Registrace  •  FAQ  •  Pravidla fóra  •  Uživatelské blogy  •  PCTuning.cz  •  Hledat  • Přihlášení
 • Funkce report, slouží pro upozornění na porušení pravidel, ne vzkazy moderátorům.

Právě je po 19. duben 2021, 09:52

Zobrazit příspěvky bez odpovědiZobrazit aktivní témata



Čas je uváděn v UTC + 1 hodina


Odpovědět na téma  [ 9 příspěvků ] 
Autor Zpráva
 Předmět: DNS útoky z mého routeru [vyřešeno]
PříspěvekZaslal v: st 27. listopad 2013, 16:33 
Začátečník
Začátečník

Založen: 08. červenec 2006
Bydliště: Ostrava
Nahoru
Ahoj, můj poskytovatel mi opakovaně poslal email, že z mé IP adresy zaznamenali podezřelý provoz na jeho vlastní DNS servery. Jedná se o poskytovatele PODA.

V té době, kdy měl "útok" probíhat, byl vypnutý počítač. V logu routeru jsem zjistil, že k němu nebylo připojené žádné zařízení. Takže problém je jednoznačně v routeru TENDA W311R+ (nebo u poskytovatele).
Pro WAN mám nastavenou statickou IP adresu. Dále mám v něm nakonfigurovanou wi-fi s WPA2-AES.

V emailu se mluví o tom, že mám špatně nastavený router, který umožňuje rekurzivní DNS dotazy. Nevíte, co to znamená a jak to napravit?

Díky za jakoukoliv radu.

Kód:
TOTO JE AUTOMATICKY GENEROVANÁ ZPRÁVA

Vážený zákazníku,

dovolujeme si Vás informovat, že jsme z Vaší IP adresy 82.209.xxx.xxx zaznamenali
podezřelý provoz na naše DNS servery 62.129.50.20 nebo 85.135.32.100, který je
pravděpodobně útokem typu DNS amplification a který nastal 27.11.2013 12:51
a naposledy jsme jej evidovali 27.11.2013 13:50.

Jedná se o útok, který se projevuje generováním vysokého počtu DNS dotazů typu
ANY na rozměrné domény, např. isc.org. Detekovali jsme zvýšenou frekvenci
takových dotazů z Vaší IP adresy 82.209.xxx.xxx a na našich serverech proto byla
aktivována automatická ochrana proti tomuto typu útoku. Zkontrolujte prosím
konfiguraci zařízení provozovaného na uvedené IP adrese. S vysokou
pravděpodobností umožňuje rekurzivní DNS dotazy pro stanice mimo vaši síť nebo
síť PODA. Pokud na této IP adrese provozujete vlastní router nebo server, tak
je toto chování nejspíše způsobeno chybou v jeho konfiguraci.

Žádáme Vás tímto o odstranění příčiny problému. Pokud se Vám to povede a
podezřelý provoz ustane, budete po 48 hodinách informováni další zprávou.

V případě jakýchkoliv dotazů prosím kontaktujte naší zákaznickou linku.

PODA a.s.
oddělení technické podpory a dohledu sítě
tel.: 844 844 033


Naposledy upravil James.Sniper dne st 27. listopad 2013, 18:57, celkem upraveno 1x.

 Profil  
 Předmět: Re: DNS útoky z mého routeru
PříspěvekZaslal v: st 27. listopad 2013, 16:48 
Začátečník
Začátečník

Založen: 15. květen 2009
Nahoru
mozna souvislost s http://www.zive.cz/bleskovky/zadni-vratka-v-cinskych-routerech-tenda/sc-4-a-171036/default.aspx ,ten router je srot,pockal bych,jestli se utok bude opakovat,mohlo dojit i k chybe vyhodnoceni utoku na strane poskytovatele...

_________________
CPU: Intel core i5 4690k@4,6 GHz | GPU: GTX 970@1440MHz/8000MHz | MB: Asus Sabertooth Z97 MARK 2 | RAM: 2*8GB Kingston DDR3 | HDD: Samsung SSD 840 Evo 250GB | PSU: EVGA Gold 650W | OS: Win 7 Ultimate SP1 64-bit | Fire Strike: P10068


 Profil  
 Předmět: Re: DNS útoky z mého routeru
PříspěvekZaslal v: st 27. listopad 2013, 17:07 
Začátečník
Začátečník

Založen: 08. červenec 2006
Bydliště: Ostrava
Nahoru
V routeru mám tento firmware: "V3.2.4.02s_EN-Nov 12 2010".
Jedná se už o druhý mail od poskytovatele. První byl 16.10. a ten nynější 27.11.

Co se týče zadních vrátek. Útočit prý lze jen z lokální sítě a v té době nikdo neměl přístup k routeru. Předpokládám, že tento útok nelze provést přes wi-fi a ikdyby, tak router by to aspoň zaznamenal do logu a ten je čistý. Takže toto bych vyloučil.

Co jsem ještě našel v logu (routeru). Znamená to pro mě něco?
Kód:
2013-11-26 06:24:10   [FW]   **Port Scan Detected** 151.236.6.214 -> 82.209.xxx.xxx
2013-11-26 06:24:10   [FW]   **Port Scan Detected** 151.236.6.214 -> 82.209.xxx.xxx

2013-11-26 19:41:47   [FW]   **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:41:47   [FW]   **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:41:47   [FW]   **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:41:59   [FW]   **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:42:28   [FW]   **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:42:49   [FW]   **Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx


 Profil  
 Předmět: Re: DNS útoky z mého routeru
PříspěvekZaslal v: st 27. listopad 2013, 17:11 
Mírně pokročilý
Mírně pokročilý
Obrázek uživatele

Založen: 17. červenec 2005
Bydliště: Vysočina
Nahoru
Ten log znamená že někdo scanoval porty tobě. Pro jistotu bych změnil heslo na wifi i pro vstup do administrace. Ale pokud je to backdoor ve FW tak jedině nainstalovat nový FW nebo vyměnit router.

A nebo IDSko poskytovatele je nějaké dodrbané.

_________________
PC: Asus P8P67 Pro | Intel Core i5-2500K + Cooler Master Hyper 212+ | Gigabyte GTX560 Ti OC | Kingston 12GB DDR III 1333Mhz | Seagate 500GB | Asus DRW-2014L1T | Enermax 600W NAXN 80+ | HP LP2275w

Notebook: Lenovo Thinkpad X200 7459-1P0


 Profil  
 Předmět: Re: DNS útoky z mého routeru
PříspěvekZaslal v: st 27. listopad 2013, 17:30 
Začátečník
Začátečník

Založen: 08. červenec 2006
Bydliště: Ostrava
Nahoru
Brázda.l napsal:
Ten log znamená že někdo scanoval porty tobě. Pro jistotu bych změnil heslo na wifi i pro vstup do administrace. Ale pokud je to backdoor ve FW tak jedině nainstalovat nový FW nebo vyměnit router.

Hesla jsem měnil hned po prvním emailu (16.10.).
Podle tohoto www.devttys0.com
Kód:
One teensy-weensy, but ever so crucial little tiny detail is that the backdoor only listens on the LAN, thus it is not exploitable from the WAN. However, it is exploitable over the wireless network, which has WPS enabled by default with no brute force rate limiting.

lze zadní vrátka použít u TENDA jen z lokální sítě resp. z wi-fi, pokud je WPS aktivní. Což nemám, WPS jsem zakázal opět 16.10.

Zatím díky za rady.


 Profil  
 Předmět: Re: DNS útoky z mého routeru
PříspěvekZaslal v: st 27. listopad 2013, 17:40 
Mírně pokročilý
Mírně pokročilý

Založen: 23. květen 2007
Bydliště: Hradec Králové
Nahoru
Asi nějaká chyba routeru (ů) TENDA, mrkni sem:
http://access-pointy.heureka.cz/tenda-w311r-plus/recenze/?s=3

_________________
ASUS Prime X370-A, AMD Ryzen 5 2600, 2x8GB DDR4 Ballistix Sport LT 3000 White, SSD NVME Transcend MTE220S 256GB, WD20EARX-00PAS, WD20EFRX-68EUZ, ST4000DM004-2CV104, LG BH08LS20, Pioneer DVR-112, GeForce N210, IEEE1394b PCI-E, Seasonic S12II-430; Windows 10 Pro 64bit; MS Office 2019; Huawei B535s-232 alias HUAWEI 4G Router 3 Pro (Datamánie.cz O2)


 Profil  
 Předmět: Re: DNS útoky z mého routeru
PříspěvekZaslal v: st 27. listopad 2013, 17:53 
Mírně pokročilý
Mírně pokročilý
Obrázek uživatele

Založen: 17. červenec 2005
Bydliště: Vysočina
Nahoru
Další info

http://goo.gl/VWgty9
http://goo.gl/ex6SzT

Nejjednodušší řešení koupit nový router. :D

_________________
PC: Asus P8P67 Pro | Intel Core i5-2500K + Cooler Master Hyper 212+ | Gigabyte GTX560 Ti OC | Kingston 12GB DDR III 1333Mhz | Seagate 500GB | Asus DRW-2014L1T | Enermax 600W NAXN 80+ | HP LP2275w

Notebook: Lenovo Thinkpad X200 7459-1P0


 Profil  
 Předmět: Re: DNS útoky z mého routeru
PříspěvekZaslal v: st 27. listopad 2013, 18:03 
Mírně pokročilý
Mírně pokročilý

Založen: 23. květen 2007
Bydliště: Hradec Králové
Nahoru
Asi tak, protože to asi upgradovat nejde:
"... 4) Zařízení obsahující H3_v3.3.6f, H1_3.3.6d nebo V.3.2.4.02s_EN jsou poslední aktuální verze a není možné provádět upgrade/downgrade těchto zařízení!..."
(http://tenda.cz/pro-domacnost/wifi-routery-n/w311r/tenda-w311r-wireless-n-router-80211bgn-150mbps-1x-wan-4x-lan-1x-e)

_________________
ASUS Prime X370-A, AMD Ryzen 5 2600, 2x8GB DDR4 Ballistix Sport LT 3000 White, SSD NVME Transcend MTE220S 256GB, WD20EARX-00PAS, WD20EFRX-68EUZ, ST4000DM004-2CV104, LG BH08LS20, Pioneer DVR-112, GeForce N210, IEEE1394b PCI-E, Seasonic S12II-430; Windows 10 Pro 64bit; MS Office 2019; Huawei B535s-232 alias HUAWEI 4G Router 3 Pro (Datamánie.cz O2)


 Profil  
 Předmět: Re: DNS útoky z mého routeru [vyřešeno]
PříspěvekZaslal v: st 27. listopad 2013, 18:56 
Začátečník
Začátečník

Založen: 08. červenec 2006
Bydliště: Ostrava
Nahoru
Takže router na hovno... a to ho tak chválili v recenzi. :angry2: Koupím teda nový. Díky moc za rady.


 Profil  
Zobrazit příspěvky za poslední:  Řadit podle  
Odpovědět na téma  [ 9 příspěvků ] 


Čas je uváděn v UTC + 1 hodina


Přejít do sekce:
  

Kdo je přihlášený

Uživatelé procházející si tuto sekci: Žádní registrovaní uživatelé a 1 anonymní


Nemůžete zakládat nová témata v této sekci
Nemůžete odpovídat na příspěvky v této sekci
Nemůžete upravovat své příspěvky v této sekci
Nemůžete mazat své příspěvky v této sekci
Nemůžete připojit přílohy v této sekci

 
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Český překlad - PCT fórum, Zásady ochrany osobních údajů.