DNS útoky z mého routeru [vyřešeno]

James.Sniper

Ahoj, můj poskytovatel mi opakovaně poslal email, že z mé IP adresy zaznamenali podezřelý provoz na jeho vlastní DNS servery. Jedná se o poskytovatele PODA.

V té době, kdy měl "útok" probíhat, byl vypnutý počítač. V logu routeru jsem zjistil, že k němu nebylo připojené žádné zařízení. Takže problém je jednoznačně v routeru TENDA W311R+ (nebo u poskytovatele).
Pro WAN mám nastavenou statickou IP adresu. Dále mám v něm nakonfigurovanou wi-fi s WPA2-AES.

V emailu se mluví o tom, že mám špatně nastavený router, který umožňuje rekurzivní DNS dotazy. Nevíte, co to znamená a jak to napravit?

Díky za jakoukoliv radu.

Kód: Vybrat vše

TOTO JE AUTOMATICKY GENEROVANÁ ZPRÁVA

Vážený zákazníku,

dovolujeme si Vás informovat, že jsme z Vaší IP adresy 82.209.xxx.xxx zaznamenali
podezřelý provoz na naše DNS servery 62.129.50.20 nebo 85.135.32.100, který je
pravděpodobně útokem typu DNS amplification a který nastal 27.11.2013 12:51
a naposledy jsme jej evidovali 27.11.2013 13:50.

Jedná se o útok, který se projevuje generováním vysokého počtu DNS dotazů typu
ANY na rozměrné domény, např. isc.org. Detekovali jsme zvýšenou frekvenci
takových dotazů z Vaší IP adresy 82.209.xxx.xxx a na našich serverech proto byla
aktivována automatická ochrana proti tomuto typu útoku. Zkontrolujte prosím
konfiguraci zařízení provozovaného na uvedené IP adrese. S vysokou
pravděpodobností umožňuje rekurzivní DNS dotazy pro stanice mimo vaši síť nebo
síť PODA. Pokud na této IP adrese provozujete vlastní router nebo server, tak
je toto chování nejspíše způsobeno chybou v jeho konfiguraci.

Žádáme Vás tímto o odstranění příčiny problému. Pokud se Vám to povede a
podezřelý provoz ustane, budete po 48 hodinách informováni další zprávou.

V případě jakýchkoliv dotazů prosím kontaktujte naší zákaznickou linku.

PODA a.s.
oddělení technické podpory a dohledu sítě
tel.: 844 844 033

Alfajk · Příspěvek od **Alfajk** » stř 27. lis 2013, 16:48

mozna souvislost s http://www.zive.cz/bleskovky/zadni-vrat ... fault.aspx ,ten router je srot,pockal bych,jestli se utok bude opakovat,mohlo dojit i k chybe vyhodnoceni utoku na strane poskytovatele...

James.Sniper

V routeru mám tento firmware: "V3.2.4.02s_EN-Nov 12 2010".
Jedná se už o druhý mail od poskytovatele. První byl 16.10. a ten nynější 27.11.

Co se týče zadních vrátek. Útočit prý lze jen z lokální sítě a v té době nikdo neměl přístup k routeru. Předpokládám, že tento útok nelze provést přes wi-fi a ikdyby, tak router by to aspoň zaznamenal do logu a ten je čistý. Takže toto bych vyloučil.

Co jsem ještě našel v logu (routeru). Znamená to pro mě něco?

Kód: Vybrat vše

2013-11-26 06:24:10	[FW]	**Port Scan Detected** 151.236.6.214 -> 82.209.xxx.xxx
2013-11-26 06:24:10	[FW]	**Port Scan Detected** 151.236.6.214 -> 82.209.xxx.xxx

2013-11-26 19:41:47	[FW]	**Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:41:47	[FW]	**Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:41:47	[FW]	**Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:41:59	[FW]	**Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:42:28	[FW]	**Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx
2013-11-26 19:42:49	[FW]	**Port Scan Detected** 89.29.28.162 -> 82.209.xxx.xxx

Brázda.l · Příspěvek od **Brázda.l** » stř 27. lis 2013, 17:11

Ten log znamená že někdo scanoval porty tobě. Pro jistotu bych změnil heslo na wifi i pro vstup do administrace. Ale pokud je to backdoor ve FW tak jedině nainstalovat nový FW nebo vyměnit router.

A nebo IDSko poskytovatele je nějaké dodrbané.

James.Sniper

Brázda.l píše:Ten log znamená že někdo scanoval porty tobě. Pro jistotu bych změnil heslo na wifi i pro vstup do administrace. Ale pokud je to backdoor ve FW tak jedině nainstalovat nový FW nebo vyměnit router.

Hesla jsem měnil hned po prvním emailu (16.10.).
Podle tohoto www.devttys0.com

Kód: Vybrat vše

One teensy-weensy, but ever so crucial little tiny detail is that the backdoor only listens on the LAN, thus it is not exploitable from the WAN. However, it is exploitable over the wireless network, which has WPS enabled by default with no brute force rate limiting.

lze zadní vrátka použít u TENDA jen z lokální sítě resp. z wi-fi, pokud je WPS aktivní. Což nemám, WPS jsem zakázal opět 16.10.

Zatím díky za rady.

Nagant · Příspěvek od **Nagant** » stř 27. lis 2013, 17:40

Asi nějaká chyba routeru (ů) TENDA, mrkni sem:
http://access-pointy.heureka.cz/tenda-w ... cenze/?s=3

Brázda.l · Příspěvek od **Brázda.l** » stř 27. lis 2013, 17:53

Další info

http://goo.gl/VWgty9
http://goo.gl/ex6SzT

Nejjednodušší řešení koupit nový router.

Nagant · Příspěvek od **Nagant** » stř 27. lis 2013, 18:03

Asi tak, protože to asi upgradovat nejde:
"... 4) Zařízení obsahující H3_v3.3.6f, H1_3.3.6d nebo V.3.2.4.02s_EN jsou poslední aktuální verze a není možné provádět upgrade/downgrade těchto zařízení!..."
(http://tenda.cz/pro-domacnost/wifi-rout ... x-lan-1x-e)

James.Sniper

Takže router na hovno... a to ho tak chválili v recenzi.

Koupím teda nový. Díky moc za rady.

DNS útoky z mého routeru [vyřešeno]

DNS útoky z mého routeru [vyřešeno]

Re: DNS útoky z mého routeru

Re: DNS útoky z mého routeru

Re: DNS útoky z mého routeru

Re: DNS útoky z mého routeru

Re: DNS útoky z mého routeru

Re: DNS útoky z mého routeru

Re: DNS útoky z mého routeru

Re: DNS útoky z mého routeru [vyřešeno]