[GTER] RES: DNS falso para SCAM sites de bancos

[Marcio Santos]

Este problema deriva ou de uma vulnerabilidade do OS do CPE que permite admin remoto mesmo desabilitado, ou de senhas de admin padrão com o acesso remoto ativo.

O jeito 'legal' de resolver é removendo a vulnerabilidade e trocando a passwd por vias manuais ou automáticas (TR069).
Algumas alternativas seriam bloquear o tráfego para aqueles nameservers de destino, o que penalizaria seu assinante em prol do bem maior, seu e dele próprio. Um outro seria "roubar" o tráfego fazendo o anuncio dos /32 no seu IGP e apontar para o seu resolver enquanto não encontra a solução definitiva. Outras soluções com certeza existem.

-- Marcio Santos 

-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Bruno Vane
Enviada em: terça-feira, 25 de outubro de 2016 11:04
Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter at eng.registro.br>
Assunto: [GTER] DNS falso para SCAM sites de bancos

Bom dia,

Estive acompanhando algumas discussões aqui sobre possíveis virus/scripts maliciosos que injetam um DNS comprometido no em roteadores residenciais.
Aqui na empresa conseguimos identificar mais de 200 clientes com esse problema. O DNS responde corretamente para a maioria dos sites, só entrega os IP's errados para sites de bancos. Alguém já passou por esse problema?
Qual a melhor forma de lidar com isso? Penso que bloquear a porta 53 pra fora seja a solução mais rápida, mas é legal fazer isso, liberar 53 para serviços de DNS conhecidos e bloquear o resto?
--
gter list    https://eng.registro.br/mailman/listinfo/gter