OTENET & Επιθεσεις

[billpeppas]

Προσπαθούνε να μπούνε λέει στο modem/router του πελάτη για future customer care ?

1 Απριλίου επικοινώνησες μαζί τους ?

Προφανώς πλάκα σου έκανε.

Δεν παίζει κάτι τέτοιο.

Και ας πούμε ότι το κάνανε αυτό ( που είναι παράνομο και χαλαρά τους πας κωλοφεράντζα στα δικαστήρια ), θα το κάνανε από τον DNS Server και όχι από οποιοδήποτε άλλο node ( προφανώς και θα προτιμούσανε άγνωστη IP ώστε να μην μπορείς να βρείς ότι προέρχεται από αυτούς... ) ?

Πολύ απίθανο μου ακούγεται.

Στο δικό μου log δεν βλέπω κάτι τέτοιο πάντως, και το log μετράει κάτι μήνες

[jpavly]

Εγώ θα έστελνα τα logs σε ΕΕΤΤ, Αρχή προστασίας δεδομένων και ΔΗΕ.

[YDinopoulos]

Ισως επειδη δεν εχεις στατικη....

[τακης]

Δεν είναι κατ' ανάγκη πονηρός, μπορεί να έχει φάει κανένα trojan και να έχει γίνει zombie το pc του.

trojan σιγουρα όχι (Mint 12 Lisa)....απλά με το που άνοιξα για λίγο το upnp για κάποιο λόγο.

Port scanning είναι πιθανόν.

[trendy]

Ναι εννοώ ότι αυτός που σου κάνει την επίθεση έχει κολλήσει κανά trojan, όχι εσύ.

[TifoziF1]

καμια απαντηση από noc@otenet & katanalotes@eett.gr

[trendy]

Και δεν πρόκειται να πάρεις. Μπούρδες του modem μου φαίνονται, παρά να σου κάνει ο DNS της otenet DOS με UDP πακέτα. Άσε που δε λέει κάτι αυτό το log που να εξηγεί τι έγινε.

[TifoziF1]

^^ και port scan μην ξεχνάς

[trendy]

Σε ποιες πόρτες; Δεν αναφέρει κάτι.

Επιπλέον αν προσέξεις αυτό που σου δείχνει το modem ως DoS είναι UDP από την 53 του DNS της otenet προς μία άσχετη δική σου. Να στο πω απλά είναι η απάντηση σε DNS queries που κάνεις. Άλλαξε DNS και θα δεις ότι το modem θα σου βγάλει στα logs το νέο DNS. Μάλλον το firewall του modem σου είναι κακορυθμισμένο και βγάζει πολλά ψευδή θετικά.

[TifoziF1]

To μοντεμ/router ήταν/είναι ρυθμισμένο από την 1η/2η μέρα που εγκατασταθηκε, σε OpenDNS servers (208.67.220.220 & 208.67.222.222)

[trendy]

Η ρύθμιση είναι για το dhcp να υποθέσω; Ή για το modem;

Σε όλα τα pc που έχεις στο σπίτι το

nslookup www.ote.gr

τι σου βγάζει;

Τι άλλες συσκευές έχεις στο δίκτυο; Πχ κανένα αποκωδικοποιητή;

[TifoziF1]

nslookup :

C:\Users\Administrator>nslookup www.otenet.gr
Server:  resolver1.opendns.com
Address:  208.67.222.222

Non-authoritative answer:
Name:    otenet.gr
Address:  62.103.128.215
Aliases:  www.otenet.gr

Και πως αλλιώς να ήταν δηλαδή αφού ολα τα pc (kai ta VMs)/NAS/DM800 είναι έτσι (με καρφωτές IPs, τίποτα σε dhcp) ?

Επίσης το wireles access point (tpling 801nd) έχει και αυτό καρφωμένους το IP kai τους dns του opendns (dhcp disabled), network isolation, WPA2 μόνο με pass (40+ chars) κάτι σαν t1kane1smpaba?k4l@e!sai και ανάβει μόνο όταν θέλω να δώ κάτι από το κινητό.

Μα αυτά τα έχω γράψει και παραπάνω αν τα είχες διαβάσει δεν θα με ρώταγες.

Μέχρι να δώ τι θα γίνει έβαλα στο NAS (24χ7) to IP του modem router σε blacklist, μην γίνει και τίποτα και με τρέχουν τσάμπα.

Πάντως από τότε που πήρα τηλέφωνο και παραπονέθηκα στο 13888 δεν έχω δεί port scan/dos ούτε από κινα/ινδια/usa/uae που έβλεπα καθημερινά !!!! το log 3-4 μέρες τώρα έχει μόνο τα ntp sync/logon/logoff. Τωρα που το γράφω θα τσεκάρω μηπως έχουν ενεργοποιήσει το "firewall" από οτενετ (my.otenet.gr, -> WEB SELF CARE -> Επιθυμία αυξημένης προστασίας από κακόβουλες "επιθέσεις").

[aggelopas]

το opendns που χρησιμευει?

[trendy]

nslookup :

C:\Users\Administrator>nslookup www.otenet.gr
Server:  resolver1.opendns.com
Address:  208.67.222.222

Non-authoritative answer:
Name:    otenet.gr
Address:  62.103.128.215
Aliases:  www.otenet.gr

Και πως αλλιώς να ήταν δηλαδή αφού ολα τα pc (kai ta VMs)/NAS/DM800 είναι έτσι (με καρφωτές IPs, τίποτα σε dhcp) ?

Επίσης το wireles access point (tpling 801nd) έχει και αυτό καρφωμένους το IP kai τους dns του opendns (dhcp disabled), network isolation, WPA2 μόνο με pass (40+ chars) κάτι σαν t1kane1smpaba?k4l@e!sai και ανάβει μόνο όταν θέλω να δώ κάτι από το κινητό.

Μα αυτά τα έχω γράψει και παραπάνω αν τα είχες διαβάσει δεν θα με ρώταγες.

Μέχρι να δώ τι θα γίνει έβαλα στο NAS (24χ7) to IP του modem router σε blacklist, μην γίνει και τίποτα και με τρέχουν τσάμπα.

Πάντως από τότε που πήρα τηλέφωνο και παραπονέθηκα στο 13888 δεν έχω δεί port scan/dos ούτε από κινα/ινδια/usa/uae που έβλεπα καθημερινά !!!! το log 3-4 μέρες τώρα έχει μόνο τα ntp sync/logon/logoff. Τωρα που το γράφω θα τσεκάρω μηπως έχουν ενεργοποιήσει το "firewall" από οτενετ (my.otenet.gr, -> WEB SELF CARE -> Επιθυμία αυξημένης προστασίας από κακόβουλες "επιθέσεις").

Εντάξει δεν κάθισα να ξαναδιαβάσω 20 ποστς πίσω τι setup έχεις ούτε θυμάμαι τι έγραψες 3 μέρες πριν. Υπήρχε περίπτωση ένας αποκωδικοποιητής για otetv να έχει hardcoded ρυθμίσεις και να μην παίρνει τις ρυθμίσεις σου.

Πέραν αυτού ένας dns server δε σου απαντάει αν δεν τον ρωτήσεις κάτι. Θα μπορούσες να κάνεις ένα packet capture με wireshark και να δεις πού πάνε όλα αυτά τα πακέτα που σου έρχονται.

το opendns που χρησιμευει?

Εναλλακτικός DNS server αν δεν είσαι ικανοποιημένος από του provider σου ή για να κάνεις customιές, όπως γονική προστασία.

[TifoziF1]

Εντάξει δεν κάθισα να ξαναδιαβάσω 20 ποστς πίσω τι setup έχεις ούτε θυμάμαι τι έγραψες 3 μέρες πριν. Υπήρχε περίπτωση ένας αποκωδικοποιητής για otetv να έχει hardcoded ρυθμίσεις και να μην παίρνει τις ρυθμίσεις σου.

Πέραν αυτού ένας dns server δε σου απαντάει αν δεν τον ρωτήσεις κάτι. Θα μπορούσες να κάνεις ένα packet capture με wireshark και να δεις πού πάνε όλα αυτά τα πακέτα που σου έρχονται.

Συγνώμη, ειλικρινά, δεν ήθελα να σου κάνω επίθεση, και φαίνεται επιθετικό το παραπάνω post μου χωρίς να έχω πρόθεση, να βοηθήσεις θες !!

Αυτό θα κάνω αλλά από τότε που έκανα τα 2 τηλέφωνα στο 13888 και το email noc-at-otenet.gr άκρα του τάφου σιωπή στα logs του router !!!

Κάποιο σχόλιο για αυτό ?

[trendy]

Μερικές υποθέσεις μπορώ να σκεφτώ σου κάνανε επίθεση με spoofed IP address, δηλαδή χρησιμοποιούσαν ως source IP αυτή του otenet DNS. Αλλά αν δεν έχεις τα πακέτα δεν μπορούμε να το ξέρουμε. Κανονικά αν έχουν σωστή ρύθμιση στους δρομολογητές της otenet δεν πρέπει να επιτρέπεται είσοδος κίνησης από το internet με source IP που ανήκει στην otenet. Αλλά δεν ξέρω αν το έχουν ρυθμίσει αυτό. Το port scan είναι συνηθισμένο και μπορεί να το κάνει ο οποιοσδήποτε. Το μόνο που μπορείς να κάνεις είναι να βάζεις σε μαύρη λίστα τα υποδίκτυα που το κάνουν αν δεν έχεις ανταπόκριση από τον provider τους (όχι εσύ, αλλά η otenet πρέπει να το κάνει). Εφόσον σταμάτησαν όλα αυτά όπως λες μάλλον σου ενεργοποιήσαν το firewall, το οποίο όμως ενδεχομένως να σου κόβει τα εισερχόμενα, οπότε να μην μπορείς να σηκώσεις http server, να τρέχεις active torrent κλπ.

[TifoziF1]

Όχι το firewall δεν το πείραξαν καθόλου, μια χαρά είδα πόρτες 80,21,443,8080 αλλά και μερικές που δοκίμασα πάνω από 10000 (32769, 51111).

Και μιλάμε για μεγάλη ησυχία, 4-5 μέρες το ιδιο ip

Fri, 2012-04-13 15:35:56 - Router start up
Fri, 2012-04-13 22:08:38 - Administrator login successful - IP:10.0.χ.χ
Fri, 2012-04-13 23:50:58 - Administrator login successful -  IP:10.0.χ.χ
Sat, 2012-04-14 09:39:07 - Administrator login successful -  IP:10.0.χ.χ
Mon, 2012-04-16 12:36:55 - Send out NTP request to time.χχχχχ.χχχχ
Mon, 2012-04-16 12:36:56 - Receive NTP Reply from time.χχχχχχ.χχχχ
Mon, 2012-04-16 17:42:12 - Administrator login successful -  IP:10.0.χ.χ

είτε σύμπτωση είτε και ο άγιος φοβέρα θέλει

[grathk]

Για δώσε τις ip που στην πέσανε να δουμε αν εχουν μπει σε κανα blacklist.

Το πιο πιθανό παντως είναι το netblock σου να έφαγε portscan απο κανα botnet,εχουν φρίξει τον τελευταίο καιρό και σφάζονται το hackforums με το opensc και διαφορα άλλα Pakiς...παίζει να σε πήραν παραμάζωμα..

Κλείσε upnp και dmz hosting και δεν θα εχεις θέματα.

[TifoziF1]

upnp & dmz δεν υφίστανται ουτε καν σαν έννοιες στο δικό μου δύκτιο

Kοίτα τις IP στο post #10

[grathk]

Hmm σαν cache poisoning φαίνεται.Σε πετάει απο τον εναν nameserver στον άλλο,παίζει να πρεπει να βάλουν κανα patch στο Bind στον OTE...