[GTER] RES: RES: DNS Infectado??

Adriano Struck - TPA adrianos at tpa.com.br
Mon Jun 9 11:49:46 -03 2014


Senha padrão é um dos problemas, versões do AirOS abertas é outro...

- alterar senhas padrão;
- manter os equipamentos atualizados;
- filtrar o INPUT aos clientes das portas 1 até a 1024 (ou pelo menos as
portas de gerência).

Aplicando pelo menos as duas primeiras regras, não terão problemas. A
terceira regra ajuda a evitar o problema caso as duas primeiras não tenham
sido seguidas à risca.

Atte.

Adriano Struck

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Bruno Viviani
Enviada em: sexta-feira, 6 de junho de 2014 16:10
Para: 'Grupo de Trabalho de Engenharia e Operacao de Redes'
Assunto: [GTER] RES: DNS Infectado??

Verifique se os equipamentos de clientes estão com senha padrão.
Tive este problema tem alguns dias, vários clientes com ubiquiti estavam com
senha padrão, onde o atacante faz um bruteforce em sua rede tentando acessar
os ips, e os que ele consegue acessar ele faz varias regras nat,
redirecionando para o ip 94.242.222.58.

Segue regras que encontrei em vários clientes:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            173.194.0.0/16      tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            207.126.144.0/20    tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            64.18.0.0/20        tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            74.125.0.0/16       tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            66.102.0.0/20       tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            209.85.128.0/17     tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            72.14.192.0/18      tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            66.249.80.0/20      tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            64.233.160.0/19     tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            216.239.32.0/19     tcp dpt:80
to:94.242.222.58:80 
DNAT       tcp  --  0.0.0.0/0            74.125.0.0/16       tcp dpt:80
to:94.242.222.58:80


atenciosamente,

Bruno Viviani
Gerente Técnico
Net Rubi Internet
(17) 3426-6600
www.net-rubi.com.br

"Esta mensagem é reservada e sua divulgação, distribuição, reprodução ou
qualquer forma de uso é proibida e depende de prévia autorização desta
instituição. O remetente utiliza o correio eletrônico no exercício do seu
trabalho ou em razão dele, eximindo esta instituição de qualquer
responsabilidade por utilização indevida. Se você recebeu esta mensagem por
engano, favor eliminá-la imediatamente."
"This message is reserved and its disclosure, distribution, reproduction or
any other form of use is prohibited and shall depend upon previous proper
authorization. The sender uses the electronic mail in the exercise of
his/her work or by virtue thereof, and the institution accepts no liability
for its undue use. If you have received this e-mail by mistake, please
delete it immediately."



-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Samuel Hartmann - SinosNet/Sinoscorp Enviada em: sexta-feira, 6 de
junho de 2014 13:48
Para: gter at eng.registro.br
Assunto: [GTER] DNS Infectado??

Pessoal, recebemos um relato de usuários que quando conectados em nossa rede
ao abrir o navegador recebem uma solicitação falsa de atualização FAKE do
Flash Player, e também do "bem dito" LinkBucks. Alegam que se conectado em
outras redes não recebem estas solicitação.

Minha pergunta aos colegas com maior conhecimento, pode ser uma infecção do
nosso DNS? Visto que utilizamos servidores de DNS próprios e autenticação
via PPPOE.

Samuel H. Hartmann
--
gter list    https://eng.registro.br/mailman/listinfo/gter

--
gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list