Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: hawran diskuse 19. 06. 2012, 14:15:24

Název: UPC mi napsalo, že rozesílám viry
Přispěvatel: hawran diskuse 19. 06. 2012, 14:15:24
Před chvílí jsem obdržel od UPC e-mail, že
Citace
Vážený kliente,
dovolujeme si Vás upozornit, že dne 2012-06-16 18:37:27 prostřednictvím Vašeho počítače / Vašich počítačů došlo k rozesílání počítačového viru.
Tím jste narušil provoz datové sítě UPC a porušil Všeobecné podmínky ...
Abychom předešli dalším negativním důsledkům, provedli jsme na Vašem internetovém připojení v souladu s Všeobecnými podmínkami omezení, která mají dalšímu šíření virů zabránit.
V tuto chvíli máte povolenu komunikaci pouze na portech 80 (http), 443 (https), 110 (pop3), 143 (imap), 53 (dns), 67 a 68 (dhcp).

Věříme, že k této nepříjemné události došlo neúmyslně a bez Vašeho vědomí. Většina virů je rozeslána zneužitím počítače v důsledku jeho nízkého zabezpečení. Dovolujeme si Vám proto připomenout kroky,
které je třeba pro zabezpečení vašeho počítače učinit, aby byla v budoucnu co nejmenší pravděpodobnost napadení a zneužití Vašeho počítače.

1) Nainstalovat všechny bezpečnostní záplaty Vašeho operačního systému (např. pro operační systém Windows na stránce: http://www.windowsupdate.com)
2) Zkontrolovat Váš počítač klasickým aktualizovaným antivirovým programem (např. UPC SmartGuard, Norton Antivirus,Avast, AVG...)
3) Prověřit Váš počítač programem na vyhledávání různých "červů nebo tzv. spyware". Mezi nejpoužívanější programy patří Ad-aware, SpyBot a UPC SmartGuard.
4) Nadále Vám doporučujeme používání firewallu.

----------------------------------------------------- Detail incidentu -----------------------------------------------------
BOTS srcport 3864 mwtype DNSChanger destaddr 85.255.113.109


Chtěl bych se zeptat, jak je možné, že jsem něco takového provedl, když jsem ten den měl jistojistě puštěný jen notes s bubuntu?
Na UPC modem mám připojený CNP-WF514N1A (wireless (802.11n 150 Mbps) and wired router), kvůli rozvedení wifi po bytě.
Je možné, aby se mi někdo "vlámal" do wifi?
(teď nemám možnost zkontrolovat nastavení modemu)
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: . 19. 06. 2012, 14:24:54
Je to velmi pravděpodobné. Co jsem se známými tuto hlášku řešil, vždy měli v UPC pravdu.
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: branchman2 19. 06. 2012, 14:28:38
Mas pristup k routeru zaheslovany? Tym zaheslovanim nemyslim heslo toor alebo 123456. Pomocou Javascriptu a CSRF v rozhrani routera sa da niekedy cez browser v routeri zmenit DNS server - to plati zvlast vtedy, ked je router pomerne rozsireny a na "beznej" IP na styl 192.168.1.1.

Toto sa mohlo stat aj v tvojom pripade, aj ked Windows nemas. Druha moznost je, ze sa ti tam pripojil niekto s Windows a zmenil to, pricom oni na to prisli az neskor.
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: hawran diskuse 19. 06. 2012, 14:38:35
Je to velmi pravděpodobné. Co jsem se známými tuto hlášku řešil, vždy měli v UPC pravdu.

Nějak mi uniká, "co" je pravděpodobné.
(Mám tam pod sebou víc otázek)
(A to vedro ...)
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: hawran diskuse 19. 06. 2012, 14:41:06
Mas pristup k routeru zaheslovany? Tym zaheslovanim nemyslim heslo toor alebo 123456. Pomocou Javascriptu a CSRF v rozhrani routera sa da niekedy cez browser v routeri zmenit DNS server - to plati zvlast vtedy, ked je router pomerne rozsireny a na "beznej" IP na styl 192.168.1.1.

Toto sa mohlo stat aj v tvojom pripade, aj ked Windows nemas. Druha moznost je, ze sa ti tam pripojil niekto s Windows a zmenil to, pricom oni na to prisli az neskor.

Mno, nepoužil jsem žádné generátory loginů ani hesel, ale žádné 123546, nebo admin tam nemám.

Mno, musím počkat, až příjdu domů, abych to zkontroloval...

Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: smoofy 19. 06. 2012, 15:19:06
ad. branchman2
Urcite bych se vydal timto smerem, na kolik se velice pravdepodobne jedna o jeden z exemplaru DNSchanger malware napadajici nikoliv OS ale browser, tudiz je guma tuzka jestli mas widle nebo linux. Dokonce i ten detail toho incidentu ve zprave tomu napovida viz: "BOTS srcport 3864 mwtype DNSChanger destaddr 85.255.113.109 " Tato serie ruznych skodlivych kodu vselijakymi zpusoby napada uzivatelske DNS a meni jej na skodlivy vlastni server, ktery posila sve upravene odkazy. Takovy uzivatel pote ma samozrejme nekorektni internet. Nakolik je tento pres javascript schopen ovlivnit DNS v routeru nevim, nicmene docela jiste vim, ze to ani neni zapotrebi, nakolik DNS server staci zmenit lokalne v pravidelnych intervalech, aby nedoslo prepsanim na korektni hodnotu DHCP protokolem a problem je na svete.
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: Quantim 19. 06. 2012, 16:32:20
pro kontrolu na přítomnost tohoto malware se dá využít jako rychlá kontrol a stránka
http://www.dns-ok.cz (http://www.dns-ok.cz)
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: Sten 19. 06. 2012, 18:13:14
DNSChanger nenapadá prohlížeč, pouze se přes prohlížeč instaluje (je to trojan) (http://www.f-secure.com/v-descs/dnschang.shtml). Stejně tak jinde než ve Windows nefunguje, protože nastavuje DNS servery v registrech. Ani nastavení routeru neumí změnit.

Navíc to ani není virus. Jediné vysvětlení tedy je, že se vám někdo s nakaženými Windows připojil do sítě.
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: hawran diskuse 19. 06. 2012, 19:30:36
pro kontrolu na přítomnost tohoto malware se dá využít jako rychlá kontrol a stránka
http://www.dns-ok.cz (http://www.dns-ok.cz)

JJ, díky.
Výsledek:
Citace
Nastavení DNS = V POŘÁDKU
Zdá se, že Váš počítač korektně vyhledává IP adresy!
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: hawran diskuse 19. 06. 2012, 20:00:03
DNSChanger nenapadá prohlížeč, pouze se přes prohlížeč instaluje (je to trojan) (http://www.f-secure.com/v-descs/dnschang.shtml). Stejně tak jinde než ve Windows nefunguje, protože nastavuje DNS servery v registrech. Ani nastavení routeru neumí změnit.

Navíc to ani není virus. Jediné vysvětlení tedy je, že se vám někdo s nakaženými Windows připojil do sítě.

To bych považoval za nejpravděpodobnější, já prostě widle už dlouho nezapnul a proto bych tipoval na někoho zvenku přes wifi.
Nejsem v tom odborník, je na následujícím nastavení něco špatně?

Citace
WPS Status:    Disabled (zakázal jsem teď)
WPA2-PSK
Encryption: AES
PSK Paasword: teď je přes 20 znaků
Group Key Update Period: změnil jsem z 0 (disabled)
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: hawran diskuse 19. 06. 2012, 20:13:13
Nejsem v tom odborník, je na následujícím nastavení něco špatně?

Zapomněl jsem zmínit:
Citace
Wireless MAC Filtering:      Enabled
Port Triggering
ID    Trigger Port      Trigger Protocol    Incoming Port     Incoming Protocol    Status    Modify
1      554               ALL                 1-65534                   ALL                  Enabled
Current UPnP Status:    Disabled
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: JardaP . 19. 06. 2012, 20:28:45
Na MAC filtering se s klidem vydlabni, akorat si budes komplikovat zivot, az pripojis nove zarizeni a budes si lamat hlavu, proc to nejde, protoze na MAC filtering jsi mezitim zapomnel. Co potrebujes je mohutne heslo 20 a vice znaku na WPA, ktere urcite neni slovnikove (treba KeepassX ti vygeneruje krasne smeti z nahodneho generatoru. Jestli ti nekdo prolomi heslo, tak nejaky MAC filtering te uz nezachrani. To je otazka par minut odposlechu, nez si odchyti nejakou existujici MAC a pak pocka, az pujdes chrapat a vypnes pocitac.

A jak uz nekdo zminil, tak netrivialne zahesleny router take nezaskodi, aby ti na nej nekdo nelezl zevnitr z browseru z nejake vypecene stranky.
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: I. 19. 06. 2012, 20:31:40
Mas pristup k routeru zaheslovany? Tym zaheslovanim nemyslim heslo toor alebo 123456. Pomocou Javascriptu a CSRF v rozhrani routera sa da niekedy cez browser v routeri zmenit DNS server - to plati zvlast vtedy, ked je router pomerne rozsireny a na "beznej" IP na styl 192.168.1.1.

Toto sa mohlo stat aj v tvojom pripade, aj ked Windows nemas. Druha moznost je, ze sa ti tam pripojil niekto s Windows a zmenil to, pricom oni na to prisli az neskor.

Nemám s tímhle zkušenosti, můžu se optat v čem je problém s využitím defaultní IP?

Při útoku zvenčí by to přece mělo být fuk, co je na LAN. Předpokládám, že jde tedy o útok zevnitř - ale copak malware si neumí zjistit výchozí bránu?
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: smoofy 19. 06. 2012, 21:00:57
No podle informaci z webu to vypada, ze ten trojan zmenit nastaveni v linuxu neumi zrejme kvuli pravum roota, nicmene presto se udajne umi vlamat pres vnitrni sit do routeru a zmenit nastaveni tam a tudiz by se problem ve finale tykal i Linuxovych stroju za routerem. A vzhledem k faktu, ze 99% SOHO routeru prideluje pres DHCP jako DNS sebe, tak je vysledny efekt stejny, ba dokonce horsi, nakolik to defacto ovlivni vsechny masiny za routerem v dynamicky pridelenym DNS. Pokud by to tedy byla pravda, a uzivatel mel nastavenu vlastni DNS, pak by mu i behem testu nebyla nakaza prokazana, prestoze router mit zmenene nastaveni jiz muze.
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: Zopper 19. 06. 2012, 21:02:11
Nemám s tímhle zkušenosti, můžu se optat v čem je problém s využitím defaultní IP?

Při útoku zvenčí by to přece mělo být fuk, co je na LAN. Předpokládám, že jde tedy o útok zevnitř - ale copak malware si neumí zjistit výchozí bránu?
Taky jsem to nikdy nepochopil... I kdyby nebyl na síti žádný provoz a nebylo tam DHCP, na broadcast mi stejně odpoví, je tu ARP... (Dobře, teoreticky by asi šlo nastavit zařízení jako neviditelné, ale to tak nějak nemá pro router smysl...)
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: Sten 19. 06. 2012, 21:35:44
WPS je už nějakou dobu prolomené. Nevím, jak chytrý je to router, ale některé jsou tak chytré, ze počítače, které se přihlásí přes WPS, automaticky přidají do MAC filtru.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: I. 19. 06. 2012, 21:47:21
No podle informaci z webu to vypada, ze ten trojan zmenit nastaveni v linuxu neumi zrejme kvuli pravum roota, nicmene presto se udajne umi vlamat pres vnitrni sit do routeru a zmenit ...

Zajímavé info, před časem jsem pátral nakolik jsou podobní trojani/backdoory schopní nabořit linux a nedařilo se mi nic najít. Byl nějaký konkrétní zdroj? Díky!

Jan Ťulák:
Malware, který jen zkouší různé IP běžné by to zadrželo. Ale obávám se, že podobně sofistikovaní trojani viz výše asi nebudou výchozí bránu jen zkoušet. Třeba google k tomuhle konkrétnímu poví víc..
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: smoofy 19. 06. 2012, 21:58:14
Tak asi jak psal I., pres branu je to nejjednoduseji resitelne a prakticky nazabranitelne zjisteni adresy routeru. Beztak ten trojan pravdepodobne pouziva nejaky slovnikovy utok takze radeji nez menit IP si tam dat dobre heslo.

to I.
Zatim sam googluju info, ale podle toho co sem zatim zjistil to nevypada ze by linuxovy stroj jako takovy byl problem a je pravdepodobne imunni vuci tomuto trojanu, nicmene pokud pripojis do site napadeny pocitac s widlema, tak tento pak uz pres nejaky script pri nedokonalem nastaveni hesla k routeruzmeni DNS primo ne nem, a ten uz pak poskytuje nakazene preklady adres pro vsechny zarizeni v siti, tedy vcetne linuxovych stroju, ktere maji DNS prideleno automaticky od routeru. Takze nakazeny pak neni ten stroj ale router a cela sit za nim.
Navic jako superzakernost vidim to, ze DNS servery jsou vetsinou pridelovany od providera automaticky a dojde-li ke zmene tak si rekneme uprimne, kolik lidi si bude overovat u providera ze DNS ktere ma v routeru jsou ta spravna :) Navic, kdyz 90% uzivatelu ani nevi, ze nejake DNS adresy ma.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: Petr 19. 06. 2012, 22:34:17
kdyz jsem byl u UPC obdrzel jsem stejny email nekolikrat, ma posledni reaknce mela nasleduji zneni

Citace
Vážený poskytovateli internetu,
dovoluji si Vás upozornit, že dne xxxxxxx prostřednictvím Vašeho počítače / Vašich počítačů došlo k rozesílání nevyžádanému spamu obsahujucí hoax o šiření viru.

nasledovalo nekolik sprostych emailu , protoze UPC nemohli pochopit ze pouzivam pouze porty 21,80, a xxxx na SSH a zbytek je zablokovan oni zatvrzele tvrdili ze na nejakem nesmyslnem postu odesilam viry, ve chvili kdy byl,pocitac odpojen byl mi dorucen ten samy email... skoncilo to odhodem od UPC je to banda idiotu a cvicenych opic ted mam za 250kč 100/100 a nemuzu si stezovat postyvatel vubec netusi co se jeho v siti deje a to mi vyhovuje vic nez banda buz***
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: David 19. 06. 2012, 22:41:29
Dnes jsem dostal stejný email, jen krapet jiný čas:

Vážený kliente,

dovolujeme si Vás upozornit, že dne 2012-06-16 18:45:46 prostřednictvím Vašeho počítače / Vašich počítačů došlo k rozesílání počítačového viru.

na konci je připojeno totéž:
----------------------------------------------------- Detail incidentu -----------------------------------------------------

BOTS srcport 17361 mwtype DNSChanger destaddr 85.255.113.109

Prošel jsem všechny počítače pomocí AVG, Combofix, hiJack a výsledkem je, že nic nikde. žádná breberka. Ještě jsem prošel logy na wifi routeru a ani tam není vidět cokoliv s manipulací nastavení apod.

Nějaké rady co si o tomhle má člověk myslet?
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: branchman2 19. 06. 2012, 22:54:31
Ja len ohladne tej IP a detekcie, kedze ste sa na to pytali:
Problem je, ze to nie je uplne tak samostatny malware a nevie ani pristupovat do Linuxu cez napriklad SSH alebo telnet.
Ide o to, ze nie je tazke vytvorit na verejnom internete formular, ktory sa bude submitovat napr. na 192.168.1.1. Tento malware si vyberie a "submitne" (pomocou Javascriptu) prave taky formular, aby vam to zmenilo nastavenia DNS. Z pohladu routeru to nie je utok zvonku - deravy router to vnima ako regulernu zmenu od vas. Preto vadi, aj ked od vas router docasne nepyta heslo (napriklad ste ho v aktualnej session zadali). Kedze submit takehoto skriptu ide "naslepo" a Javascript vobec nema pristup k internetovemu trafficu, tak moze byt problem (v kombinacii s nezaheslovanym routerom alebo moznostou obist heslo) aj default IP ako 192.168.1.1. Zoberte si, ze keby to malo submitovat formular napr. pre vsetky privatne adresy (extrem), tak by to neskoncilo ani za niekolko hodin.

Vy, ktorym to hlasi, ze DNS changer nemate - pozrite sa do routeru na to, ako je tam nastaveny DNS server. Rovnako sa pozrite, ci v routeri nie je este nejaky nepouzivany ucet alebo default heslo.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: smoofy 19. 06. 2012, 22:58:07
Co pouzivate za OS pripadne routery? Mozna se ten svab proste nesiri kontinualne ale pouze v urcitych casovych intervalech. Pak by v mezicase nemusel byt nutne detekovan. Zatim tady vidim ale jen jedineho spolecneho jmenovatele a tim je primo UPC.
Prijde mi, ze to skutecne zpusobuji nakazene windowsacke masiny, nicmene nastaveni se asi pri jejich odpojeni zase po case vrati diky DHCP od providera pripadne restartem routeru a znovunactenim adres.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: I. 19. 06. 2012, 23:18:05
Ja len ohladne tej IP a detekcie, kedze ste sa na to pytali:
Problem je, ze to nie je uplne tak samostatny malware a nevie ani pristupovat do Linuxu cez napriklad SSH alebo telnet.
Ide o to, ze nie je tazke vytvorit na verejnom internete formular, ktory sa bude submitovat napr. na 192.168.1.1. Tento malware si vyberie a "submitne" (pomocou Javascriptu) prave taky formular, aby vam to zmenilo nastavenia DNS. Z pohladu routeru to nie je utok zvonku - deravy router to vnima ako regulernu zmenu od vas. Preto vadi, aj ked od vas router docasne nepyta heslo (napriklad ste ho v aktualnej session zadali). Kedze submit takehoto skriptu ide "naslepo" a Javascript vobec nema pristup k internetovemu trafficu, tak moze byt problem (v kombinacii s nezaheslovanym routerom alebo moznostou obist heslo) aj default IP ako 192.168.1.1. Zoberte si, ze keby to malo submitovat formular napr. pre vsetky privatne adresy (extrem), tak by to neskoncilo ani za niekolko hodin.

Slovy ze hry Járy Cimrmana: "On pravdu má!". Díky za vysvětlení.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: hawran diskuse 20. 06. 2012, 09:04:59
No pěkně.
Některým věcem ani nerozumím,  :(.

Nicméně, když to pro sebe srhnu tak buď:

a)
Mají bordel u UPC (viz ten další postižený).

nebo

b)
Moje bubuntu za nic nemůže.
S nějvětší pravděpodobností se min nějaký soused šetřílek "vlámal" do wifi a měl infikované widle.
Po zvolení drsnějších hesel by měl být problém vyřešen.

Dá ses tím souhlasit?

PS: Mne to včera nenapadlo explicitně zmínit, ale když jsem se díval na nastavení DNS, tak tam byly servery UPC (jak je to dostane po každém rebootu).
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: Zopper 20. 06. 2012, 11:50:58
Ide o to, ze nie je tazke vytvorit na verejnom internete formular, ktory sa bude submitovat napr. na 192.168.1.1.
Přes Java applet není problém zjistit místní IP - a těch zbývajících 252 adres (většinou jsou domácí sítě v C-class) obeslat. A možná by přes Javu šlo zjistit i bránu.

Samozřejmě, vypnutím Javy se tato možnost vyloučí. Většina lidí ji ale zapnutou má.

Hawran: Tak nějak. Osobně mám DNS na routeru nastavené fixně na "dostatečně důvěryhodný" server (který si pamatuji) a zaheslovaný přístup neslovníkovým heslem.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: Ondřej Surý 20. 06. 2012, 12:41:52
Pokud to UPC tupě zjišťuje jen na základě detekce zdrojové/cílové adresy UDP paketů, tak jsem si našel novou zábavu...

Jdu spoofovat UDP pakety, tak aby patřily UPC a na druhé straně měly DNS servery DNSChangeru... Jaj, to bude něco...

Rozhodně po nich chtějte metodiku měření DNSChangeru (včetně toho, jestli mají implementované RPF a filtry na zákaznických zařízeních, protože jinak se UDP dá spoofovat moc hezky) a chtěl bych po nich zpátky část peněz na neplnění služby, protože na základě nějaké detekce zdrojových/cílových adres v UDP paketu nelze nic moc usuzovat.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: daks 20. 06. 2012, 12:44:44
Hm, od UPC jsem dostal v podstatě totéž, datum a čas "rozesílání viru" skoro stejný. Na PC s Win7 jsem našel trojana + nějakou další havěť, vyčistil, a jak to tady čtu, tak ještě vytuním zaheslování Wi-Fi routeru, pro jistotu. A vypadá to, že se vykašlu na filtrování MAC adres...
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: hawran diskuse 20. 06. 2012, 13:37:14
Pokud to UPC tupě zjišťuje jen na základě detekce zdrojové/cílové adresy UDP paketů, tak jsem si našel novou zábavu...

Jdu spoofovat UDP pakety, tak aby patřily UPC a na druhé straně měly DNS servery DNSChangeru... Jaj, to bude něco...

Rozhodně po nich chtějte metodiku měření DNSChangeru (včetně toho, jestli mají implementované RPF a filtry na zákaznických zařízeních, protože jinak se UDP dá spoofovat moc hezky) a chtěl bych po nich zpátky část peněz na neplnění služby, protože na základě nějaké detekce zdrojových/cílových adres v UDP paketu nelze nic moc usuzovat.

No, zkusit to mohu. Za zeptání nic nedáš, že ...
 :) :) :)
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: DgBd 20. 06. 2012, 13:37:36
Zůstal bych v klidu. Tento false alarm způsobila patrně nějaká bezpečnostní firma, která špatně detekovala nějaký útok a poslala to poskytovateli. Teď je na UPC, jak rychle si to uvědomí.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: hawran diskuse 20. 06. 2012, 13:37:56
Hm, od UPC jsem dostal v podstatě totéž, datum a čas "rozesílání viru" skoro stejný. Na PC s Win7 jsem našel trojana + nějakou další havěť, vyčistil, a jak to tady čtu, tak ještě vytuním zaheslování Wi-Fi routeru, pro jistotu. A vypadá to, že se vykašlu na filtrování MAC adres...

Jen tak informativně, bylo tento trojan?
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: Lol Phirae 20. 06. 2012, 13:56:43
No, zkusit to mohu. Za zeptání nic nedáš, že ...

U advokáta bych to nezkoušel...  :D
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: daks 20. 06. 2012, 13:57:48
>>Jen tak informativně, bylo tento trojan?
Tak teď budu trochu za blba, ale musím přiznat, že nevím určitě. Pro kontrolu jsem použil zkušební verzi Ad-Aware a protože jsem ji nechtěl dál používat, všechno jsem to hned odinstaloval, ani jsem si nepoznamenal názvy. Budiž to pro mě poučením pro příště...
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: hawran diskuse 20. 06. 2012, 14:06:10
No, zkusit to mohu. Za zeptání nic nedáš, že ...

U advokáta bych to nezkoušel...  :D
;D ;D ;D
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: hawran diskuse 20. 06. 2012, 14:06:27
>>Jen tak informativně, bylo tento trojan?
Tak teď budu trochu za blba, ale musím přiznat, že nevím určitě. Pro kontrolu jsem použil zkušební verzi Ad-Aware a protože jsem ji nechtěl dál používat, všechno jsem to hned odinstaloval, ani jsem si nepoznamenal názvy. Budiž to pro mě poučením pro příště...
No problem.
 :)
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: Olaf 20. 06. 2012, 19:44:13
DNSChanger nenapadá prohlížeč, pouze se přes prohlížeč instaluje (je to trojan) (http://www.f-secure.com/v-descs/dnschang.shtml). Stejně tak jinde než ve Windows nefunguje, protože nastavuje DNS servery v registrech. Ani nastavení routeru neumí změnit.

Navíc to ani není virus. Jediné vysvětlení tedy je, že se vám někdo s nakaženými Windows připojil do sítě.

Dovolím si nesouhlasit. Kromě Windows "napadá" (uživatel si ho musí vědomě nainstalovat) i Mac OS X - viz např. http://www.f-secure.com/v-descs/trojan_osx_dnschanger.shtml (http://www.f-secure.com/v-descs/trojan_osx_dnschanger.shtml) ).

U Mac OS X je mj. zajímavá vlastnost - cituji: "The install script adds a crontab (a configuration file that specifies shell commands to run periodically on a given schedule) to a script to verify the malicious DNS servers remain unchanged. The script is stored in /Library/Internet Plug-Ins and is named plugins.settings."

Kromě toho - cituji: "Nejvíce zákeřná je však schopnost tohoto trojského koně změnit i nastavení některých routerů, používaných v domácnostech pro sdílení internetového připojení. Za tímto účelem zkouší známá defaultní jména a hesla pro různé routery." - viz. http://blog.nic.cz/category/security/ (http://blog.nic.cz/category/security/) (články "Na 8. března nepřipadá jen MDŽ" z 22. 2. 2012 resp. "Problém jménem DNSChanger a pár dobrých zpráv" z 2. 4. 2012).

No podle informaci z webu to vypada, ze ten trojan zmenit nastaveni v linuxu neumi zrejme kvuli pravum roota, ...

Taky jsem na netu našel pouze tvrzení, že Linuxu, iOS a Androidu se DNSChanger netýká, nicméně se domnívám, že v případě instalace přes sudo ( à la Mac OS X) by to mohlo jít ??

Závěrem parafráze Cimrmana: "Tedy pokud to je DNSChanger".
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: Sten 20. 06. 2012, 20:38:29

Hmm, takže jsou dva DNS Changery. A tenhle je teda mnohem zajímavější (hlavně že se na rozdíl od spousty jiných trojanů snaží tvářit, že po té „instalaci“ vše funguje). Na Linux ale stejně nainstalovat nepůjde, protože tam není Cocoa.

Ale nikde na webu F-Secure jsem nenašel, že by napadal i routery. Nicméně i podle informací od FBI to fakt umí.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: mhepp 20. 06. 2012, 22:56:13
U nás máme docela složitý systém detekce průniků a včera se mi v poště objevilo několik desítek reportů o skenování sítě nějakým malware. Bližší info nemám.

V zápětí se kolegové z bezpečnostního oddělení ozvali, že si z daných zpráv nemáme nic dělat, že se jedná o planý poplach způsobený externím poskytovatelem dat.

Takže kdo ví, jak to má UPC podchycené a kdo jim říká, že někdo dělá bordel na síti...
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: Jára 20. 06. 2012, 23:46:46
Tak bacha, mě došlo totéž o incidentu dne 2012-06-16 18:46:31 Skoro stejný čas! A teď ta perlička! Volal jsem tam co to má znamenat a z které IP adresy jim to přišlo! Řekli mi IP adresu, kterou už 14 dnů nemám, protože mě ji změnili! (K tomu se váže story že mě oznámilil její změnu za 14 dní, ale už byla 2 dny změněna a mě nefungoval e-mail server kvůi tomu).  A to si platím pevnou IP! Když jsme je seřval jak je toto méžné, když v inkriminovaou dobu jsem měl už jinou IP, začali se vymlouvat, že to je nějaká chyba systému a že se mám obrátit na reklamační oddělení! Tím mě rozčílili ještě víc, tak jsem se jich zeptal co je jim po tom, co rozesílám, kldyž o tom sám nevím, (teď bacha) jak bych takového trojana mohl chytnout jinak, než Z JEJICH SÍTĚ !!! Proč to skenují jen směrem k nim a ne směrem od nich! Panáček byl v koncích a začal blekotat o smluvních podmínkách! Tak jsem ho s tím poslal někam, když to mají jen jednostranné  a já je nemůžu obvinit že mi toho trojana propustili a on mě začal odkazovat na jejcih ochranu, kterou mi můžou poskytnout (ale ta je z a dalších 50 Kč/měs.) Měl štěstí, že přez dráty jsme mu ji nemohl natáhnout a seřval jsem ho ať si to nejdřív nainstalují sami  a nezavirovávají klienty a jestli se to bude opakovat, že s nima končím... Mají tam zkrátka bordel jak v tanku a zřejmě jim to generovalo tuhle hlášku ve stejnou dobu na více uživatelů choticky... Samozřejmě slizký asertivní oprátoři s dutejma hlavama tam nic nepřiznají a dělají z klientů voly, posílajíc je na reklamační oddělení, kde očekávám ještě lépe proškolené duté hlavy! Tento čas jsem jim už nevěnova!  Podle zkušenoati se s klientem UPC začíná bavit až tehdy, když podá výpověď služby, tak týden před očekávaným odpojením. Pak najednou volá jiný asertivní blbeček, který maže med kolem huby, slevňuje na polovinu apod. Jsem tou firmou už fakt zhnusen!...  >:(
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: daks 21. 06. 2012, 09:00:30
Možná jsem trochu paranoidní, ale napadlo mě, jestli celá ta věc s rozesíláním mailů o napadení, není v podstatě jen taková reklamní akce nabízející neznalým uživatelům "super UPC antivirovou ochranu", co vás zbaví všech problémů nadobro. Povídám, je to jen taková úvaha... ;-)
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: hawran diskuse 21. 06. 2012, 09:38:49
Možná jsem trochu paranoidní, ale napadlo mě, jestli celá ta věc s rozesíláním mailů o napadení, není v podstatě jen taková reklamní akce nabízející neznalým uživatelům "super UPC antivirovou ochranu", co vás zbaví všech problémů nadobro. Povídám, je to jen taková úvaha... ;-)

No to by bylo hodně "mazané" ...
Název: Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
Přispěvatel: Olaf 21. 06. 2012, 17:04:39
... Na Linux ale stejně nainstalovat nepůjde, protože tam není Cocoa. ...

Neměl jsem na mysli použití binárky pro Mac OS X, ale použitou metodu sociálního inženýrství. Trochu jsem tím polemizoval s:

No podle informaci z webu to vypada, ze ten trojan zmenit nastaveni v linuxu neumi zrejme kvuli pravum roota, ...

Jinými slovy - domívám se, že pokud by si s tím dal někdo práci, mohl by DNSChanger běhat i na Linuxu a nutnost použít sudo nebo root při instalaci tomu nezabrání. Takže si tu práci nikdo nedal (asi usoudil, že uživatelé Linuxu si nebudou instalovat "kodek" z pornostránky :) ) a nebo o tom nevíme.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: Slavek 22. 06. 2012, 10:42:23
No mne to postihlo uprostřed tohoto týdne. Napsali v úterý, že mi blokují všechno kromě portu 80, protože jsem v sobotu rozesílal viry. Jenže v soboty byly všechny Win PC doma mrtvé, pouze já jsem měl zapnutý svůj Linuxový a z toho jsem konfiguroval jeden svůj nový server. V rámci kontroly jsem komunikoval telnetem se svým smtp serverem, čili pořád se stejnou IP serveru, asi to UPC vyhodnotilo jako "virus" :-) Sice to po stížnosti obnovili, ale připadá mi teda způsob, že mne zablokují poté, co vícekrát použiju telnet na 25, dost tragický.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: smoofy 22. 06. 2012, 11:32:57
to Olaf
Citace
Jinými slovy - domívám se, že pokud by si s tím dal někdo práci, mohl by DNSChanger běhat i na Linuxu a nutnost použít sudo nebo root při instalaci tomu nezabrání. Takže si tu práci nikdo nedal (asi usoudil, že uživatelé Linuxu si nebudou instalovat "kodek" z pornostránky  ) a nebo o tom nevíme.
Vzhledem k povaze nakazy a faktu, ze drtiva vetsina uzivatelu pouziva Widle a navic funguje na administratorskem uctu bych se ani nedivil, ze se nikdo neobtezoval s vymyslenim varianty pro Linux, nicmene, jak si sam uvedl, existuje varianta pro Mac OS.

Co se tyce te zmeny nastaveni pres registry tak tam je pochopitelne, ze tato verze nebude fungovat na Linuxu, ovsem umi-li skutecne tento malware menit nastaveni routeru pres Javascript, pak neni prece nejmensi duvod, aby tato feature nefungovala i na Linuxu. System jako takovy zustane nezmenen, Takze zbeznou kontrolou nic nezjistite, nicmene muze byt kompromitovan router pri nedostatecnem nastaveni. Ono taky ruku na srdce, malokdo predpoklada utok na svou sit zevnitr ze? Ono staci si poridit novy router, kde vsechno vicemene beha v defaultu na P&P a rici si ze zabezpeceni poresite pozdeji a je to...
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: Pavel 'TIGER' Růžička 22. 06. 2012, 13:00:00
Tady fakt asi půjde jen o prachy navíc. Nechápu, proč by se provider měl vměšovat do toho, co kdo posílá ... za chvilku by se mohlo stát, že budou blokovat i dejme tomu nevhodná videa, či fotografie ... bohužel v některých lokalitách je to stále jen jediná možnost připojení.
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: Olaf 22. 06. 2012, 15:10:11
... Nechápu, proč by se provider měl vměšovat do toho, co kdo posílá ...

Přitom UPC Česká republika, s.r.o. patří prostřednictvím dalších společností společnosti Liberty Global - příznačný název, což? (To mi připomnělo název vojenské operace "Trvalá svoboda"  :) ).
Název: Re:UPC mi napsalo, že rozesílám viry
Přispěvatel: Josef Liška 22. 06. 2012, 19:03:18
Ahoj,
nikdo tady nezmínil možnost, že by mohl být zavirovaný přímo ten jejich modem. Pokud si pořídíte slušný wifi router, tak do něj lze nacpat openwrt, který
běží na linuxu 3.3, kde moc provařenejch starejch děr nebude. Spousta krabiček ale běhá furt na 2.4.x, kde nebude tak těžký najít exploit.