Vraag:
Ik herken het adres van mijn DNS-server niet: betekent dit dat ik gecompromitteerd ben?
Dave Mn
2015-09-25 19:44:35 UTC
view on stackexchange narkive permalink

Ik gebruik de Ubuntu GNOME Linux-distributie als mijn bureaublad. Onlangs werd het voor mij onmogelijk om ermee verbinding te maken met internet. Toen ik de netwerkinstellingen controleerde, zag ik dat het DNS-adres 46.161.40.29 was.

Toen ik dit IP-adres op mijn andere desktop (een Windows 7-machine) zocht, vond het artikel http://anti-hacker-alliance.com/index.php?details=46.161.40.29.

Op mijn Linux-computer heb ik de DNS-naamserver ingesteld in /etc/resolv.conf naar 8.8.8.8 en 8.8.4.4 , en had toegang tot internet.

Merk op dat elke keer dat ik mijn machine herstart, ik geen verbinding kan maken met internet en dat het DNS-bestand ( /etc/resolv.conf ) leeg is. Mijn bedrade verbinding wordt ook niet weergegeven in de netwerkbeheerder.

Ik zie nog steeds 46.161.40.29 in de instellingen van mijn bedrade verbinding:

Network manager showing DNS set to 46.161.40.29

Is mijn computer gecompromitteerd? Zo ja, wat kan een aanvaller doen?

Opmerking: ik gebruik de D-Link DSL-2520u-homemodem en de firmwareversie is v1.08. Toen ik mijn DNS-instellingen in de modeminterface (192.168.1.1) controleerde, wees het het primaire DNS-adres naar 188.42.254.137 en het secundaire naar 8.8.8.8.

Misschien wil je een kijkje nemen in /var/lib/dhcp3/dhclient.leases waar de DHCP-gegevens worden opgeslagen die door je machine worden gebruikt. Het is mogelijk dat uw router gecompromitteerd is.
"cat /var/lib/dhcp3/dhclient.leases" werkt niet .. Ik gebruik dlink 2520u, waar kan ik controleren of mijn router gecompromitteerd is? thnx
Merk op dat elke keer dat ik mijn machine herstart, ik geen verbinding kan maken met internet en het DNS-bestand (/etc/resol.conf) dat zwart toont ... en ook mijn bekabelde verbinding wordt niet weergegeven in netwerkbeheer ...
Heeft u geprobeerd uw router opnieuw op te starten (uw ADSL-box, enz.)? Afhankelijk van het type infectie zijn sommige niet persistent en overleven ze het opnieuw opstarten van de router niet.
Nu heb ik de modem gereset en het standaardwachtwoord gewijzigd, hoop dat het genoeg is, laat het me weten als dit niet het geval is! Wat kan de aanvaller doen omdat ik gecompromitteerd ben? in het ergste geval .. Merk op dat elke keer dat ik mijn machine herstart, ik geen verbinding kan maken met internet en DNS-bestand (/etc/resol.conf) met LEEG ... en ook mijn bekabelde verbinding wordt niet weergegeven in netwerkbeheer: / elke keer dat ik mijn dns-naamserver heb gereset naar 8.8.8.8, laat me dus weten hoe ik dit kan oplossen
Een goede vuistregel is: als de vraag is 'ben ik gecompromitteerd?' ga er dan vanuit dat u dat bent totdat u het tegendeel kunt bewijzen.
Ik weet het niet over jou, maar de `/etc/resolv.conf`s op al mijn Ubuntu-systemen zeggen` Dynamic resolv.conf (5) bestand voor glibc resolver (3) gegenereerd door resolvconf (8) `en` NIET BEWERKEN DIT BESTAND MET DE HAND - UW WIJZIGINGEN ZULLEN AAN DE TOP WORDEN OVERSCHRIJD.
@JamesSnell maar _proving_ is anders erg moeilijk, men moet alle dingen bekijken (of controleren met handtekening / hash), zoals EFI-firmware, alle OS-bestanden, alle firmwarez van andere apparaten die kunnen worden gehackt (harde schijven, GPU's, ... er zijn er genoeg van hen), enz.
Thnx, ik gebruik "dlink 2520u" thuismodem, firmwareversie is v1.08. Toen ik mijn DNS in de modeminterface (192.168.1.1) controleerde, lijkt het primaire DNS-adres naar 188.42.254.137 en secundair naar 8.8.8.8 ... ip 188.42.254.137 eng toen ik in google zocht :(
Er is een interessant script op http://46.161.40.29/CC98AA2A3E1C4C45B571367430687DD0/3944CDD6-3E1D-AB4E-A212-EF291573F7AF/main.js
Vijf antwoorden:
Jesse K
2015-09-25 20:17:43 UTC
view on stackexchange narkive permalink

Er is zeker iets in uw omgeving gecompromitteerd. Het lijkt waarschijnlijker dat uw router is gecompromitteerd. Je hebt niet veel informatie verstrekt, dus ik ga een paar basisaannames doen:

  • Je bent thuis
  • Je zit achter een commerciële router, geleverd door uw ISP
  • U heeft niets gedaan om uw router te beveiligen
  • Uw Linux-desktop is een DHCP-client van de router.

Deze apparaten hebben vaak standaardwachtwoorden die gebruikers nooit wijzigen en kritieke firmware-kwetsbaarheden die niet worden gepatcht. Als een DHCP-client van de router zal uw Linux-desktop DNS-informatie ophalen als onderdeel van zijn DHCP-verzoek, en zo ook het gedrag zien dat u hierboven hebt beschreven. Het configureren van andere DNS-servers in resolv.conf is slechts een tijdelijke oplossing. Ik raad u sterk aan om te proberen in te loggen op uw router (waarschijnlijk @ 192.168.1.1, op basis van uw screenshot). Ik wed dat je het niet kunt. U zult het waarschijnlijk moeten resetten naar de fabrieksinstellingen en vervolgens inloggen. U wilt het beter beveiligen: firmware bijwerken, standaardwachtwoorden wijzigen en hopen dat dat genoeg is.

Ter bevestiging zonder in te loggen op uw router, controleer dan de DNS-configuratie op uw Windows-bureaublad. Als het naar hetzelfde 46.161.40.29 verwijst, dan is het zeer waarschijnlijk de router.

Bedankt voor het antwoord, nu heb ik mijn dlink-modem gereset en de firewall ingeschakeld en een goed wachtwoord ingesteld :) hopelijk zal het in de toekomst nooit gebeuren, wat zou de aanvaller kunnen doen aangezien ik gecompromitteerd ben? in het ergste geval ... Merk op dat elke keer dat ik mijn machine opnieuw opstart, ik geen verbinding kan maken met internet en DNS-bestand (/etc/resol.conf) met LEEG ... en ook mijn bekabelde verbinding wordt niet weergegeven in netwerkbeheer: / elke keer dat ik mijn dns-naamserver heb gereset naar 8.8.8.8, dus laat me weten hoe ik dit kan oplossen Nogmaals bedankt Jesse!
@Dave Mn Het spijt me te moeten zeggen, volgens artikel, https://threatpost.com/dns-hijack-in-d-link-routers-no-authentication-required/110792/, zal het waarschijnlijk terugkomen! Raadpleeg de DLink-website voor een firmware-update of ISP (als ze het apparaat hebben geleverd) of dump het apparaat helemaal als u dit probleem de volgende keer ziet.
@DaveMn een hacker zou u bijvoorbeeld het IP-adres van hun eigen server geven (die lijkt op die van uw bank) wanneer u probeert in te loggen op de website van uw bank. Of gebruik een van uw apparaten om andere systemen overal ter wereld aan te vallen (waardoor u in de problemen kunt komen). Of voeg uw apparaten toe aan hun botnet om geld te verdienen met bijv. DDoS-aanvallen etc.
Thnx, ik gebruik "dlink 2520u" thuismodem, firmwareversie is v1.08. Toen ik mijn DNS in de modeminterface (192.168.1.1) controleerde, lijkt het primaire DNS-adres naar 188.42.254.137 en secundair naar 8.8.8.8 ... ip 188.42.254.137 eng toen ik in google zocht :(
Voor wat het waard is, is er een bevestiging van een vergelijkbare exploit op Netgear-routers, zie http://www.bbc.com/news/technology-34491583 Wat betreft het risico dat u loopt, is tijdelijke controle over uw DNS behoorlijk ernstig. In het ergste geval kunnen ze u doorverwijzen naar malwaresites of u blootstellen aan phishingaanvallen. Als u een redelijk verantwoordelijke gebruiker bent en dingen doet zoals ervoor zorgen dat u HTTPS gebruikt voordat u wachtwoorden invoert, komt het waarschijnlijk goed. Er zijn veel andere mogelijke slechtheden, zoals iemand die al uw verkeer omleidt om een ​​DDOS-aanval te starten.
@DaveMn - Wat is de huidige status van dit probleem? Ik zie dat je zei dat je bekabelde verbinding niet wordt weergegeven en dat je aanhoudende problemen hebt met resolv.conf en DNS in de router.
User4890
2015-09-25 23:45:29 UTC
view on stackexchange narkive permalink

Bekijk deze bron eens:
http://thesimplesynthesis.com/post/how-to-set-a-static-ip-and-dns-in-ubuntu-14-04

Samenvattend kan het zijn dat je /etc/resolv.conf aan het updaten bent, maar Ubuntu herschrijft het op basis van andere vooraf gedefinieerde instellingen. U kunt /etc/resolv.conf beschouwen als de resulterende items die uw systeem heeft afgeleid uit de verschillende opties.

Controleer de locaties waarnaar wordt verwezen voor de head / base / tail / interfaces-ingangen en kijk of ze zijn bijgewerkt (het kan goed zijn om de rechten, het eigendom en de gewijzigde datum te noteren). Ik verwacht dat je zult vinden dat een of alle ervan de ongewenste naamserververmeldingen hebben. Werk het bestand bij en genereer het resolv.conf-bestand opnieuw (de stappen in het bovenstaande item zien er correct uit, maar het zou geen kwaad kunnen om naar een Ubuntu KB te zoeken om het juiste proces voor uw specifieke versie van Ubuntu te verifiëren).

En last but not least ... het bijwerken van uw resolv.conf kan slechts een van de wijzigingen aan uw systeem zijn geweest en er kunnen andere vervelende items op de loer liggen. Als ik het was ... zodra ik mijn netwerk had beveiligd (zoals je lijkt te hebben bekeken door een goed wachtwoord in te stellen op je router, enz.), Zou ik het opnieuw installeren.

Als een herinstallatie nog niet iets is waar je nog geen zin in hebt, verander dan op zijn minst al je wachtwoorden (alle gebruikers en root) op het systeem. Als iemand resolv.conf heeft bijgewerkt, zouden ze al root-toegang hebben gekregen (tenzij je funky permissies hebt, alleen root of gebruikers met sudo-toegang zouden resolv.conf moeten kunnen updaten) en hadden ze gemakkelijk je schaduwbestand kunnen pakken en een hash van je wachtwoorden hebben .

Dit kan ook allemaal door jezelf zijn veroorzaakt ... denk aan het installeren van iets dat je vroeg om verhoogde toegang (sudo) en je dacht dat het xyz aan het doen was, terwijl het echt XYZ aan het doen was en je hebt misschien gedaan het voor jezelf (soms zijn exploits niet het werk van criminele meesterbreinen, maar eerder hacks van kansen).

Veel succes.

Lees gewoon uw aantekeningen opnieuw. Controleer uw router en modem nogmaals en kijk naar welke DNS ze verwijzen. Zorg ervoor dat ze niet naar de verkeerde bron verwijzen en controleer ook de instellingen op uw systeem.
Thnx, ik gebruik "dlink 2520u" thuismodem, firmwareversie is v1.08. Toen ik mijn DNS in de modeminterface (192.168.1.1) controleerde, lijkt het primaire DNS-adres naar 188.42.254.137 en secundair naar 8.8.8.8 ... ip 188.42.254.137 eng toen ik in google zocht :(
Amit Nath Sharma
2016-02-14 10:48:36 UTC
view on stackexchange narkive permalink

Oplossing voor probleem met DNS-kaping op Dlink DSL 2520U. Ga naar de modeminterface. Klik op Geavanceerd - Beheer op afstand. Schakel onder Instellingen voor extern beheer de optie Extern beheer inschakelen in. Laat de Remote Admin Port op de standaard 80. Selecteer de optie Weigeren alles voor Remote Admin Inbound Filter. De volgende opties Details worden automatisch Niemand is toegestaan. Klik op Instellingen toepassen en start de modem opnieuw op. De DNS-server zal nu nooit worden gewijzigd of gekaapt. Voordat ik beheer op afstand inschakelde, werd de dns-server gekaapt en dagelijks of soms binnen een paar uur gewijzigd en mijn internetprestaties en -snelheid namen af ​​totdat ik de dns-server handmatig veranderde. De dns-server op mijn modem is nu een maand ongewijzigd sinds ik de instellingen voor beheer op afstand heb ingeschakeld.

rks
2016-02-17 19:06:12 UTC
view on stackexchange narkive permalink

Ik had exact hetzelfde probleem. Ik draai linux Ubuntu 12.04 / Win Xp (dual OS) op mijn pc en ik heb een DSL 2520U-modem die ik hier in India heb gekocht. In het begin was alles in orde. Na een paar weken merkte ik het probleem op dat in deze thread wordt beschreven. De reden dat ik achterdochtig werd, was te wijten aan het traag laden van de webpagina's die ik normaal gesproken bezoek en sommige pagina's laadden helemaal niet. Mijn internetprovider beveelt de instelling voor het automatisch ophalen van DNS-servers aan (niet de handmatige instelling). Wat er gebeurt is dat iemand (ofwel een hacker of iemand van het internet heeft de firmwarecode in de modem gewijzigd) in mijn modem komt, deze verandert in handmatige dns-instelling en 2 adressen invoert zoals 31.3.XX.YY voor primaire en secundaire DNS. Ik zou terugzetten naar automatisch en het zou binnen 2 uur weer teruggaan naar handmatig. Het was frustrerend.

Ik heb mijn internetprovider gebeld en ze konden niet begrijpen waarom. Dlink-ondersteuning bezocht en de firmware opnieuw geladen (dezelfde firmware, bcos ze hadden geen update) maar het probleem bleef bestaan. Ik heb zelfs mijn harde schijf opnieuw geformatteerd en Ubuntu opnieuw geladen, maar het probleem ging niet weg. Eindelijk voelde dat modem een ​​firmware-bug heeft en is overgeschakeld naar een TP-LINK 8816 bedraad LAN-modem en het probleem is OPGELOST (tenminste voorlopig). Ik denk dat DLINK 2520u een beveiligingsprobleem heeft dat wordt misbruikt door een website die we per ongeluk bezoeken.

Mijn suggestie is dat alle bedrade LAN-modems goedkoop zijn en dat je gewoon moet overschakelen in plaats van tijd te verspillen. Ik weet dat TP LINK werkt, maar je kunt Net Gear of zelfs Cisco proberen als ze er een hebben op gebruikersniveau.

user1751825
2016-02-17 20:11:24 UTC
view on stackexchange narkive permalink

Dat IP bevindt zich in Rusland, en dat kan niets goeds betekenen. U kunt proberen uw router los te koppelen en DHCP-leases te verlengen om te zien wat er gebeurt. Als het alleen uw router is, is het niet zo ernstig.

Als u geen internettoegang kon krijgen terwijl dit DNS-adres was ingesteld, kan dit betekenen dat de server al was gedeactiveerd, dus u kunt alles komt goed.

Het zou nog steeds het beste zijn om een ​​schone computer en netwerk te gebruiken om toegang te krijgen tot en de wachtwoorden voor al uw online services te wijzigen.



Deze Q&A is automatisch vertaald vanuit de Engelse taal.De originele inhoud is beschikbaar op stackexchange, waarvoor we bedanken voor de cc by-sa 3.0-licentie waaronder het wordt gedistribueerd.
Loading...