Skocz do zawartości
geekboy68k

Komputery wpięte do sieci fiksują - strony WWW przekierowują na phishing

Polecane posty

Czołem!

Zasadniczo rozważałem wrzucenie tego do działu Bezpieczeństwo, ale ostatecznie nie chodzi o serwer, więc trafia tu...

Do rzeczy:
Dziś Chrome wywaliło mi okienko z ankietą oceny przeglądarki, w której do wygrania był bon do Tesco - akcja reklamowa zorganizowana przez firmę Planet49 z Niemiec, choć wystylizowano ją tak, że rzeczywiście wyglądała na akcję Google.
Okienko oczywiście zignorowałem i zapuściłem od razu Windows Defendera do pełnego skanowania - zero infekcji.

Zasadniczy problem polega na fakcie, że część stron internetowych przekierowuje na podobne "oferty", albo parkingi z reklamami. Zjawisko pojawia się na wszystkich komputerach wpiętych do Sieci (niezależnie od przeglądarki - sprawdzone na Lumii, dwóch komputerach - zarówno z Chrome, Firefoksem jak i Edge).

Pytanie - co teraz? :(

Sieć składa się z routera Huawei B593s-22 (domyślne oprogramowanie producenta) do którego podpięte są przez Wi-Fi:
- iPad,
- Lumia 625,
- notebook z Linux Mint i Chrome,
- notebook z Windowsem 10.

Ponadto przez LAN do routera wpięty jest drugi router z oprogramowaniem Gargoyle, który pracuje w charakterze printserwera.

Zalogowałem się na oba routery i nie widzę śladów ingerencji w serwery DNS. Pierwszy kieruje na 212.2.96.53-54, które należą do Polkomtelu, a printserwer ma Google.

Do WLAN nie mają dostępu osoby niepowołane. ISP to Plus GSM (LTE).

Obstawiam, że winny jest router, bo wyłączenie WLAN np. na Lumii/iPadzie i uruchomienie alternatywnego połączenia przez 3G powoduje, że strony, które wcześniej kierowały na wyłudzajki, uruchamiają się już poprawnie.
Wygląda na typowy atak DNS, ale jak już wspomniałem, nie widzę powodu aby mieć co do tych zastrzeżenia. Ponadto - software na Huawei B593s-22 uniemożliwia zmianę serwerów DNS.

Ktoś zasugerował mi, żebym rzucił okiem na serwery propagowane przez DHCP. No to rzuciłem, oto screen z jednej z problematycznych maszyn (pierwsza, na której pojawiły się problemy):
8907148700_1444744998_png_300x300_q85.jp

Do pozostałych maszyn póki co nie mam dostępu. Komputer jest wpięty do WLAN.

Nie jestem specjalistą, ale na liście wymieniony jest serwer DNSv6, podczas gdy router chyba takowego adresu nie rozgłasza - w panelu konfiguracyjnym routera mam jedynie wykazane dwa IPv4, które wcześniej przytoczyłem.

Poza tym adres serwera DHCP to 192.168.1.1. W panelu routera mam tymczasem:
Adres IP hosta LAN - 192.168.1.1
Początkowy adres IP DHCP - 192.168.1.100

 

Nie wiem już co robić, bo to się wzięło znikąd. Będę wdzięczny za sugestie :(

 

Pozdrawiam.

Edytowano przez geekboy68k (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wyłączyłem - bez zmian.

Obstawiam, że problem nie leży po stronie komputera, bo jak wspomniałem, inne urządzenia wpięte do sieci domowej mają podobne objawy, a po odłączeniu od niej już nie...

 

Ew użyj np. Wireshark'a aby sprawdzić dokładnie co za połączenia nawiązujesz.

Obsługa Wiresharka przekracza mojego skilla.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Sprawdź, czy nie masz podmienionych serwerów DNS w ustawieniach routera lub ustaw z palca w komputerach dnsy, np. 8.8.8.8 i 8.8.4.4 i sprawdź, czy problem nadal występuje.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie wiem, czy dobrze rozumuję, ale zrobiłem tracert z jednej z problematycznych maszyn dla strony Matras.pl - jedna z tych, które wywalają w przeglądarce pętlę przekierowań z okienkami jakiś loterii. Co wyszło?

traceroute_png_300x300_q85.jpg

Czy dobrze obstawiam, że problem może leżeć po stronie ISP, a nie mojej?

Te pierwsze dwa adresy IP za pozycją homerouter.cpe są mi zupełnie nieznane.

-----

Sprawdź, czy nie masz podmienionych serwerów DNS w ustawieniach routera lub ustaw z palca w komputerach dnsy, np. 8.8.8.8 i 8.8.4.4 i sprawdź, czy problem nadal występuje.


Jak już wspomniałem, na routerze wielkiego pola do manewru nie mam - APN jest ustawione "na sztywno", bez możliwości edycji czy usunięcia. Serwery DNS - 212.2.96.54 i 212.2.96.53 - pozyskiwane są przez urządzenie samoczynnie.

 

-----

 

EDIT: Zmieniłem na jednym z problematycznych komputerów na DNS-y Google i rzeczywiście, problem ustąpił! :)
Czy mogę więc przypuszczać, że moja sieć jest "bezpieczna"? Warto siać o to gównoburzę operatorowi?

Edytowano przez geekboy68k (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie mogę.
Anyway, reset routera do ustawień fabrycznych zmieniło serwery DNS na 212.2.96.51 i 212.2.96.52 i na nich już wszystko jest w porządku. Nie zaobserwowałem ponadprogramowych przekierowań :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Logi już mam za sobą, to raz.

Dwa, problem pojawił się naraz we wszystkich komputerach, stąd typowałem router - zwłaszcza, że np. iPad na własnym połączeniu 3G wyświetlał strony poprawnie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Właśnie tak podejrzewałem, że to infekcja poprzez podmianę DNS.

Generalnie niezależnie od tego czy po DHCP dostajesz adresy DNS to zawsze możesz je ustawić statycznie, w linuxie w :
/etc/resolv.conf (i najlepiej zablokować plik flagą "i")
A w windowsie w konfiguracji karty sieciowej -> protkołu IPv4

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

212.2.96.53-54 albo 212.2.96.51-52. Problem występuje zawsze na tych pierwszych - kilkukrotny reset routera pomaga, tzn. aż "wskoczą" te drugie.

Innych być nie może, bo router sam pobiera DNS-y od operatora i nie posiada funkcjonalności umożliwiającej ich zmianę.

 

Czy w takiej sytuacji można domniemać, że problem leży po stronie operatora?

Edytowano przez geekboy68k (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

Innych być nie może, bo router sam pobiera DNS-y od operatora i nie posiada funkcjonalności umożliwiającej ich zmianę.

A nie mozesz na komputerze korzytsac z recznie wpisanych dns?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie masz możliwości wrzucenia alternatywnego firmware'u do tego routera?

 

Nie.

 

A nie mozesz na komputerze korzytsac z recznie wpisanych dns?

 

Mogę i właśnie to robię.

 

Już dawno powinien stać własny router skoro na obecnym nie wiele można zrobić.

 

Zabieram się do tego, ale póki co budżet kuleje. Gdy kilka miesięcy temu robiłem research, to zasadniczo wybór poniżej 500 PLN był naprawdę skromny - zwłaszcza, że za ten obecny wciąż płacę (różnica w abonamencie bez i z urządzeniem).

Teraz jest tego trochę więcej - za czymś się rozejrzę.

 

Póki co DNS-y wskoczyły na 212.2.96.51-52 i sytuacja uległa normalizacji. Dzięki wielkie, jakby co to będę raportował :)

Edytowano przez geekboy68k (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Plus nie potrafi sobie poradzić z kilkugodzinną awarią BTS-a, albo "lejkiem" nałożonym z powodu zbyt dużego zużycia transferu przez błąd w systemie (płacę za taryfę nielimitowaną), więc nawet nie próbowałem :D

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×