Non riconosco l'indirizzo del mio server DNS: significa che sono compromesso?

Naviga le tue risposte
8

Sto usando la distribuzione Linux Ubuntu GNOME come desktop. Recentemente, è diventato impossibile per me collegarmi a Internet con esso. Quando ho controllato le sue impostazioni di rete, ho visto che l'indirizzo DNS era 46.161.40.29 .

Quando ho cercato questo indirizzo IP sul mio altro desktop (un computer Windows 7), ho trovato l'articolo link .

Sulla mia macchina Linux, ho impostato il server dei nomi DNS in /etc/resolv.conf in 8.8.8.8 e 8.8.4.4 , e sono stato in grado di accedere a Internet.

Nota che ogni volta che riavvio il mio computer, non riesco a collegarmi a Internet e il file DNS ( /etc/resolv.conf ) è vuoto. Anche la mia connessione cablata non viene visualizzata nel gestore di rete.

Vedo ancora 46.161.40.29 nelle impostazioni della mia connessione cablata:

Il mio computer è stato compromesso? In tal caso, cosa può fare un aggressore?

Note: I'm using the D-Link DSL-2520u home modem, and the firmware version is v1.08. When I checked my DNS settings in the modem interface (192.168.1.1) it was pointing the primary DNS address to 188.42.254.137, and the secondary to 8.8.8.8.

    
posta Dave Mn 25.09.2015 - 14:44
fonte

5 risposte

23

Qualcosa nel tuo ambiente è stato definitivamente compromesso. Sembra più probabile che il tuo router sia stato compromesso. Non hai fornito molte informazioni, quindi ho intenzione di fare alcune ipotesi di base:

  • Sei a casa
  • Sei dietro un router commerciale, fornito dal tuo ISP
  • Non hai fatto nulla per proteggere il tuo router
  • Il tuo desktop Linux è un client DHCP del router.

Questi dispositivi hanno spesso password predefinite che gli utenti non cambiano mai e vulnerabilità critiche del firmware che non hanno patch. Come client DHCP del router, il tuo desktop Linux estrarrà le informazioni DNS come parte della sua richiesta DHCP, quindi vedrà il comportamento che hai descritto sopra. La configurazione di altri server DNS in resolv.conf è solo una soluzione. Suggerisco caldamente di provare ad accedere al router (probabilmente @ 192.168.1.1, in base allo screenshot). Scommetto che non sarai in grado di farlo. Probabilmente dovrai reimpostarlo alle impostazioni predefinite di fabbrica, quindi accedere. Dovrai proteggerlo meglio - aggiornare il firmware, cambiare le password predefinite e sperare che sia sufficiente.

Per la conferma senza accedere al router, controllare la configurazione DNS sul desktop di Windows. Se punta allo stesso 46.161.40.29, allora è molto probabile che il router.

    
risposta data 25.09.2015 - 15:17
fonte
2

Dai un'occhiata a questa risorsa:
link

In sintesi, potresti aggiornare /etc/resolv.conf ma Ubuntu lo sta riscrivendo in base ad altre impostazioni predefinite. Puoi pensare a /etc/resolv.conf come alle voci risultanti che il tuo sistema ha ricavato dalle varie opzioni.

Controllare le posizioni referenziate per le voci head / base / tail / interfacce e vedere se sono state aggiornate (potrebbe essere utile prendere nota delle autorizzazioni, della proprietà e della data modificate). Immagino che troverete uno o tutti quelli che hanno le voci del server dei nomi indesiderate. Aggiorna il file e rigenera il file resolv.conf (i passaggi nella voce sopra sembrano corretti, ma non farebbero male a cercare un KB Ubuntu per verificare il corretto processo per la tua versione specifica di Ubuntu).

Ultimo ma non meno importante però ... l'aggiornamento di resolv.conf potrebbe essere stato solo uno dei cambiamenti al tuo sistema e altri oggetti brutti potrebbero essere in agguato. Se fossi in me ... una volta che mi fossi assicurato la mia rete (come sembri aver guardato impostando una buona password sul tuo router, ecc.) Vorrei reinstallarla.

Se una reinstallazione non è qualcosa che ti aspetti, modifica almeno tutte le tue password (tutti gli utenti e root) sul sistema. Se qualcuno aggiornasse resolv.conf, avrebbe già ottenuto l'accesso come root (a meno che tu non abbia permessi funky solo root o utenti con accesso sudo dovrebbero essere in grado di aggiornare resolv.conf) e potrebbe facilmente aver afferrato il tuo shadow file e avere un hash delle tue password .

Questo potrebbe anche essere stato autoinflitto ... pensa di installare qualcosa che ti ha spinto per un accesso elevato (sudo) e hai pensato che stesse facendo xyz, quando stava davvero facendo XYZ e potresti averlo fatto a te stesso ( a volte gli exploit non sono opera di menti criminali ma piuttosto hack di opportunità).

Buona fortuna.

    
risposta data 25.09.2015 - 18:45
fonte
1

Risolto il problema relativo al dirottamento DNS su Dlink DSL 2520U. Vai all'interfaccia modem. Fare clic su Anticipo - Gestione remota. Sotto Impostazioni di gestione remota, selezionare Abilita l'opzione Gestione remota. Lasciare la porta di amministrazione remota sul valore predefinito 80. Selezionare l'opzione Nega tutto per Filtro di entrata amministratore remoto. Le prossime opzioni Dettagli diventano automaticamente Nessuno è permesso. Fai clic su Applica impostazioni e riavvia il modem. Il server DNS non verrà mai modificato ora o dirottato. Prima di abilitare la gestione remota, il server DNS veniva sottoposto a dirottamento e cambiava giornalmente o talvolta entro un paio d'ore e le mie prestazioni e la velocità di internet diminuivano fino a quando non cambiavo manualmente il server DNS. Il server DNS sul mio modem ora è rimasto invariato per un mese da quando ho attivato le impostazioni di Gestione remota.

    
risposta data 14.02.2016 - 04:48
fonte
0

Ho avuto lo stesso identico problema. Corro Linux Ubuntu 12.04 / Win Xp (doppio sistema operativo) sul mio PC e ho un modem DSL 2520U che ho comprato qui in India. All'inizio tutto andava bene. Dopo alcune settimane ho notato il problema descritto in questa discussione. Il motivo per cui mi sono insospettito, era dovuto al lento caricamento delle pagine web che normalmente vado a fare e alcune pagine non si caricano affatto. Il mio ISP consiglia di acquisire automaticamente le impostazioni dei server DNS (non le impostazioni manuali). Quello che succede è che qualcuno (o un hacker o qualcuno da internet ha cambiato il codice fisso del firmware nel modem) entra nel mio modem lo cambia in impostazione manuale dns e inserisce 2 indirizzi come 31.3.XX.YY per il DNS primario e secondario. Vorrei ripristinare su automatico e cambierebbe di nuovo in manuale in 2 ore. E 'stato frustrante.

Ho chiamato il mio ISP e non potevano capire perché. Ha visitato il supporto Dlink e ha scaricato il firmware (lo stesso firmware, bcos non avevano un aggiornamento) ma il problema persisteva. Anche riformattato il mio disco fisso e ricaricato Ubuntu ma il problema non è andato via. Infine, il modem sentito ha un bug del firmware fisso e passa al modem LAN cablato TP-LINK 8816 e il problema è stato risolto (almeno per ora). Penso che DLINK 2520u abbia un problema di sicurezza che viene sfruttato da qualche sito web che accidentalmente visitiamo.

Il mio suggerimento è che tutti i modem LAN cablati costano poco e si dovrebbe semplicemente cambiare piuttosto che perdere tempo. So che TP LINK funziona, ma puoi provare Net Gear o anche Cisco se ne hanno uno a livello di utente.

    
risposta data 17.02.2016 - 13:06
fonte
0

Quell'ip è in Russia, e questo non può significare nulla di buono. Potresti provare a scollegare il router e provare a rinnovare i lease DHCP e vedere cosa succede. Se è solo il tuo router, non è troppo serio.

Se non fossi in grado di ottenere l'accesso a Internet mentre era impostato questo indirizzo DNS, questo potrebbe significare che il server era già stato disattivato, quindi potresti essere ok.

Sarebbe comunque meglio usare un computer pulito e una rete per accedere e modificare le password per tutti i tuoi servizi online.

    
risposta data 17.02.2016 - 14:11
fonte

Leggi altre domande sui tag

Il metodo Data Encryption / Storage è sicuro? Come verificare se il wifi è sicuro durante il viaggio?