[GTER] Oi entregando DNS "banker"
Leandro Camargo
leandro.camargo at axtelecom.net.br
Tue May 5 16:11:44 -03 2015
Também já vi problemas com modem sem segurança de acesso sendo infectados
com scripts maliciosos.
Eles têm acesso SSH e/ou Telnet?
Atenciosamente
Leandro de Lima Camargo
Em 5 de maio de 2015 15:28, Alexandre J. Correa (Onda) <
alexandre at onda.net.br> escreveu:
> Ja verificaram se nao é o modem que está infectado ??
>
> Na casa do meu pai, o modem dele (NET) foi acessado remotamente, colocaram
> alguns scripts bash que mudavam o DNS do servidor dhcp interno...
>
>
>
> On 05/05/2015 15:14, Carlos Menandro wrote:
>
>> Estou com o mesmo problema em várias ADSLs no estado de Rondônia.
>>
>> Em 5 de maio de 2015 12:53, Antonio Listas <aclistas at gmx.com> escreveu:
>>
>> Olá,
>>>
>>> Meu ADSL da Oi e de diversos conhecidos que tenho na região está
>>> recebendo
>>> direto do DHCP da Oi, um servidor de DNS secundário com o IP
>>> 173.255.134.206.
>>>
>>> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
>>> Primário: 201.10.128.2
>>> Secundário: 201.10.128.3 (e agora, 173.255.134.206).
>>>
>>> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de servidores
>>> virtuais/dedicados no varejo.
>>> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do Banco
>>> do Brasil e enviando-nos para uma página "fake" para capturar os dados de
>>> acesso do banco.
>>>
>>> www.bb.com.br has address 162.243.90.26
>>> www57.bb.com.br has address 162.243.90.26
>>> 162.243.90.26 - este, que por sua vez, é um servidor também pertencente a
>>> uma empresa que vende serviços de servidores virtuais, a Digital Ocean.
>>>
>>> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a exibir
>>> um banner do Google Adsense no topo da página, algo que não aparece
>>> utilizando DNS da OpenDNS e SuperDNS.
>>>
>>> Sendo assim, vendo este cenário, imagino que:
>>> a) funcionário da Oi se aliando a hackers;
>>> b) rede da Oi completamente comprometida, onde até acesso aos servidores
>>> de DHCP tiveram pra poder alterar o DNS secundário entregue aos clientes.
>>>
>>> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não
>>> estão tendo seus dados bancários roubados, e não sei mais o que, visto
>>> que
>>> só consegui identificar isso por causa do BB, mas não tenho conta em
>>> outros
>>> bancos para testar...
>>> Parabéns pra Oi.
>>>
>>> É bom salientar que no mês passado os próprios DNS da Oi estavam
>>> infectados, o que eu acreditava ser algum cache poison, mas aparentemente
>>> não é poison, e sim alguém lá dentro fazendo de propósito.
>>> Verifiquei que existem diversos relatos em outros forums na Internet onde
>>> o pessoal que utiliza a Oi já havia percebido exatamente os mesmos
>>> sintomas
>>> que percebi neste final de semana.
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Sócio-Administrador
>
> Office: +55 34 3351 3077
>
> Onda Internet
> www.onda.net.br
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list