ADSL

Me modifican el DNS del router (volumen II)

BocaDePez 19 julio 2016 13:29

⋮

Visto esto: Me modifican el DNS del router

A mí me pasa igual. Abro un tema nuevo, espero que se me disculpe.

De vez en cuanto me encuentro esto:

Como veis, las DNS están cambiadas. La primera IP, pertenece a un ISP austríaco, EDIS, pero está ubicada en España.

Si haces cualquier petición normal, te la deniega:

$ nslookup google.com 37.235.53.166
Server:         37.235.53.166
Address:        37.235.53.166#53

** server can't find google.com: REFUSED

Entonces, salta al siguiente servidor (8.8.8.8) y listos.

Pero, y aquí está el pero, captura algunos dominios de publicidad y me redirige a malware. Me ha pasado en el teléfono ya mil veces: páginas que no están infectadas me redirigen a la App Store de iOS en mi iPhone o me intentan directamente colar malware en Android.

¿Alguien tiene una pista de cómo demonios me están cambiando las DNS en el router? Lo único que se me ocurre es el TR-069, pero está desactivado (supuestamente).

La clave de acceso al router también está cambiada.

vukits 19 julio 2016 13:34

⋮

¿Alguien tiene una pista de cómo demonios me están cambiando las DNS en el router?

hace años que versiones antiguas de busybox tienen un bug que permite infectar masivamente routers.

por cierto, no entiendo por qué no has escrito al email de 'abuse' de dicho proveedor

✖

BocaDePez 19 julio 2016 13:37

⋮

El router supuestamente no tiene nada abierto al exterior, ¿es algún aparatejo de la red interna?

Y sí, voy a escribir, en cuanto logre encontrar un host que resuelva a una IP de malware (y no un REFUSED), enviaré un correo a ver qué me dicen.

✖

vukits 19 julio 2016 13:49

⋮

El router supuestamente no tiene nada abierto al exterior,

el firewall de los routers doméstico es un coladero... (sip,ftp, vpn, ipsec.. )

No digo que esta sea la causa del infección. Pero debes saber que tu firmware es antiguo y vulnerable

✖

BocaDePez 19 julio 2016 14:01

⋮

En efecto he hecho nmap y estaba abierto el Dios y la madre. Ni lo hubiera imaginado. He hecho esto:

Imagen original en https://lh3.googleusercontent.com/-ZWJYAZJ5IBs/V44WSPcbJVI/AAAAAAABBj4/vQ_iJllIekI/s0/2016-07-19_13-59-56.png

O sea, he redirigido los puertos 1 al 30000 a la mierda, y veo que ahora aparece todo cerrado. Aun así, sigo investigando el rollo de esa IP, y a ver qué me cuentan desde el abuse.

Tampoco me acaba de convencer que estén cambiándolo desde el exterior, con el tiempo se verá.

✖

BocaDePez 19 julio 2016 15:35

⋮

✖

BocaDePez 19 julio 2016 19:57

⋮

✖

BocaDePez 23 julio 2016 12:20

⋮

✖

BocaDePez 19 agosto 2016 16:42

⋮

✖

BocaDePez 19 agosto 2016 19:26

⋮

✖

BocaDePez 20 agosto 2016 02:54

⋮

✖

BocaDePez 20 agosto 2016 09:47

⋮

✖

BocaDePez 22 agosto 2016 01:56

⋮

✖

BocaDePez 22 agosto 2016 09:23

⋮

✖

BocaDePez 23 agosto 2016 15:19

⋮

✖

BocaDePez 23 agosto 2016 16:16

⋮

✖

BocaDePez 27 agosto 2016 03:14

⋮

BocaDePez 19 julio 2016 14:06

⋮

Por cierto, ¿tienes idea de cómo puedo acceder a una shell en este router? Lo que hay por telnet no es una shell sino una especie de menú, y por ssh no me permite conectar...

✖

vukits 19 julio 2016 15:06

⋮

✖

BocaDePez 19 julio 2016 18:25

⋮

✖

vukits 19 julio 2016 19:22

⋮

✖

BocaDePez 19 julio 2016 19:34

⋮

✖

vukits 20 julio 2016 01:37

⋮

✖

BocaDePez 20 julio 2016 11:52

⋮

✖

vukits 20 julio 2016 12:00

⋮

pepejil 19 julio 2016 13:49

⋮

El TR-069 se supone que solo puede tener acceso la operadora (En este caso Pepephone o Vodafone), al no ser que esté mal configurado y ese acceso esté abierto con claves débiles.

Tiene pinta de que el firmware del router está troyanizado. Con un cambio de firmware o meterle el firmware oficial del fabricante deberia solucionar todos los problemas.

vukits 19 julio 2016 19:23

⋮

te recomiendo un router Astoria con firmware Openwrt ... Tiene adsl, y voip ...

✖

BocaDePez 19 julio 2016 19:55

⋮

ya,pero es un coñazo de instalar para usuarios poco avanzados.