Investigare su un possibile server DNS canaglia (forse DNSChanger)

4

Uno degli utenti del nostro strumento RouterCheck si è lamentato di popup casuali contenenti annunci in spagnolo e russo. Dopo un'indagine, abbiamo rilevato che le impostazioni DNS sul suo router sono state modificate in

93.158.212.36

Non sono a conoscenza del fatto che questo server DNS sia problematico, ma ho alcuni sospetti.

Qualcuno sa se questo server è noto per essere canaglia?

In caso negativo, cosa si dovrebbe fare per verificare se è?

Infine, se lo è, quale sarà il prossimo ?? Ci inviamo al CERT?

    
posta Sander Smith 03.11.2015 - 17:01
fonte

1 risposta

1

Does anyone know if this server is known to be rogue? If not, what should be done to test whether it is?

Utilizzare strumenti come quello che hai usato è un modo per vedere se il tuo DNS è stato dirottato, ma non è infallibile. In questo caso potresti avere un falso positivo in quanto l'indirizzo in questione è di proprietà di serverius . Offrono un'ampia gamma di servizi di rete che potrebbero legittimamente spiegare perché l'IP è stato impostato come server DNS primario dei router. Vorrei indagare se sono un fornitore della tua organizzazione (o fornitore di rete). C'è la possibilità che i popup e le impostazioni DNS non siano collegati. (Anche se possono essere effettivamente collegati, ovviamente non ho le informazioni per formulare quel giudizio.)

Finally, if it is, what next?? Do we submit to CERT?

Se l'IP è stato effettivamente utilizzato per scopi dannosi, è possibile inviarlo a vari gruppi per indagare e inserirlo nelle proprie liste nere o database di reputazione. Esempi di questi gruppi sono, tra gli altri, i vari gruppi nazionali CERT. Ottenere l'accesso ai gruppi CERT è diverso a seconda del Paese in cui ti trovi. Il Regno Unito, ad esempio, consente agli utenti che appartengono a varie organizzazioni di vari settori industriali e governativi per richiedere l'iscrizione online .

Molti fornitori, come Symantec e McAfee, ti consentono anche di inviare IP che ritieni siano mazzi di indagine, normalmente tramite i loro portali clienti.

Le informazioni su questi elenchi sono utili solo se si dispone di entrambi gli accessi e se ne fa uso in qualche modo. Anche allora le liste nere e i database reputazionali non sono una bacchetta magica in quanto gli IP dannosi sono un'entità estremamente dinamica e molto facile da sovvertire.

Per le indagini rapide di solito utilizzo il correttore IP di Internet Storm Center e IPVoid che è un meta sito per molte blacklist basate sull'intelligence open source e liste di reputazione. Questo è un buon modo per scoprire rapidamente se un particolare IP è noto per essere connesso ad attività dannose.

    
risposta data 27.12.2015 - 18:17
fonte

Leggi altre domande sui tag