BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Al resolver direcciones web inexistentes me sale una web china solo en Android ¿DNS hijacking?

Bramante

Hola chicos.

A ver si podéis echarme una mano porque tengo un problema importante que me tiene bastante preocupado.

Hoy, haciendo unos cambios en un servidor web, he estado introduciendo direcciones web que desde este servidor sabía que no se debían responder ya que las había eliminado.

Mi sorpresa es que cuando hago una llamada a por ejemplo sdklfsklj.bandaancha.eu. Me aparece una web con caracteres chinos o una página totalmente en negro con un enlace que pone "Privacy" y me lleva a la política de privacidad de un empresa china llamada DNBIZ.

La cuestión es que solo me lo hace desde la conexión de casa y en móviles, pero tampoco en todos los móviles, solo en los Android (he probado en un iPhone y no resuelve la dirección). En PC, ya sea en Firefox, Chrome o Explorer, devuelve error DNS, lo lógico.

Si hago la prueba desde la conexión a Internet del móvil, esas webs chinas no se cargan, da error DNS.

Me da la impresión que es un problema con los servidores DNS, pero tengo puestos en mi router los de Google y en los ordenadores no me lo hace, solo en los Android (CyanogenMOD).

Es como si los móviles Android, al no encontrar la dirección web (inexistente) no mostraran el error DNS y cargaran esas webs chinas. Pero si lo hago con la conexión a internet móvil, funcionan correctamente y muestran error DNS.

Sé que me he explicado fatal pero, ¿alguien sabe por dónde puedo tirar?

Gracias.

--------EDITO------------

Expongo mi experiencia con este problema y cómo lo resolví, por si alguien se ve en las mismas.

Por resumir el problema: Al intentar cargar una dirección web inexistente, se me cargaba una página china. Este solo lo hacían los móviles y tablet que tenían CyanogenMOD, no lo hacían los dispositivos con Android stock o los ordenadores (Windows), que se comportaban de modo correcto, dando error al intentar cargar direcciones inexistentes. ¿Por qué solo lo hacían los dispositivos con CyanogenMOD? No lo sé, solo puedo conjeturar con que el comportamiento ante mi configuración de servidores DNS (que más abajo expongo) era distinto al del resto de dispositivos. Remarcar que los móviles con CyanogenMOD no estaban infectados con ningún tipo de malware que explicase el comportamiento.

La configuración de mi red local es:

Router xDSL (de la compañía) --> Router neutro propio (con las últimas betas de dd-wrt)

El router xDSL, aunque no puedo ponerlo en modo bridge, simplemente tiene declarada como DMZ la IP del neutro y está desactivada la red WiFi, siendo el router neutro el que gestiona la red local.

Por ir a lo que interesa, los servidores DNS quedan declarados en el neutro y, bajo dd-wrt, puedes especificar tres servidores DNS, yo tenía declarados solo los dos primeros (usando 8.8.8.8 y 8.8.4.4), el tercer servidor DNS sin modificar, a 0.0.0.0

Mi teoría: A pesar de haber intentado tomar todas las medidas de seguridad posibles, me entraron en el router DSL y modificaron los DNS.

En dd-wrt, cuando dejas un servidor DNS sin declarar, en mi caso, el tercer campo, con 0.0.0.0, el router puede pasar la consulta DNS a los servidores DNS declarados en el gateway (el router DSL, comprometido).

Por un motivo que desconozco, solo CyanogenMOD, tras consultar los dos primeros servidores DNS declarados y no obtener respuesta satisfactoria, pasaba la consulta al tercero y, por tanto, al router DSL, que respondía con el servidor DNS modificado.

Simplemente reseteando el router DSL, todos los dispositivos dejaron de resolver direcciones incorrectas. No obstante, he reseteado ambos router, cambiado contraseñas de todos los dispositivos de la red, de las redes WiFi, desactivado la respuesta ping desde la WAN, etc. Además, en dd-wrt, he declarado tres servidores DNS (Google + OpenDNS, de este modo, nunca se pasaría la consulta al router DSL) y forzado la redirección a esos servidores en caso de que cualquier dispositivo dentro de la LAN intente usar unos servidores distintos.

Esa ha sido mi experiencia, puede que la teoría cojee en muchos detalles, pero desde mis conocimientos, y lo que me ha sucedido, es todo lo que puedo contar.

BocaDePez
BocaDePez

Si tienes el móvil rooteado pues ya sabes que tienes un virus de cojones. Eso no hace falta que te lo digamos nosotros.

🗨️ 13
Bramante

Pero no tengo el root activo, solo lo activé para instalar AdAway y desactivé.

Y solo me lo hace cuando me conecto a la WiFi, no en la conexión de datos.

Y lo peor, me lo hace en otros móviles en los que nunca activé el root.

🗨️ 12
BocaDePez
BocaDePez

Entonces el problema es de la wifi a la que te conectas.

🗨️ 11
Bramante

Eso me temo sí.

Pero, curiosamente, solo me lo hacen los teléfonos y la tablet con CyanogenMOD, no la tablet con ROM stock, el iPhone o los ordenadores.

Eso es lo que me tiene totalmente despistado.

Gracias!!

🗨️ 10
BocaDePez
BocaDePez
1
🗨️ 9
Bramante
🗨️ 8
BocaDePez
BocaDePez
🗨️ 5
Bramante
🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
Bramante
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
mceds
1
🗨️ 1
mceds
1

¿Y en otros navegadores de Android?

🗨️ 1
Bramante

Sí, he instalado Firefox y tambien me lo hace.

Me he instalado una app para que me indique a qué servidores DNS me estoy conectando y me indica que estoy usando los de Google.

Me pasa en los tres móviles en los que uso CyanogenMOD (no tengo más Android), en móvil que uso diario, en otro que tengo por si las emergencias y en un Samsung Galaxy antiguo que ronda por casa. Curiosamente, en ese último móvil no he instalado NADA, ni las GApps, está completamente limpio y pasa lo mismo. Las tres versiones de CyanogenMOD son distintas.

Gracias mceds!!

BocaDePez
BocaDePez

¿Has probado con otra red wifi?

🗨️ 1
Bramante

No tengo acceso a otra WiFi.

Gracias!!

vukits
1

pisha,

conectate por adb , o desde el propio terminal en modo consola,

y haz los pings', a ver qué es lo que resuelve..

a ver si tienes cambiado el buscador de tu android, y no la resolución DNS

🗨️ 1
Bramante

Hola vukits, gracias por el consejo.

Si forzaba el cambio de DNS con la app "Override DNS" el fallo desaparecía, no podía cargar direcciones inexistentes y no salían historias chinas.

Le comentaba a @mceds por dónde voy y parece que ya tengo una pista de la que tirar, me han comprometido un router, se lo comentaba aquí.

Gracias!!