[GTER] Oi entregando DNS "banker"

Thu May 14 01:47:29 -03 2015

Fiz um vídeo reconectando o PPPoE: http://youtu.be/HIy1TISjKqM

Estou começando achar que esse DNS é oficial da Oi e o amigo lá de cima deu
o azar de pegar ele envenenado no primeiro dia de funcionamento.

Em 13 de maio de 2015 23:46, Carlos Menandro <carlosmenandro at gmail.com>
escreveu:

> Está acontecendo neste exato momento, forcei a reconexão PPPoE e veio o
> DNS alterado.
> Aparentemente só ativam durante a noite/madrugada, pois testei de tarde e
> os DNS estavam normais.
>
> Print screen de agora: http://i.imgur.com/4Ttp6uk.png
>
> Como sou de Rondônia, aqui é uma hora a menos.
>
> Em 13 de maio de 2015 23:39, Carlos Menandro <carlosmenandro at gmail.com>
> escreveu:
>
>> Mais dois amigos analistas me informaram que tiveram o mesmo problema
>> aqui em Porto Velho/RO.
>>
>> Em 13 de maio de 2015 10:42, Fabricio Lima <listas at fabriciolima.com.br>
>> escreveu:
>>
>>> encaminhei para abuse at oi.combr e um contato meu q é CTO la.
>>>
>>> vamos ver se é suficiente.
>>>
>>> Quem tiver algum contato / ideia, vamos contribuir.
>>>
>>> [ ]'s
>>> Fabricio Lima
>>> Sendmail administration is not black magic. There are legitimate
>>> technical
>>> reasons why it requires the sacrifice of a live chicken.
>>>
>>> Em 13 de maio de 2015 11:32, Fabricio Lima <listas at fabriciolima.com.br>
>>> escreveu:
>>>
>>> > se abrirmos um chamado, vai cair na mao de um tecnico, q vai ver q ta
>>> > navegando, entao ok, fechar chamado.....
>>> >
>>> > se conseguirmos escalar isso, vai cair na mao do administrador do
>>> dns.. q
>>> > é o corrupto da historia.. e vai fechar o chamado.
>>> >
>>> > temos q acionar area de segurança/juridico sei la.. uma abordagem mais
>>> top
>>> > down.
>>> >
>>> > Isso é critico.
>>> >
>>> > ja batemos o martelo q nao foi ataque pontual (nem em massa) pq ta
>>> > afetando ate mikrotik e pfsense q nao teria senha padrao.
>>> >
>>> > é algo sendo entregue via dhcp. (ou algum vetor de ataque no dhcp. um
>>> dhcp
>>> > rogue por exemplo) mas ainda assim seria responsabilidade da Oi.
>>> >
>>> > [ ]'s
>>> > Fabricio Lima
>>> > Sendmail administration is not black magic. There are legitimate
>>> technical
>>> > reasons why it requires the sacrifice of a live chicken.
>>> >
>>> > Em 11 de maio de 2015 20:08, Eduardo Rigler <erigler at gmail.com>
>>> escreveu:
>>> >
>>> >> Apos meu ultimo post (abaixo) houve uma alteração nos DNS's da Oi
>>> >> entregues
>>> >> para mim aqui no PR, mas ainda dentro da normalidade.
>>> >>
>>> >> DNS1: 201.10.1.4
>>> >> DNS2: 201.10.120.2
>>> >>
>>> >> []'s
>>> >> Em 05/05/2015 19:41, "Eduardo Rigler" <erigler at gmail.com> escreveu:
>>> >>
>>> >> > No caminho de casa me ocorreu a mesma coisa, acho muito mais
>>> provável
>>> >> ser
>>> >> > algo vindo de dentro do que de fora... ainda mais em tempos de
>>> windows,
>>> >> > baidus, barras disso e daquilo e principalmente e usuários
>>> "cabaços".
>>> >> >
>>> >> > No mais, ao menos aqui no PR está tudo certo com o DHCP da Oi
>>> (supondo
>>> >> que
>>> >> > seja isso):
>>> >> >
>>> >> > DNS1: 201.10.128.4
>>> >> > DNS2: 201.10.120.4
>>> >> >
>>> >> > []'s
>>> >> >  Em 05/05/2015 18:30, "Danton Nunes" <danton.nunes at inexo.com.br>
>>> >> escreveu:
>>> >> >
>>> >> >> On Tue, 5 May 2015, Antonio Listas wrote:
>>> >> >>
>>> >> >>  Ao contrário de outras operadoras como a GVT, o modem não tem a
>>> porta
>>> >> de
>>> >> >>> administração aberta (80) para a Internet e muito menos a de
>>> telnet
>>> >> (23).
>>> >> >>>
>>> >> >>
>>> >> >> mas tem essa porta aberta para dentro da casa do usuário? quem
>>> disse
>>> >> que
>>> >> >> o ataque vem da internet? é muito mais provável vir de um
>>> computador
>>> >> >> bichado da casa do usuário.
>>> >> >> --
>>> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> >> >
>>> >> >
>>> >> --
>>> >> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> >>
>>> >
>>> >
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>