Jump to content

Lattelecom atsūta E-mail, par to, ka esmu inficēts ar DNS openresolver


Ingvers
 Share

Recommended Posts

Tātad saņemu e-pastu no lattelecom tehniskās informācijas - bla bla bla, jūsu dators iespējams ir inficēts, un links uz esidross.lv ar manu IP un uzrakstu, ka šis IP ir inficēts ar DNS openresolver. Īsti visās rūteru lietās nešarīju, paskatos goglē, hmm jāskatās, kāds ir DNS servera IP. 192.168.0.1 Interesanti vai tāds varbūt, vai tas jau skaitās nomainīts? Vai tad nevajadzētu būt 8.8.8.8 vai 8.8.4.4? Līdis rūtera settingos vispār neesmu. Pagaidām nekādas izmaiņas datora darbībā nejūtu, bet kā varētu uzzināt kāds ir defaultais IP (rūteris tehnicolor tg789vn v3) un kā lai zinu vai neesmu inficēts.

Link to comment
Share on other sites

192.168.0.1 ir tava rūtera iekšējā adrese. Tas tā varētu būt un neko sliktu neliecina.

Ieej savā rūterī, paskaties, kas par iestatījumu viņam pie dns norādīts.

Ja rūterim defaultā parole, iespējams, kāds gudrāks vīruss nomainījis tur.

Palīdzēs arī dns nomaiņa uz 8.8.8.8 un 8.8.4.4, bet nav teikts, ka pats neatlec atpakaļ uz rūteri, ja reiz šņaga tik gudra.

Ja iekš rūtera DNS ir telekomiskais un rūtera adrese tiešām ir tā 192.168.0.1, tad zvani telekomam. Moš kāds phishings.

Nu un rūterim, protams, nekādas defaultās paroles!

Link to comment
Share on other sites

Paldies versatile, bet diemžēl maz ko sapratu, viss man aprobežojas ar ipconfig /all Precīzāk nesapratu, kā ieiet rūtera settingos. Un parole tur droši vien ir defaultā, jo pirms gada kā telekoms viņu uzlika neesmu neko darìjis. Pshings tas paļubomu nav, jo e-pastā ir norādīta burtu/ciparu kombinācija, kas ir uz līguma lapas.

Link to comment
Share on other sites

Ņemam telefonu --> spiežam 177 vai 67000177 --> spiežam taustiņu 3 (Tehniskā palīdzība) --> stāstam savu sāpi un uzklausam padomus.

Kad zināsi precīzu vēstules izsūtīšanas iemeslu un ieteikto risinājumu un pats galā netiksi tad jau nāc un jautā šeit ;)

Link to comment
Share on other sites

 

 

datora vešanu uz sertificētu datorservisu.

Pirms šitā mbam palaid - varbūt tev tur ekspozīcijā labāka nekā Rīgas ZOO .

Link to comment
Share on other sites

Datirs nebus vainigs. Jamekle vaina ruteri varbut firewall atslēgts vai tamlīdzīgi. Kaut kas

no ārpuses sūta paketes uz 53 portu un forvardejas uz telekoma DNS serveri, telekoms, protams to pamana un atrubii to IP adresi.

Bet cilveks, lai ietu internets - iebaksta rūterī 8.8.8.8, bet tas jau tos uzbrukumus nepārtrauc :)

Nemāku tā smuki uzrakstiit, bet ar tādu lietu esmu saskāries Telia tīklā.

Nācās mikrotikškim rulli likt, lai dropotu ienākošos pieprasījumus pa 53 portu.

Laboijiet, ja kļūdos.

Link to comment
Share on other sites

Mafijs- nē, nē. Man jau nets iet, arī pasliktināšanos nejūtu. Cik noprotu ar to, ko esmu inficēts, mani var viegli Ddos un mani var sūtīt uz fake populārākajām vietnēm (vai tas jau bija cits kaut kas?)

Link to comment
Share on other sites

Man arī sūtīja šos mailus, galvenais, visiem, kuriem bija mikrotiks.

Es arī uztaisīju ruļļus, lai dropo 53 portu, un viss ok!

  • Patīk 1
Link to comment
Share on other sites

Ja LTC nepaskaidro, ko viņi ar šo ir domājuši, tad var prasīt CERT'am, domāju, ka tas ir automatizēts epasts kurš ģenerēts vadoties no CERT monitoringa rezultātiem.

Visticamāk ir kā saka Mafijs un xp, rūtera konfigurācija atļauj tam saņemt ienākošos DNS pieprasījumus no ārpuses.

Nesapriecājies, tu esi sīkums, tev neviens DDOS netaisīs un uz feikām vietnēm nesūtīs.

Tavu rūtera "ievainojamību" var izmantot DNS Amplification Attack, tas notiek tā: ļaundaris iedarbina botnetu, bet tā vietā, lai pa tiešo uzbruktu kādai vietnei, tiek sūtīti nekorekti DNS pieprasījumi (piemēram neekistējoši subdomeni x-sdsdf-dfdfd.boot.lv) uz šādiem atvērtiem rūteriem visā pasaulē. Rūteris saņemot pieprasījumu to sūta tālāk savam DNS, kurš pārsūta pa ķēdīti līdz pat upura DNS serverim, tādējādi pārslogot to un ne tikai to, bet visus ķēdē iesaistītos, ja to resursi nav pietiekami. Tā kā LV ir ļoti ātrs internets, tad LV ļoti piemērota vieta kur šāda ievainojamības izmantot.

Link to comment
Share on other sites

Lattelekomam vajadzētu pašiem tik galā ar ārzemju "gličiem" vakaros, nevis terorizēt cilvēkus.

Tad vēl brīnišķās izmaiņas techni_crap_coloros attālināti - vēl vakar jums lan portā bija 192.168.xx.xx, bet šodien jau "baltā" ip un jūsu iekārta neaizsargāta. Bet uzliekot to technicrapu meistars gandrīz ar varu cilvēkam rūteri miskastē lika izmest - mūsu mōdemā, redz, viss ir iebūvēts, bitīt matos!

Link to comment
Share on other sites

Ingver - Zvani vien uz lattelecom atbalsta dienests noskaidro, kas tagad būtu jādara, tev vai viņiem.

Iespējams viņi atsūtija, lai informētu un taisa paši.

Es priecātos, ka mani pabrīdina, ka ir, kaut kādi gļuki. Kā nekā tas iespējams mani varētu kādā brīdī ietekmēt.

Link to comment
Share on other sites

Nu psec speci... Nu cik var muldēt tuftu?

Routerim 53 ports vaļā! Kādi vel vīrusi? Iegooglējiet taču pirms savus zīlējumus klabinat!

Daudziem technicolor ir 22. un 53. vaļā, tas droši vien ir tapēc ka nejēgas lien kur nevajag.

 

BTW, Pašam telekomam nesen bija viņu lielie DNS serveri nesapatchoti.

Link to comment
Share on other sites

  • 1 month later...

Atkal tiku pie tāda paša e-pasta... Nu labi iestaigāju rūterī, skatos firewall atslēgts, kā ieslēgt? Kādu security līmeni likt? Standart vai block all? Un ik pa stundai mēģina izdarīt sekojošu darbību (atzīmēta ar sarkanu) FIREWALL replay check (1 of 1): Protocol: ICMP Src ip: xx.xxx.xx.xx Dst ip: xx.xx.x.xx Type: Destination Unreachable Code: Net Unreacheable 

Edited by Ingvers
Link to comment
Share on other sites

Ja tu nespēj pat nosaukt kas tev pa routeri, tad nāksies samaksāt kādam kas kaut nedaudz saprot tādā tehnikā.

 

Nu tad ko viņš te nīd visu laiku? Tagad palasiju, jā, redzu. Viņam jau Lapais pateica ko darīt. A tas spameris neko nelasa, tik spamo.

Edited by McB
Link to comment
Share on other sites

 Tas, ka Lattelekom tev nobloķējuši pieeju settingiem, nenozīmē, ka paši nevar piekļūt, pie tam - pieslēdzoties attālināti. Tiešām piezvanīt neesi spējīgs ?

Link to comment
Share on other sites

  • 2 years later...

Man arī atnāca uz E-pastu ziņa: Esam saņēmuši informāciju no CERT.LV, ka Jūsu lietotā ierīce, iespējams, ir inficēta vai pakļauta ievainojamībai ar opensmb. Es gan nesaprotu kas ir opensmb,bet vai varētu būt,ka viņi redz cik un kādas ierīces ir pieslēgtas pie viņu rūtera?Varbūt vīruss nak iekšā skatoties multi mēdiju dekoderi?

  • Patīk 1
Link to comment
Share on other sites

Tikai iekšējā, vismaz kaut kāda aizsardzība!

Link to comment
Share on other sites

  • 10 months later...

Beton, tu pillā? :biggrin:

Link to comment
Share on other sites

  • 1 month later...

Arī saņēmu šādu paziņojumu. 

 

Esam saņēmuši informāciju no CERT.LV, ka Jūsu lietotā ierīce, iespējams, ir inficēta vai pakļauta ievainojamībai ar rdp.

Papildus informāciju par infekciju vai ievainojamību Jūs varat atrast:
http://www.esidross.lv/cert-lv-bridinajums/...blablabla

Dinamiskas IP adreses, platjoslas pieslēgumu servisa numuri, kuri izplata infekciju un pārkāpuma datums: ...blablabla
 

Zvanīju Lattelecom - sākotnēji viņi visu izzināja, tad es no viņiem uzzināju, ka viņi ar šādām problēmām nenodarbojas, viņiem neesot datorspeciālistu, bet viņi var ieteikt kādu privātpersonu vai firmu (man ieteica "datoru ātro palīdz."). Jautājot vai problēma varētu būt saistīta ar viņu iekārtu/rūteri, saņēmu atbildi, ka nē, vaina esot datorā, planšetē vai kādā citā iekārtā.

Sanāk, ka būs vien jātiek galā pašiem.

Prasīju vai es varu ignorēt šādus ziņojumus ja man viss ok un vai mani dēļ tā neatslēgs - LTC teicās ka varot ignorēt, bet kā rīkosies Cert, vai atslēgs vai nē, viņi nemākot teikt.

Edited by Memo
Link to comment
Share on other sites

Atceros 90- tos toreiz katram pamuļķim internets nebija pieejams.

  • Patīk 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...