- Botnet da GVT(VIVO)
+ Responder ao Tópico
-
Botnet da GVT(VIVO)
Olá pessoal quero informar a todos que a rede da antiga GVT, agora vivo é uma botnet GIGANTE
vamos la... andei fazendo scans em algumas sub-redes da operadora escaneando portas 80 e 8080, pra minha surpresa 50% dos ips estavam com essa porta(80) aberta, com titulo de DSL Router
Ai ja comça a ficar suspeito, esses modems todos com acesso remoto habilitado, duvido muito que isso seja util pra vivo
Então tentei acessar com senha padrão
admin/gvt12345
admin/admin
user/user
admin/
Nenhuma dessas senhas entrou então pesquisei mais e descobri uma vulnerabilidade nos firmwares ao acessar o URL /password.cgi a senha é exibida
Então tentei explorar, consegui a senha
A senha no caso era admin/80087008
Entrando no modem vi que o dns estava com o numero alterado por um ip estranho: 90.181.x.x
Setei esse DNS Na minha placa de rede e nenhum site entrava em https nem sites de bancos
Então confirmei a botnet
A rede da VIVO está com uma falha de segurança gigante
Fiz esse post só para informar e talvez alertar os amigos sobre esse problema,para que tomem cuidado e saibam do problema
Enviado via GT-N7105T usando UnderLinux App
-
Re: Botnet da GVT(VIVO)
Aí faz falta uma galera pra quebrar tudo e por abaixo a rede deles! Infelizmente é a realidade, eles ficaram tão fascinados com a fibra óptica, e quando conseguiram entregar velocidades absurdas nem se perguntaram se deveriam... E deixaram muitos de seus usuários sem proteção alguma... E acho que ainda estragaram o mercado, (ou não!?), O fato é que não tem banda para entregar para os planos idiotas deles, e daí ficam tentando pressionar a Anatel e demais para mudar os métodos de entrega da velocidade, e deixam essas falhas graves sem cuidado algum.
Enviado via XT1563 usando UnderLinux App
-
Re: Botnet da GVT(VIVO)
Aconteceu isso com um vizinho aqui, cheguei e tinha um DNS doido no modem ADSL, pesquisei na net o modelo do modem ( um d-link, não lembro o modelo) e vi que tinha uma vulnerabilidade mesmo, pra resolver deixei ele em bridge e disquei com outro router lá.
a operdora poderia bloquear as principais portas de acesso de clientes residênciais como a OI faz ( ou fazia, sei lá, numca mais testei).
-
Re: Botnet da GVT(VIVO)
Que coisa, bloqueiam o modem em tantas coisas, e não travam ai o DNS... Pelo menos isso deveriam ter feito no firmware.
-
Re: Botnet da GVT(VIVO)
Isso acontece em alguns modems antigos (de propriedade do cliente ) da DLink (o 500B e 2640B ) e outros ( tplink, etc, que usem a mesma plataforma ) , com firmware velho. De alguns anos pra cá os firmware já vêm consertando isso.
-
Re: Botnet da GVT(VIVO)
O Pior é que estão usando Scripts que varrem as redes o tempo todo. Então é quase impossivel resolver, ainda por cima alguns firmwares tem um bug que mesmo desativando o HTTP pela WAN ele continua habilitado, a maioria não há nenhuma atualização de firmware que corrija isso, forçando o usuario a trocar de modem
o jeito é deixar o modem em bridge e discar pelo router mais a maioria dos usuarios são leigos e não sabem nem o que é PPPoE, isso também complica muito
a VIVO também deve estar ciente do problema mais não faz nada, eles poderiam bloquear a Porta 80 dos clientes assim como faz a oi. E liberar a 445 que é muito mais util para os usuarios