|
possible DNS-rebind attack
|
| boomcak |
Dodano 19-06-2012 09:22
|
Power User
Posty: 333
Dołączył: 19/06/2009 13:25
|
daemon.warn dnsmasq[12704]: possible DNS-rebind attack detected: internal.smyk.com
Od jakiegoś czasu pojawia mi sie taka pozycja w logach parę razy dziennie.
Wiecie co to moze byc ??
P.S. firmware mam jak w opisie.
Asus RT-N18U Asuswrt-Merlin 384.18  |
| |
|
|
| shibby |
Dodano 19-06-2012 09:25
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
Cytat Alarm pojawi się np. w sytuacji gdy na publicznym serwerze DNS umieścimy rekordy rozwiązujące nazwy dla adresów IP należące do naszej sieci lokalnej.
dodawales jakies wpisy do dnsmasq?
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| boomcak |
Dodano 19-06-2012 11:17
|
Power User
Posty: 333
Dołączył: 19/06/2009 13:25
|
Własnie nic. skasowany mialem nawet skrypt do blokowania reklam i bylo tak samo.
Połączony z 20 czerwiec 2012 16:02:22:
Jun 19 21:42:16 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org
Jun 20 08:57:27 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:46:50 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:58:32 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org
Nie wiem co to sie porobilo.... W dodatku widze ze jak sie ten wpis pojawia to wywala mi kadu.
Edytowany przez boomcak dnia 20-06-2012 16:02
Asus RT-N18U Asuswrt-Merlin 384.18 |
| |
|
|
| jack78 |
Dodano 02-11-2016 22:57
|
OL Maniac
Posty: 1365
Dołączył: 22/04/2007 22:28
|
Dołożę swoje 2 grosze.
Wczoraj również miałem podobne wpisy w logach, a pochodziły z Bahamów
Nov 1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers.com
Nov 1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers254.com
Mikrotik hAP ac2
UniFi AP AC v2-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology
|
| |
|
|
| amikot |
Dodano 05-01-2020 01:04
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Czy pojawianie się tych ostrzeżeń jest normalne?
Adresy widoczne poniżej nie mają dostępu to routera bo są filtrowane na poziomie IPtables. Używam DDNSa - czy to dlatego?
Jan 4 23:44:20 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net
Jan 4 23:44:49 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan 4 23:44:54 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan 4 23:49:30 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| qwerty321 |
Dodano 11-01-2020 23:52
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
To się dzieje u ciebie w sieci wewnątrz. Np przeglądarka usiłuje przebić się bokiem przez DNS i połączyć z tymi adresami. Zawirusowany komputer, okienko reklamowe, syf w czyimś telefonie.
Często grzebię ludziom w komputerach i ogarnia mnie coraz większa rozpacz. Ludzie już nie panują nad komputerem ani nad telefonem. W kompie potrafią być 2 lub trzy antywirusy, za które właściciel płaci co roku ileś tam setek PLN.
W przeglądarkach po 10 nakładek pomagających wyszukiwać przez yahoo czy amazona i kilka kolejnych. Programy w tle, dziesiątki paskudztwa. To już koniec moim zdaniem.
Później takie komputery same próbują wyczyniać rzeczy, o których się nie śniło.
Edytowany przez qwerty321 dnia 11-01-2020 23:57
|
| |
|
|
| tegie |
Dodano 13-01-2020 07:39
|
User
Posty: 94
Dołączył: 19/06/2013 10:25
|
Ja mam tego typu wpisy jak tylko podłączają się do sieci telefony Xiaomi.
online: asus n16 -> FreshTomato 2019.3 by perdo
online: netgear r6220 -> Gargoyle 1.12.0.2 by obsy
|
| |
|
|
| pedro |
Dodano 13-01-2020 11:17
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
iphone z kolei generuje ataki z amazonaws.
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| Ampersand |
Dodano 13-01-2020 12:06
|
User
Posty: 191
Dołączył: 08/05/2013 13:21
|
Też to (amazonaws) u siebie widziałem a nie mam iphona. Generowane z peceta syna. Muszę się temu przyjrzeć skąd dokładnie to wychodzi.
Netgear R7000: FreshTomato 2023.4 AIO-64K
Linksys E4200: FreshTomato 2023.2 MIPSR2 K26 USB Mega-VPN
Linksys E2000: FreshTomato 2023.2-Max
Asus TUF AX3000v2: ...
|
| |
|
|
| amikot |
Dodano 15-01-2020 14:29
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Nie wiem co to jest w moim wypadku i z czym się łączy, ale whois tych adresów pokazuje takie coś:
Source: whois.arin.net
IP Address: 169.254.10.10
Name: LINKLOCAL-RFC3927-IANA-RESERVED
Handle: NET-169-254-0-0-1
Registration Date: 27/01/98
Range: 169.254.0.0-169.254.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States
Source: whois.arin.net
IP Address: 192.168.33.33
Name: PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED
Handle: NET-192-168-0-0-1
Registration Date: 15/03/94
Range: 192.168.0.0-192.168.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States
Ten drugi jest ciekawy, bo ma adres IP z puli domyślnie przypisanej do LANu w większości urządzeń sieciowych.
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| qwerty321 |
Dodano 15-01-2020 17:54
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Uporządkuj programy i wtyczki w przeglądarkach w urządzeniach w sieci lokalnej. Masz atak od wewnątrz sieci. Ktoś coś ściągnął co próbuje dobrać się do komputerów od środka sieci lan.
Za chwilę ukradną ci kasę z konta i będziesz miał pretensje do wszystkich tylko nie do siebie. Zrebindują ci dns i podstawią stronę banku, na której się sam zalogujesz, a oni wyczyszczą ci konto. |
| |
|
|
| amikot |
Dodano 19-01-2020 15:14
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Uporządkuj łatwo powiedzieć. Ja mam w sieci ok 20 urządzeń a log nie wskazuje które z nich jest odpowiedzialne. Przydałby się jakiś dokładniejszy log, ale tomato nie ma opcji verbose czy coś.
Czy ktoś ma jakiś pomysł, jak wyciągnąć informacje na temat tego który adres wewnętrzny tu bruździ?
Połączony z 19 stycznia 2020 16:20:38:
Co do samych ataków, to google podaje dość prostą definicję "DNS-rebining attack" - Atakujący rejestruje domenę na swoim serwerze DNS tak aby wskazywała na adres IP z sieci wewnętrznej. Ofiara wchodząc na zainfekowaną stronę uruchamia skrypt, który łączy się z tą samą domeną co strona, ale przy użyciu podstawionego serwera DNS - czyli w efekcie wskazanie pada na inny adres IP - na adres z sieci lokalnej ofiary. Tym sposobem skrypt dostaje dostęp do sieci lokalnej ofiary.
Teoretycznie więc, wykrywanie ataków powinno polegać na odnajdywaniu tylko takich podstawionych adresów.
Okazuje się jednak, że polega na czymś innym. Na forach OpenWRT znalazłem informację, że dnsmasq z włączoną ochroną "anty-DNS Rebind" blokuje po prostu wszystkie zapytania DNS zwracające adresy IP sieci wewnętrznej.
Jeśli więc jakaś strona, serwis ma pecha i posiada adres IP z puli adresów lokalnych to zostanie zablokowany.
Znalazłem też informację, że niektóre trackery torrentów są właśnie ulokowane w tej przestrzeni adesowej i powodują fałszywie pozytywne informacje o ataku.
Najprawdopodobniej więc, wirusa ani trojana w ogóle nie ma, ale i tak chciałbym wiedzieć z którego urządzenia te adresy są wywoływane - czy to torrent na routerze? Telefon? Czy może firestick? A może dzieci łażą po jakich dziwnych stronach? - To zdecydowanie warto wiedzieć.
Edytowany przez amikot dnia 19-01-2020 16:20
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| pedro |
Dodano 19-01-2020 18:12
|
Moderator
Posty: 1001
Dołączył: 21/09/2015 15:03
|
To poproś dewelopera dnsmasq, żeby w logach dodawał taką informację (skąd w sieci wew. taki atak pochodzi).
Netowski 1Gb/1Gb
Huawei E3372s-153 non-hilink + 2x15dBi MIMO
FreshTomato: Asus RT-AC3200 + RT-N18U + RT-N66U + RT-N12
|
| |
|
|
| amikot |
Dodano 20-01-2020 03:07
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Znalazłem. Można logować z poziomu Tomato - wystarczy dodać w Advanced->DHCP/DNS w polu Dnsmasq Custom configuration parametr:
syslog zostanie wzbogacony o wszystkie potrzebne informacje.
Trzeba sobie tylko zwiększyć rozmiar pliku logu (ja ustawiłem 5mb), bo inaczej do co parę minut będzie nowy plik i szukanie winnego może być bardzo niewygodne.
W moim wypadku winny okazał się mój własny telefon - zdrajca.
Problem w tym, że problemu nie wykrywa ani żaden komórkowy antyvirus, ani antyspy, ani nic w tym stylu. No i utknąłem.
Chciałbym wyśledzić który program jest winny. Nie bardzo uśmiecha mi się zerowanie pamięci telefonu (i karty).
Połączony z 20 stycznia 2020 16:18:52:
No i teraz najlepsze:
W końcu zrobiłem reset telefonu i po resecie dalej są wpisy o DNS-rebind w logu.
Telefon nie był rootowany, ani nie dawałem go nigdy do serwisu. Czyżby wina tkwiła w samym firmware?
Edytowany przez amikot dnia 20-01-2020 16:18
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| Ampersand |
Dodano 20-01-2020 18:03
|
User
Posty: 191
Dołączył: 08/05/2013 13:21
|
Może to jest związane z brandem telefonu jeśli masz takowy od provider-a. Jeśli tak to jaka to sieć?
Netgear R7000: FreshTomato 2023.4 AIO-64K
Linksys E4200: FreshTomato 2023.2 MIPSR2 K26 USB Mega-VPN
Linksys E2000: FreshTomato 2023.2-Max
Asus TUF AX3000v2: ...
|
| |
|
|
| qwerty321 |
Dodano 20-01-2020 23:16
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
Zrób roota i wywal niepotrzebne procesy chodzące w tle. Nie ma powodu żeby czegoś nie dało się odinstalować z własnego sprzętu.
Jak będziesz miał roota to będzie mógł pozamrażać albo odinstalować systemowe appki wątpliwej jakości. Cały ten bloatware usuniesz. |
| |
|
|
| amikot |
Dodano 21-01-2020 06:19
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
To był Alcatelowy launcher - to są ich serwery i zapewne to fałszywy pozytyw, aczkolwiek ... ja i tak używam NovaLaunchera więc wyłączyłem tego wbudowanego za pomocą adb i powinno śmigać.
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| qwerty321 |
Dodano 21-01-2020 09:35
|
Super User
Posty: 571
Dołączył: 27/04/2014 18:11
|
To nie false positive ale ich modus operandi. To są gnoje korporacyjne. Ja zawsze wszystko czyszczę mając roota albo używam LineageOS-a. |
| |
|
|
| amikot |
Dodano 21-01-2020 11:31
|
Power User
Posty: 298
Dołączył: 14/12/2018 18:24
|
Poza launcherem wyłączyłem jeszcze kilka innych, ale co do gnoi korporacyjnych, to niestety nie ma zbyt wielkiego wyboru. Wszyscy producenci telefonów tacy sami.
Jesteśmy na nich skazani do czasu aż ktoś w końcu zrobi telefon bazujący na jakimś raspberry pi. Wtedy będzie można zainstalować jakiś Android OSP bez uciekania się do wątpliwego bezpieczeństwa bootloaderów z rosji i bez używania sprzętu który może mieć i zapewne ma jakiś hackerski logger w warstwie sprzętowej - niewidoczny z poziomu systemu.
Technicznie to Raspberremu brakuje jedynie baterii i modułu SIM, aby zrobić z niego telefon. Osobiście wolałbym chodzić z takim cegłowatym raspberrym niż z czymkolwiek innym. A najlepiej by było, żeby apkę do telefonu ktoś po prostu zrobił na linuxa - tak żeby można było dzwonić z poziomu raspbiana.
Znów się rozmarzyłem 
ZTE MF286D - Stock Firmware (Vodafone UK)
ASUS TUF-AX3000 V2 - AsusWRT/FreshTomato 3.0.0.4.2023_4-gb6923ed
Acer Aspire E1-571 - OMV 6
|
| |
|
|
| tamtosiamto |
Dodano 21-01-2020 16:35
|
Super User
Posty: 659
Dołączył: 06/02/2012 22:16
|
od marzen do rzeczywistosci krotka droga, skoro ty na to wpadles, niewykluczone ze inny juz nad tym pracuje
nic nie mam
|
| |
|
' target='_blank'>Link
