Stránka 1 z 1
DNS útoky z mého routeru [vyřešeno]
Napsal: stř 27. lis 2013, 16:33
od James.Sniper
Ahoj, můj poskytovatel mi opakovaně poslal email, že z mé IP adresy zaznamenali podezřelý provoz na jeho vlastní DNS servery. Jedná se o poskytovatele
PODA.
V té době, kdy měl "útok" probíhat, byl
vypnutý počítač. V logu routeru jsem zjistil, že k němu
nebylo připojené žádné zařízení. Takže problém je jednoznačně v routeru
TENDA W311R+ (nebo u poskytovatele).
Pro WAN mám nastavenou statickou IP adresu. Dále mám v něm nakonfigurovanou wi-fi s WPA2-AES.
V emailu se mluví o tom, že mám špatně nastavený router, který umožňuje rekurzivní DNS dotazy. Nevíte, co to znamená a jak to napravit?
Díky za jakoukoliv radu.
Kód: Vybrat vše
TOTO JE AUTOMATICKY GENEROVANÁ ZPRÁVA
Vážený zákazníku,
dovolujeme si Vás informovat, že jsme z Vaší IP adresy 82.209.xxx.xxx zaznamenali
podezřelý provoz na naše DNS servery 62.129.50.20 nebo 85.135.32.100, který je
pravděpodobně útokem typu DNS amplification a který nastal 27.11.2013 12:51
a naposledy jsme jej evidovali 27.11.2013 13:50.
Jedná se o útok, který se projevuje generováním vysokého počtu DNS dotazů typu
ANY na rozměrné domény, např. isc.org. Detekovali jsme zvýšenou frekvenci
takových dotazů z Vaší IP adresy 82.209.xxx.xxx a na našich serverech proto byla
aktivována automatická ochrana proti tomuto typu útoku. Zkontrolujte prosím
konfiguraci zařízení provozovaného na uvedené IP adrese. S vysokou
pravděpodobností umožňuje rekurzivní DNS dotazy pro stanice mimo vaši síť nebo
síť PODA. Pokud na této IP adrese provozujete vlastní router nebo server, tak
je toto chování nejspíše způsobeno chybou v jeho konfiguraci.
Žádáme Vás tímto o odstranění příčiny problému. Pokud se Vám to povede a
podezřelý provoz ustane, budete po 48 hodinách informováni další zprávou.
V případě jakýchkoliv dotazů prosím kontaktujte naší zákaznickou linku.
PODA a.s.
oddělení technické podpory a dohledu sítě
tel.: 844 844 033
Re: DNS útoky z mého routeru
Napsal: stř 27. lis 2013, 16:48
od Alfajk
mozna souvislost s
http://www.zive.cz/bleskovky/zadni-vrat ... fault.aspx ,ten router je srot,pockal bych,jestli se utok bude opakovat,mohlo dojit i k chybe vyhodnoceni utoku na strane poskytovatele...
Re: DNS útoky z mého routeru
Napsal: stř 27. lis 2013, 17:07
od James.Sniper
V routeru mám tento firmware: "V3.2.4.02s_EN-Nov 12 2010".
Jedná se už o druhý mail od poskytovatele. První byl 16.10. a ten nynější 27.11.
Co se týče zadních vrátek. Útočit prý lze jen z lokální sítě a v té době nikdo neměl přístup k routeru. Předpokládám, že tento útok nelze provést přes wi-fi a ikdyby, tak router by to aspoň zaznamenal do logu a ten je čistý. Takže toto bych vyloučil.
Co jsem ještě našel v logu (routeru). Znamená to pro mě něco?
Kód: Vybrat vše
2013-11-26 06:24:10 [FW] **Port Scan Detected** 151.236.6.214 -> 82.209.xxx.xxx
2013-11-26 06:24:10 [FW] **Port Scan Detected** 151.236.6.214 -> 82.209.xxx.xxx
2013-11-26 19:41:47 [FW] **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:41:47 [FW] **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:41:47 [FW] **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:41:59 [FW] **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:42:28 [FW] **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:42:49 [FW] **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
Re: DNS útoky z mého routeru
Napsal: stř 27. lis 2013, 17:11
od Brázda.l
Ten log znamená že někdo scanoval porty tobě. Pro jistotu bych změnil heslo na wifi i pro vstup do administrace. Ale pokud je to backdoor ve FW tak jedině nainstalovat nový FW nebo vyměnit router.
A nebo IDSko poskytovatele je nějaké dodrbané.
Re: DNS útoky z mého routeru
Napsal: stř 27. lis 2013, 17:30
od James.Sniper
Brázda.l píše:Ten log znamená že někdo scanoval porty tobě. Pro jistotu bych změnil heslo na wifi i pro vstup do administrace. Ale pokud je to backdoor ve FW tak jedině nainstalovat nový FW nebo vyměnit router.
Hesla jsem měnil hned po prvním emailu (16.10.).
Podle tohoto
www.devttys0.com
Kód: Vybrat vše
One teensy-weensy, but ever so crucial little tiny detail is that the backdoor only listens on the LAN, thus it is not exploitable from the WAN. However, it is exploitable over the wireless network, which has WPS enabled by default with no brute force rate limiting.
lze zadní vrátka použít u TENDA jen z lokální sítě resp. z wi-fi, pokud je WPS aktivní. Což nemám, WPS jsem zakázal opět 16.10.
Zatím díky za rady.
Re: DNS útoky z mého routeru
Napsal: stř 27. lis 2013, 17:40
od Nagant
Re: DNS útoky z mého routeru
Napsal: stř 27. lis 2013, 17:53
od Brázda.l
Další info
http://goo.gl/VWgty9
http://goo.gl/ex6SzT
Nejjednodušší řešení koupit nový router.
Re: DNS útoky z mého routeru
Napsal: stř 27. lis 2013, 18:03
od Nagant
Asi tak, protože to asi upgradovat nejde:
"... 4) Zařízení obsahující H3_v3.3.6f, H1_3.3.6d nebo V.3.2.4.02s_EN jsou poslední aktuální verze a není možné provádět upgrade/downgrade těchto zařízení!..."
(
http://tenda.cz/pro-domacnost/wifi-rout ... x-lan-1x-e)
Re: DNS útoky z mého routeru [vyřešeno]
Napsal: stř 27. lis 2013, 18:56
od James.Sniper
Takže router na hovno... a to ho tak chválili v
recenzi.
Koupím teda nový. Díky moc za rady.