Il malware sta alterando il mio IP di destinazione

0

Qualcosa di strano sta accadendo alle mie richieste Internet e non ho la consapevolezza di sapere perché sta accadendo.

Ho improvvisamente iniziato a essere indirizzato a google france ogni volta che faccio ricerche su Internet, quindi ho cercato il mio indirizzo IP e IP per vedere dove Google pensava che fossi posizionato e si scopre che il mio indirizzo IP è cambiato, il nuovo IP l'indirizzo ora apparteneva a un server in Francia, un server di un isp che non è il mio isp.

Ho controllato l'ip del mio router di casa e l'IP del router non corrispondeva al nuovo IP. Ho due macchine windows, una in esecuzione w10 e l'altra in w7, il problema si verifica su entrambe le macchine. Ho anche compresse Android e ho controllato il mio IP su questi tablet e l'IP corretto viene restituito con la posizione corretta e l'isp corretto. tutti i tablet e i pc sono collegati alla rete locale che dovrebbe in teoria condividere lo stesso indirizzo IP (?).

Ho scaricato wireshark così ho potuto vedere cosa veniva inviato e dove, e posso vedere che i pacchetti vengono continuamente inviati e ricevuti dall'indirizzo IP del server in Francia.

Per confondere le cose, stamattina ho cercato di nuovo il mio ip su entrambi i pc e l'IP, la posizione e l'isp corretti sono stati restituiti, tuttavia ho controllato wireshark e i pacchetti venivano ancora inviati e ricevuti all'IP del server in Francia.

È possibile che alcuni malware stiano indirizzando il traffico verso questo server in Francia e ha infettato entrambi i miei PC attraverso la rete?

Non uso una VPN e non ne ho una configurata. Ho controllato le impostazioni di Windows e nessuna era in uso. Ho scansionato con avast e malwarebytes e non hanno trovato nulla. Attualmente sto eseguendo uno scanner di sicurezza Microsoft, ma non mostra ancora nulla.

Non riesco a capire cosa sta succedendo, ma poi ho una conoscenza molto limitata della sicurezza e delle reti. Qualcuno ha più di un indizio? Ho letto degli attacchi Mitm e ho pensato che sembrasse simile.

    
posta Robert Brooks 25.11.2017 - 13:29
fonte

1 risposta

2

Ho visto questo accadere su alcune macchine, con diversi IP di destinazione (l'ultimo era in Texas, di tutti i posti: il server effettivo avrebbe dovuto essere nel Nord Italia, nemmeno nello stesso continente).

Verifica la configurazione della tua rete e imposta manualmente la voce DNS su 8.8.8.8 di Google e verifica se questo continua a verificarsi o meno.

Quello che è successo nei miei casi era che qualcosa aveva dirottato i router, grazie al fatto che gli utenti li avevano lasciati con password di accesso remote e (ma sono avvisato che lì alcuni che possono forzare l'ingresso o sfruttare vulnerabilità del router) e riprogrammare il DNS inviato tramite DHCP alla rete interna in modo che le query DNS siano state indirizzate a un server canaglia.

Il server canaglia risponde quindi alla "maggior parte" delle query DNS con l'indirizzo di un altro server canaglia, che è quindi in grado di dirottare tutte le tue comunicazioni. Google mail, sito di home banking e così via. Le connessioni crittografate HTTPS riceveranno certificati firmati falsi, che potrebbero attivare un avviso di sicurezza del browser ... o meno, a seconda del browser.

Esaminerò attentamente gli accessi che hai utilizzato mentre sono stati dirottati e ritengo che tali password siano state compromesse.

Se il trucco DNS funziona, anche il router è probabilmente compromesso; Lo reimpostavo in fabbrica e lo rendevo sicuro, a meno che non lo avessi già assicurato quando lo hai installato, nel qual caso deve essere considerato vulnerabile e sostituito con un nuovo modello, o il suo firmware aggiornato se possibile. Potresti volere Google marca e modello del tuo router e parole chiave come "vulnerabilità", "botnet", "CVE".

    
risposta data 25.11.2017 - 15:09
fonte

Leggi altre domande sui tag