Jump to content



OTENET & Επιθεσεις


YDinopoulos

Recommended Posts

Προσπαθούνε να μπούνε λέει στο modem/router του πελάτη για future customer care ?

1 Απριλίου επικοινώνησες μαζί τους ?

Προφανώς πλάκα σου έκανε.

Δεν παίζει κάτι τέτοιο.

Και ας πούμε ότι το κάνανε αυτό ( που είναι παράνομο και χαλαρά τους πας κωλοφεράντζα στα δικαστήρια ), θα το κάνανε από τον DNS Server και όχι από οποιοδήποτε άλλο node ( προφανώς και θα προτιμούσανε άγνωστη IP ώστε να μην μπορείς να βρείς ότι προέρχεται από αυτούς... ) ?

Πολύ απίθανο μου ακούγεται.

Στο δικό μου log δεν βλέπω κάτι τέτοιο πάντως, και το log μετράει κάτι μήνες :p

Link to comment
Share on other sites

  • Replies 44
  • Created
  • Last Reply
Δεν είναι κατ' ανάγκη πονηρός, μπορεί να έχει φάει κανένα trojan και να έχει γίνει zombie το pc του.

trojan σιγουρα όχι (Mint 12 Lisa)....απλά με το που άνοιξα για λίγο το upnp για κάποιο λόγο.

Port scanning είναι πιθανόν.hackingn.png

Link to comment
Share on other sites

Σε ποιες πόρτες; Δεν αναφέρει κάτι.

Επιπλέον αν προσέξεις αυτό που σου δείχνει το modem ως DoS είναι UDP από την 53 του DNS της otenet προς μία άσχετη δική σου. Να στο πω απλά είναι η απάντηση σε DNS queries που κάνεις. Άλλαξε DNS και θα δεις ότι το modem θα σου βγάλει στα logs το νέο DNS. Μάλλον το firewall του modem σου είναι κακορυθμισμένο και βγάζει πολλά ψευδή θετικά.

Link to comment
Share on other sites

Η ρύθμιση είναι για το dhcp να υποθέσω; Ή για το modem;

Σε όλα τα pc που έχεις στο σπίτι το

nslookup www.ote.gr

τι σου βγάζει;

Τι άλλες συσκευές έχεις στο δίκτυο; Πχ κανένα αποκωδικοποιητή;

Link to comment
Share on other sites

nslookup :

C:\Users\Administrator>nslookup www.otenet.gr
Server: resolver1.opendns.com
Address: 208.67.222.222

Non-authoritative answer:
Name: otenet.gr
Address: 62.103.128.215
Aliases: www.otenet.gr

Και πως αλλιώς να ήταν δηλαδή αφού ολα τα pc (kai ta VMs)/NAS/DM800 είναι έτσι (με καρφωτές IPs, τίποτα σε dhcp) ?

Επίσης το wireles access point (tpling 801nd) έχει και αυτό καρφωμένους το IP kai τους dns του opendns (dhcp disabled), network isolation, WPA2 μόνο με pass (40+ chars) κάτι σαν t1kane1smpaba?k4l@e!sai και ανάβει μόνο όταν θέλω να δώ κάτι από το κινητό.

Μα αυτά τα έχω γράψει και παραπάνω αν τα είχες διαβάσει δεν θα με ρώταγες.

Μέχρι να δώ τι θα γίνει έβαλα στο NAS (24χ7) to IP του modem router σε blacklist, μην γίνει και τίποτα και με τρέχουν τσάμπα.

Πάντως από τότε που πήρα τηλέφωνο και παραπονέθηκα στο 13888 δεν έχω δεί port scan/dos ούτε από κινα/ινδια/usa/uae που έβλεπα καθημερινά !!!! το log 3-4 μέρες τώρα έχει μόνο τα ntp sync/logon/logoff. Τωρα που το γράφω θα τσεκάρω μηπως έχουν ενεργοποιήσει το "firewall" από οτενετ (my.otenet.gr, -> WEB SELF CARE -> Επιθυμία αυξημένης προστασίας από κακόβουλες "επιθέσεις").

post-4796-1416076040,2499_thumb.png

post-4796-1416076040,3256_thumb.png

Link to comment
Share on other sites

nslookup :
C:\Users\Administrator>nslookup www.otenet.gr
Server: resolver1.opendns.com
Address: 208.67.222.222

Non-authoritative answer:
Name: otenet.gr
Address: 62.103.128.215
Aliases: www.otenet.gr

Και πως αλλιώς να ήταν δηλαδή αφού ολα τα pc (kai ta VMs)/NAS/DM800 είναι έτσι (με καρφωτές IPs, τίποτα σε dhcp) ?

Επίσης το wireles access point (tpling 801nd) έχει και αυτό καρφωμένους το IP kai τους dns του opendns (dhcp disabled), network isolation, WPA2 μόνο με pass (40+ chars) κάτι σαν t1kane1smpaba?k4l@e!sai και ανάβει μόνο όταν θέλω να δώ κάτι από το κινητό.

Μα αυτά τα έχω γράψει και παραπάνω αν τα είχες διαβάσει δεν θα με ρώταγες.

Μέχρι να δώ τι θα γίνει έβαλα στο NAS (24χ7) to IP του modem router σε blacklist, μην γίνει και τίποτα και με τρέχουν τσάμπα.

Πάντως από τότε που πήρα τηλέφωνο και παραπονέθηκα στο 13888 δεν έχω δεί port scan/dos ούτε από κινα/ινδια/usa/uae που έβλεπα καθημερινά !!!! το log 3-4 μέρες τώρα έχει μόνο τα ntp sync/logon/logoff. Τωρα που το γράφω θα τσεκάρω μηπως έχουν ενεργοποιήσει το "firewall" από οτενετ (my.otenet.gr, -> WEB SELF CARE -> Επιθυμία αυξημένης προστασίας από κακόβουλες "επιθέσεις").

Εντάξει δεν κάθισα να ξαναδιαβάσω 20 ποστς πίσω τι setup έχεις ούτε θυμάμαι τι έγραψες 3 μέρες πριν. Υπήρχε περίπτωση ένας αποκωδικοποιητής για otetv να έχει hardcoded ρυθμίσεις και να μην παίρνει τις ρυθμίσεις σου.

Πέραν αυτού ένας dns server δε σου απαντάει αν δεν τον ρωτήσεις κάτι. Θα μπορούσες να κάνεις ένα packet capture με wireshark και να δεις πού πάνε όλα αυτά τα πακέτα που σου έρχονται.

το opendns που χρησιμευει?

Εναλλακτικός DNS server αν δεν είσαι ικανοποιημένος από του provider σου ή για να κάνεις customιές, όπως γονική προστασία.

Link to comment
Share on other sites

Εντάξει δεν κάθισα να ξαναδιαβάσω 20 ποστς πίσω τι setup έχεις ούτε θυμάμαι τι έγραψες 3 μέρες πριν. Υπήρχε περίπτωση ένας αποκωδικοποιητής για otetv να έχει hardcoded ρυθμίσεις και να μην παίρνει τις ρυθμίσεις σου.

Πέραν αυτού ένας dns server δε σου απαντάει αν δεν τον ρωτήσεις κάτι. Θα μπορούσες να κάνεις ένα packet capture με wireshark και να δεις πού πάνε όλα αυτά τα πακέτα που σου έρχονται.

Συγνώμη, ειλικρινά, δεν ήθελα να σου κάνω επίθεση, και φαίνεται επιθετικό το παραπάνω post μου χωρίς να έχω πρόθεση, να βοηθήσεις θες !!

Αυτό θα κάνω αλλά από τότε που έκανα τα 2 τηλέφωνα στο 13888 και το email noc-at-otenet.gr άκρα του τάφου σιωπή στα logs του router !!!

Κάποιο σχόλιο για αυτό ?

Link to comment
Share on other sites

Μερικές υποθέσεις μπορώ να σκεφτώ σου κάνανε επίθεση με spoofed IP address, δηλαδή χρησιμοποιούσαν ως source IP αυτή του otenet DNS. Αλλά αν δεν έχεις τα πακέτα δεν μπορούμε να το ξέρουμε. Κανονικά αν έχουν σωστή ρύθμιση στους δρομολογητές της otenet δεν πρέπει να επιτρέπεται είσοδος κίνησης από το internet με source IP που ανήκει στην otenet. Αλλά δεν ξέρω αν το έχουν ρυθμίσει αυτό. Το port scan είναι συνηθισμένο και μπορεί να το κάνει ο οποιοσδήποτε. Το μόνο που μπορείς να κάνεις είναι να βάζεις σε μαύρη λίστα τα υποδίκτυα που το κάνουν αν δεν έχεις ανταπόκριση από τον provider τους (όχι εσύ, αλλά η otenet πρέπει να το κάνει). Εφόσον σταμάτησαν όλα αυτά όπως λες μάλλον σου ενεργοποιήσαν το firewall, το οποίο όμως ενδεχομένως να σου κόβει τα εισερχόμενα, οπότε να μην μπορείς να σηκώσεις http server, να τρέχεις active torrent κλπ.

Link to comment
Share on other sites

Όχι το firewall δεν το πείραξαν καθόλου, μια χαρά είδα πόρτες 80,21,443,8080 αλλά και μερικές που δοκίμασα πάνω από 10000 (32769, 51111).

Και μιλάμε για μεγάλη ησυχία, 4-5 μέρες το ιδιο ip

Fri, 2012-04-13 15:35:56 - Router start up
Fri, 2012-04-13 22:08:38 - Administrator login successful - IP:10.0.χ.χ
Fri, 2012-04-13 23:50:58 - Administrator login successful - IP:10.0.χ.χ
Sat, 2012-04-14 09:39:07 - Administrator login successful - IP:10.0.χ.χ
Mon, 2012-04-16 12:36:55 - Send out NTP request to time.χχχχχ.χχχχ
Mon, 2012-04-16 12:36:56 - Receive NTP Reply from time.χχχχχχ.χχχχ
Mon, 2012-04-16 17:42:12 - Administrator login successful - IP:10.0.χ.χ

είτε σύμπτωση είτε και ο άγιος φοβέρα θέλει

Link to comment
Share on other sites

Για δώσε τις ip που στην πέσανε να δουμε αν εχουν μπει σε κανα blacklist.

Το πιο πιθανό παντως είναι το netblock σου να έφαγε portscan απο κανα botnet,εχουν φρίξει τον τελευταίο καιρό και σφάζονται το hackforums με το opensc και διαφορα άλλα Pakiς...παίζει να σε πήραν παραμάζωμα..

Κλείσε upnp και dmz hosting και δεν θα εχεις θέματα.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Δημιουργία...

Important Information

Ο ιστότοπος theLab.gr χρησιμοποιεί cookies για να διασφαλίσει την καλύτερη εμπειρία σας κατά την περιήγηση. Μπορείτε να προσαρμόσετε τις ρυθμίσεις των cookies σας , διαφορετικά θα υποθέσουμε ότι είστε εντάξει για να συνεχίσετε.