BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

ADSL

Me modifican el DNS del router

BocaDePez
BocaDePez

Tengo ADSL Pepephone y desde hace un tiempo observo cuando entro al router que me modifican el DNS primario a la dirección 37.235.53.166.

Lo cambio y a los pocos minutos se modifica solo. Esto produce que algunas paginas no las encuentre y me preocupa que sea maligno.

¿Alguien ha observado lo mismo?¿sabeis como evitarlo?

Saludos

BocaDePez
BocaDePez

Define los DNS que quieras en las propiedades de tu red y pasa de las que te diga Jazztel. Tito google te enseña como cambiarlas, es muy facil.

🗨️ 7
BocaDePez
BocaDePez

¿Qué pinta Jazztel aquí si tiene Pepephone? ¿Te ha traicionado el subconsciente?

🗨️ 6
BocaDePez
BocaDePez

A mediodia he reseteado el router y cargado de nuevo el archivo backup y lleva ya unas 10 horas sin que se me haya modificado el DNS. ¿lo tendria troyanizado el router?. Esta claro que algo se habia metido porque no tardaba ni media hora en cambiarse.

Gracias por la idea.

Saludos

🗨️ 5
BocaDePez
BocaDePez

Yo tambien tengo el mismo problema y, al parecer, desde este servidor cuando te conectas con el teléfono te aparecen páginas del estilo de "su telefono va muy lento o está infectado ..... y te redirigen a bajarte programas". Ya hace tiempo que me pasa, reseteo aguan ta unos días y vuelve a pasar. También tengo el adsl con pepephone y el router es reciclado de jazztel. Voy a ver si compro un router de pepephone a ver si consigo solucionarlo.

🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
vukits
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
Spyd

Según geoIP, esta IP está en Madrid, y pertenece a una empresa que se llama "Edis".

pepejil
1

El PPP del ADSL de Pepephone asigna DNS de forma automática (Las de Vodafone/Comunitel y esa IP no está ni siquiera dentro del AS de Vodafone, además de que empiezan por 212.x).

¿Es un router propio o se lo pediste a Pepephone? Mira a ver si ese firmware del router no está "troyanizado", que es la cosa más probable.

vukits

vamos a ver.

si te hubiesen troyanizado el router, te habrían saltado mensajes como estos

🗨️ 2
BocaDePez
BocaDePez

Hola,

Troyanizar han troyanizado, lo único que han hecho es cambiar el DNS del router a una IP, concretamente el principal, el que se usa en primer lugar. No podemos saber si han hecho algo más.

El error que planteas es posible..... pero no necesariamente tiene que suceder.

Solo han cambiado el sitio a donde se dirigen las peticiones DNS, no sabemos si estas son legítimas o ilegítimas:

[root@lucas ~]# host -t MX gmail.com 8.8.8.8

Using domain server:

Name: 8.8.8.8

Address: 8.8.8.8#53

Aliases:

gmail.com mail is handled by 20 alt2.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 10 alt1.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 40 alt4.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 5 gmail-smtp-in.l.google.com.

gmail.com mail is handled by 30 alt3.gmail-smtp-in.l.google.com.

[root@lucas ~]# host -t MX gmail.com 37.235.53.166

Using domain server:

Name: 37.235.53.166

Address: 37.235.53.166#53

Aliases:

gmail.com mail is handled by 5 gmail-smtp-in.l.google.com.

gmail.com mail is handled by 40 alt4.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 10 alt1.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 30 alt3.gmail-smtp-in.l.google.com.

gmail.com mail is handled by 20 alt2.gmail-smtp-in.l.google.com.
🗨️ 1
vukits

He mandado un mail a abuse ...

a ver qué dicen

 whois 37.235.53.166

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See(link roto)

% Note: this output has been filtered.

%       To receive output for a database update, use the "-B" flag.

% Information related to '37.235.53.0 - 37.235.53.255'

% Abuse contact for '37.235.53.0 - 37.235.53.255' is 'abuse@edis.at'

inetnum:        37.235.53.0 - 37.235.53.255

netname:        EDIS-ES

descr:          EDIS Infrastructure in Spain

remarks:        Madrid, Metropolitana de Madrid, Spain

remarks:        Madrid, �rea Metropolitana y Corredor del Henares, Espa�a

country:        ES

geoloc:         40.42081487986971 -3.701019287109375

language:       ES

admin-c:        EDIS-AT

tech-c:         EDIS-AT

status:         ASSIGNED PA

mnt-by:         EDIS-MNT

mnt-routes:     COMVIVE-MNT

created:        2012-06-28T12:48:11Z

last-modified:  2012-07-20T09:16:04Z

source:         RIPE

role:           EDIS GmbH - Noc Engineer

address:        EDIS GmbH, Hauptplatz 3/3, 8010, GRAZ, Austria

address:edis.at

phone:          +43 316 827500300

admin-c:        EDIS-RIPE

admin-c:        GK2

admin-c:        ISAT

tech-c:         EDIS-RIPE

tech-c:         ISAT

abuse-mailbox:  abuse@edis.at

nic-hdl:        EDIS-AT

mnt-by:         EDIS-MNT

created:        2011-08-12T07:29:38Z

last-modified:  2016-04-08T06:50:42Z

source:         RIPE # Filtered

% Information related to '37.235.53.0/24AS39020'

route:          37.235.53.0/24

descr:          EDIS Infrastructure in Spain

origin:         AS39020

mnt-by:         COMVIVE-MNT

created:        2012-06-29T11:54:14Z

last-modified:  2012-06-29T11:54:48Z

source:         RIPE

% This query was served by the RIPE Database Query Service version 1.87.3 (DB-2)
BocaDePez
BocaDePez

Hola a todos,

Nosotros estamos un poco en la misma. "Algo" modifica la configuración DNS de mi ADSL.

Aunque la configuración dice:

pero la configuración se cambia "sola" a:

Primary DNS Server:37.235.53.166
Secondary DNS Server:8.8.8.8

Un Saludo a todos.

La IP pertenece a un proveedor austriaco .at que se llama EDIS. Muy curioso.

Por ahora lo único que hace es redirigir las peticiones DNS desde el router a ese DNS..... Voy a seguir guardando datos a ver que mas hace....

El escaneo a esa máquina da estos resultados:

Starting Nmap 7.12 ( nmap.org ) at 2016-06-07 19:49 CEST

Nmap scan report for 166-53-235-37.static.edis.at (127.0.0.2)

Host is up (0.000011s latency).

Not shown: 993 closed ports

PORT STATE SERVICE

22/tcp open ssh

80/tcp open http

443/tcp open https

3128/tcp open squid-http

3306/tcp open mysql

8080/tcp open http-proxy

9090/tcp open zeus-admin

🗨️ 2
BocaDePez
BocaDePez

Wikipedia: IPv4 network standards reserve the entire 127.0.0.0/8 address block for loopback purposes. That means any packet sent to one of those 16,777,214 addresses (127.0.0.1 through 127.255.255.254) is looped back.

Algo me dice que el nmap te lo estás haciendo a ti mismo, tanto por la resolución inversa de dicho nombre, como por el tiempo de latencia.

🗨️ 1
BocaDePez
BocaDePez

Hola,

Si, perdón, el nmap es contra mi mismo pero porque el nombre de host que resuelve la IP 37.235.53.166 es 166-53-235-37.static.edis.at pero la IP que resulve el nombre de host es 127.0.0.2.

Ha sido listo este Affeluuuu.

vukits

Estimado cliente:
Nos ponemos en contacto con usted en relación a la solicitud que nos ha realizado a través de nuestra cuenta de correo electrónico.
En cualquier caso, las DNS que nos indica no son nuestras
Recomendamos que las tenga en modo automático.
Reciba un cordial saludo.
Atentamente,

🗨️ 2
superllo
1

Estimado cliente:
Nos ponemos en contacto con usted en relación a la solicitud que nos ha realizado a través de nuestra cuenta de correo electrónico.
No tenemos ni idea de lo que nos está preguntando
Le vamos a dar una respuesta genérica y a ver si no nos vuelve a molestar.
Reciba un cordial saludo.
Atentamente,

🗨️ 1
vukits
1

:joy:

BocaDePez
BocaDePez

Hola a todos,

Ahora si que está bien:

Starting Nmap 7.12 (nmap.org ) at 2016-06-09 13:26 CEST

Nmap scan report for 166-53-235-37.static.edis.at (
37.235.53.166)

Host is up (0.0034s latency).

Not shown: 65533 open|filtered ports, 65531 closed ports

PORT      STATE    SERVICE

53/tcp    open     domain

80/tcp    open     http

2211/tcp  open     unknown    "
Es curioso es un servicio ssh (SSH-2.0-OpenSSH_5.3)"

49152/tcp filtered unknown

53/udp    open     domain

33435/udp filtered unknown
vukits

¿estás seguro segurisimo de que el firm está limpio?
Este parece un servicio de VPN . ¿Estás usando una VPN de pago?

Hello,

Could it be that you are using a Proxy service and that is the causing these nmap outcomes?

The IP is being used by one of our clients who have a VPN/Proxy service.

Mit freundlichen Grüßen | Best regards | Cordialement | Atentamente Herman

Beitsma Abuse Department --
EDIS GmbH
Hauptplatz 3
A-8010 Graz, Austria
VAT ID: AT U64124511 - FN: 308697t

T +43 316 827 5000 Monday to Friday 08:00 AM to 05:00 PM CET
T +44 20 35140582 Monday to Friday 08:00 AM to 05:00 PM CET

🗨️ 4
BocaDePez
BocaDePez

Hola,

Que no está limpio está claro... pero no sabemos que tiene. Nunca se ha usado aquí un sistema de VPN aquí y menos desde el router.

El señor te dice que hay un servicio de VPN en ese servidor. Deberían revisarlo... puedes insistir un poco.....

Un Saludo.

🗨️ 3
vukits

a ver, lo único que he escrito ha sido al email de 'abuse' ( he vuelto a escribirles para decir que tu router no usa VPN)

de hecho, eres tú el que les debería escribir , jaja

🗨️ 2
BocaDePez
BocaDePez

Hola,

A perdón, yo pensaba que escribías en tu nombre.... voy a hablar con el chico este:

Herman Beitsma Senior IT Manager at EDIS GmbH

Un Saludo.

🗨️ 1
vukits
BocaDePez
BocaDePez

A mi me pasa lo mismo

BocaDePez
BocaDePez

Si, a mi también me pasa, ¿ has probado a llamar a pepephone ? ese DNS hace que navegando en el movil todo se llene de publicidad

BocaDePez
BocaDePez

¿ que router tienes ?