Servidores DNS de telefonica atacados?

bloodhound

A mi el router me está petando cada 2 por 3. Estoy algo rayado, voy a empezar a cambiar cosillas, porque no me entra en la cabeza los "cortes" que estoy teniendo.

2 respuestas
Aeron

Pues yo testeo con DNS de telefónica y las de google y me dan mejor respuesta las de Telefonica

Pd.: Y tengo router comprado ergo el gusano ese me la pela

Kaiserlau

Es culpa de tu adn, telefonica nunca se equivoca.

NeB1

#26 igual tienen un servidor DNS no recursivo que mágicamente renueva los dominios que le rota o algo :S:S:S. La cuestión es que ese problema que yo he tenido, lo ha tenido más gente, y es exclusivo de telefónica, cambiando los DNSs a los clientes, se soluciona el problema. Y si le haces un whois, está todo en regla :S

Tukaram-Man

#31 Yo estoy igual, hoy no, pero los ultimos dos o tres dias era un sinvivir , al poco de reiniciar al router, mi banda ancha DESAPARECIA, y tenia un lag insoportable.

Reiniciaba el router, a veces configuardo de nuevo, estaba dos min perfecto, y volvia...

Inexplicable.

1 respuesta
Strangelove

Yo también he tenido problemas con las DNS de telefónica, y ahora parece haberse solucionado. El problema que tengo desde ayer, consiste en un extraño javascript que se ejecuta en Chrome cuando uso Facebook, y es relativo a algún tipo de hook denominado como "CavalryLogger", a consecuencia del cual se bloquean todos los componentes dinámicos de la conocida red social.

Voy a ver si lo soluciono con un par de anti-malwares, pero me dá que pinta mal.

SniperWoolf

Ostias.. Estoy acojonado. Entrando en el link de bandaancha que habeis puesto mas atras:

http://bandaancha.eu/articulo/8291/indicios-gusano-escanea-routers-adsl-telefonica-secuestrar-dns

He seguido los pasos que pone como infecta el bot, probando lo de:

ip.del.router.adsl/password.cgi

y viendo el codigo fuente de la pagina que devuelve VENIA EL USUARIO Y CONTRASEÑA EN TEXTO PLANO... WTF???

pwdAdmin = ' (la contraseña en textoplano)';
pwdSupport = ' (la contraseña en textoplano)';
pwdUser = 'user';

Vaya puta cagada de quien cojones creara este firmware. Sin bug del 15. Y con esto pueden cambiar las DNS del router y hacerte un estropicio. Puta timofonica.... :S Dios, voy a ver si cambio esto y lo arreglo xq joder, eso es dejarte con el culo al aire.

2 respuestas
iAtlas

Pues esto es bastante jodido. Desgraciadamente, la gente tampoco suele preocuparse de estos temas y luego pasan estas cosas. Algo tan sencillo como evitar acceder al router desde fuera de la red podría haber evitado esto.

Nucklear

#37 lol, había leido lo de la vulnerabilidad pero no pensé que fuera algo tan escandaloso. Timofónica haciéndonos trabajar como siempre...

Linko

#1 #25

Una pregunta. He puesto los opendns en windows, luego he intentado cambiar desde el asistente de configuracion de telefonica las dns, y pero no hay opcion para hacerlo, asi que meti la ip de mi router (zyxel) en el navegador y desde ahi las he cambiado, luego me iba al asistente de configuracion y me sigen saliendo las dns de telefonica, por lo ke he desabilitado el default getaway desde el menu de zyxel, y nada, me vuelvo a meter en el asistente y le doy a obtener configuracion actual y siguen saliendo las dns de telefonica.

Eso si, si hago ipcongif/all, me salen las dns ke meti en windows, (tb salen las de google, que las meti en una lista como 3º y 4º opcion) asi que no se que dns tengo ahora mismo.... :S

gracias!

Nucklear

Por cierto #37 para acceder a ip.del.router.adsl/password.cgi desde un pc que no haya estado logeado en el router necesitas la pass del router, entonces aunque mires el source y tenga la pass en texto plano (aunque sea una cagada enorme) no importaría porque la necesitas antes ¿no?

M

Lista de routers afectados.

  • D-Link DSL-500B
  • D-Link DSL-2640B
  • Comtrend CT-5072
  • Comtrend CT-5372
  • Comtrend CT-5367
  • Pikatel Airmax 101
elkirby

Los de google no dan nada de problemas, los tengo puestos y no me he enterado de nada. No soy afectado.

iAtlas

dns-changer.eu comprueba si tus servidores DNS han sido modificados por un troyano

El próximo 8 de marzo se apagarán los servidores DNS que las autoridades mantienen para dar servicio a los miles de equipos que continúan afectados por el troyano DNS Changer. Para facilitar su detección, INTECO-CERT presenta una herramienta que comprueba el estado de los DNS utilizados por nuestro ordenador.

DNS Changer fue diseñado para, una vez dentro del equipo infectado, cambiar los servidores DNS del sistema operativo por unos propios, en manos de la red que controla el troyano. El segundo paso es acceder al router, probando credenciales por defecto, para cambiar la configuración DNS de forma que cualquier ordenador conectado a la red local utilice los DNS fraudulentos. Otra variante de este ataque afecta a algunos modelos de router Comtrend de Movistar.

Durante años, los creadores del troyano se han estado beneficiando de los ingresos publicitarios procedentes de las páginas web a las que dirigían a los usuarios los DNS bajo su control. Desde el pasado 8 de noviembre, tras la intervención del FBI, estos servidores son mantenidos por las autoridades, ya que aún hay miles de equipos infectados que dependen de ellos. Serán clausurados finalmente el próximo 8 de marzo.

Para facilitar la detección de equipos afectados, el centro de respuesta a incidentes de seguridad de INTECO ha puesto en marcha la versión en castellano de la web dns-changer.eu, desde donde cualquier usuario puede realizar una rápida comprobación de sus servidores DNS, verificando que no emplea los introducidos por DNS Changer.

Si el resultado de la prueba es positivo, puedes seguir estos pasos para restaurar el sistema.

Fuente: bandaancha.eu

1 respuesta
muanhiaru

#31 #35 ¿Se os baja el PPP? Pasa últimamente, cada X tiempo y cuando le da la gana la conexion empieza a ralentizarse y se queda en "PPP Down" o el "ADSL Link Down" cortandose la señal de Internet. Tengo que activarlo otra vez a través de telnet.

_Akiles_

Entro a la seccion del pass y obviamente pide password, no deja ver nada hasta que se introduce, pero no me parece bien que una vez introducido salga en texto plano.

El bug de los otros routers es que te deja acceder al codigo fuente de la pagina sin haber introducido el password?

duriel_one

Antes usaba telefónica y estaba cambiando DNS cada 2x3, ahora tengo Jazztel y no me he preocupado de cambiarlas. De hecho tengo configurada la conexión para que todo se asigne automáticamente. ¿Me recomendáis cambiarlas?

Es una pregunta de jodido novato lo sé, pero creía que con esta ISP me libraba de telefónica y toda su mierda.

1 respuesta
Strangelove

Comento de ayer a hoy:

Ayer vino un técnico de telefónica en persona (siempre han venido de un subcontratista local), y me cambió el router Amper 8821r monopuerto que tenía hasta ahora por un TECOM AW4062. La razón era la de subirme los 6mb a 10mb, sin ningún tipo de coste. Antes tenía 70 de ping en los tests de velocidad, y ahora tengo 50. Vivo en la quinta hostia, por si sirve de algo decirlo.

PD: Tanto en el Amper como en el nuevo he hecho la prueba de solicitar la llamada al archivo password.cgi; en el Amper me devolvía una página sin ningún tipo de contenido, y en este me pide la contraseña y el usuario si-o-si.

B

#44 Se veia venir que era gordo el tema, en fin, uno menos, vayamos a por el siguiente "bicho" jejejeje.

#54 Pues yo cuando vi que algo no funcionaba bien, estuve una temporada con caidas continuas..., cada 10 minutos o menos se perdia la conexion..., desde que vi este tema, me puse a investigar y cambie todo el tema de dns, tanto del router como del sistema, el router no se ha vuelto a caer, coincidencia?, pues igual, dejemos que pase un poco el tiempo y ya te digo seguro.

#47 Claro hombre, cambia y pon opendns, mas seguridad y anonimato, y no, no es una pregunta de novato, no se puede saber todo sobre todo, solo es eso :).

1 respuesta
duriel_one

#49 Mirando un poco de información, la gente habla mal de opendns. Por lo visto según dicen no permite la entrada a ciertas webs...

más info http://www.kriptopolis.org/adios-opendns

¿Qué opináis de esto? Aun así os he hecho caso y las tengo puestas.

1 respuesta
Fyn4r

#50 opino que quejarse de que opendns registre tus busquedas en google es una gilipollez, porque google tambien va a hacerlo xD

1 respuesta
duriel_one

#51 Pues macho, de 2 webs a las que suelo entrar, solo me deja 1. La primera es MV y la segunda otro foro de juegos :palm:

usando los de google y tirando

Strangelove

Esto ya me empieza a escamar un poco:

Posible shutdown de Internet el dia 8 de Marzo

INTECO (Instituto Nacional de las Tecnologías de la Comunicación) advierte de la peligrosidad de un virus que ataca a los servidores DNS (DNS Changer Trojan), el cual manipula el resultado de la solicitud de dominio y reenviando al cliente a webs maliciosas. La explicación exacta de INTECO es:

"Troyano que modifica la configuración DNS del equipo infectado para redirigir a páginas fraudulentas. A partir del 8 de marzo el FBI cerrará los servidores DNS maliciosos que utiliza el troyano por lo que los equipos que no hayan restaurado su configuración dejarán de tener acceso a Internet."

La razón del apagón de los DNS es parte de la operación de seguridad para limpiar y proteger dichos servidores de esta potencial amenaza detectada recientemente.

Cancelación de servidores DNS

¿El 8 de Marzo sin internet?

Pues ya sabéis, el dia 8 nos quedamos sin todos los internets, y por si acaso, aseguraos que tenéis restringida la carpeta de C: - Windows - System32 - drivers - etc - hosts, entre otras cosas.

#54 Efectivamente. No había entendido bien la medida, aunque yo todavía no tengo claro donde se hospeda físicamente el polémico virus.

1 respuesta
iAtlas

Se quedarán sin internet las personas que estén infectadas.

1 respuesta
muanhiaru

#53 ¿Y como se yo que tengo restringida las carpetas de sistema? Perdón por la pregunta...

1 respuesta
Strangelove

#55 En Windows 7 creo recordar que te las bloquea a lo bestia y por defecto. De hecho, tengo un problema con el Spybot-SD porque me da error cada vez que intenta analizar la ruta.

La comprobación en Win7 es fácil; intenta acceder directamente en sesión de usuario y mira a ver si te deja o qué advertencias te dá, y hasta donde puedes llegar. Si logras abrir el archivo hosts y te deja editarlo, es obvio que no está protegido.

B

Lo que mas me llama la atencion es que esta pasando casi de puntillas este tema, casi nadie sabe lo que esta pasando, y no hay medios que informen, asi que el dia 8 cuando medio mundo se vea sin acceso vendran las movidas...

1 respuesta
muanhiaru

#57 Siempre con estos temas hay mucho "ocultismo" :(

Soltrac

De todas formas, cuantos sois los locos q abrís vuestro router a la WAN? Si quiero cambiar la configuración de mi router desde fuera hay mil métodos más fiables que ese.

Pero va a estar gracioso cuando cierren los servers, a ver cuanta gente se queda sin inet xDD.

A mi la única cagada de seguridad que me ha pasado de este estilo en mi vida fue en un curro con prisas creé un VNC para acceder desde fuera sin darme cuenta que era una versión exploiteable. Tardó poco un tío en entrar en mi PC y ponerse a mover documentos, pero bueno, lo pillé infraganti.

2 respuestas
Strangelove

#59 Hay muchísima gente que cuando le instalan el router ADSL no cambia la contraseña por defecto de telefónica, y aunque la propia compañía lo niega, es obvio que hasta hace muy poco tiempo tenían un sistema remoto de control para poder solucionar problemas de conexión de los usuarios.

Tan fácil como ponerle una pegatina al router con la PW y la ID personalizada.