UPC mi napsalo, že rozesílám viry

Sten

Re:UPC mi napsalo, že rozesílám viry a ořezalo mi porty
« Odpověď #15 kdy: 19. 06. 2012, 21:35:44 »
WPS je už nějakou dobu prolomené. Nevím, jak chytrý je to router, ale některé jsou tak chytré, ze počítače, které se přihlásí přes WPS, automaticky přidají do MAC filtru.


I.

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #16 kdy: 19. 06. 2012, 21:47:21 »
No podle informaci z webu to vypada, ze ten trojan zmenit nastaveni v linuxu neumi zrejme kvuli pravum roota, nicmene presto se udajne umi vlamat pres vnitrni sit do routeru a zmenit ...

Zajímavé info, před časem jsem pátral nakolik jsou podobní trojani/backdoory schopní nabořit linux a nedařilo se mi nic najít. Byl nějaký konkrétní zdroj? Díky!

Jan Ťulák:
Malware, který jen zkouší různé IP běžné by to zadrželo. Ale obávám se, že podobně sofistikovaní trojani viz výše asi nebudou výchozí bránu jen zkoušet. Třeba google k tomuhle konkrétnímu poví víc..

smoofy

  • *****
  • 1 044
    • Zobrazit profil
    • E-mail
Re:UPC mi napsalo, že rozesílám viry
« Odpověď #17 kdy: 19. 06. 2012, 21:58:14 »
Tak asi jak psal I., pres branu je to nejjednoduseji resitelne a prakticky nazabranitelne zjisteni adresy routeru. Beztak ten trojan pravdepodobne pouziva nejaky slovnikovy utok takze radeji nez menit IP si tam dat dobre heslo.

to I.
Zatim sam googluju info, ale podle toho co sem zatim zjistil to nevypada ze by linuxovy stroj jako takovy byl problem a je pravdepodobne imunni vuci tomuto trojanu, nicmene pokud pripojis do site napadeny pocitac s widlema, tak tento pak uz pres nejaky script pri nedokonalem nastaveni hesla k routeruzmeni DNS primo ne nem, a ten uz pak poskytuje nakazene preklady adres pro vsechny zarizeni v siti, tedy vcetne linuxovych stroju, ktere maji DNS prideleno automaticky od routeru. Takze nakazeny pak neni ten stroj ale router a cela sit za nim.
Navic jako superzakernost vidim to, ze DNS servery jsou vetsinou pridelovany od providera automaticky a dojde-li ke zmene tak si rekneme uprimne, kolik lidi si bude overovat u providera ze DNS ktere ma v routeru jsou ta spravna :) Navic, kdyz 90% uzivatelu ani nevi, ze nejake DNS adresy ma.

Petr

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #18 kdy: 19. 06. 2012, 22:34:17 »
kdyz jsem byl u UPC obdrzel jsem stejny email nekolikrat, ma posledni reaknce mela nasleduji zneni

Citace
Vážený poskytovateli internetu,
dovoluji si Vás upozornit, že dne xxxxxxx prostřednictvím Vašeho počítače / Vašich počítačů došlo k rozesílání nevyžádanému spamu obsahujucí hoax o šiření viru.

nasledovalo nekolik sprostych emailu , protoze UPC nemohli pochopit ze pouzivam pouze porty 21,80, a xxxx na SSH a zbytek je zablokovan oni zatvrzele tvrdili ze na nejakem nesmyslnem postu odesilam viry, ve chvili kdy byl,pocitac odpojen byl mi dorucen ten samy email... skoncilo to odhodem od UPC je to banda idiotu a cvicenych opic ted mam za 250kč 100/100 a nemuzu si stezovat postyvatel vubec netusi co se jeho v siti deje a to mi vyhovuje vic nez banda buz***

David

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #19 kdy: 19. 06. 2012, 22:41:29 »
Dnes jsem dostal stejný email, jen krapet jiný čas:

Vážený kliente,

dovolujeme si Vás upozornit, že dne 2012-06-16 18:45:46 prostřednictvím Vašeho počítače / Vašich počítačů došlo k rozesílání počítačového viru.

na konci je připojeno totéž:
----------------------------------------------------- Detail incidentu -----------------------------------------------------

BOTS srcport 17361 mwtype DNSChanger destaddr 85.255.113.109

Prošel jsem všechny počítače pomocí AVG, Combofix, hiJack a výsledkem je, že nic nikde. žádná breberka. Ještě jsem prošel logy na wifi routeru a ani tam není vidět cokoliv s manipulací nastavení apod.

Nějaké rady co si o tomhle má člověk myslet?


branchman2

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #20 kdy: 19. 06. 2012, 22:54:31 »
Ja len ohladne tej IP a detekcie, kedze ste sa na to pytali:
Problem je, ze to nie je uplne tak samostatny malware a nevie ani pristupovat do Linuxu cez napriklad SSH alebo telnet.
Ide o to, ze nie je tazke vytvorit na verejnom internete formular, ktory sa bude submitovat napr. na 192.168.1.1. Tento malware si vyberie a "submitne" (pomocou Javascriptu) prave taky formular, aby vam to zmenilo nastavenia DNS. Z pohladu routeru to nie je utok zvonku - deravy router to vnima ako regulernu zmenu od vas. Preto vadi, aj ked od vas router docasne nepyta heslo (napriklad ste ho v aktualnej session zadali). Kedze submit takehoto skriptu ide "naslepo" a Javascript vobec nema pristup k internetovemu trafficu, tak moze byt problem (v kombinacii s nezaheslovanym routerom alebo moznostou obist heslo) aj default IP ako 192.168.1.1. Zoberte si, ze keby to malo submitovat formular napr. pre vsetky privatne adresy (extrem), tak by to neskoncilo ani za niekolko hodin.

Vy, ktorym to hlasi, ze DNS changer nemate - pozrite sa do routeru na to, ako je tam nastaveny DNS server. Rovnako sa pozrite, ci v routeri nie je este nejaky nepouzivany ucet alebo default heslo.

smoofy

  • *****
  • 1 044
    • Zobrazit profil
    • E-mail
Re:UPC mi napsalo, že rozesílám viry
« Odpověď #21 kdy: 19. 06. 2012, 22:58:07 »
Co pouzivate za OS pripadne routery? Mozna se ten svab proste nesiri kontinualne ale pouze v urcitych casovych intervalech. Pak by v mezicase nemusel byt nutne detekovan. Zatim tady vidim ale jen jedineho spolecneho jmenovatele a tim je primo UPC.
Prijde mi, ze to skutecne zpusobuji nakazene windowsacke masiny, nicmene nastaveni se asi pri jejich odpojeni zase po case vrati diky DHCP od providera pripadne restartem routeru a znovunactenim adres.

I.

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #22 kdy: 19. 06. 2012, 23:18:05 »
Ja len ohladne tej IP a detekcie, kedze ste sa na to pytali:
Problem je, ze to nie je uplne tak samostatny malware a nevie ani pristupovat do Linuxu cez napriklad SSH alebo telnet.
Ide o to, ze nie je tazke vytvorit na verejnom internete formular, ktory sa bude submitovat napr. na 192.168.1.1. Tento malware si vyberie a "submitne" (pomocou Javascriptu) prave taky formular, aby vam to zmenilo nastavenia DNS. Z pohladu routeru to nie je utok zvonku - deravy router to vnima ako regulernu zmenu od vas. Preto vadi, aj ked od vas router docasne nepyta heslo (napriklad ste ho v aktualnej session zadali). Kedze submit takehoto skriptu ide "naslepo" a Javascript vobec nema pristup k internetovemu trafficu, tak moze byt problem (v kombinacii s nezaheslovanym routerom alebo moznostou obist heslo) aj default IP ako 192.168.1.1. Zoberte si, ze keby to malo submitovat formular napr. pre vsetky privatne adresy (extrem), tak by to neskoncilo ani za niekolko hodin.

Slovy ze hry Járy Cimrmana: "On pravdu má!". Díky za vysvětlení.

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #23 kdy: 20. 06. 2012, 09:04:59 »
No pěkně.
Některým věcem ani nerozumím,  :(.

Nicméně, když to pro sebe srhnu tak buď:

a)
Mají bordel u UPC (viz ten další postižený).

nebo

b)
Moje bubuntu za nic nemůže.
S nějvětší pravděpodobností se min nějaký soused šetřílek "vlámal" do wifi a měl infikované widle.
Po zvolení drsnějších hesel by měl být problém vyřešen.

Dá ses tím souhlasit?

PS: Mne to včera nenapadlo explicitně zmínit, ale když jsem se díval na nastavení DNS, tak tam byly servery UPC (jak je to dostane po každém rebootu).

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #24 kdy: 20. 06. 2012, 11:50:58 »
Ide o to, ze nie je tazke vytvorit na verejnom internete formular, ktory sa bude submitovat napr. na 192.168.1.1.
Přes Java applet není problém zjistit místní IP - a těch zbývajících 252 adres (většinou jsou domácí sítě v C-class) obeslat. A možná by přes Javu šlo zjistit i bránu.

Samozřejmě, vypnutím Javy se tato možnost vyloučí. Většina lidí ji ale zapnutou má.

Hawran: Tak nějak. Osobně mám DNS na routeru nastavené fixně na "dostatečně důvěryhodný" server (který si pamatuji) a zaheslovaný přístup neslovníkovým heslem.

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #25 kdy: 20. 06. 2012, 12:41:52 »
Pokud to UPC tupě zjišťuje jen na základě detekce zdrojové/cílové adresy UDP paketů, tak jsem si našel novou zábavu...

Jdu spoofovat UDP pakety, tak aby patřily UPC a na druhé straně měly DNS servery DNSChangeru... Jaj, to bude něco...

Rozhodně po nich chtějte metodiku měření DNSChangeru (včetně toho, jestli mají implementované RPF a filtry na zákaznických zařízeních, protože jinak se UDP dá spoofovat moc hezky) a chtěl bych po nich zpátky část peněz na neplnění služby, protože na základě nějaké detekce zdrojových/cílových adres v UDP paketu nelze nic moc usuzovat.

daks

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #26 kdy: 20. 06. 2012, 12:44:44 »
Hm, od UPC jsem dostal v podstatě totéž, datum a čas "rozesílání viru" skoro stejný. Na PC s Win7 jsem našel trojana + nějakou další havěť, vyčistil, a jak to tady čtu, tak ještě vytuním zaheslování Wi-Fi routeru, pro jistotu. A vypadá to, že se vykašlu na filtrování MAC adres...

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #27 kdy: 20. 06. 2012, 13:37:14 »
Pokud to UPC tupě zjišťuje jen na základě detekce zdrojové/cílové adresy UDP paketů, tak jsem si našel novou zábavu...

Jdu spoofovat UDP pakety, tak aby patřily UPC a na druhé straně měly DNS servery DNSChangeru... Jaj, to bude něco...

Rozhodně po nich chtějte metodiku měření DNSChangeru (včetně toho, jestli mají implementované RPF a filtry na zákaznických zařízeních, protože jinak se UDP dá spoofovat moc hezky) a chtěl bych po nich zpátky část peněz na neplnění služby, protože na základě nějaké detekce zdrojových/cílových adres v UDP paketu nelze nic moc usuzovat.

No, zkusit to mohu. Za zeptání nic nedáš, že ...
 :) :) :)

DgBd

  • ****
  • 281
    • Zobrazit profil
    • E-mail
Re:UPC mi napsalo, že rozesílám viry
« Odpověď #28 kdy: 20. 06. 2012, 13:37:36 »
Zůstal bych v klidu. Tento false alarm způsobila patrně nějaká bezpečnostní firma, která špatně detekovala nějaký útok a poslala to poskytovateli. Teď je na UPC, jak rychle si to uvědomí.

Re:UPC mi napsalo, že rozesílám viry
« Odpověď #29 kdy: 20. 06. 2012, 13:37:56 »
Hm, od UPC jsem dostal v podstatě totéž, datum a čas "rozesílání viru" skoro stejný. Na PC s Win7 jsem našel trojana + nějakou další havěť, vyčistil, a jak to tady čtu, tak ještě vytuním zaheslování Wi-Fi routeru, pro jistotu. A vypadá to, že se vykašlu na filtrování MAC adres...

Jen tak informativně, bylo tento trojan?