UPC mi napsalo, že rozesílám viry

[hawran diskuse]

Před chvílí jsem obdržel od UPC e-mail, že

Vážený kliente,
dovolujeme si Vás upozornit, že dne 2012-06-16 18:37:27 prostřednictvím Vašeho počítače / Vašich počítačů došlo k rozesílání počítačového viru.
Tím jste narušil provoz datové sítě UPC a porušil Všeobecné podmínky ...
Abychom předešli dalším negativním důsledkům, provedli jsme na Vašem internetovém připojení v souladu s Všeobecnými podmínkami omezení, která mají dalšímu šíření virů zabránit.
V tuto chvíli máte povolenu komunikaci pouze na portech 80 (http), 443 (https), 110 (pop3), 143 (imap), 53 (dns), 67 a 68 (dhcp).

Věříme, že k této nepříjemné události došlo neúmyslně a bez Vašeho vědomí. Většina virů je rozeslána zneužitím počítače v důsledku jeho nízkého zabezpečení. Dovolujeme si Vám proto připomenout kroky,
které je třeba pro zabezpečení vašeho počítače učinit, aby byla v budoucnu co nejmenší pravděpodobnost napadení a zneužití Vašeho počítače.

1) Nainstalovat všechny bezpečnostní záplaty Vašeho operačního systému (např. pro operační systém Windows na stránce: http://www.windowsupdate.com)
2) Zkontrolovat Váš počítač klasickým aktualizovaným antivirovým programem (např. UPC SmartGuard, Norton Antivirus,Avast, AVG...)
3) Prověřit Váš počítač programem na vyhledávání různých "červů nebo tzv. spyware". Mezi nejpoužívanější programy patří Ad-aware, SpyBot a UPC SmartGuard.
4) Nadále Vám doporučujeme používání firewallu.

----------------------------------------------------- Detail incidentu -----------------------------------------------------
BOTS srcport 3864 mwtype DNSChanger destaddr 85.255.113.109

Chtěl bych se zeptat, jak je možné, že jsem něco takového provedl, když jsem ten den měl jistojistě puštěný jen notes s bubuntu?
Na UPC modem mám připojený CNP-WF514N1A (wireless (802.11n 150 Mbps) and wired router), kvůli rozvedení wifi po bytě.
Je možné, aby se mi někdo "vlámal" do wifi?
(teď nemám možnost zkontrolovat nastavení modemu)

[Reklama]

[.]

Je to velmi pravděpodobné. Co jsem se známými tuto hlášku řešil, vždy měli v UPC pravdu.

[branchman2]

Mas pristup k routeru zaheslovany? Tym zaheslovanim nemyslim heslo toor alebo 123456. Pomocou Javascriptu a CSRF v rozhrani routera sa da niekedy cez browser v routeri zmenit DNS server - to plati zvlast vtedy, ked je router pomerne rozsireny a na "beznej" IP na styl 192.168.1.1.

Toto sa mohlo stat aj v tvojom pripade, aj ked Windows nemas. Druha moznost je, ze sa ti tam pripojil niekto s Windows a zmenil to, pricom oni na to prisli az neskor.

[hawran diskuse]

Je to velmi pravděpodobné. Co jsem se známými tuto hlášku řešil, vždy měli v UPC pravdu.

Nějak mi uniká, "co" je pravděpodobné.
(Mám tam pod sebou víc otázek)
(A to vedro ...)

[hawran diskuse]

Mas pristup k routeru zaheslovany? Tym zaheslovanim nemyslim heslo toor alebo 123456. Pomocou Javascriptu a CSRF v rozhrani routera sa da niekedy cez browser v routeri zmenit DNS server - to plati zvlast vtedy, ked je router pomerne rozsireny a na "beznej" IP na styl 192.168.1.1.

Toto sa mohlo stat aj v tvojom pripade, aj ked Windows nemas. Druha moznost je, ze sa ti tam pripojil niekto s Windows a zmenil to, pricom oni na to prisli az neskor.

Mno, nepoužil jsem žádné generátory loginů ani hesel, ale žádné 123546, nebo admin tam nemám.

Mno, musím počkat, až příjdu domů, abych to zkontroloval...

[Reklama]

[smoofy]

ad. branchman2
Urcite bych se vydal timto smerem, na kolik se velice pravdepodobne jedna o jeden z exemplaru DNSchanger malware napadajici nikoliv OS ale browser, tudiz je guma tuzka jestli mas widle nebo linux. Dokonce i ten detail toho incidentu ve zprave tomu napovida viz: "BOTS srcport 3864 mwtype DNSChanger destaddr 85.255.113.109 " Tato serie ruznych skodlivych kodu vselijakymi zpusoby napada uzivatelske DNS a meni jej na skodlivy vlastni server, ktery posila sve upravene odkazy. Takovy uzivatel pote ma samozrejme nekorektni internet. Nakolik je tento pres javascript schopen ovlivnit DNS v routeru nevim, nicmene docela jiste vim, ze to ani neni zapotrebi, nakolik DNS server staci zmenit lokalne v pravidelnych intervalech, aby nedoslo prepsanim na korektni hodnotu DHCP protokolem a problem je na svete.

[Quantim]

pro kontrolu na přítomnost tohoto malware se dá využít jako rychlá kontrol a stránka
http://www.dns-ok.cz

[Sten]

DNSChanger nenapadá prohlížeč, pouze se přes prohlížeč instaluje (je to trojan). Stejně tak jinde než ve Windows nefunguje, protože nastavuje DNS servery v registrech. Ani nastavení routeru neumí změnit.

Navíc to ani není virus. Jediné vysvětlení tedy je, že se vám někdo s nakaženými Windows připojil do sítě.

[hawran diskuse]

pro kontrolu na přítomnost tohoto malware se dá využít jako rychlá kontrol a stránka
http://www.dns-ok.cz

JJ, díky.
Výsledek:

Nastavení DNS = V POŘÁDKU
Zdá se, že Váš počítač korektně vyhledává IP adresy!

[hawran diskuse]

DNSChanger nenapadá prohlížeč, pouze se přes prohlížeč instaluje (je to trojan). Stejně tak jinde než ve Windows nefunguje, protože nastavuje DNS servery v registrech. Ani nastavení routeru neumí změnit.

Navíc to ani není virus. Jediné vysvětlení tedy je, že se vám někdo s nakaženými Windows připojil do sítě.

To bych považoval za nejpravděpodobnější, já prostě widle už dlouho nezapnul a proto bych tipoval na někoho zvenku přes wifi.
Nejsem v tom odborník, je na následujícím nastavení něco špatně?

WPS Status:    Disabled (zakázal jsem teď)
WPA2-PSK
Encryption: AES
PSK Paasword: teď je přes 20 znaků
Group Key Update Period: změnil jsem z 0 (disabled)

[hawran diskuse]

Nejsem v tom odborník, je na následujícím nastavení něco špatně?

Zapomněl jsem zmínit:

Wireless MAC Filtering:      Enabled
Port Triggering
ID    Trigger Port      Trigger Protocol    Incoming Port     Incoming Protocol    Status    Modify
1      554               ALL                 1-65534                   ALL                  Enabled
Current UPnP Status:    Disabled

[JardaP .]

Na MAC filtering se s klidem vydlabni, akorat si budes komplikovat zivot, az pripojis nove zarizeni a budes si lamat hlavu, proc to nejde, protoze na MAC filtering jsi mezitim zapomnel. Co potrebujes je mohutne heslo 20 a vice znaku na WPA, ktere urcite neni slovnikove (treba KeepassX ti vygeneruje krasne smeti z nahodneho generatoru. Jestli ti nekdo prolomi heslo, tak nejaky MAC filtering te uz nezachrani. To je otazka par minut odposlechu, nez si odchyti nejakou existujici MAC a pak pocka, az pujdes chrapat a vypnes pocitac.

A jak uz nekdo zminil, tak netrivialne zahesleny router take nezaskodi, aby ti na nej nekdo nelezl zevnitr z browseru z nejake vypecene stranky.

[I.]

Mas pristup k routeru zaheslovany? Tym zaheslovanim nemyslim heslo toor alebo 123456. Pomocou Javascriptu a CSRF v rozhrani routera sa da niekedy cez browser v routeri zmenit DNS server - to plati zvlast vtedy, ked je router pomerne rozsireny a na "beznej" IP na styl 192.168.1.1.

Toto sa mohlo stat aj v tvojom pripade, aj ked Windows nemas. Druha moznost je, ze sa ti tam pripojil niekto s Windows a zmenil to, pricom oni na to prisli az neskor.

Nemám s tímhle zkušenosti, můžu se optat v čem je problém s využitím defaultní IP?

Při útoku zvenčí by to přece mělo být fuk, co je na LAN. Předpokládám, že jde tedy o útok zevnitř - ale copak malware si neumí zjistit výchozí bránu?

[smoofy]

No podle informaci z webu to vypada, ze ten trojan zmenit nastaveni v linuxu neumi zrejme kvuli pravum roota, nicmene presto se udajne umi vlamat pres vnitrni sit do routeru a zmenit nastaveni tam a tudiz by se problem ve finale tykal i Linuxovych stroju za routerem. A vzhledem k faktu, ze 99% SOHO routeru prideluje pres DHCP jako DNS sebe, tak je vysledny efekt stejny, ba dokonce horsi, nakolik to defacto ovlivni vsechny masiny za routerem v dynamicky pridelenym DNS. Pokud by to tedy byla pravda, a uzivatel mel nastavenu vlastni DNS, pak by mu i behem testu nebyla nakaza prokazana, prestoze router mit zmenene nastaveni jiz muze.

[Zopper]

Nemám s tímhle zkušenosti, můžu se optat v čem je problém s využitím defaultní IP?

Při útoku zvenčí by to přece mělo být fuk, co je na LAN. Předpokládám, že jde tedy o útok zevnitř - ale copak malware si neumí zjistit výchozí bránu?

Taky jsem to nikdy nepochopil... I kdyby nebyl na síti žádný provoz a nebylo tam DHCP, na broadcast mi stejně odpoví, je tu ARP... (Dobře, teoreticky by asi šlo nastavit zařízení jako neviditelné, ale to tak nějak nemá pro router smysl...)