PROBLEMA DNS del ruoter che cambia solo

[il_ted]

come da titolo, ho un problema da qualche giorno con il dns del router. stavo pensando di cambiarlo dal momento che ogni 2 o 3 giorni non riuscivo a connettermi da nessuna parte (nemmeno a google).
oggi mentre rifacevo tutta la procedura per resettarlo, sbaglio scheda e mi accorgo che il DNS aveva i seguenti parametri:

-Rileva DNS automaticamente
-Primario: 94.249.192.105
-Secondario: . . .

allora ho resettato il router e impostato il DNS di google:
-Utilizza il DNS definito dall'utente
-Primario: 8.8.8.8
-Secondario: 8.8.4.4

controllando su google ho notato che quell'IP è allocato in Germania... è capitato a qualcun altro?
Sapete darmi qualche informazione in più?:grat:

 

[koolio]

Ciao,
whois dice che:

inetnum: 94.249.192.0 - 94.249.192.255
netname: DE-GHOSTNET-FRA01-CUST-NeuPrime-01
descr: NeuPrime
remarks: Assigned: 20110413
country: DE
admin-c: GN-RIPE
tech-c: GN-RIPE
status: ASSIGNED PA
mnt-by: GHOSTNET-MNT
source: RIPE # Filtered

role: GHOSTnet GmbH
admin-c: GN-RIPE
tech-c: GNSM-RIPE
tech-c: GNSG-RIPE
address: Kaiser-Friedrich-Promenade 65
address: 61348 Bad Homburg
address: Deutschland
phone: +49 6172 185025
fax-no: +49 6172 185029
nic-hdl: GN-RIPE
abuse-mailbox: abuse@ghostnet.de
mnt-by: GHOSTNET-MNT
source: RIPE # Filtered

% Information related to '94.249.192.0/24AS12586'

route: 94.249.192.0/24
descr: GHOSTnet GmbH IP Space
origin: AS12586
mnt-by: GHOSTNET-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.74.1 (DB-1)

 

[il_ted]

Ciao,
whois dice che:

inetnum: 94.249.192.0 - 94.249.192.255
netname: DE-GHOSTNET-FRA01-CUST-NeuPrime-01
descr: NeuPrime
remarks: Assigned: 20110413
country: DE
admin-c: GN-RIPE
tech-c: GN-RIPE
status: ASSIGNED PA
mnt-by: GHOSTNET-MNT
source: RIPE # Filtered

role: GHOSTnet GmbH
admin-c: GN-RIPE
tech-c: GNSM-RIPE
tech-c: GNSG-RIPE
address: Kaiser-Friedrich-Promenade 65
address: 61348 Bad Homburg
address: Deutschland
phone: +49 6172 185025
fax-no: +49 6172 185029
nic-hdl: GN-RIPE
abuse-mailbox: abuse@ghostnet.de
mnt-by: GHOSTNET-MNT
source: RIPE # Filtered

% Information related to '94.249.192.0/24AS12586'

route: 94.249.192.0/24
descr: GHOSTnet GmbH IP Space
origin: AS12586
mnt-by: GHOSTNET-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.74.1 (DB-1)

Questo è quello che ho trovato anche io ma non ci ho capito molto

 

[koolio]

mah!... è un operatore tedesco ma non è questo il problema... in generale un server dhcp può essere configurato per rilasciare oltre l'ip address anche il dns ...e un mucchio di altri parametri....ora io non so se questo sia il tuo caso, ma a far bene dovresti verificare i parametri della tua connessione con quelli che hai ora! Mi spiego.. se hai un alice adsl e ti ritrovi un dns con ip 94.249.192.105 beh forse ma dico forse c'è un problema la cosa più importante ora è capire come ci sia arrivato quell'ip address!! cmq ti posto un nmap fatto su quel ip...
nmap -P0 94.249.192.105

Starting Nmap 6.00 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2014-07-20 07:43 CEST
Nmap scan report for 94.249.192.105
Host is up (0.11s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
1234/tcp open hotline
10000/tcp open snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 18.87 seconds

Quindi almeno sappiamo che ha la porta 53 aperta quindi si potrebbe benissimo essere un server dns....MA
se provo però ad andare su pagina http (porta 80) il mio kasper dice che è pericoloso...(virus rilevati)...inoltre quel servizio in ascolto su porta 1234 mi ricorda qualcosa...
dai un occhio qui: Port 1234 (tcp/udp) :: SpeedGuide.net
procedi però per gradi.. prima fammi sapere che operatore hai ch tipologia di linea hai (adsl, F.O, wireless ) poi vediamo!

 

[vgf62]

-Primario: 94.249.192.105
-Secondario: . . .

Mi è successa la stessa cosa ieri sera e stamattina cercando di capire cosa fosse successo mi ritrovo anch'io il DNS primario modificato con questo strano IP...
Se provate a inserire questo IP nel vostro browser sarete reindirizzati a un link (l'ho rimosso perché su OSX è "inoffensivo" mentre su Windows tenta di installare un programma di criptatura) dove potrete vedere la simpatica paginetta in allegato.

Ora devo capire quale bestiolina ci siamo beccati (io uso osx e mia moglie windows... :cav:)

 

[il_ted]

mah!... è un operatore tedesco ma non è questo il problema... in generale un server dhcp può essere configurato per rilasciare oltre l'ip address anche il dns ...e un mucchio di altri parametri....ora io non so se questo sia il tuo caso, ma a far bene dovresti verificare i parametri della tua connessione con quelli che hai ora! Mi spiego.. se hai un alice adsl e ti ritrovi un dns con ip 94.249.192.105 beh forse ma dico forse c'è un problema la cosa più importante ora è capire come ci sia arrivato quell'ip address!! cmq ti posto un nmap fatto su quel ip...
nmap -P0 94.249.192.105

Starting Nmap 6.00 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2014-07-20 07:43 CEST
Nmap scan report for 94.249.192.105
Host is up (0.11s latency).
Not shown: 994 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
1234/tcp open hotline
10000/tcp open snet-sensor-mgmt

Nmap done: 1 IP address (1 host up) scanned in 18.87 seconds

Quindi almeno sappiamo che ha la porta 53 aperta quindi si potrebbe benissimo essere un server dns....MA
se provo però ad andare su pagina http (porta 80) il mio kasper dice che è pericoloso...(virus rilevati)...inoltre quel servizio in ascolto su porta 1234 mi ricorda qualcosa...
dai un occhio qui: Port 1234 (tcp/udp) :: SpeedGuide.net
procedi però per gradi.. prima fammi sapere che operatore hai ch tipologia di linea hai (adsl, F.O, wireless ) poi vediamo!

allora, ho il classico Alice 7 Mega quindi un ADSL... per quanto riguarda il wireless che intendi? la LAN o il tipo di collegamento in WAN?

in LAN è misto... ogni volta che aprivo una pagina mi dava "pagina web non disponibile" nessun virus rilevato, uso Avast! free

 

[koolio]

Ciao,
domanda... modello del router ?? il tuo router è gestibile da remoto? hai un indirizzo ip wan statico o dinamico? E infine nella navigazione su internet hai notato niente di strano?? qualunque cosa anomala nei gg precedenti la scoperta fatta te sul ruoter...prova inoltre a postare ( se lo ritieni opportuno qualunque log.... del router sarebbe utile!! ). Per ora non abbiamo, e forse non riusciremo mai ad avere tutti i dati per poter fare analisi...mah! A far bene consiglio (anche a vgf62!!) una macchina con due schede di rete, Linux, fate un bridge tra le due interfacce.. rimediate un hub (NO switch... solo hub!!!) oppure uno switch che abbia il port mirroring (span o similia ) e con wireshark in funzione vedrete quant'è profonda la tana del bianconiglio!! Cmq se potete, prendete in considerazione che potrebbero avervi attaccato con la tecnica del dns rebinding inoltre....un consiglio...se pensate di avere macchine ormai infette.... le macchine SONO infette! In bocca al lupo! ad ambedue!! ;)

 

[vgf62]

A quanto pare non siamo i soli ad essere stati "colpiti"...

94.249.192.105 | GHOSTnet GmbH | Check and report abuse IP

 

[il_ted]

Ciao,
domanda... modello del router ?? il tuo router è gestibile da remoto? hai un indirizzo ip wan statico o dinamico? E infine nella navigazione su internet hai notato niente di strano?? qualunque cosa anomala nei gg precedenti la scoperta fatta te sul ruoter...prova inoltre a postare ( se lo ritieni opportuno qualunque log.... del router sarebbe utile!! ). Per ora non abbiamo, e forse non riusciremo mai ad avere tutti i dati per poter fare analisi...mah! A far bene consiglio (anche a vgf62!!) una macchina con due schede di rete, Linux, fate un bridge tra le due interfacce.. rimediate un hub (NO switch... solo hub!!!) oppure uno switch che abbia il port mirroring (span o similia ) e con wireshark in funzione vedrete quant'è profonda la tana del bianconiglio!! Cmq se potete, prendete in considerazione che potrebbero avervi attaccato con la tecnica del dns rebinding inoltre....un consiglio...se pensate di avere macchine ormai infette.... le macchine SONO infette! In bocca al lupo! ad ambedue!! ;)

allora, rispondo con ordine alle tue domane :) :
1- TD-W8901G
2- Controllo Remoto? non ne ho idea, in rete non ho trovato molto e non sto trovando lo scatolo! :cav:
3- IP Dinamico
4- La navigazione era fluida come sempre, nessun problema, se non che da un momento all'altro qualunque browser rispondeva "pagina web non disponibile, il problema potrebbe essere dato da server dns locali fuori o connessione internet assente" e resettando il Router tutto tornava come prima
5- ecco il log del router (che credo inutile date le poche info):


ORA AVREI DUE DOMANDINE:
-come funziona e a che serve il suo consiglio? (non ne ho mai sentito parlare mi scusi)
-ho fatto bene ad impostare il DNS di google? per mancanza di tempo non posso formattare ancora :(
- e per gli smartphone? anche loro infetti?

potrei postare delle screen del comando NETSTAT se necessario

 

[LucaMo]

come da titolo, ho un problema da qualche giorno con il dns del router. stavo pensando di cambiarlo dal momento che ogni 2 o 3 giorni non riuscivo a connettermi da nessuna parte (nemmeno a google).
oggi mentre rifacevo tutta la procedura per resettarlo, sbaglio scheda e mi accorgo che il DNS aveva i seguenti parametri:

-Rileva DNS automaticamente
-Primario: 94.249.192.105
-Secondario: . . .

allora ho resettato il router e impostato il DNS di google:
-Utilizza il DNS definito dall'utente
-Primario: 8.8.8.8
-Secondario: 8.8.4.4

controllando su google ho notato che quell'IP è allocato in Germania... è capitato a qualcun altro?
Sapete darmi qualche informazione in più?:grat:

Sì, è capitato anche a me, proprio oggi (20/07/2014)!. Non riuscivo più a collegarmi ad alcuni siti (ad esempio Google.com) mentre mi potevo collegare ad altri (ad esempio Google.it). Apparentemente non riuscivo a collegarmi a siti internazionali con estensione .com.
Ho chiamato il 187 pensando fosse un problema della rete telecomitalia. Mi hanno detto che per loro la connessione era regolare.
Allora sono andato a sfrugugliare nelle impostazioni del mio modem-router e ho trovato l'indirizzo 94.249.192.105 come "Preferred DNS Server". Eppure sono sicuro di aver impostato (qualche mese) fa il DNS di Google (8.8.8.8).

Sono piuttosto preoccupato per questa apparente "intrusione" nei settings del mio modem. Com'è possibile?
(per maggior sicurezza ho cambiato la password di accesso ai web settings del modem).
(Ripensandoci, mi ricordo di essere incappato nella famigerata pagina "ATTENZIONE! Il Suo computer personale è stato bloccato per motivi di sicurezza per le seguenti ragioni..." alcuni giorni fa)

 

[koolio]

Premessa: senza avere tutte le informazioni (log dei pc log del router stato delle macchine e last but not least "abbondanti" sessioni di sniffing) parliamo ovviamente per ipotesi...MA considerando il tipo di attacco, e il target mi viene sempre in mente una cosa sola...dns rebinding... in buona sostanza codesto attacco sfrutta una caratteristica di qualunque apparato L3 (router) lo switching tra le sue interfacce. esempio: andate sul sito XYZ - .xyz Domain Names for Generation XYZ .. il sito risponde "donando al vs browser" la risoluzione del suo ip address e l'ip address della vostra connessione wan ora voi andate sul sito www.xyz/pippo .. a questo punto il server attaccante lancia tcp reset per la connessione su porta 80 (web) (quindi per XYZ - .xyz Domain Names for Generation XYZ) e voilà il vostro browser cercherà di risolvere www.xyz/pippo con il vostro ip wan... non me ne vogliano gli esperti ma ho cercato di sintetizzare al massimo !!!:) ora per fare questo hanno inviato codice javascript malevolo... sui vostri pc! Inoltre hanno preso il possesso del vostro router mettendo dentro un dns che forse.. vi ha portato su siti, che hanno caricato il vostro pc di ogni regalo...ora viene il bello.. quanti di voi hanno cambiato le password del router? Mi spiego le password sono quelle di default? Gli attaccanti per entrare nel vs router provano di norma le password di default del router attaccato.... una volta superata questa barriera sono nel vs router ... quindi nella vostra rete locale!
Vorrei cmq complimentarmi con il_Ted e con voi tutti.. al di là di ciò che sia realmente successo! Avete avuto curiosità e scaltrezza nell'individuare il problema! Bravi e.. mi raccomando fatemi sapere!

 

[LucaMo]

...ora viene il bello.. quanti di voi hanno cambiato le password del router? Mi spiego le password sono quelle di default? ...

Io l'avevo cambiata, anche se avevo impostato una password corrispondente a una parola del vocabolario italiano (+ o -), quindi non molto sicura. Ora ne ho inserita una più difficile da individuare.

Grazie per la spiegazione.
Comunque mi sembra pazzesco che qualcuno possa aver cambiato i settaggi del mio router, con password non standard (anche se non molto sicura).

 

[vgf62]

Vi aggiorno con i risultati delle mie ricerche.
Il pc di mia moglie con Windows 7 è risultato "pulito" a tutte le scansioni fatte con i principali antispyware (avast era comunque installato).
A questo punto ho pensato che il "problema" doveva arrivare dal mio iMac e, seppur riluttante, ho installato la versione osx di avast.
La scansione dei file è ancora in atto (da quasi 10 ore per quasi 1,5 milioni di file!) ma mi ha trovato questo simpatico ospite indesiderato: JS:Ransomware-C [Trj].
Io ho un vecchio D-link DSL-2740R con password modificata e decisamente non banale per cui mi chiedo se quel trojan abbia potuto modificare il DNS primario del modem/router senza conoscere la pw...

 

[koolio]

Io l'avevo cambiata, anche se avevo impostato una password corrispondente a una parola del vocabolario italiano (+ o -), quindi non molto sicura. Ora ne ho inserita una più difficile da individuare.

Grazie per la spiegazione.
Comunque mi sembra pazzesco che qualcuno possa aver cambiato i settaggi del mio router, con password non standard (anche se non molto sicura).

Ciao LucaMo,
in realtà la mia è solo un ipotesi... peraltro non suffragata da alcun dato... ma solo dal metodo di attacco! quindi hai ragione tu quando dici che è pazzesco...nessuna prova alla mia ipotesi.. solo rumors

Prendo a prestito una frase Giulio Andreotti "a pensar male si fa peccato ..ma quasi sempre ci si azzecca" io se avessi subito un simile attacco non mi fiderei più a usare il pc per fare...che so home banking ovvero passerei senza meno alla formattazione.. metodo radicale che sa un pò di sconfitta... ma molto molto efficace!

 

[lollo15]

non è un problema della password del router
il problema credo sia il firmware buggato del router che ne permette il cambio del dns all'insaputa dell'utente
vedi: DNS modificati su 300 mila router anche in Italia (D-Link,Micronet,TP-Link e altri) | Felice Balsamo
la soluzione sarebbe quella di aggiornare il firmware del router (sperando che ne esista uno non vulnerabile a questo exploit), per maggiore sicurezza magari cambiare i dns anche sul proprio pc, fare una scansione del pc e poi valutare se cambiare le password dei siti in cui si ha avuto accesso nel periodi in cui si era "infetti" (anche se non credo che nel vostro cambio di psw sia necessario perchè il dns malevolo non cercava di reindirizzare il traffico verso siti malevoli di posta o social network quanto il blocco di alcuni indirizzi e reindirizzamento di altri verso siti come quello della foto http://www.tomshw.it/forum/attachme...bloccato_per_motivi_di_sicurezza_per_le_s.png nella speranza magari di spillare denaro)
Il cambio della password del router credo sia del tutto superflua anche se non fa mai male ;)

Saluti :)