[GTER] Oi entregando DNS "banker"

Alexandre J. Correa (Onda) alexandre at onda.net.br
Tue May 5 18:53:51 -03 2015


Mas o acesso pode ter vindo da rede interna, o computador pega um virus 
que faz um scan na rede e infecta o roteador...

como dizem por aqui, em referencia a esse povo que fica por conta do 
'ócio', quem tem tempo caga longe....


On 05/05/2015 16:32, Antonio Listas wrote:
> Não é o modem.
> Ao contrário de outras operadoras como a GVT, o modem não tem a porta de administração aberta (80) para a Internet e muito menos a de telnet (23).
>
> E são os servidores que o próprio DHCP puxa, quando atribui IP.
> O campo não é nem editável, somente se eu quiser inserir meus próprios servidores de DNS que ele fica editável.
>
> A primeira coisa que fiz quando reparei no servidor de DNS alterado foi resetar o modem para as configurações de fábrica, e assim que efetuou o DHCP Request, o servidor de DNS secundário atribuído já era o malicioso.
> Como eu disse, os PRÓPRIOS servidores de DNS da Oi no mês passado (201.10.128.3 e 201.10.128.2) estavam com as respostas para o BB alteradas, assim como outros endereços (www.google-analytics.com).
> Parece que simplesmente alteraram a forma de entregar as respostas alteradas para o cliente, ao invés de mexer no próprio DNS da Oi, substituiram o DNS secundário por um próprio que fica mais fácil de controlarem.
>   
>
> Sent: Tuesday, May 05, 2015 at 6:28 PM
> From: "Alexandre J. Correa (Onda)" <alexandre at onda.net.br>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes" <gter at eng.registro.br>
> Subject: Re: [GTER] Oi entregando DNS "banker"
> Ja verificaram se nao é o modem que está infectado ??
>
> Na casa do meu pai, o modem dele (NET) foi acessado remotamente,
> colocaram alguns scripts bash que mudavam o DNS do servidor dhcp interno...
>
>
> On 05/05/2015 15:14, Carlos Menandro wrote:
>> Estou com o mesmo problema em várias ADSLs no estado de Rondônia.
>>
>> Em 5 de maio de 2015 12:53, Antonio Listas <aclistas at gmx.com> escreveu:
>>
>>> Olá,
>>>
>>> Meu ADSL da Oi e de diversos conhecidos que tenho na região está recebendo
>>> direto do DHCP da Oi, um servidor de DNS secundário com o IP
>>> 173.255.134.206.
>>>
>>> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:
>>> Primário: 201.10.128.2
>>> Secundário: 201.10.128.3 (e agora, 173.255.134.206).
>>>
>>> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de servidores
>>> virtuais/dedicados no varejo.
>>> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do Banco
>>> do Brasil e enviando-nos para uma página "fake" para capturar os dados de
>>> acesso do banco.
>>>
>>> www.bb.com.br[http://www.bb.com.br] has address 162.243.90.26
>>> www57.bb.com.br has address 162.243.90.26
>>> 162.243.90.26 - este, que por sua vez, é um servidor também pertencente a
>>> uma empresa que vende serviços de servidores virtuais, a Digital Ocean.
>>>
>>> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a exibir
>>> um banner do Google Adsense no topo da página, algo que não aparece
>>> utilizando DNS da OpenDNS e SuperDNS.
>>>
>>> Sendo assim, vendo este cenário, imagino que:
>>> a) funcionário da Oi se aliando a hackers;
>>> b) rede da Oi completamente comprometida, onde até acesso aos servidores
>>> de DHCP tiveram pra poder alterar o DNS secundário entregue aos clientes.
>>>
>>> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não
>>> estão tendo seus dados bancários roubados, e não sei mais o que, visto que
>>> só consegui identificar isso por causa do BB, mas não tenho conta em outros
>>> bancos para testar...
>>> Parabéns pra Oi.
>>>
>>> É bom salientar que no mês passado os próprios DNS da Oi estavam
>>> infectados, o que eu acreditava ser algum cache poison, mas aparentemente
>>> não é poison, e sim alguém lá dentro fazendo de propósito.
>>> Verifiquei que existem diversos relatos em outros forums na Internet onde
>>> o pessoal que utiliza a Oi já havia percebido exatamente os mesmos sintomas
>>> que percebi neste final de semana.
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter[https://eng.registro.br/mailman/listinfo/gter]
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter[https://eng.registro.br/mailman/listinfo/gter]
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Sócio-Administrador
>
> Office: +55 34 3351 3077
>
> Onda Internet
> www.onda.net.br[http://www.onda.net.br]
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter[https://eng.registro.br/mailman/listinfo/gter]
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list