Problema grave router (Attacco sui DNS)

Scusami ercolino...per alcuni motivi vorrei bloccare l'accesso ad alcuni siti...esiste la sezione url filter..ma provando a inserire vari indirizzi tra cui google non cambia nulla....come mai? Bisogna settare qualche altra sezione?

Inviato dal mio GT-I9505 utilizzando Tapatalk
 
Come non detto...smanettando ovvero riflashando ho risolto...probabilmente non si riverificherà neanche il primo problema...ma ho notato che non vengono bloccati i siti https?? Solo http...esiste un modo per ovviare al problema?

Inviato dal mio GT-I9505 utilizzando Tapatalk
 
Ultima modifica:
Quello che subisci è un attacco DNS cache poisoning che modifica i Dns con quelli di controllo di qualche bot net.

Nel firewall del router assicurati che la voce SPI sia attiva.

Quella voce che su diversi router non è abilitata di default blocca l'accesso esterno del router e chiude le varie porte.

Assicurati anche che la voce UPnP non sia attiva

Proprio come vi avevo spiegato qualche giorno fa è appena uscito un articolo al riguardo sul blog di sicurezza di Trend Micro


Info

Two settings can also help in reducing the risks from these attacks: first, port 80 should be forwarded to a non-existent IP address. In addition, the web management interface of the router should not be accessible from the WAN side of the network.


Consiglio di leggere molto attentamente
 
io ho tentato di leggere pero' nn ho capito niente x e' scitto in inglese, se mi vai un riassunto in italiano ti ringrazio e poi se mi potresti dire il rischio che vado incontro, e se c'e' un rimedio ti ringrazio due volte ciao. forse sarebbe meglio nn usare piu' il computer, considerazione personale x ogni 3 giorni c'e' un problema. grazie se mi rispondi alle 2 domande. ciao ercolino.
 
Avevo già spiegato nella discussione

Non devi fare niente te ;)
 
Quello che subisci è un attacco DNS cache poisoning che modifica i Dns con quelli di controllo di qualche bot net.

Nel firewall del router assicurati che la voce SPI sia attiva.

Quella voce che su diversi router non è abilitata di default blocca l'accesso esterno del router e chiude le varie porte.

Assicurati anche che la voce UPnP non sia attiva

Premetto che ho un Netgear DG834 (no wireless), riesco a navigare abbastanza bene, se non negli ultimi giorni che l'adsl va a scatti (ho teletu), ho voluto verificare le impostazioni del router che non vedevo da tempo, ho UPnP attivo di default immagino, SPI non esiste come voce, ma dovrebbe trattarsi del NAT che è attivo.
Detto questo, ho fatto pure il test sul sito linkato da Ercolino https://www.grc.com/dns/dns.htm
Anti-Spoofing Safety: Excellent
scorrendo la pagina in basso alla voce: Analysis Tables: Very Bad su alcune voci, che significa?
Infine i DNS del router devono essere uguali con quelli di Windows?
 
Niente di che quelle voci ;)

I DNS del router sono quelli a livello generale di tutta la rete, poi volendo su ogni PC, Decoder ecc... uno può mettere i DNS localizzati

Per avere i DNS del router sul Pc ecc... bisogna avere la voce Ottieni automaticamente DNS attiva che lo è di default sul Pc

Quindi bisogna fare attenzione sia ai DNS nel router che quelli su ogni singolo PC, anche quelli tramite Virus ecc.... possono venire modificati
 
Se avete dei Router di Asus verificate di avere l'ultima versione fw (sono state rilasciate alcune patch di sicurezza)



Where:From remote

Impact: Unknown, Security Bypass, Cross Site Scripting, System access


Some vulnerabilities have been reported in multiple ASUS products, where one has an unknown impact and the others can be exploited by malicious people to conduct cross-site scripting and cross-site request forgery attacks, bypass certain security restrictions, and compromise a vulnerable system.

The vulnerabilities are reported in the following products and versions:
* ASUS RT-N12HP firmware versions prior to 3.0.0.4.374.5517
* ASUS RT-N12 D1 firmware versions prior to 3.0.0.4.374.5517
* ASUS RT-N10U firmware versions prior to 3.0.0.4.374.5517
* ASUS RT-N10U (VER.B1) firmware versions prior to 3.0.0.4.374.5517


Solution:
Update to firmware version 3.0.0.4.374.5517.


http://secunia.com/advisories/58258/

------------------------------------------------------------------------------



Where:From remote

Impact:Unknown, Security Bypass, Cross Site Scripting, System access

1) Certain unspecified input is not properly sanitised before being returned to the user. This can be exploited to execute arbitrary HTML and script code in a user's browser session in context of an affected site.

The vulnerabilities are reported in the following products and versions:
* ASUS RT-AC66U firmware versions prior to 3.0.0.4.374.5517
* ASUS RT-AC66R firmware versions prior to 3.0.0.4.374.5517
* ASUS RT-N66R firmware versions prior to 3.0.0.4.374.5517
* ASUS RT-N66W firmware versions prior to 3.0.0.4.374.5517
* ASUS RT-N16 firmware versions prior to 3.0.0.4.374.5517

Solution:
Update to firmware version 3.0.0.4.374.5517.


http://secunia.com/advisories/58644/

------------------------------------------------------------------------



Where:From remote

Impact:Unknown, Security Bypass, Cross Site Scripting, System access

Description

Some vulnerabilities have been reported in multiple ASUS products, where one has an unknown impact and the others can be exploited by malicious people to conduct cross-site scripting and cross-site request forgery attacks, bypass certain security restrictions, and compromise a vulnerable system.

1) An error within the authentication mechanism can be exploited to access to otherwise restricted scripts and subsequently e.g. disclose administrative credentials.

2) Some errors exist within APP_Installation.asp when handling certain parameters, which can be exploited to cause a stack-based buffer overflow via an overly long "apps_name" and "apps_flag" parameters.

Successful exploitation of this vulnerability may allow execution of arbitrary code.

3) The device allows users to perform certain actions via HTTP requests without performing proper validity checks to verify the requests. This can be exploited to manipulate device settings when a logged-in administrative user visits a specially crafted web page.

4) An unspecified error exists related to network map. No further information is currently available.

The vulnerabilities are reported in the following products and versions:
* ASUS RT-AC56U firmware versions prior to 3.0.0.4.374.5656
* ASUS RT-AC56R firmware versions prior to 3.0.0.4.374.5656

Solution:
Update to firmware version 3.0.0.4.374.5656.


http://secunia.com/advisories/58488/
 
Where:From local network

Impact:System access

D-Link DSP-W215


Description

Craig Heffner has reported a vulnerability in D-Link DSP-W215, which can be exploited by malicious people to compromise a vulnerable device.

The vulnerability is caused due to a boundary error in the "do_hnap()" function (/www/my_cgi.cgi) when handling the "Content-Length" header. This can be exploited to cause a stack-based buffer overflow via specially crafted SOAP "GetDeviceSettings" HNAP requests.

The vulnerability is reported in versions 1.01b06 and prior.

Solution:
Update to version 1.02b05.


http://secunia.com/advisories/58728/
 
Si era bloccato una volta....e a quel punto ho riflashato con un altro firmware...aggiornato al 2008 :D ...purtroppo ne esiste uno più moderno ma sembra per una versione del mio router diversa...

Inviato dal mio GT-I9505 utilizzando Tapatalk
 
In che senso bloccato?

Io intendevo se avevi avuto problemi con i DNS come le altre volte che li trovavi modificati sul router
 
Ad un certo punto non si connetteva più nessun dispositivo. ...per i dns tutto ok...fino ad ora...

Inviato dal mio GT-I9505 utilizzando Tapatalk
 
Ciao Ercolino e ciao ragazzi, oggi nella connessione di rete (LAN) selezionando il protocollo internet (tco/ip) - avanzate - mi sono ritrovato ancora una volta i DNS 10.83.92.57 al 3° posto. Ho XP (da circa 2 anni gli aggiornamenti automatici sono disattivati), il Broswer e gli DNS Yandex (su chiavetta della Tre).
Mi devo preoccupare? Perché me li ritrovo dopo qualche settimana e li cancello poiché ho notato rallentamenti/blocchi su internet.
Grazie
 
Il pc è collegato in una rete aziendale?

Quei DNS comunque non sono DNS pubblici, ma sono interni della rete

Quella classe IP non viene usata esternamente
 
Il pc è collegato in una rete aziendale?

Quei DNS comunque non sono DNS pubblici, ma sono interni della rete

Quella classe IP non viene usata esternamente
No no, è il mio PC di casa. Ho l'opzione di usare il modem integrato sulla chiavetta o la connessione LAN.
 
Indietro
Alto Basso