+ Responder ao Tópico



  1. #1

    Thumbs up Virus ou ataque mudando DNS de Roteador

    Bom Dia Pessoal blza? aqui tenho ASN, cada cliente recebe ip valido por PPPOE.

    Tenho uns clientes 2.4, a maioria tem roteador aprouter ou ovislink wl5460ap.

    No meu server bloqueio acesso a porta 22 e 23, dessa forma eliminando uma qunatidade enorme de ataque aos roteadores dos clientes.

    Hj peguei um caso que ja tinha acontecido a 10 dias atras, o cliente ligou q tava sem net, ao acessar o roteador (wl5460ap) ele estava com nat desativado, sem senha (pode ser um erro do tecnico).

    Mudei e voltou a funcionar na hora.

    Com os outros roteadores e airgrid nao acontece nada. Alguem ja passou por isso?

    Vale uma estrelinha

    Abracao

  2. #2

    Padrão Re: Virus ou ataque mudando DNS de Roteador

    http://www.techtudo.com.br/noticias/...no-brasil.html

    Teve uns casos desses, não sei se o seu se aplica a isso.

    Você deixa o acesso ao roteador para o cliente?

    Senhas padrões do roteador?



  3. #3

    Padrão Re: Virus ou ataque mudando DNS de Roteador

    já pequei vários casos destes aqui no provedor, cliente ligar informando que esta sem internet, só que a CPE 5.8 do cliente conectado pingando normal, realmente é um vírus que invade o roteador WIFI do cliente e altera o DNS do roteador na CPE 5.8 não vi nem um caso do vírus mudar o DNS somente no roteador WIFI, com as marcas DLINK,TPLINK é INTELBRAS, este vírus invade roteadores que foram configurados mais não foi alterado o usuário e senha que vem padrão admin admin.

  4. #4

    Padrão Re: Virus ou ataque mudando DNS de Roteador

    Provavelmente vírus, só acontece quando a senha da firmware dos roteadores esta como padrão. Padronize uma senha para eles que o problema acaba.



  5. #5

    Padrão Re: Virus ou ataque mudando DNS de Roteador

    1 - troque a senha padrão de fabrica.
    2 - bloquei todas as portas abaixo de 1024 com destino aos seus clientes residenciais.

  6. #6

    Padrão Re: Virus ou ataque mudando DNS de Roteador

    Boa Noite pessoal blza? realmente peguei esse roteador sem senha, porem nao utilizo senhas padroes de fabrica.

    AndrioPJ como ficaria essa regra de bloqueio?

    Obrigado a todos, to monitorando aqui



  7. #7
    Avatar de Nilton Nakao
    Ingresso
    Sep 2013
    Localização
    Carlos Chagas, Minas Gerais
    Posts
    906

    Padrão Re: Virus ou ataque mudando DNS de Roteador

    No meu comércio/casa acontecia direto alguns anos atrás, mudava o IP e dias depois affff, trocava a senha novamente aff. Passei a desligar a internet diariamente melhorou e muito mas acontecia de quando em vez. Por problemas técnicos com a operadora, troquei aí sim melhorou e muito.
    Atualmente uso um roteador 3Com e um outro roteador em uma das portas só para wi-fi e em 4 meses posso afirmar que está uma maravilha sem precisar resetar ou desligar/ligar.
    Acho que o problema está mais em 2,4 para 2,4 ; assim era com o primeiro provedor e nesse segundo é 5,8.

  8. #8

    Padrão Re: Virus ou ataque mudando DNS de Roteador

    Amigos estou pegando este problema direto aqui em meu provedor.
    As marcas da tp-link e d-link são as que mais aparecem mudando.
    Já fiz de tudo mas o problema volta,a solução aqui foi colocar o roteador em bridge(desativar o dhcp).
    Eu acredito que seja algum aplicativo instalado em celular android,pois peguei dois clientes que tem somente celular com o dns mudado.obss clientes nada sabem sobre configuração roteador.



  9. #9

    Padrão Re: Virus ou ataque mudando DNS de Roteador

    Geralmente é site acessado pelo cliente, e não malware rodando no SO.

    Se acahr um site desses que pede senha (Do roteador) e olhar o código, dá pra ver que não tem caminho pra muitos routers, só pra mais famosos, mais usados, tipo Dlink, TPLink, Linksys (Muito usado no mundo, não no brasil), código tipo:
    Clique na imagem para uma versão maior

Nome:	         Screen-Shot-2015-03-20-at-6.42.20-PM.png
Visualizações:	85
Tamanho: 	131,9 KB
ID:      	62084


    Eu só topei com isso em redirecionamentos tipo do LinkShrink, mas o problema não é com eles e sim em quem usa eles (Você configura pra ele redirecionar pra onde quiser), mas isso me impediu de ver o código.
    Tirei print última vez:
    Clique na imagem para uma versão maior

Nome:	         q2FGKb0.jpg
Visualizações:	83
Tamanho: 	152,4 KB
ID:      	62085
    (Primeiro pede a senha do gateway (E se tiver software tipo o Netbalancer (E eu tenho) a internet não necessariamente vem do que está configurado como gateway, mas o código malicioso lê o gateway), se a senha estiver armazenada no browser também não adianta NADA mudar a senha. Ao cancelar ele pede a senha com meu IP público (Outro modo de acessar o setup do modem ou roteador é esse, pelo ip público, 99% dos usuários do mundo tem um roteador, mas 99% destes tem acesso externo desativado))

    Coisa tipo Intelbras, Oiwtech, Gothan, isso dificilmente terá código inserido nessas páginas, o malware DNSChanger teve variação com um BD gigante de usuários e senhas, mas essas páginas tem pouca coisa. A grande bobeira que uns noobs fazem é mudar a senha mas deixar armazenada no browser, aí não adianta nada já que o código faz justo o browser tentar abrir o setup pra alterar isso, não é via ssh ou telnet, é acesso http simples, então não pode salvar senha em browser.