday 08:00 AM to 05:00 PM CET

✖

BocaDePez 9 junio 2016 16:56

⋮

Hola,

Que no está limpio está claro... pero no sabemos que tiene. Nunca se ha usado aquí un sistema de VPN aquí y menos desde el router.

El señor te dice que hay un servicio de VPN en ese servidor. Deberían revisarlo... puedes insistir un poco.....

Un Saludo.

✖

vukits 9 junio 2016 17:14

⋮

a ver, lo único que he escrito ha sido al email de 'abuse' ( he vuelto a escribirles para decir que tu router no usa VPN)

de hecho, eres tú el que les debería escribir , jaja

✖

BocaDePez 9 junio 2016 17:31

⋮

Hola,

A perdón, yo pensaba que escribías en tu nombre.... voy a hablar con el chico este:

Herman Beitsma Senior IT Manager at EDIS GmbH

Un Saludo.

✖

vukits 9 junio 2016 17:36

⋮

BocaDePez 3 septiembre 2016 12:12

⋮

A mi me pasa lo mismo

BocaDePez 3 septiembre 2016 12:24

⋮

Si, a mi también me pasa, ¿ has probado a llamar a pepephone ? ese DNS hace que navegando en el movil todo se llene de publicidad

BocaDePez 3 septiembre 2016 12:26

⋮

¿ que router tienes ?