Amazon continua a chiedere informazioni di accesso / cc tramite pagina non protetta - DNS hijack?

Naviga le tue risposte
4

Tutti i miei computer in casa non si collegheranno ad Amazon.com, ma ad alcune pagine di login di Amazon (http) non sicure. Questa è la seconda volta che sto riscontrando questo problema. La prima volta che l'ho risolto cambiando i miei server DNS in DNS di Goggle (8.8.8.8 e 8.8.4.4). Li ho controllati stasera e uno a caso è stato il primo, mentre 8.8.8.8 è stato il secondo. Li ho reimpostati su Google ma ancora ottengo questa pagina di login fasulla. Ogni link che ho colpito aggiorna semplicemente la stessa pagina (come la politica sulla privacy, la guida, ecc ...)

Il mio router è un Asus RT-N66R con l'ultimo firmware. Se utilizzo gli strumenti di rete per eseguire il ping su amazon.com, tutti i pacchetti vengono persi. Se utilizzo il mio laptop, ricevo le risposte da www.amazon.com, ma non da amazon.com

Ho usato il correttore del router di F-Secure e mostra tutto come ok - sia quando uso il DNS di Google e quando ho impostato su auto e utilizzare il mio ISP (Comcast). Sono alla fine del mio spirito per quanto riguarda il WTF. Per favore aiutami!

[EDIT] Utilizzato i server DNS di Google e resettato il router - tutto funziona bene, ma mi piacerebbe comunque sapere cosa diavolo sta succedendo.

    
posta merlot 22.11.2015 - 00:59
fonte

2 risposte

4

In base ai tuoi dettagli, qualcosa sta interferendo con le impostazioni DNS e dal momento che interessa l'intera rete è probabilmente il router. Inoltre, il fatto che il primo indirizzo DNS nel router sia qualcosa che non hai impostato indica un attacco contro il router.

I used F-Secure's router checker and it shows everything as ok

Non ho idea di cosa faccia realmente il controllo del router, ma da un breve sguardo suggerirei di cercare vari host casuali all'interno del dominio ismydnshijacked.com. Il server DNS probabilmente controllerà da dove vengono queste ricerche. Ma se questo è veramente tutto, un utente malintenzionato potrebbe configurare il proprio server DNS (e impostare il router per usarlo), che poi risolverà questi domini usando i server DNS pubblici di google. In questo caso, tutto andrà bene perché la ricerca DNS proviene da un server DNS affidabile.

Pertanto sono sicuro che questo correttore del router potrebbe facilmente essere indotto a credere che tutto sia a posto e che gli hacker siano sicuri che i loro attacchi non vengano rilevati dalle soluzioni di sicurezza conosciute.

[EDIT] Used Google's DNS servers and reset the router -all is well now but I would still love to know what the heck has been going on.

Ancora una volta questo indica un attacco contro il tuo router. Sulla base della tua descrizione il router è Asus RT-N66R che, basandosi solo su una ricerca su google, ha una brutta storia che contiene diversi possibili exploit. Sembra che siano state apportate correzioni in 06/2015 per ridurre la superficie di attacco ("Miglioramento della forza di autenticazione di accesso e problemi risolti di CSRF.") Ma c'è un firmware a partire dal 2015/11/06 che fa di nuovo correzioni in quest'area ( "Meccanismo di protezione a forza bruta modificato nella pagina di accesso del router." E diversi buffer overflow sono stati riparati).

Quindi suggerisco che il tuo router non sia nel firmware più recente dal momento che questo è stato rilasciato solo 2 settimane fa o che il dispositivo è ancora vulnerabile anche dopo le ultime correzioni. Dati i problemi che il venditore aveva in passato, questo non sarebbe stato così inaspettato.

    
risposta data 22.11.2015 - 08:17
fonte
0

Alcune cose da prendere in considerazione:

  1. Cambia la password amministrativa del router in qualcosa di casuale. Idealmente, farlo da un computer / smartphone separato, se possibile. Non accedere al router da nessuno dei computer compromessi e non salvare la password
  2. Configura il tuo router in modo che la gestione remota non sia abilitata
  3. Verifica che TR-069 non sia abilitato

Aspetta e guarda se succede di nuovo.

    
risposta data 22.11.2015 - 13:09
fonte

Leggi altre domande sui tag

Dovrei preoccuparmi se ho provato a ssh in un sito 'finto' dyndns.org? (con le chiavi ssh) messaggio Telegram (o altro messenger) come secondo fattore in 2FA