[GTER] Oi entregando DNS "banker"

[Alexandre J. Correa (Onda)]

Ja verificaram se nao é o modem que está infectado ??

Na casa do meu pai, o modem dele (NET) foi acessado remotamente, 
colocaram alguns scripts bash que mudavam o DNS do servidor dhcp interno...


On 05/05/2015 15:14, Carlos Menandro wrote:
> Estou com o mesmo problema em várias ADSLs no estado de Rondônia.
>
> Em 5 de maio de 2015 12:53, Antonio Listas <aclistas at gmx.com> escreveu:
>
>> Olá,
>>
>> Meu ADSL da Oi e de diversos conhecidos que tenho na região está recebendo
>> direto do DHCP da Oi, um servidor de DNS secundário com o IP
>> 173.255.134.206.
>>
>> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
>> Primário: 201.10.128.2
>> Secundário: 201.10.128.3 (e agora, 173.255.134.206).
>>
>> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de servidores
>> virtuais/dedicados no varejo.
>> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do Banco
>> do Brasil e enviando-nos para uma página "fake" para capturar os dados de
>> acesso do banco.
>>
>> www.bb.com.br has address 162.243.90.26
>> www57.bb.com.br has address 162.243.90.26
>> 162.243.90.26 - este, que por sua vez, é um servidor também pertencente a
>> uma empresa que vende serviços de servidores virtuais, a Digital Ocean.
>>
>> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a exibir
>> um banner do Google Adsense no topo da página, algo que não aparece
>> utilizando DNS da OpenDNS e SuperDNS.
>>
>> Sendo assim, vendo este cenário, imagino que:
>> a) funcionário da Oi se aliando a hackers;
>> b) rede da Oi completamente comprometida, onde até acesso aos servidores
>> de DHCP tiveram pra poder alterar o DNS secundário entregue aos clientes.
>>
>> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não
>> estão tendo seus dados bancários roubados, e não sei mais o que, visto que
>> só consegui identificar isso por causa do BB, mas não tenho conta em outros
>> bancos para testar...
>> Parabéns pra Oi.
>>
>> É bom salientar que no mês passado os próprios DNS da Oi estavam
>> infectados, o que eu acreditava ser algum cache poison, mas aparentemente
>> não é poison, e sim alguém lá dentro fazendo de propósito.
>> Verifiquei que existem diversos relatos em outros forums na Internet onde
>> o pessoal que utiliza a Oi já havia percebido exatamente os mesmos sintomas
>> que percebi neste final de semana.
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


-- 
Sds.

Alexandre Jeronimo Correa
Sócio-Administrador

Office: +55 34 3351 3077

Onda Internet
www.onda.net.br