22 Listopada 2024 22:13:47
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· [S] Asus RT-AC56U
· DIR868l OFW asus vs ...
· Szukam zaproszenia n...
· [MOD] FreshTomato-AR...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
· RT AC66U B1
· Wireguard na FreshTo...
Najpopularniejsze obecnie wątki
· Szukam zaproszeni... [19]
· DIR868l OFW asus ... [8]
· [S] Asus RT-AC56U [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.17.76.174
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
possible DNS-rebind attack
boomcak

daemon.warn dnsmasq[12704]: possible DNS-rebind attack detected: internal.smyk.com

Od jakiegoś czasu pojawia mi sie taka pozycja w logach parę razy dziennie.

Wiecie co to moze byc ??

P.S. firmware mam jak w opisie.
Asus RT-N18U Asuswrt-Merlin 384.18 Smile
 
shibby

Cytat

Alarm pojawi się np. w sytuacji gdy na publicznym serwerze DNS umieścimy rekordy rozwiązujące nazwy dla adresów IP należące do naszej sieci lokalnej.


dodawales jakies wpisy do dnsmasq?
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
 
boomcak
Własnie nic. skasowany mialem nawet skrypt do blokowania reklam i bylo tak samo.

Połączony z 20 czerwiec 2012 16:02:22:

Jun 19 21:42:16 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org
Jun 20 08:57:27 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:46:50 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:58:32 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org

Nie wiem co to sie porobilo.... W dodatku widze ze jak sie ten wpis pojawia to wywala mi kadu.
Edytowany przez boomcak dnia 20-06-2012 16:02
Asus RT-N18U Asuswrt-Merlin 384.18 Smile
 
jack78
Dołożę swoje 2 grosze.
Wczoraj również miałem podobne wpisy w logach, a pochodziły z Bahamów


Nov  1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers.com
Nov  1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers254.com


Mikrotik hAP ac2
UniFi AP AC v2
-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology
 
amikot
Czy pojawianie się tych ostrzeżeń jest normalne?
Adresy widoczne poniżej nie mają dostępu to routera bo są filtrowane na poziomie IPtables. Używam DDNSa - czy to dlatego?


Jan  4 23:44:20 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net
Jan  4 23:44:49 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan  4 23:44:54 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan  4 23:49:30 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net     

ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
 
qwerty321
To się dzieje u ciebie w sieci wewnątrz. Np przeglądarka usiłuje przebić się bokiem przez DNS i połączyć z tymi adresami. Zawirusowany komputer, okienko reklamowe, syf w czyimś telefonie.
Często grzebię ludziom w komputerach i ogarnia mnie coraz większa rozpacz. Ludzie już nie panują nad komputerem ani nad telefonem. W kompie potrafią być 2 lub trzy antywirusy, za które właściciel płaci co roku ileś tam setek PLN.
W przeglądarkach po 10 nakładek pomagających wyszukiwać przez yahoo czy amazona i kilka kolejnych. Programy w tle, dziesiątki paskudztwa. To już koniec moim zdaniem.
Później takie komputery same próbują wyczyniać rzeczy, o których się nie śniło.
Edytowany przez qwerty321 dnia 11-01-2020 23:57
 
tegie
Ja mam tego typu wpisy jak tylko podłączają się do sieci telefony Xiaomi.
online: asus n16 -> FreshTomato 2019.3 by perdo
online: netgear r6220 -> Gargoyle 1.12.0.2 by obsy
 
pedro
iphone z kolei generuje ataki z amazonaws.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
 
Ampersand
Też to (amazonaws) u siebie widziałem a nie mam iphona. Generowane z peceta syna. Muszę się temu przyjrzeć skąd dokładnie to wychodzi.
Netgear R7000: FreshTomato 2023.4 AIO-64K
Linksys E4200: FreshTomato 2023.2 MIPSR2 K26 USB Mega-VPN
Linksys E2000: FreshTomato 2023.2-Max
Asus TUF AX3000v2: ...
 
amikot
Nie wiem co to jest w moim wypadku i z czym się łączy, ale whois tych adresów pokazuje takie coś:


Source: whois.arin.net
IP Address: 169.254.10.10
Name: LINKLOCAL-RFC3927-IANA-RESERVED
Handle: NET-169-254-0-0-1
Registration Date: 27/01/98
Range: 169.254.0.0-169.254.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States
oraz

Source: whois.arin.net
IP Address: 192.168.33.33
Name: PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED
Handle: NET-192-168-0-0-1
Registration Date: 15/03/94
Range: 192.168.0.0-192.168.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States


Ten drugi jest ciekawy, bo ma adres IP z puli domyślnie przypisanej do LANu w większości urządzeń sieciowych.
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
 
qwerty321
Uporządkuj programy i wtyczki w przeglądarkach w urządzeniach w sieci lokalnej. Masz atak od wewnątrz sieci. Ktoś coś ściągnął co próbuje dobrać się do komputerów od środka sieci lan.
Za chwilę ukradną ci kasę z konta i będziesz miał pretensje do wszystkich tylko nie do siebie. Zrebindują ci dns i podstawią stronę banku, na której się sam zalogujesz, a oni wyczyszczą ci konto.
 
amikot
Uporządkuj łatwo powiedzieć. Ja mam w sieci ok 20 urządzeń a log nie wskazuje które z nich jest odpowiedzialne. Przydałby się jakiś dokładniejszy log, ale tomato nie ma opcji verbose czy coś.
Czy ktoś ma jakiś pomysł, jak wyciągnąć informacje na temat tego który adres wewnętrzny tu bruździ?

Połączony z 19 stycznia 2020 16:20:38:
Co do samych ataków, to google podaje dość prostą definicję "DNS-rebining attack" - Atakujący rejestruje domenę na swoim serwerze DNS tak aby wskazywała na adres IP z sieci wewnętrznej. Ofiara wchodząc na zainfekowaną stronę uruchamia skrypt, który łączy się z tą samą domeną co strona, ale przy użyciu podstawionego serwera DNS - czyli w efekcie wskazanie pada na inny adres IP - na adres z sieci lokalnej ofiary. Tym sposobem skrypt dostaje dostęp do sieci lokalnej ofiary.
Teoretycznie więc, wykrywanie ataków powinno polegać na odnajdywaniu tylko takich podstawionych adresów.
Okazuje się jednak, że polega na czymś innym. Na forach OpenWRT znalazłem informację, że dnsmasq z włączoną ochroną "anty-DNS Rebind" blokuje po prostu wszystkie zapytania DNS zwracające adresy IP sieci wewnętrznej.
Jeśli więc jakaś strona, serwis ma pecha i posiada adres IP z puli adresów lokalnych to zostanie zablokowany.
Znalazłem też informację, że niektóre trackery torrentów są właśnie ulokowane w tej przestrzeni adesowej i powodują fałszywie pozytywne informacje o ataku.

Najprawdopodobniej więc, wirusa ani trojana w ogóle nie ma, ale i tak chciałbym wiedzieć z którego urządzenia te adresy są wywoływane - czy to torrent na routerze? Telefon? Czy może firestick? A może dzieci łażą po jakich dziwnych stronach? - To zdecydowanie warto wiedzieć.
Edytowany przez amikot dnia 19-01-2020 16:20
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
 
pedro
To poproś dewelopera dnsmasq, żeby w logach dodawał taką informację (skąd w sieci wew. taki atak pochodzi).
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
 
amikot
Znalazłem. Można logować z poziomu Tomato - wystarczy dodać w Advanced->DHCP/DNS w polu Dnsmasq Custom configuration parametr:

log-queries


syslog zostanie wzbogacony o wszystkie potrzebne informacje.
Trzeba sobie tylko zwiększyć rozmiar pliku logu (ja ustawiłem 5mb), bo inaczej do co parę minut będzie nowy plik i szukanie winnego może być bardzo niewygodne.

W moim wypadku winny okazał się mój własny telefon - zdrajca.
Problem w tym, że problemu nie wykrywa ani żaden komórkowy antyvirus, ani antyspy, ani nic w tym stylu. No i utknąłem.
Chciałbym wyśledzić który program jest winny. Nie bardzo uśmiecha mi się zerowanie pamięci telefonu (i karty).

Połączony z 20 stycznia 2020 16:18:52:
No i teraz najlepsze:
W końcu zrobiłem reset telefonu i po resecie dalej są wpisy o DNS-rebind w logu.
Telefon nie był rootowany, ani nie dawałem go nigdy do serwisu. Czyżby wina tkwiła w samym firmware?
Edytowany przez amikot dnia 20-01-2020 16:18
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
 
Ampersand
Może to jest związane z brandem telefonu jeśli masz takowy od provider-a. Jeśli tak to jaka to sieć?
Netgear R7000: FreshTomato 2023.4 AIO-64K
Linksys E4200: FreshTomato 2023.2 MIPSR2 K26 USB Mega-VPN
Linksys E2000: FreshTomato 2023.2-Max
Asus TUF AX3000v2: ...
 
qwerty321
Zrób roota i wywal niepotrzebne procesy chodzące w tle. Nie ma powodu żeby czegoś nie dało się odinstalować z własnego sprzętu.
Jak będziesz miał roota to będzie mógł pozamrażać albo odinstalować systemowe appki wątpliwej jakości. Cały ten bloatware usuniesz.
 
amikot
To był Alcatelowy launcher - to są ich serwery i zapewne to fałszywy pozytyw, aczkolwiek ... ja i tak używam NovaLaunchera więc wyłączyłem tego wbudowanego za pomocą adb i powinno śmigać.
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
 
qwerty321
To nie false positive ale ich modus operandi. To są gnoje korporacyjne. Ja zawsze wszystko czyszczę mając roota albo używam LineageOS-a.
 
amikot
Poza launcherem wyłączyłem jeszcze kilka innych, ale co do gnoi korporacyjnych, to niestety nie ma zbyt wielkiego wyboru. Wszyscy producenci telefonów tacy sami.

Jesteśmy na nich skazani do czasu aż ktoś w końcu zrobi telefon bazujący na jakimś raspberry pi. Wtedy będzie można zainstalować jakiś Android OSP bez uciekania się do wątpliwego bezpieczeństwa bootloaderów z rosji i bez używania sprzętu który może mieć i zapewne ma jakiś hackerski logger w warstwie sprzętowej - niewidoczny z poziomu systemu.

Technicznie to Raspberremu brakuje jedynie baterii i modułu SIM, aby zrobić z niego telefon. Osobiście wolałbym chodzić z takim cegłowatym raspberrym niż z czymkolwiek innym. A najlepiej by było, żeby apkę do telefonu ktoś po prostu zrobił na linuxa - tak żeby można było dzwonić z poziomu raspbiana.

Znów się rozmarzyłem Sad
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
 
tamtosiamto

Cytat

amikot napisał(a):


Znów się rozmarzyłem Sad


od marzen do rzeczywistosci krotka droga, skoro ty na to wpadles, niewykluczone ze inny juz nad tym pracuje Smile
nic nie mam
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 104

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

95,299,856 unikalnych wizyt