Hacked Router (?)

[0verc0me]

Δεν ηξερα αν επρεπε να ποσταρω εδω ή στο "Δίκτυα & Ασφάλεια".

 

Πριν 3 μερες επισκεφτηκα ενα 'αθωο' site ( http://www.wysibb.com/) απο chrome, σε incognito mode..

Με το που φορτωσε το site, μετα απο λιγο ανοιξε νεα καρτελα με ενα τσ@ντ@site. Μου φανηκε περιεργο και μου θυμησε ενα αντιστοιχο αλυτο προβλημα που αντιμετωπιζω στο κινητο.

Anyway, βλεπω οτι η σελιδα φορτωνει απο εξωτερικη πηγη μονο το google analytics (http://www.google-analytics.com/analytics.js) οποτε λεω εκει θα'ναι το προβλημα. Με το που το ανοιξα το analytics.js, δεν ειδα τον αναμενομενο google analytics κωδικα, αλλα εναν αλλον κωδικα, ο οποιος μεταξυ αλλων προσθετε στη σελιδα ενα iframe απο ενα τσ@ντ@site.

Ελεγξα το hosts αρχειο, το οποιο ηταν καθαρο. (πιο παλια ειχε μπει μια 'κακη' εγγραφη, αλλα την ειχα σβησει απο τοτε).

Εν τελει εκανα DNS flush και το προβλημα λυθηκε, μεχρι σημερα οπου βλεπω οτι το ESET με ενημερωσε με pop-up οτι αλλαξε κατι στην συνδεση, και μεταξυ αλλων εγραφε:

DNS servers: 8.8.8.8,94.249.192.82

Ξεροντας οτι το 8.8.8.8 ειναι της google, μου ηρθε μια υποψια οταν ειδα την δευτερη IP, οπου ψαχνοτας στο google βρηκα αυτην την καταχωρηση που εγινε πριν 3 μερες: http://www.abuseipdb.com/report-history/94.249.192.82 

Someone has hacked my d-link router DNS via firmware hack and set it to the reported ip - 94.249.192.82

και γι'αυτον τον λογο ποσταρα σε αυτην την κατηγορια γιατι πιστευω οτι εχει γινει αυτο και σε μενα καθως εχω και εγω D-LINK router (DSL-2740R)

Για τους DNS servers, η τωρινη ρυθμιση στο ρουτερ ειναι Obtain DNS server address automatically. (επισης, δεν ξερω αν βοηθαει, εχω συνδεση forthnet - ισως δεν θα επρεπε καν να εχω την ip 8.8.8.8,αλλα της forthnet?).

Τι λυση υπαρχει αραγε;

Επισης ειναι δυνατον να εγινε οντως hack στο router? 

[poulinos]

το ρουτερ θα παρει σαν dns της forthnet 194.219.227.2 193.92.150.3 και υπαρχει και 194.219.227.1.στο pc σου αν κανεις Ipconfig /all συνηθως ειτε θα γραφει τους dns που λες ειτε θα γραφει για dns την ip του ρουτερ.για να λεει dns server 8.8.8.8 σημαινει οτι πρεπει εσυ στην καρτα δικτυου να εχεις βαλει καρφωτα dns.

η ip η παραπανω μου κανει resolve

C:\Users\GOOFY>tracert 94.219.192.82
Tracing route to dslb-094-219-192-082.094.219.pools.vodafone-ip.de [94.219.192.82]

επισης θα μπορουσες να κανεις system restore στα windows.

να εχει αλλαξει το firmware στο ρουτερ το θεωρω απιθανο αλλα αν ειναι τοσο μεγαλη η ανησυχια σου καντο ενα firmware update εσυ με το firmware απο το site της dlink και μετα ενα hard reset.ευκαιρεια ειναι να δεις αν υπαρχει και πιο νεο firmware για τον ρουτερ σου κιολας .Aλλα να δω κατι που να αλλαζει το firmware στο ρουτερ δεν το εχω δει ποτε οσο θυμαμαι συν οτι θα κανε και reboot το ρουτερ για να περασει το firmware.

τσεκαρε τους dns στην καρτα δικτυου να δεις ποιοι ειναι και βαλτους στο αυτοματο να παρει του provider.η αν εχεις καρφωτα ip για καποιο port forward ή καποιον αλλον λογο βαλε καρφωτα του dns του παροχου ή οποιους αλλους θες.και εκτος αν το παλιο μυνημα ειναι ασχετο με το καινουριο.

[Χάρης Μυλωνίδης]

μήπως έχει κολλήσει κανένα malware;

Γιατί σύμφωνα με το virus total το σάιτ που αναφέρεις είναι καθαρό, για τρέξε το malwarebytes.

[0verc0me]

το ρουτερ θα παρει σαν dns της forthnet 194.219.227.2 193.92.150.3 και υπαρχει και 194.219.227.1.στο pc σου αν κανεις Ipconfig /all συνηθως ειτε θα γραφει τους dns που λες ειτε θα γραφει για dns την ip του ρουτερ.για να λεει dns server 8.8.8.8 σημαινει οτι πρεπει εσυ στην καρτα δικτυου να εχεις βαλει καρφωτα dns.

η ip η παραπανω μου κανει resolve

C:\Users\GOOFY>tracert 94.219.192.82

Tracing route to dslb-094-219-192-082.094.219.pools.vodafone-ip.de [94.219.192.82]

επισης θα μπορουσες να κανεις system restore στα windows.

να εχει αλλαξει το firmware στο ρουτερ το θεωρω απιθανο αλλα αν ειναι τοσο μεγαλη η ανησυχια σου καντο ενα firmware update εσυ με το firmware απο το site της dlink και μετα ενα hard reset.ευκαιρεια ειναι να δεις αν υπαρχει και πιο νεο firmware για τον ρουτερ σου κιολας .Aλλα να δω κατι που να αλλαζει το firmware στο ρουτερ δεν το εχω δει ποτε οσο θυμαμαι συν οτι θα κανε και reboot το ρουτερ για να περασει το firmware.

τσεκαρε τους dns στην καρτα δικτυου να δεις ποιοι ειναι και βαλτους στο αυτοματο να παρει του provider.η αν εχεις καρφωτα ip για καποιο port forward ή καποιον αλλον λογο βαλε καρφωτα του dns του παροχου ή οποιους αλλους θες.και εκτος αν το παλιο μυνημα ειναι ασχετο με το καινουριο.

 

Το ipconfig/ all γραφει οντως αυτους τους dns αντι για της forthnet:

 

Καρφωτα dns δεν εχω βαλει τουλαχιστον στο ρουτερ:

(γραφεις ομως 'στην καρτα δικτυου', εννουσες αυτο, ή κατι αλλο που δεν ξερω; )

 

Να εχει αλλαξει το fw,απλως να την χακαραν λογω καποιου bug ας πουμε. Οντως εχει βγει ενα fw update για το router, απότι βλεπω και το κατεβασα.

Στο System restore βλεπω οτι εχει προσφατες ημερομηνιες (του νοεμβριου) οποτε τι γινεται αν η ζημια εγινε παλιοτερα;

 

 

μήπως έχει κολλήσει κανένα malware;

Γιατί σύμφωνα με το virus total το σάιτ που αναφέρεις είναι καθαρό, για τρέξε το malwarebytes.

 

Θα δοκιμασω και το malwarebytes και θα σας πω. Το site οτι ειναι καθαρο το ξερω, γι'αυτο και αμεσως υποψιαστηκα οτι κατι τρεχει σε μενα, αφου μου πεταξε τσ@ντ@site, ποσο μαλιστα οταν το μονο js που φορτωνει ειναι το google analytics και μαλιστα παραποιημενο.

[0verc0me]

update

 

Λοιπον βρηκα και τις ρυθμισεις της καρτας δικτυου (Control Panel\Network and Internet\Network Connections -> Wireless Network Connection->Properties->IPv4, σωστα και τελικα οντως και στην καρτα δικτυου ειναι επιλεγμενο το Obtain DNS server address automatically.

 

Ετρεξα και με malwarebytes και ειναι ολα καθαρα.

 

Εν τελει εβαλα καρφωτα DNS της forthnet, αν και μενει παντα στο παρασκηνιο η ανησυχια οτι κατι τρεχει, και δεν γινεται να κανει απο μονο του obtain dns μια reported γερμανικη ip.. :/

 

Ευχαριστω για τις απαντησεις.

[poulinos]

μήπως έχει κολλήσει κανένα malware;

Γιατί σύμφωνα με το virus total το σάιτ που αναφέρεις είναι καθαρό, για τρέξε το malwarebytes.

και εγω ανοιξα το site και δεν με πεταξε σε κανα αλλο παραξενο site.δεν εχω antivirus ουτε κατι αλλο αλλα τουλαχιστον δεν με εκανε redirect καπου αλλου.εκτος αν ο φιλος μας εχει κολλησει κατι αλλο πιο πριν και απλα ετυχε να τα δει ολα αυτα οταν μπηκε σε αυτο το site.

Το ipconfig/ all γραφει οντως αυτους τους dns αντι για της forthnet:

img1.png

 

Καρφωτα dns δεν εχω βαλει τουλαχιστον στο ρουτερ:

img2.png

(γραφεις ομως 'στην καρτα δικτυου', εννουσες αυτο, ή κατι αλλο που δεν ξερω; )

 

Να εχει αλλαξει το fw,απλως να την χακαραν λογω καποιου bug ας πουμε. Οντως εχει βγει ενα fw update για το router, απότι βλεπω και το κατεβασα.

Στο System restore βλεπω οτι εχει προσφατες ημερομηνιες (του νοεμβριου) οποτε τι γινεται αν η ζημια εγινε παλιοτερα;

 

 

 

Θα δοκιμασω και το malwarebytes και θα σας πω. Το site οτι ειναι καθαρο το ξερω, γι'αυτο και αμεσως υποψιαστηκα οτι κατι τρεχει σε μενα, αφου μου πεταξε τσ@ντ@site, ποσο μαλιστα οταν το μονο js που φορτωνει ειναι το google analytics και μαλιστα παραποιημενο.

στο ρουτερ οκ ειναι στο αυτοματα οποτε σιγουρα οκ.

στο ipconfig ναι δυο ασχετοι dns μεταξυ τους κιολας και οχι της forthnet ουτε η Ip του ρουτερ.

ναι εννοουσα στην καρτα δικτυου στο tcp ip v4.στο ρουτερ αν οκ το ειχαν hackarei να δεχτω οτι θα εβαζαν καρφωτα dns ή οτι οκ θα αλλαζαν κατι στο config file αλλα οχι οτι θα γινοταν flasharisma .

τωρα να ειχε και bug στο login page αμα εχεις αλλαξει τα στοιχεια και δεν εχεις τα default και να τα βρηκε ε παμε αρκετα μακρυα.

καλα εκανες και περασες το firmware.προληπτικα οχι για το θεμα που εχεις αλλα γενικοτερα θα το κανα και Hard reset ωστε να μην κρατησει

καποια παλια ρυθμιση απο το previous firmware.αν η ζημια εγινε πιο παλια απο τα system restore points

δεν μπορεις να κανεις τιποτα.

παντως το pc σου μαλλον κατι εχει κολλησει απο αλλου οχι απο το site Που λες.

update

 

Λοιπον βρηκα και τις ρυθμισεις της καρτας δικτυου (Control Panel\Network and Internet\Network Connections -> Wireless Network Connection->Properties->IPv4, σωστα και τελικα οντως και στην καρτα δικτυου ειναι επιλεγμενο το Obtain DNS server address automatically.

 

Ετρεξα και με malwarebytes και ειναι ολα καθαρα.

 

Εν τελει εβαλα καρφωτα DNS της forthnet, αν και μενει παντα στο παρασκηνιο η ανησυχια οτι κατι τρεχει, και δεν γινεται να κανει απο μονο του obtain dns μια reported γερμανικη ip.. :/

 

Ευχαριστω για τις απαντησεις.

για να ειναι στο αυτοματο και να παιρνεις αυτους τους dns ναι κατι βρωμαει.θα ξεκιναγα με hard reset το ρουτερ μετα να το ξανασεταρω και μετα ενα restart το pcγια να δω τι θα παρει σαν dns.ή αν θες μπες με ενα αλλο pc η ενα tablet κτλ και δες τι dns Πηρε.η θα πρεπει να βγαζει τις forthnet ή την Ip του ρουτερ.αν βγαζει αυτα κατι στο pc σου.να δινει τον γερμανικο dns και της google το θεωρω χλωμο.θα τρελλαθω μετα αμα το δω αυτο και θα αρχιζω να πιστευω τα σεναρια flasharismatos.οτι βγαινουν ολα καθαρα δεν λεει κατι.μπορει να μην υπαρχει πλεον αυτο που πειραξε τους dns αλλα καπου να εχουν μεινει αυτοι οι dns περασμενοι και να τους φορτωνει απο εκει οποτε αυτο δεν ειναι ιος.θα μπορουσες να σβησεις ειτε την καρτα δικτυου και να την ξαναπερασεις ειτε να ψαξεις στην registry για τους 2 αυτους dns και να τους σβησεις μηπως για καποιο λογο εχουν περαστει καπου.επισης προσεχε.αν μπαινεις wireless θα μπεις στο tcp ip της ασυρματης καρτας και οχι της ενσυρματης.το λεω μηπως μπηκες σε λαθος καρτα  καταλαθως και για αυτο ειδες τους dns στο αυτοματο ενω στην πραξη να ειναι καρφωτα στην σωστη καρτα.πχ ενσυρματη.

[0verc0me]

Λοιπον, δεν εκανα Hard reset/Firmware update ακομα, και ενω ειχα ρυθμισει καρφωτα DNS της Forthnet, πριν απο λιγο, με χρηση tablet πεταξε εδω στο insomnia, διαφημιση τυπου 'το κινητο σας εχει ιο-πατηστε εδω για να.. μπλα μπλα' οποτε λεω παλι αλλαξαν οι dns. Μπαινω στο router, και εκει που ειναι οι 'καρφωτες ip' βλεπω αντι τις forthnet να εχουν μπει παλι αυτες οι δυο (8.8.8.8,94.249.192.82)...   

ειτε να ψαξεις στην registry για τους 2 αυτους dns και να τους σβησεις μηπως για καποιο λογο εχουν περαστει καπου  

 τελικα οντως αυτο ειναι..

για καποιο λογο ειναι περασμενοι εδω: HKEY_LOCAL_MACHINE -> SYSTEM -> ControlSet001 -> services -> Tcpip -> Parameters στο DhcpNameServer

 

 

Και απότι βλεπω οι ιδιες τιμες ειναι και σε ενα δευτερο laptop περα απο αυτο που χρησιμοποιω.

Τι θα πρεπει να σβησω/να αλλαξω απο αυτες τις εγγραφες;

 

Προς το παρον αλλαξα τις ip, εβαλα της forthnet παλι μεχρι να ξανααλλαξουν.

 

edit:

καλα οι αναφορες για αυτην την ip 'δινουν και παιρνουν'. απο 2 που ηταν οταν πρωτοποσταρα το τοπικ, τωρα εχουν φτασει τις 13: http://www.abuseipdb.com/report-history/94.249.192.82

[poulinos]

Λοιπον, δεν εκανα Hard reset/Firmware update ακομα, και ενω ειχα ρυθμισει καρφωτα DNS της Forthnet, πριν απο λιγο, με χρηση tablet πεταξε εδω στο insomnia, διαφημιση τυπου 'το κινητο σας εχει ιο-πατηστε εδω για να.. μπλα μπλα' οποτε λεω παλι αλλαξαν οι dns. Μπαινω στο router, και εκει που ειναι οι 'καρφωτες ip' βλεπω αντι τις forthnet να εχουν μπει παλι αυτες οι δυο (8.8.8.8,94.249.192.82)...   

 τελικα οντως αυτο ειναι..

για καποιο λογο ειναι περασμενοι εδω: HKEY_LOCAL_MACHINE -> SYSTEM -> ControlSet001 -> services -> Tcpip -> Parameters στο DhcpNameServer

 

regedit.png

 

Και απότι βλεπω οι ιδιες τιμες ειναι και σε ενα δευτερο laptop περα απο αυτο που χρησιμοποιω.

Τι θα πρεπει να σβησω/να αλλαξω απο αυτες τις εγγραφες;

 

Προς το παρον αλλαξα τις ip, εβαλα της forthnet παλι μεχρι να ξανααλλαξουν.

 

edit:

καλα οι αναφορες για αυτην την ip 'δινουν και παιρνουν'. απο 2 που ηταν οταν πρωτοποσταρα το τοπικ, τωρα εχουν φτασει τις 13: http://www.abuseipdb.com/report-history/94.249.192.82

τσεκαρα στην δικια μου Registry και εχω 192.168.1.254 (Ip router) 194.219.227.2 και 194.219.227.1 dns forthnet both of them.sto tcp/ip τα εχω ολα στο αυτοματο.αρα εσενα κατι στο αλλαζει αλλα τωρα τι ποιος ξερει. Δεν νομιζω παντως οτι ειναι hacked το router εκτος αν ισχυει αυτο που γραφω πιο κατω------> αλλιως ειναι κατι με το pc.να υπαρχει τωρα τετοιο bug στο router τι να πω.το firmware update καντο στο router και κανε και το hard reset μετα το update.διαβασα τα reports και με παραξενευει που ο ενας το επαθε με tp link εσυ με dlink ο αλλος με billion.για καποια tp link ηξερα οτι υπαρχει ενα θεματακι καποιο bug σε πολλα μοντελα αλλα τωρα να υπαρχει σε τοσα ρουτερ ....μου φαινεται παραξενο.στα tp link κατι με την Rom ηταν που μπορουσε καποιος νομιζω να τραβηξει τα στοιχεια του ρουτερ και κατι τετοια (το config ξερω οτι δεν γινεται export σε readable μορφη)εκτος αν κανεις εχει το remote ανοιχτο με default στοιχεια και γινεται απο εκει η δουλεια.

 

-------->επειδη με μπερδεψες.οι dns αλλαξαν μεσα στον ρουτερ?αν αλλαξαν στο ρουτερ και το Pcειναι ρυθμισμενο να παιρνει αυτοματα ip και dns

τοτε λογικο που πηρες λαθος dns οποτε εκει δεν εχει κολλησει κατι το λαπτοπ αλλα το ρουτερ εχει καποιο

θεμα οποτε κανε hard reset και το firmware επιτελους.αν δεν εχουν αλλαξει στο ρουτερ και εχουν αλλαξει στο Pc οκ.τωρα στο  tablet Πως να αλλαξουν δεν καταλαβαινω εκτος αν κολλησες και εκει κατι.

οποτε αν ειναι στο ρουτερ τοτε το ρουτερ μας κανει την ζημια για αυτο δεν βλεπεις κατι παραξενο στο pc και δεν βρισκεις κατι.

αν ειναι και σε δευτερο λαπτοπ απλα και εκεινο επειδη ειναι στο αυτοματο πηρε τους πειραγμενους dns

του ρουτερ.οποτε οπως φαινεται το ρουτερ καποιο θεμα εχει ή καποιο bug.