Il mio ISP ospita malware o ha subito un'acquisizione di sottodomini, oppure il mio router è stato compromesso?

4

Sono nuovo di questa roba netsec ma volevo chiedere un'opinione su cosa sta succedendo qui.

Ho fatto qualche sviluppo web e ho usato Codekit da anni, ma di recente ho notato che è un server http incorporato (che si basa su mDNS / Bonjour) che stava sostituendo il vero nome del computer con un nome di dominio collegato al mio ISP (telenet.be).

Quando ho navigato verso l'url (in un primo momento per caso è stato scoperto il problema), il safari è stato bloccato perché non sicuro. Ho controllato con il rapporto sulla trasparenza di Google e ho anche confermato che non era sicuro:

"https://transparencyreport.google.com/safe-browsing/search?url=http:%2F%2Fptr-7t1s6cghydz54g8s3vv.18120a2.ip6.access.telenet.be" 
as well as the subdomain : 
"https://transparencyreport.google.com/safe-browsing/search?url=access.telenet.be"

Ho contattato Codekit che ha confermato che tutto il software fa richiesta del nome del computer. Usando Wireshark ho confermato che era quello che stava facendo e che la risposta ottenuta era corretta. Anche se non sono un utente esperto di Wireshark e la lettura oltre a ciò può dare indizi.

Bryan, al Codekit, ha affermato di ritenere che a volte gli ISP abusino di Bonjour sulla rete locale, e che potrebbe accadere qui. Ho concluso che se il router si comportava in modo scorretto, il rapporto sulla trasparenza di Google non lo avrebbe contrassegnato in quanto non sarebbe stato a conoscenza dei problemi di rete mDNS della LAN.

Ho notato anche un altro artefatto. Codekit può generare un certificato autofirmato per l'utilizzo di https sul suo server http. Quando sono disconnesso dal router, il certificato ha le voci DNSName previste quando viene generato. Tuttavia, quando mi collego al router, quando codekit genera il certificato, include due nomi DNS aggiuntivi che sembrano correlati al problema:

ptr-7t1s6cghydz54g8s3vv.
ptr-7t1s6cigrgphwg7vz1u.

Inoltre, ho provato a connettermi tramite un hotspot personale dal servizio 4G del mio telefono (ad esempio evitando il router) e il problema non si verifica affatto. In effetti ho provato così tante volte che sono certo che non è il mio Mac che ha il problema, perché probabilmente dovrebbe accadere indipendentemente da come accedo a Internet. Quindi da questa prospettiva credo che abbia qualcosa a che fare con il servizio bonjour mDNS.

Ho contattato l'ISP per chiedere loro di controllare il loro contenuto del sottodominio e i record DNS e di verificare che non stessero involontariamente ospitando malware e di richiedere a un router sostitutivo di eseguire un test A / B. All'inizio mi è stato detto (no scherzo) di riavviare il mio router. Poi hanno detto che avrebbero sostituito il router a pagamento. Dovrei anche aggiungere che l'ISP non consente l'accesso diretto al pannello di amministrazione del router, invece devi andare tramite il loro sito web (sì, l'ho detto io) per configurare port forwarding, password di rete, ecc ...

Dopo molti giorni di conversazioni e ulteriori indagini, penso che ci siano tre possibili scenari, delineati nel titolo, ma le mie capacità tecniche su come affrontarlo sono esaurite. Mi sembra che stia girando in tondo con l'ISP, o lo sanno e non vogliono fare nulla al riguardo, o semplicemente non hanno l'esperienza tecnica per capire cosa sta succedendo.

Da qui il post qui. Qualcuno può far luce su questo?

    
posta T9b 23.12.2017 - 21:18
fonte

1 risposta

2

Perché hai lo strano dominio

Il tuo ISP ti offre un IP quando ti connetti a Internet. Esiste un tipo di record DNS utilizzato per collegare un IP a un nome host (chiamato record PTR, che spiega perché i domini che hai elencato iniziano tutti con ptr). Se visiti il sito questo puoi vedere il tuo record PTR attuale.

Perché Internet 3G non ha un nome host

È possibile che il tuo IP 3G non abbia un record PTR.

Perché questi domini sono considerati dannosi

Come puoi vedere dal rapporto sulla trasparenza , tutti i sottodomini di ip6.access.telenet.be sono considerati malleabili.

Questo probabilmente è dovuto a entrambi:

  • Qualcuno sul tuo ISP ha deliberatamente ospitato un sito malevolo e ha segnalato l'intero ISP
  • Qualcuno del tuo ISP è stato infettato da malware che ospitava un sito dannoso, provocando lo stesso effetto

Riferimenti

risposta data 28.12.2017 - 21:37
fonte

Leggi altre domande sui tag