Уже давно замечены периодические косячки в работе днс от марка.
Конкретных примеров приводить не буду, скажу лишь, что ситуация начала некоторым образом раздражать.
Гадать что, как и почему тоже не буду, хотя различные предположения имеются.
После замены днс серверов на публичные, можно радоваться.
Сервера от яндекса при этом быстрее провайдерских отвечают. (77.88.8.8 и 77.88.8.1).
Или гугль (8.8.8.8 и 8.8.4.4).
Да не в этом дело. Меня обвинили в том что я создал проблему в работе их dns серверов. Странность в том что dns резолвер у меня был не доступен извне.
по ходу очередной зомби роутер
Вчера друг звонил, их компанию также отключили с такой же формулировкой.
цитата:
Изначально написано Tips:
по ходу очередной зомби роутер
Роутер я проверю сегодня когда с учебы вернусь. Бесит то что интернет как отрубили так и не включили, мол нужно приехать в офис только тогда включат. Приехать зачем? Чтобы повиниться в содеянном и поцеловать в зад админа который героически поднимал серваки после моей сметающей все на своем пути атаки?
Как пример - на работе у меня интернет от лайнер телеком, вот там был косяк - я забыл на микротике прикрыть 53 порт в результате боты очень быстро его обнаружили. Молодой человек из саппорта мне тут же позвонил и вежливо попросил разобраться с тем что происходит. Прошу заметить - не сделал вид что позвонил. И никаких отключений. Из марка звонка не было. Тупо отрубили клиента - мол сам позвонит. Конечно физик и юрик это разные вещи но тем не менее это вполне характеризует компанию. Я доволен что в свое время для подключения офиса к инету выбрал не Марк-итт. Это был бы очень глупый шаг, как теперь понимаю.
цитата:
я забыл на микротике прикрыть 53 порт
53 это еще пол беды, точно так же наружу он светит 21,22,80,443 портами, короче теми же что открыты в локалку, а всего то хваленые инженеры забыли прописать добавление правила в фаерволл при установке через квик конфиг, и обыватель даже не проверяет что там в фаерволе.
вот в стоке если микротик по dhcp получает инет, до оно там есть...
цитата:
Originally posted by Tips:
а всего то хваленые инженеры забыли прописать добавление правила в фаерволл при установке через квик конфиг
Для обычного обывателя микротик не нужен, а тот для кого нужен, не будет использовать дефолтные настройки фаервола.
не буду показывать на конкретные организации пальцем, но если интересно могу дать пруф что такие есть, от такие чудные админо там трудяться
Кто хочет админа за три копейки - тот его и получит.
У меня роутор дом.ру каждый день обновлял антивирусник в 6.00. Договор на юр.лицо, деньги за трафик плачу. Офис под сигналкой, мне втирают, что я с него захожу в сеть. Отдал роутор в офис, с утра снова трафик жрет. В роуторе антивирусник отключен. Тех. поддержка пояснила, что обновляют антивирусник на своем оборудование, за мой счет?? По претензии сделали перерасчет, 100 руб, мелочь но не приятно. А так они трафик у всех юр. лиц жрут, обновляя свои антивирусники.
проблема вполне реальная... конечно, была ошибка и с нашей стороны, но давайте расскажу по сути:
- причина дешевый китайский роутер с дырявым на смерть Linux'ом... насколько, что не просто он становится частью ботнет для DDoS атак DNS, но и позволяет устанавливать новые приложения на Ваш роутер дистанционно и без каких-либо уведомлений... конечно, единственный разумный вариант - срочно отключить всё равно мёртвый девайс...
- конечно, мы исправим алгоритм уведомлений и попытаемся вылавливать и блокировать такие беды в превентивно порядке, но всё равно лучший способ помочь - это именно ОТКЛЮЧИТЬ!!!
господа, пожалуйста, поймите, что роутер - это тот же самый сервер под управлением Linux и его производных со всеми вытекающими потенциальными опасностями, таких как использование их для генерации любого трафика и перехвата любого трафика!!! и есть большая беда, что в настройке роутера НИКАКОЙ СИСАДМИН НЕ ПОМОЖЕТ, если производитель плевал на безопасность!!! Не так давно был аларм по роутером довольно известного производителя (Belkin), что уж говорить о куче китайского барахла под неведомыми брендами... его реально много!!! и оно реально опасно!!!
продолжу мысль про Linux, если кто не догадался... на роутер с кривым софтом злоумышленник может легко установить любое своё приложение (он же получает права администратора!), которое будет делать всё что угодно!!! чаще всего это роботы бот-петов на сегодняшний день... понятно, что ставят их не руками, а программами, которые сначала ищут по сети "дырки", а потом просто заливают туда нужный софт... это реально не так уж и сложно и делается МАССОВО!!! именно это называется "ботнетом", то есть сетью управляемых роботов, которые работают совершенно без ведома владельца...
так что, и сисадмин не поможет и роботам плевать на тех, кто в офисе или квартире... они их НИКОГДА не спрашивают что им можно делать, а что нет...
антивирусники тоже не всегда спасают, а зачастую дают ложную уверенность в безопасности... суть очень проста - антивирусная база обновляется только после того, как люди зафиксировали аномальную активность (ловушек полно, но не стоит думать, что хакеры тупые и спешат в них) и разработали рецепт борьбы ней... даже если это произошло за сутки (на практике часто и годы бывают!!! ), то реальный клиент обновится не сразу... а любой зловредный код в первую очередь блокирует обновление антивирусов, конечно!!! так что по сути это просто гонка в которой шансов у антивирусов на практике очень мало... то есть, если вирус успел раньше, то никакой антивирус уже не помогает...
особенно в случае с DNS ибо там ключевой момент именно перенаправление ВСЕХ DNS запросов на "левый" DNS, который всё отправляет на proxy для генерации мошеннического трафика и перехвата персональных данных... когд интернет был медленным это было очень заметно, сейчас это замечают только специалисты, кто проверяет именно этот вопрос...
по сути вопроса - за сегодня с этой проблемой выявлено и заблокировано было всего 4 (или 3, не помню) клиента, с одним из них работает наш специалист очень плотно, что бы выявить все нюансы поведения трояна...
так же хочется напомнить, что наша компания была первой в обнаружении как минимум 2-х крупных вирусных эпидемий в мире именно за счёт того, что мы выявляем такой трафик и работаем с клиентами, готовыми к сотрудничеству... то есть мы сообщали о вирусах первыми массе разработчиков антивирусов и получали благодарности от них за оперативность... тут случай, конечно, иной... тут мы не знали, что клиенты ставят такие экзотические роутеры...
2ae - крепите днс, чтоб не падал с пары бот-роутеров.
не совсем так... упал он не от пары, конечно... да и не упал, а один из "стада" начал тупить, что вызвало проблемы у некоторых клиентов (через раз сайты открывались, картинки битые показывались и т.п.)...
цитата:
Изначально написано ae:
причина дешевый китайский роутер с дырявым на смерть Linux'ом...
Александр, не могли бы вы пояснить, что за марку роутера вы имели ввиду?
Если мне не изменяет память, то ваша компания сама предлагала "в нагрузку" своим клиентам роутеры тира dir-300, куда уж дешевле то?
Кстати пару-тройку лет назад такая же история случилась и со мной, инет был отключен с обвинением в ддос-атаках, пришлось идти с паспортом в офис, после этого все прекрасно работает, но самое смешное то, что я ничего не делал ни с оборудованием ни с ПО. Само направилось? Вирусов никаких естественно не было.
вчера при изучении проблемы у самых активных клиентов бомбящих ДНС выяснилось, что у двух из них стоит угробище под названием UPVEL UR-309BN. роутер, не смотря на то, что в его настройках "запрещен" удаленный доступ к управлению, все равно его предоставляет. пароль дефолтный админ-админ. Включена галка днс-прокси - ее отключение частично исправило проблему, но все равно остался срач на 23 порт по куче адресов. походил по этим адресам - локализация по всему миру, стоят роутеры, шлюзы и прочее железо. на некоторые даже удалось заломиться под дефолтными паролями - крындец!!! сходил к этому абоненту, посмотрел - на компе визуально ни чего нет - нет поднятых сессий по 23 порту. отсюда вывод - либо это сам роутер так себя ведет (сеансово, а не постоянно, в момент разборок 23 порт не активничал), либо это мбр-вирус, который запущен "до загрузки" системы и система его не видит.
не берите UPVEL - дешевейшее китайское Г.
зы. третий клиент пока не отвечает на звонки - у него доступа удаленного не поднято, но активность точно такая же 53 и 23 порты.
зызы. среди тех с кем я разбираюсь нет ТСа
цитата:
Tips
спасибо, очень похоже на то
интересно, что же с ним делать и поможет ли аппаратный сброс?
кстати, пытался я обновить прошивку на апвеле на последнюю с их сайта - фиг вам. роутер зависал намертво, а после перезагрузки показывал, что все осталось по прежнему
мб по telnet-у выйдет, предварительно раздраконив роутер скрепкой до фэйла загрузки