Virus ou ataque mudando DNS de Roteador

[ManoDW]

Bom Dia Pessoal blza? aqui tenho ASN, cada cliente recebe ip valido por PPPOE.

Tenho uns clientes 2.4, a maioria tem roteador aprouter ou ovislink wl5460ap.

No meu server bloqueio acesso a porta 22 e 23, dessa forma eliminando uma qunatidade enorme de ataque aos roteadores dos clientes.

Hj peguei um caso que ja tinha acontecido a 10 dias atras, o cliente ligou q tava sem net, ao acessar o roteador (wl5460ap) ele estava com nat desativado, sem senha (pode ser um erro do tecnico).

Mudei e voltou a funcionar na hora.

Com os outros roteadores e airgrid nao acontece nada. Alguem ja passou por isso?

Vale uma estrelinha

Abracao

[faelldantas]

http://www.techtudo.com.br/noticias/...no-brasil.html

Teve uns casos desses, não sei se o seu se aplica a isso.

Você deixa o acesso ao roteador para o cliente?

Senhas padrões do roteador?

[Aurio]

já pequei vários casos destes aqui no provedor, cliente ligar informando que esta sem internet, só que a CPE 5.8 do cliente conectado pingando normal, realmente é um vírus que invade o roteador WIFI do cliente e altera o DNS do roteador na CPE 5.8 não vi nem um caso do vírus mudar o DNS somente no roteador WIFI, com as marcas DLINK,TPLINK é INTELBRAS, este vírus invade roteadores que foram configurados mais não foi alterado o usuário e senha que vem padrão admin admin.

[lukcruz]

Provavelmente vírus, só acontece quando a senha da firmware dos roteadores esta como padrão. Padronize uma senha para eles que o problema acaba.

[AndrioPJ]

1 - troque a senha padrão de fabrica.
2 - bloquei todas as portas abaixo de 1024 com destino aos seus clientes residenciais.

[ManoDW]

Boa Noite pessoal blza? realmente peguei esse roteador sem senha, porem nao utilizo senhas padroes de fabrica.

AndrioPJ como ficaria essa regra de bloqueio?

Obrigado a todos, to monitorando aqui

[Nilton Nakao]

No meu comércio/casa acontecia direto alguns anos atrás, mudava o IP e dias depois affff, trocava a senha novamente aff. Passei a desligar a internet diariamente melhorou e muito mas acontecia de quando em vez. Por problemas técnicos com a operadora, troquei aí sim melhorou e muito.
Atualmente uso um roteador 3Com e um outro roteador em uma das portas só para wi-fi e em 4 meses posso afirmar que está uma maravilha sem precisar resetar ou desligar/ligar.
Acho que o problema está mais em 2,4 para 2,4 ; assim era com o primeiro provedor e nesse segundo é 5,8.

[brunocemeru]

Amigos estou pegando este problema direto aqui em meu provedor.
As marcas da tp-link e d-link são as que mais aparecem mudando.
Já fiz de tudo mas o problema volta,a solução aqui foi colocar o roteador em bridge(desativar o dhcp).
Eu acredito que seja algum aplicativo instalado em celular android,pois peguei dois clientes que tem somente celular com o dns mudado.obss clientes nada sabem sobre configuração roteador.

[rubem]

Geralmente é site acessado pelo cliente, e não malware rodando no SO.

Se acahr um site desses que pede senha (Do roteador) e olhar o código, dá pra ver que não tem caminho pra muitos routers, só pra mais famosos, mais usados, tipo Dlink, TPLink, Linksys (Muito usado no mundo, não no brasil), código tipo:



Eu só topei com isso em redirecionamentos tipo do LinkShrink, mas o problema não é com eles e sim em quem usa eles (Você configura pra ele redirecionar pra onde quiser), mas isso me impediu de ver o código.
Tirei print última vez:

(Primeiro pede a senha do gateway (E se tiver software tipo o Netbalancer (E eu tenho) a internet não necessariamente vem do que está configurado como gateway, mas o código malicioso lê o gateway), se a senha estiver armazenada no browser também não adianta NADA mudar a senha. Ao cancelar ele pede a senha com meu IP público (Outro modo de acessar o setup do modem ou roteador é esse, pelo ip público, 99% dos usuários do mundo tem um roteador, mas 99% destes tem acesso externo desativado))

Coisa tipo Intelbras, Oiwtech, Gothan, isso dificilmente terá código inserido nessas páginas, o malware DNSChanger teve variação com um BD gigante de usuários e senhas, mas essas páginas tem pouca coisa. A grande bobeira que uns noobs fazem é mudar a senha mas deixar armazenada no browser, aí não adianta nada já que o código faz justo o browser tentar abrir o setup pra alterar isso, não é via ssh ou telnet, é acesso http simples, então não pode salvar senha em browser.