BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

ADSL

Me modifican el DNS del router (volumen II)

BocaDePez
BocaDePez

Visto esto: Me modifican el DNS del router

A mí me pasa igual. Abro un tema nuevo, espero que se me disculpe.

De vez en cuanto me encuentro esto:

Como veis, las DNS están cambiadas. La primera IP, pertenece a un ISP austríaco, EDIS, pero está ubicada en España.

Si haces cualquier petición normal, te la deniega:

$ nslookup google.com 37.235.53.166
Server:         37.235.53.166
Address:        37.235.53.166#53

** server can't find google.com: REFUSED

Entonces, salta al siguiente servidor (8.8.8.8) y listos.

Pero, y aquí está el pero, captura algunos dominios de publicidad y me redirige a malware. Me ha pasado en el teléfono ya mil veces: páginas que no están infectadas me redirigen a la App Store de iOS en mi iPhone o me intentan directamente colar malware en Android.

¿Alguien tiene una pista de cómo demonios me están cambiando las DNS en el router? Lo único que se me ocurre es el TR-069, pero está desactivado (supuestamente).

La clave de acceso al router también está cambiada.

vukits

¿Alguien tiene una pista de cómo demonios me están cambiando las DNS en el router?

hace años que versiones antiguas de busybox tienen un bug que permite infectar masivamente routers.

por cierto, no entiendo por qué no has escrito al email de 'abuse' de dicho proveedor

🗨️ 23
BocaDePez
BocaDePez

El router supuestamente no tiene nada abierto al exterior, ¿es algún aparatejo de la red interna?

Y sí, voy a escribir, en cuanto logre encontrar un host que resuelva a una IP de malware (y no un REFUSED), enviaré un correo a ver qué me dicen.

🗨️ 22
vukits

El router supuestamente no tiene nada abierto al exterior,

el firewall de los routers doméstico es un coladero... (sip,ftp, vpn, ipsec.. )

No digo que esta sea la causa del infección. Pero debes saber que tu firmware es antiguo y vulnerable

🗨️ 21
BocaDePez
BocaDePez

En efecto he hecho nmap y estaba abierto el Dios y la madre. Ni lo hubiera imaginado. He hecho esto:

Imagen original en https://lh3.googleusercontent.com/-ZWJYAZJ5IBs/V44WSPcbJVI/AAAAAAABBj4/vQ_iJllIekI/s0/2016-07-19_13-59-56.png

O sea, he redirigido los puertos 1 al 30000 a la mierda, y veo que ahora aparece todo cerrado. Aun así, sigo investigando el rollo de esa IP, y a ver qué me cuentan desde el abuse.

Tampoco me acaba de convencer que estén cambiándolo desde el exterior, con el tiempo se verá.

🗨️ 12
BocaDePez
BocaDePez
🗨️ 11
BocaDePez
BocaDePez
🗨️ 10
BocaDePez
BocaDePez
🗨️ 9
BocaDePez
BocaDePez
🗨️ 8
BocaDePez
BocaDePez
🗨️ 7
BocaDePez
BocaDePez
🗨️ 6
BocaDePez
BocaDePez
1
🗨️ 5
BocaDePez
BocaDePez
🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Por cierto, ¿tienes idea de cómo puedo acceder a una shell en este router? Lo que hay por telnet no es una shell sino una especie de menú, y por ssh no me permite conectar...

🗨️ 7
vukits
🗨️ 6
BocaDePez
BocaDePez
🗨️ 5
vukits
🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
vukits
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
vukits
pepejil
1

El TR-069 se supone que solo puede tener acceso la operadora (En este caso Pepephone o Vodafone), al no ser que esté mal configurado y ese acceso esté abierto con claves débiles.

Tiene pinta de que el firmware del router está troyanizado. Con un cambio de firmware o meterle el firmware oficial del fabricante deberia solucionar todos los problemas.

vukits

te recomiendo un router Astoria con firmware Openwrt ... Tiene adsl, y voip ...

🗨️ 1
BocaDePez
BocaDePez

ya,pero es un coñazo de instalar para usuarios poco avanzados.