Telekomunikacja jak na dłoni
Wiadomości Masowy atak na routery z podmianą DNS-ów, Orange blokuje złośliwe IP

Masowy atak na routery z podmianą DNS-ów, Orange blokuje złośliwe IP

WitekT 6 Lutego 2014 09:44

20 2

CERT Orange Polska, zespół dbający o bezpieczeństwo w sieci, wykrył atak hakerski na modemy routery i modemy na ogólnopolską skalę, nie tylko te działające w sieci Orange. Atak polega na możliwym przejęciu kontroli nad urządzeniem i zamianie jego domyślnych serwerów DNS na serwery złośliwe.



Efekt ataku może być taki, że po wpisaniu np. adresu banku użytkownik może zostać przekierowany na wyglądającą tak samo, ale jednak fałszywą stronę kontrolowaną przez cyber-przestępców. Dlatego by natychmiast ograniczyć ryzyko dla naszych klientów podjęliśmy decyzję o zablokowaniu złośliwych adresów DNS w zagrożonych modemach - napisał na swoim blogu Wojciech Jabczyński, rzecznik operatora.

Dodatkowo CERT Orange Polska uruchomił narzędzie, które wykrywa każdy nowy złośliwy adres DNS i natychmiast go blokuje. Jeśli modem użytkownika nagle stracił dostęp do Internetu to znaczy, że został zaatakowany i profilaktycznie został odcięty od sieci Orange.




Niestety nie możemy go zdalnie naprawić. Aby to zrobić samemu powinniście zalogować się do panelu administracyjnego (jak to zrobić znajdziecie m.in. w instrukcji urządzenia), zazwyczaj należy wpisać w pasku przeglądarki adres 192.168.1.1 lub 192.168.1.100, a następnie login i hasło. Potem znajdźcie zakładkę z serwerami DNS i wpiszcie adresy: 194.204.159.1 (główny DNS/primary DNS) oraz 194.204.152.34 (dodatkowy DNS/secondary DNS). Jeśli nie możecie się zalogować do panelu administracyjnego oznacza to, że cyber-przestępcy zmienili login i hasło - pisze Jabczyński.

Użytkownicy innych sieci mogą skorzystać z serwerów DNS Google - 8.8.8.8 oraz 8.8.4.4. CERT Orange Polska uruchomił specjalną stronę ze skanerem, który sprawdza podatność routera użytkownika na atak.

Serwis niebezpiecznik.pl informuje, że w Polsce na atak może być podatnych nawet milion urządzeń. Jednym z podstawowych zabezpieczeń jest wyłączenie możliwości zarządzania routerem spoza sieci domowej. Serwis dodał, że fałszywe serwery DNS stoją pod adresami:
  • 5.45.75.36,
  • 5.45.75.11,
  • 95.211.241.94,
  • 95.211.205.5.

Źródło tekstu: blog.orange.pl, niebezpiecznik.pl, wł     

Dodaj do:

Tagi: dns | orange

w sumie: 90
  • 0

    78. ~  2014-02-06 14:11:36  host: 178-37-126-235.adsl.inetia.pl

    76 nie. skaner masz , sprawdz !!!!!!!!!!

  • 1

    80. ~  2014-02-06 14:12:51  host: 178-37-126-235.adsl.inetia.pl

    76 ja mam najnowszy firmware i jest ok. mozesz miec stary soft i problem bedzie

  • 1

    81.  2014-02-06 14:20:22

    @77 Bo jak ktoś nie wie to niech pyta a nie wypisuje w pierwszej kolejności brednie i wprowadza w błąd innych.

  • 1

    82. ~rr  2014-02-06 14:55:54  host: 89-75-56-147.dynamic.chello.pl

    Ale wiele osób nawet nie wypisywało, bo nie zdawało sobie sprawy z problemu. Z tego co tu czytam, to sporo komentarzy ma na celu tylko obrażanie nieuświadomionych użytkowników. Wszystkich posiadaczy neostrady wrzucają do jednego wora płaczących i marudzących. To tak na marginesie ;) Co do Orange, dobrze postąpili. Przynajmniej ludzie będą bezpieczni.

  • 1

    83. ~Goral  2014-02-06 14:58:08  host: 212.160.172.70

    #79 Rozwiązanie Netii to też jakieś wyjście. Główna słabość obu rozwiązań jest jednak taka sama - blokuje/przekierowuje ruch tylko z obecnie znanych fake DNS. Za 5 min może się pojawić nowy IP, i to jest ciągle pogoń za króliczkiem. Zagrożenie ciągle będzie dopóki userzy - nie ważne, zaawansowani czy nie, nie zmienią sami ustawień na swych routerach, albo nie zainstalują firmware z załataną dziurą.

  • 1

    84. ~  2014-02-06 14:59:58  host: cpc10-finc13-2-0-cust830.4-2.cable.virginm.net

    a wystarczy zmienić w ustawieniach że zmian w roucie można dokonać jedynie z kompa podłączonego kablem + zmienić hasła.No ale co się dziwić jak nawet serwisanci co montują nowe routy nie wiedzą jak to zrobić.

  • 1

    86. ~  2014-02-06 15:27:27  host: 87-205-55-223.adsl.inetia.pl

    @85 - to jest bardzo dobry pomysł, tyle że część podejrzliwych klientów i tak by dzowniła, bo mogłaby uznać, że ta strona z instrukcjami jest właśnie lipna. Wiesz, jak te słynny albański wirus komputerowy, co prosi użytkownika o konkretne działania :-).

  • 0

    87. ~Dziedzic Pruski  2014-02-06 15:35:37  host: afdr148.neoplus.adsl.tpnet.pl

    @85 a Syryjska Elektroniczna Armia zhakowała Facebooka. Syryjczykom udało się przejąć konto pod które podpięta była domena facebook.com -- mieli nad nią kontrolę, ale nie dali rady przekierować jej na swoje serwery, choć próbowali. Podmienili za to adres e-mail widoczny w danych WHOIS domeny. tak więc widać że da się dowolnie przekierowywać ruch :)

  • 0

    89. ~lee  2014-02-06 17:52:00  host: tysiaclecia-z-bie37200223077.c200.msk.pl

    no to jak to jest w końcu? tplink 1043nd nie jest podatny na atak? pierwsza wersja V1 druga sprawa sam używam dnscrypt od dawna i polecam

  • -1

    90. ~  2014-02-07 09:39:51  host: 93.154.177.32

    "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu." Kto normalny włącza zarządzanie domowym routerem spoza sieci wewnętrznej? Każdy router ma to domyślnie wyłączone, a włączając to trzeba mieć przynajmniej tyle doświadczenia, żeby umieć jednocześnie zmienić port i hasło połączenia...

  • 0

    91. ~m  2014-02-07 11:11:30  host: agbj2.neoplus.adsl.tpnet.pl

    "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu." a później:"Gratulacje, dostęp do plików modemu jest zabezpieczony niestandardowym hasłem." co to oznacza? czy wszystko okej z routerem w takim razie?

  • -1

    93. ~  2014-02-07 21:16:05  host: ip-78-30-101-216.free.aero2.net.pl

    Innymi słowy: FUD.

  • 1

    94. ~  2014-02-08 11:27:28  host: 212.160.172.70

    Reklama, nie reklama, ale ludziom pomogli. A Ty co, nie zarabiasz nigdzie i na niczym? Pracujesz za darmo?

  • 1

    95. ~  2014-02-13 18:46:16  host: dgz61.neoplus.adsl.tpnet.pl

    U mnie wszystko OK, DNS-y prawidłowe, skanowanie - OK.

  • 0

    96. ~Mam problem  2014-02-21 18:37:13  host: 37-128-29-29.adsl.inetia.pl

    Jak sprawdzić dnsy dla Netia spot?

  • 1

    97. ~Ziomek  2014-03-03 18:45:12  host: aerd16.neoplus.adsl.tpnet.pl

    Uwaga na ten skaner, nawet kiedy sprawdzilem i bylem niby bezpieczny, wciaz moglem sciagnac plik konfiguracyjny i po odszyfrowaniu dostawalem swoje haslo admin :(, pomogło żeby ustawić ograniczony dostęp LAN, w moim TP-Linku TD-W8901G udało mi się to zrobić w zakładce Access Management. Przestrzegam wszystkich, skaner sprawdza tylko ustawienia SPI i Firewall - a to nie wystarcza !

  • 0

    98. ~klient  2014-06-12 00:07:13  host: cog38.neoplus.adsl.tpnet.pl

    WSTYD - teraz Orange ucieka się do takich brudnych metod, aby inwigilować swoich klientów. Muszę zweryfikować swoje przywiązanie do tej firmy, najwyższy czas...

  • 0

    99. ~Znawca tematu  2014-08-18 05:22:19  host: 37-128-25-5.adsl.inetia.pl

    Jak w kurniku. Cyber ataki to standard w dzisiejszych czasach. A śledzenie informacji o użytkowniku sprzętu to już chyba nie nowość. Co do w/w tematu.
    To wszystkie obecnie tworzone urządzenia posiadają dwa jądra. Startowe tzw. serwisowe i kolejne dla śmiertelników czyli was. Te serwisowe to tzw. patenty , które w jakiś sposób mogą wypłynąć na zewnątrz fabryki lub serwisu. Kwestia kto komu i za ile. Tak to działa. Hacker to nic innego jak robot napisany przez cyber mafie. Wyszukuje adres po adresie czy działa w/w link jeśli tak to krok po kroku modyfikuje sprzęt. Na dzień dzisiejszy robot jest instalowany od wewnątrz sieci przez e-faktury różnej maści. w których to widać coś.pdf.pif oznaczone jako program uruchamiany. dalej j/w działa link to do roboty. Rozwiązanie tylko jedno! Zmiana komunikacji z routerem dostęp po porcie tzn adres:0000 gdzie 0000 zamiast 8080 na dodatek w pliku host windowsa trzeba by bylo zablokowac port 80 komunikacji z routerem. Nie wspomnę o telefonach z odbiorem email.... POWODZENIA

  • 0

    100. ~mati  2015-12-13 23:42:51  host: apn-31-2-110-14.dynamic.gprs.plus.pl

    czy sytuacja sie powtarza? od paru dni wszystkie komputery (4 laptopy) i telefonu łączące się z domowym wifi zaczeły swirować a konkretnie po wejsciu w przeglądarke i kliknięcie na jakikolwiek odnosnik na jakiejkowliek stronie powoduje uruchomienie dodatkowego okna przeglądarki i przekierowanie na jakas debilna strone z bzdurami a to jakis serwis randkowy a to jakies aukcje a to jakies inne bzdury. antywirusy nic nie wykrywają. serwer DNS routera jest inny niz te zainfekowane podane w tym artykule ale mineło już prawie 2 lata. to jest cos liveadrox..coś tam.com cos takiego. a problem pojawił sie kilka dni po tym jak "szpec" z orange przyszedl do domu w celu podniesienia prędkości łącza.. pokręcił sie, cos poustawiał na kilku komputerach, podłączył na chwile jakiś swoj router po czym sie zawinął. prędkość sie nie podniosła, miał przyjechac po 7 dniach bo coś tam.. nie przyjechał..

  • 0

    101. ~romek-z  2015-12-15 14:00:23  host: b4.wipos.p.lodz.pl

    Sytuacja z grudnia 2015 jest troche inna. DNS pozostaja takie jak były. Nic nie jest podmieniane tylko w Livebox w zaporze, do której nie ma zwykły człowiek dostępu są zablokowane niektóre domeny. U mnie to było p.lodz.p i może kilka innych, których nie stwierdziłem. Jedyny prosty ratunek to należy przy właczaniu Liveboc przytrzymac reset na tylnej ściance liveboxa prze kilka minut.
    Potem trzeba wszystko od nowa skonfigurowac tak jak przy pierwszej instalcji Liveboxa.

Dodaj swoją opinię

Do prawidłowego działania formularza wymagana jest akceptacja plików cookie.

host: ec2-54-204-247-205.compute-1.amazonaws.com


Serwis TELEPOLIS.PL zastrzega sobie prawo redakcji, skrótów, bądź usunięcia opinii zawierającej treści zabronione przez prawo, wulgarne, obraźliwie lub w inny sposób rażąco naruszające zasady współżycia społecznego. Komentarze są opiniami czytelników, za które ponoszą oni wyłączną odpowiedzialność. Nie są oficjalnymi opiniami serwisu TELEPOLIS.PL i jego redakcji. Jednocześnie przypominamy, że osoba zamieszczająca opinię może ponieść za jej treść odpowiedzialność karną i/lub cywilną.
Usuwane będą także komentarze zawierające oferty handlowe, numery telefonów, adresy e-mail czy komunikatorów oraz komentarze mocno odbiegające od treści wiadomości.