Ataque DNS a "rádios" Intelbras
ola a todos,
hoje foi identificado na nossa rede algum ataque a radios da intelbras que alteram o servidor de dns principal, os radios que os tecnicos "FDP" deixaram senha default
O DNS é alterado pro endereço: 209.217.227.114
o unico sintoma disso é que os clientes com dns alterado, quando tentam navegar por algumas paginas são solicitados a instalação do flash player... mesmo aqueles que possuem o flash player atualizado.
recomendação:
Dropar todo o trafego de origem e destino a esse endereço
Código :
/ip firewall filter
add action=drop chain=forward src-address=209.217.227.114
add action=drop chain=forward dst-address=209.217.227.114
e descobrir os usuários infectados
Código :
/ip firewall filter
add action=add-src-to-address-list address-list=Infectado_DNS chain=forward dst-address=209.217.227.114
posteriormente acessar e corrigir as configurações dos radios.
Re: Ataque DNS a "rádios" Intelbras
As duas primeiras vao dropar tudo para esse endereço... Nao vai mais ter comunicação com ele.
A outra vai criar uma lista la em ip>firewal>adress list com os ips de quem esta tentando conexao com esse ip...
Se vc adicionar essas regras no mesmo equipamento... a regra q gera a lista deve vir antes das regras de drop
