[GTER] RES: DNS Infectado??

Bruno Viviani bruno at semprenet.com.br
Fri Jun 6 16:09:58 -03 2014 

Verifique se os equipamentos de clientes estão com senha padrão.
Tive este problema tem alguns dias, vários clientes com ubiquiti estavam com
senha padrão, onde o atacante faz um bruteforce em sua rede tentando acessar
os ips, e os que ele consegue acessar ele faz varias regras nat,
redirecionando para o ip 94.242.222.58.

Segue regras que encontrei em vários clientes:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            173.194.0.0/16      tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            207.126.144.0/20    tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            64.18.0.0/20        tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            74.125.0.0/16       tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            66.102.0.0/20       tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            209.85.128.0/17     tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            72.14.192.0/18      tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            66.249.80.0/20      tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            64.233.160.0/19     tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            216.239.32.0/19     tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            74.125.0.0/16       tcp dpt:80
to:94.242.222.58:80


atenciosamente,

Bruno Viviani
Gerente Técnico
Net Rubi Internet
(17) 3426-6600
www.net-rubi.com.br

"Esta mensagem é reservada e sua divulgação, distribuição, reprodução ou
qualquer forma de uso é proibida e depende de prévia autorização desta
instituição. O remetente utiliza o correio eletrônico no exercício do seu
trabalho ou em razão dele, eximindo esta instituição de qualquer
responsabilidade por utilização indevida. Se você recebeu esta mensagem por
engano, favor eliminá-la imediatamente."
"This message is reserved and its disclosure, distribution, reproduction or
any other form of use is prohibited and shall depend upon previous proper
authorization. The sender uses the electronic mail in the exercise of
his/her work or by virtue thereof, and the institution accepts no liability
for its undue use. If you have received this e-mail by mistake, please
delete it immediately."



-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Samuel Hartmann - SinosNet/Sinoscorp
Enviada em: sexta-feira, 6 de junho de 2014 13:48
Para: gter at eng.registro.br
Assunto: [GTER] DNS Infectado??

Pessoal, recebemos um relato de usuários que quando conectados em nossa rede
ao abrir o navegador recebem uma solicitação falsa de atualização FAKE do
Flash Player, e também do "bem dito" LinkBucks. Alegam que se conectado em
outras redes não recebem estas solicitação.

Minha pergunta aos colegas com maior conhecimento, pode ser uma infecção do
nosso DNS? Visto que utilizamos servidores de DNS próprios e autenticação
via PPPOE.

Samuel H. Hartmann 
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list