27 Lutego 2020 22:03:53
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· Multiroom N z wykorz...
· Asus RT-AC56U - zawi...
· [S] Netgear ProSafe ...
· Asus RT-AC56U - "mał...
· karta wifi AC laptop
· [MOD] FreshTomato-AR...
· Czy są jeszcze jakie...
· [S] Netgear WNR3500L
· [S] NETGEAR R6300
· [S] Asus RT-AC56U
· [S] Switch Unifi US1...
· Dylemat z NAS?
· Tomato jako router i...
· [FreshTomato] napisy...
· [S] Asus RT-AC56U
· [MOD] FreshTomato-MI...
· Netgear R6400 - tańs...
· [S] Asus RT-N18U
· Wiele publicznych IP...
· czy istnieje taki ne...
Najciekawsze tematy
· Multiroom N z wyk... [1043]
· Asus RT-AC56U - "... [408]
· RT-N18U - ARM z j... [300]
· Netgear R6400 - t... [133]
· [MOD] FreshTomato... [87]
· [MOD] FreshTomato... [39]
· Dylemat z NAS? [6]
· karta wifi AC laptop [5]
· Wiele publicznych... [5]
· [S] Asus RT-AC56U [3]
· [FreshTomato] nap... [3]
· czy istnieje taki... [3]
· Czy są jeszcze ja... [2]
· [S] Asus RT-AC56U [2]
· [S] Asus RT-AC56U... [1]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [136 głosów]

Broadcom ARM
Broadcom ARM
51% [182 głosów]

Atheros
Atheros
6% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [11 głosów]

Ogółem głosów: 360
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
34.204.183.113
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj temat
possible DNS-rebind attack
boomcak
Pobierz kod źródłowy  Kod źródłowy
daemon.warn dnsmasq[12704]: possible DNS-rebind attack detected: internal.smyk.com



Od jakiegoś czasu pojawia mi sie taka pozycja w logach parę razy dziennie.

Wiecie co to moze byc ??

P.S. firmware mam jak w opisie.
Asus RT-N18U Tomato-138 K26ARM USB VPN-64K Smile
 
shibby
Alarm pojawi się np. w sytuacji gdy na publicznym serwerze DNS umieścimy rekordy rozwiązujące nazwy dla adresów IP należące do naszej sieci lokalnej.


dodawales jakies wpisy do dnsmasq?
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN)
Wi-Fi: Ubiquiti UAP-AC-Pro
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
boomcak
Własnie nic. skasowany mialem nawet skrypt do blokowania reklam i bylo tak samo.

Połączony z 20 czerwiec 2012 16:02:22:
Pobierz kod źródłowy  Kod źródłowy
Jun 19 21:42:16 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org
Jun 20 08:57:27 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:46:50 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:58:32 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org



Nie wiem co to sie porobilo.... W dodatku widze ze jak sie ten wpis pojawia to wywala mi kadu.
Edytowane przez boomcak dnia 20-06-2012 16:02
Asus RT-N18U Tomato-138 K26ARM USB VPN-64K Smile
 
jack78
Dołożę swoje 2 grosze.
Wczoraj również miałem podobne wpisy w logach, a pochodziły z Bahamów
Pobierz kod źródłowy  Kod źródłowy

Nov  1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers.com
Nov  1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers254.com





Asus RT-AC56U
- Fresh.Tomato-ARM-2018.2.AIO
UniFi AP AC v2-OFW, UniFi AP PRO- OpenWRT,
Asus RT-N18U -Fresh.Tomato-ARM-2018.2.AIO
Asus RT-N10U- tomato-K26USB-1.28.RT-N5x-MIPSR2-132-VPN
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda F6 - AC1200 OFW
Nexx WT-3020F + LTE USB - OpenWRT
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology DSM 6.0
Troch? sprzętu sieciowego na sprzedaż - http://allegro.pl...id=1116990
 
amikot
Czy pojawianie się tych ostrzeżeń jest normalne?
Adresy widoczne poniżej nie mają dostępu to routera bo są filtrowane na poziomie IPtables. Używam DDNSa - czy to dlatego?

Pobierz kod źródłowy  Kod źródłowy
Jan  4 23:44:20 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net
Jan  4 23:44:49 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan  4 23:44:54 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan  4 23:49:30 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net     



Linksys EA6900 v1.1 - Fresh Tomato 2019.04 AIO
Netgear WNDR4500v1 - DD-WRT - do eksperymentów.
BT Home Hub 5 - OpenWRT 19.07 - do eksperymentów
 
qwerty321
To się dzieje u ciebie w sieci wewnątrz. Np przeglądarka usiłuje przebić się bokiem przez DNS i połączyć z tymi adresami. Zawirusowany komputer, okienko reklamowe, syf w czyimś telefonie.
Często grzebię ludziom w komputerach i ogarnia mnie coraz większa rozpacz. Ludzie już nie panują nad komputerem ani nad telefonem. W kompie potrafią być 2 lub trzy antywirusy, za które właściciel płaci co roku ileś tam setek PLN.
W przeglądarkach po 10 nakładek pomagających wyszukiwać przez yahoo czy amazona i kilka kolejnych. Programy w tle, dziesiątki paskudztwa. To już koniec moim zdaniem.
Później takie komputery same próbują wyczyniać rzeczy, o których się nie śniło.
Edytowane przez qwerty321 dnia 11-01-2020 23:57
 
tegie
Ja mam tego typu wpisy jak tylko podłączają się do sieci telefony Xiaomi.
online: asus n16 -> FreshTomato 2019.3 by perdo
online: netgear r6220 -> Gargoyle 1.12.0.1 by obsy
 
pedro
iphone z kolei generuje ataki z amazonaws.
Huawei E3372s-153 non-hilink + 2x15dBi MIMO

Asus RT-AC3200 + freshtomato-RT-AC3200-ARM-2020.x.xxx-beta-AIO-64K
Asus RT-N18U + freshtomato-RT-N18U-ARM-2020.x.xxx-beta-AIO-64K-NOSMP
Asus RT-N66U + freshtomato-RT-N66U_RT-AC6x-2020.x.xxx-beta-AIO-64K
Linksys WRT54G v3.1 + freshtomato-K26_RT-MIPSR1-2020.x.xxx-beta-Mini
[Repozytoria FreshTomato] ---- [Obrazy FreshTomato ARM i MIPS] ---- [Dotacje - zmotywuj do dalszej pracy nad FT]
 
Ampersand
Też to (amazonaws) u siebie widziałem a nie mam iphona. Generowane z peceta syna. Muszę się temu przyjrzeć skąd dokładnie to wychodzi.
Netgear R7000: FreshTomato 2020.1 K26ARM USB AIO-64K [TomatoAnon]
Linksys E4200: FreshTomato RT-N5x MIPSR2 2018.3.106 Beta Mega-VPN
Linksys E2000: FreshTomato 2020.1 MIPSR2 K26 Max
Asus RT-N16: FreshTomato K26USB RT-N5x-MIPSR2-2019.1-Mega-VPN
 
amikot
Nie wiem co to jest w moim wypadku i z czym się łączy, ale whois tych adresów pokazuje takie coś:

Pobierz kod źródłowy  Kod źródłowy
Source: whois.arin.net
IP Address: 169.254.10.10
Name: LINKLOCAL-RFC3927-IANA-RESERVED
Handle: NET-169-254-0-0-1
Registration Date: 27/01/98
Range: 169.254.0.0-169.254.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States


oraz
Pobierz kod źródłowy  Kod źródłowy
Source: whois.arin.net
IP Address: 192.168.33.33
Name: PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED
Handle: NET-192-168-0-0-1
Registration Date: 15/03/94
Range: 192.168.0.0-192.168.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States




Ten drugi jest ciekawy, bo ma adres IP z puli domyślnie przypisanej do LANu w większości urządzeń sieciowych.
Linksys EA6900 v1.1 - Fresh Tomato 2019.04 AIO
Netgear WNDR4500v1 - DD-WRT - do eksperymentów.
BT Home Hub 5 - OpenWRT 19.07 - do eksperymentów
 
qwerty321
Uporządkuj programy i wtyczki w przeglądarkach w urządzeniach w sieci lokalnej. Masz atak od wewnątrz sieci. Ktoś coś ściągnął co próbuje dobrać się do komputerów od środka sieci lan.
Za chwilę ukradną ci kasę z konta i będziesz miał pretensje do wszystkich tylko nie do siebie. Zrebindują ci dns i podstawią stronę banku, na której się sam zalogujesz, a oni wyczyszczą ci konto.
 
amikot
Uporządkuj łatwo powiedzieć. Ja mam w sieci ok 20 urządzeń a log nie wskazuje które z nich jest odpowiedzialne. Przydałby się jakiś dokładniejszy log, ale tomato nie ma opcji verbose czy coś.
Czy ktoś ma jakiś pomysł, jak wyciągnąć informacje na temat tego który adres wewnętrzny tu bruździ?

Połączony z 19 stycznia 2020 16:20:38:
Co do samych ataków, to google podaje dość prostą definicję "DNS-rebining attack" - Atakujący rejestruje domenę na swoim serwerze DNS tak aby wskazywała na adres IP z sieci wewnętrznej. Ofiara wchodząc na zainfekowaną stronę uruchamia skrypt, który łączy się z tą samą domeną co strona, ale przy użyciu podstawionego serwera DNS - czyli w efekcie wskazanie pada na inny adres IP - na adres z sieci lokalnej ofiary. Tym sposobem skrypt dostaje dostęp do sieci lokalnej ofiary.
Teoretycznie więc, wykrywanie ataków powinno polegać na odnajdywaniu tylko takich podstawionych adresów.
Okazuje się jednak, że polega na czymś innym. Na forach OpenWRT znalazłem informację, że dnsmasq z włączoną ochroną "anty-DNS Rebind" blokuje po prostu wszystkie zapytania DNS zwracające adresy IP sieci wewnętrznej.
Jeśli więc jakaś strona, serwis ma pecha i posiada adres IP z puli adresów lokalnych to zostanie zablokowany.
Znalazłem też informację, że niektóre trackery torrentów są właśnie ulokowane w tej przestrzeni adesowej i powodują fałszywie pozytywne informacje o ataku.

Najprawdopodobniej więc, wirusa ani trojana w ogóle nie ma, ale i tak chciałbym wiedzieć z którego urządzenia te adresy są wywoływane - czy to torrent na routerze? Telefon? Czy może firestick? A może dzieci łażą po jakich dziwnych stronach? - To zdecydowanie warto wiedzieć.
Edytowane przez amikot dnia 19-01-2020 16:20
Linksys EA6900 v1.1 - Fresh Tomato 2019.04 AIO
Netgear WNDR4500v1 - DD-WRT - do eksperymentów.
BT Home Hub 5 - OpenWRT 19.07 - do eksperymentów
 
pedro
To poproś dewelopera dnsmasq, żeby w logach dodawał taką informację (skąd w sieci wew. taki atak pochodzi).
Huawei E3372s-153 non-hilink + 2x15dBi MIMO

Asus RT-AC3200 + freshtomato-RT-AC3200-ARM-2020.x.xxx-beta-AIO-64K
Asus RT-N18U + freshtomato-RT-N18U-ARM-2020.x.xxx-beta-AIO-64K-NOSMP
Asus RT-N66U + freshtomato-RT-N66U_RT-AC6x-2020.x.xxx-beta-AIO-64K
Linksys WRT54G v3.1 + freshtomato-K26_RT-MIPSR1-2020.x.xxx-beta-Mini
[Repozytoria FreshTomato] ---- [Obrazy FreshTomato ARM i MIPS] ---- [Dotacje - zmotywuj do dalszej pracy nad FT]
 
amikot
Znalazłem. Można logować z poziomu Tomato - wystarczy dodać w Advanced->DHCP/DNS w polu Dnsmasq Custom configuration parametr:
Pobierz kod źródłowy  Kod źródłowy
log-queries




syslog zostanie wzbogacony o wszystkie potrzebne informacje.
Trzeba sobie tylko zwiększyć rozmiar pliku logu (ja ustawiłem 5mb), bo inaczej do co parę minut będzie nowy plik i szukanie winnego może być bardzo niewygodne.

W moim wypadku winny okazał się mój własny telefon - zdrajca.
Problem w tym, że problemu nie wykrywa ani żaden komórkowy antyvirus, ani antyspy, ani nic w tym stylu. No i utknąłem.
Chciałbym wyśledzić który program jest winny. Nie bardzo uśmiecha mi się zerowanie pamięci telefonu (i karty).

Połączony z 20 stycznia 2020 16:18:52:
No i teraz najlepsze:
W końcu zrobiłem reset telefonu i po resecie dalej są wpisy o DNS-rebind w logu.
Telefon nie był rootowany, ani nie dawałem go nigdy do serwisu. Czyżby wina tkwiła w samym firmware?
Edytowane przez amikot dnia 20-01-2020 16:18
Linksys EA6900 v1.1 - Fresh Tomato 2019.04 AIO
Netgear WNDR4500v1 - DD-WRT - do eksperymentów.
BT Home Hub 5 - OpenWRT 19.07 - do eksperymentów
 
Ampersand
Może to jest związane z brandem telefonu jeśli masz takowy od provider-a. Jeśli tak to jaka to sieć?
Netgear R7000: FreshTomato 2020.1 K26ARM USB AIO-64K [TomatoAnon]
Linksys E4200: FreshTomato RT-N5x MIPSR2 2018.3.106 Beta Mega-VPN
Linksys E2000: FreshTomato 2020.1 MIPSR2 K26 Max
Asus RT-N16: FreshTomato K26USB RT-N5x-MIPSR2-2019.1-Mega-VPN
 
qwerty321
Zrób roota i wywal niepotrzebne procesy chodzące w tle. Nie ma powodu żeby czegoś nie dało się odinstalować z własnego sprzętu.
Jak będziesz miał roota to będzie mógł pozamrażać albo odinstalować systemowe appki wątpliwej jakości. Cały ten bloatware usuniesz.
 
amikot
To był Alcatelowy launcher - to są ich serwery i zapewne to fałszywy pozytyw, aczkolwiek ... ja i tak używam NovaLaunchera więc wyłączyłem tego wbudowanego za pomocą adb i powinno śmigać.
Linksys EA6900 v1.1 - Fresh Tomato 2019.04 AIO
Netgear WNDR4500v1 - DD-WRT - do eksperymentów.
BT Home Hub 5 - OpenWRT 19.07 - do eksperymentów
 
qwerty321
To nie false positive ale ich modus operandi. To są gnoje korporacyjne. Ja zawsze wszystko czyszczę mając roota albo używam LineageOS-a.
 
amikot
Poza launcherem wyłączyłem jeszcze kilka innych, ale co do gnoi korporacyjnych, to niestety nie ma zbyt wielkiego wyboru. Wszyscy producenci telefonów tacy sami.

Jesteśmy na nich skazani do czasu aż ktoś w końcu zrobi telefon bazujący na jakimś raspberry pi. Wtedy będzie można zainstalować jakiś Android OSP bez uciekania się do wątpliwego bezpieczeństwa bootloaderów z rosji i bez używania sprzętu który może mieć i zapewne ma jakiś hackerski logger w warstwie sprzętowej - niewidoczny z poziomu systemu.

Technicznie to Raspberremu brakuje jedynie baterii i modułu SIM, aby zrobić z niego telefon. Osobiście wolałbym chodzić z takim cegłowatym raspberrym niż z czymkolwiek innym. A najlepiej by było, żeby apkę do telefonu ktoś po prostu zrobił na linuxa - tak żeby można było dzwonić z poziomu raspbiana.

Znów się rozmarzyłem Sad
Linksys EA6900 v1.1 - Fresh Tomato 2019.04 AIO
Netgear WNDR4500v1 - DD-WRT - do eksperymentów.
BT Home Hub 5 - OpenWRT 19.07 - do eksperymentów
 
tamtosiamto
amikot napisał(a):


Znów się rozmarzyłem Sad


od marzen do rzeczywistosci krotka droga, skoro ty na to wpadles, niewykluczone ze inny juz nad tym pracuje Smile
nic nie mam
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 5

· Użytkowników online: 0

· Łącznie użytkowników: 23,917
· Najnowszy użytkownik: KtoTyJestes
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

b3rok
24-02-2020 17:38
Zmiana WAN u rodziców.

evangelion69
23-02-2020 12:55
A co tak wyprzedajecie swoje routery?

Marco76
20-02-2020 18:34
@observer01 - pomiar temperatury, podmiana zasilacza... tak na początek

b3rok
19-02-2020 14:23
Takie pytanko - kiedy zostanie odnowiony certyfikat SSL (Let's Encrypt) dla openlinksys.info?

observer01
17-02-2020 22:32
Panowie, jak można zdiagnozować powód samoczynnego wyłączania się R7000 z FreshTomato 2020.1 ?

Max Monroe
17-02-2020 12:29

Max Monroe
17-02-2020 12:28

dziubek
12-02-2020 12:52
Robi się ciekawie Smile https://www.gizmoc
hina.com/2020/02/1
2/xiaomis-wi-fi-6-
router-ax3600-with
-7-antennas-reveal
ed-in-a-new-poster
/

Piaer
11-02-2020 17:58
Miałem na myśli czysto transfer. Niemniej czynniki o których mówisz też często są bardzo ważne.

Steel_Rat
11-02-2020 17:57
To zależy. Jeśli chodzi o wydajność to nie ma sensu. Ale o chalas, trwałość, zużycie prądu to pewnie jest sens.

Piaer
11-02-2020 11:49
Czy dysk SSD do routera z USB 3.0 ma jakikolwiek sens? Mam wrażenie, że bottleneckiem prędkości zapisu/odczytu i tak jest sam router

Efamon
07-02-2020 00:16
W putty chyba się nie da, ale w kitty tak (zakładka Connection).

servee
06-02-2020 11:28
Mam zestawiony tunel ssh na putty. Co jakiś czas niestety mi go zrywa. Czy jest jakaś możliwość, żeby go automatycznie zestawiać ponownie?

servee
06-02-2020 11:00

servee
06-02-2020 10:52
@dziubek jeśli masz możliwość, to kładź kable w peszli (peszeli). Poza tym jak nie musisz to unikaj skrętki ekranowanej bo więcej kłopotów możesz z tym mieć niż korzyści.

Piaer
06-02-2020 10:35
Dziękuję wujku Smile

djwujek
05-02-2020 00:56
Tak podwójne zawsze uchroni cie to przed kuciem ścian na przyszłość.Jak bedziesz miał problem z wyborem i konfiguracja urządzeń daj znać parę sieci już ogarnąłem więc wiem co i jak.

40,349,136 unikalne wizyty