20 Stycznia 2020 02:50:11
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· [MOD] FreshTomato-MI...
· RT-AC68U - kompatybi...
· [S] Asus AC3200
· possible DNS-rebind ...
· Router do inea 10 Gb/s
· [MOD] FreshTomato-AR...
· Jakie serwery adbloc...
· [S] ASUS RT-AC68W
· [S] Lenovo ThinkPad ...
· Problem z montowanie...
· Nagios na tomato
· [S] Asus RT-AC56U 10...
· Asus rt-ac68u wgrani...
· Asus RT-N10U + E3372...
· Export/Import listy ...
· [S] Asus RT-AC56U
· [MOD]FreshTomato 201...
· Multiroom N z wykorz...
· Optware Packages for...
· Szybko na tomato ten...
Najciekawsze tematy
· Asus rt-ac68u wgr... [30]
· Jakie serwery adb... [28]
· [MOD] FreshTomato... [25]
· possible DNS-rebi... [12]
· Router do inea 10... [11]
· Asus RT-N10U + E3... [11]
· [MOD] FreshTomato... [8]
· Problem z montowa... [8]
· RT-AC68U - kompat... [2]
· Nagios na tomato [1]
· [S] Asus AC3200 [0]
· [S] ASUS RT-AC68W [0]
· [S] Lenovo ThinkP... [0]
· [S] Asus RT-AC56U... [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [136 głosów]

Broadcom ARM
Broadcom ARM
50% [180 głosów]

Atheros
Atheros
6% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [11 głosów]

Ogółem głosów: 358
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
34.229.131.116
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj temat
possible DNS-rebind attack
boomcak
Pobierz kod źródłowy  Kod źródłowy
daemon.warn dnsmasq[12704]: possible DNS-rebind attack detected: internal.smyk.com



Od jakiegoś czasu pojawia mi sie taka pozycja w logach parę razy dziennie.

Wiecie co to moze byc ??

P.S. firmware mam jak w opisie.
Asus RT-N18U Tomato-138 K26ARM USB VPN-64K Smile
 
shibby
Alarm pojawi się np. w sytuacji gdy na publicznym serwerze DNS umieścimy rekordy rozwiązujące nazwy dla adresów IP należące do naszej sieci lokalnej.


dodawales jakies wpisy do dnsmasq?
Router: Ubiquiti EdgeRouter ER-4 (FTTH + LTE/failover, OpenVPN, DPI, VLAN)
Wi-Fi: Ubiquiti UAP-AC-Pro
LAN: Netgear GS110TP (8x GbE, 2x SFP, PoE, LACP, VLAN)
NAS: Netgear ReadyNAS Pro4 (2x 4TB/RAID1, 1x 1TB, LACP 2Gbit)
Controler: Raspberry Pi 3B + HDD 1,8" 160GB (Unifi, NUT, CUPS, Pi Hole/DNS Server)
UPS: Eaton Ellipse Eco 650
 
boomcak
Własnie nic. skasowany mialem nawet skrypt do blokowania reklam i bylo tak samo.

Połączony z 20 czerwiec 2012 16:02:22:
Pobierz kod źródłowy  Kod źródłowy
Jun 19 21:42:16 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org
Jun 20 08:57:27 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:46:50 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:58:32 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org



Nie wiem co to sie porobilo.... W dodatku widze ze jak sie ten wpis pojawia to wywala mi kadu.
Edytowane przez boomcak dnia 20-06-2012 16:02
Asus RT-N18U Tomato-138 K26ARM USB VPN-64K Smile
 
jack78
Dołożę swoje 2 grosze.
Wczoraj również miałem podobne wpisy w logach, a pochodziły z Bahamów
Pobierz kod źródłowy  Kod źródłowy

Nov  1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers.com
Nov  1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers254.com





Asus RT-AC56U
- Fresh.Tomato-ARM-2018.2.AIO
UniFi AP AC v2-OFW, UniFi AP PRO- OpenWRT,
Asus RT-N18U -Fresh.Tomato-ARM-2018.2.AIO
Asus RT-N10U- tomato-K26USB-1.28.RT-N5x-MIPSR2-132-VPN
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda F6 - AC1200 OFW
Nexx WT-3020F + LTE USB - OpenWRT
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology DSM 6.0
Troch? sprzętu sieciowego na sprzedaż - http://allegro.pl...id=1116990
 
amikot
Czy pojawianie się tych ostrzeżeń jest normalne?
Adresy widoczne poniżej nie mają dostępu to routera bo są filtrowane na poziomie IPtables. Używam DDNSa - czy to dlatego?

Pobierz kod źródłowy  Kod źródłowy
Jan  4 23:44:20 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net
Jan  4 23:44:49 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan  4 23:44:54 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan  4 23:49:30 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net     



Linksys EA6900 v1.1 - Fresh Tomato 2019.04 AIO
Netgear WNDR4500v1 - Fresh Tomato 2019.01-015 beta - AIO (miał być Wireless Ethernet Bridge - ale nie chce się połączyć z Linksysem)
 
qwerty321
To się dzieje u ciebie w sieci wewnątrz. Np przeglądarka usiłuje przebić się bokiem przez DNS i połączyć z tymi adresami. Zawirusowany komputer, okienko reklamowe, syf w czyimś telefonie.
Często grzebię ludziom w komputerach i ogarnia mnie coraz większa rozpacz. Ludzie już nie panują nad komputerem ani nad telefonem. W kompie potrafią być 2 lub trzy antywirusy, za które właściciel płaci co roku ileś tam setek PLN.
W przeglądarkach po 10 nakładek pomagających wyszukiwać przez yahoo czy amazona i kilka kolejnych. Programy w tle, dziesiątki paskudztwa. To już koniec moim zdaniem.
Później takie komputery same próbują wyczyniać rzeczy, o których się nie śniło.
Edytowane przez qwerty321 dnia 11-01-2020 23:57
 
tegie
Ja mam tego typu wpisy jak tylko podłączają się do sieci telefony Xiaomi.
online: asus n16 -> FreshTomato 2019.3 by perdo
online: netgear r6220 -> Gargoyle 1.12.0.1 by obsy
 
pedro
iphone z kolei generuje ataki z amazonaws.
Huawei E3372s-153 non-hilink + 2x15dBi MIMO

Asus RT-AC3200 + freshtomato-RT-AC3200-ARM-2020.x.xxx-beta-AIO-64K
Asus RT-N18U + freshtomato-RT-N18U-ARM-2020.x.xxx-beta-AIO-64K-NOSMP
Asus RT-N66U + freshtomato-RT-N66U_RT-AC6x-2020.x.xxx-beta-AIO-64K
Linksys WRT54G v3.1 + freshtomato-K26_RT-MIPSR1-2020.x.xxx-beta-Mini
[Repozytoria FreshTomato] ---- [Obrazy FreshTomato ARM i MIPS] ---- [Dotacje - zmotywuj do dalszej pracy nad FT]
 
Ampersand
Też to (amazonaws) u siebie widziałem a nie mam iphona. Generowane z peceta syna. Muszę się temu przyjrzeć skąd dokładnie to wychodzi.
Netgear R7000: FreshTomato R7000 2019.3 Beta K26ARM AIO-64K [TomatoAnon]
Linksys E4200: FreshTomato RT-N5x MIPSR2 2018.3.106 Beta Mega-VPN
Linksys E2000: FreshTomato E2000 NVRAM60K_RT-MIPSR2-2019.3.118-beta-Max
Asus RT-N16: FreshTomato K26USB RT-N5x-MIPSR2-2019.1-Mega-VPN
 
amikot
Nie wiem co to jest w moim wypadku i z czym się łączy, ale whois tych adresów pokazuje takie coś:

Pobierz kod źródłowy  Kod źródłowy
Source: whois.arin.net
IP Address: 169.254.10.10
Name: LINKLOCAL-RFC3927-IANA-RESERVED
Handle: NET-169-254-0-0-1
Registration Date: 27/01/98
Range: 169.254.0.0-169.254.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States


oraz
Pobierz kod źródłowy  Kod źródłowy
Source: whois.arin.net
IP Address: 192.168.33.33
Name: PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED
Handle: NET-192-168-0-0-1
Registration Date: 15/03/94
Range: 192.168.0.0-192.168.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States




Ten drugi jest ciekawy, bo ma adres IP z puli domyślnie przypisanej do LANu w większości urządzeń sieciowych.
Linksys EA6900 v1.1 - Fresh Tomato 2019.04 AIO
Netgear WNDR4500v1 - Fresh Tomato 2019.01-015 beta - AIO (miał być Wireless Ethernet Bridge - ale nie chce się połączyć z Linksysem)
 
qwerty321
Uporządkuj programy i wtyczki w przeglądarkach w urządzeniach w sieci lokalnej. Masz atak od wewnątrz sieci. Ktoś coś ściągnął co próbuje dobrać się do komputerów od środka sieci lan.
Za chwilę ukradną ci kasę z konta i będziesz miał pretensje do wszystkich tylko nie do siebie. Zrebindują ci dns i podstawią stronę banku, na której się sam zalogujesz, a oni wyczyszczą ci konto.
 
amikot
Uporządkuj łatwo powiedzieć. Ja mam w sieci ok 20 urządzeń a log nie wskazuje które z nich jest odpowiedzialne. Przydałby się jakiś dokładniejszy log, ale tomato nie ma opcji verbose czy coś.
Czy ktoś ma jakiś pomysł, jak wyciągnąć informacje na temat tego który adres wewnętrzny tu bruździ?

Połączony z 19 stycznia 2020 16:20:38:
Co do samych ataków, to google podaje dość prostą definicję "DNS-rebining attack" - Atakujący rejestruje domenę na swoim serwerze DNS tak aby wskazywała na adres IP z sieci wewnętrznej. Ofiara wchodząc na zainfekowaną stronę uruchamia skrypt, który łączy się z tą samą domeną co strona, ale przy użyciu podstawionego serwera DNS - czyli w efekcie wskazanie pada na inny adres IP - na adres z sieci lokalnej ofiary. Tym sposobem skrypt dostaje dostęp do sieci lokalnej ofiary.
Teoretycznie więc, wykrywanie ataków powinno polegać na odnajdywaniu tylko takich podstawionych adresów.
Okazuje się jednak, że polega na czymś innym. Na forach OpenWRT znalazłem informację, że dnsmasq z włączoną ochroną "anty-DNS Rebind" blokuje po prostu wszystkie zapytania DNS zwracające adresy IP sieci wewnętrznej.
Jeśli więc jakaś strona, serwis ma pecha i posiada adres IP z puli adresów lokalnych to zostanie zablokowany.
Znalazłem też informację, że niektóre trackery torrentów są właśnie ulokowane w tej przestrzeni adesowej i powodują fałszywie pozytywne informacje o ataku.

Najprawdopodobniej więc, wirusa ani trojana w ogóle nie ma, ale i tak chciałbym wiedzieć z którego urządzenia te adresy są wywoływane - czy to torrent na routerze? Telefon? Czy może firestick? A może dzieci łażą po jakich dziwnych stronach? - To zdecydowanie warto wiedzieć.
Edytowane przez amikot dnia 19-01-2020 16:20
Linksys EA6900 v1.1 - Fresh Tomato 2019.04 AIO
Netgear WNDR4500v1 - Fresh Tomato 2019.01-015 beta - AIO (miał być Wireless Ethernet Bridge - ale nie chce się połączyć z Linksysem)
 
pedro
To poproś dewelopera dnsmasq, żeby w logach dodawał taką informację (skąd w sieci wew. taki atak pochodzi).
Huawei E3372s-153 non-hilink + 2x15dBi MIMO

Asus RT-AC3200 + freshtomato-RT-AC3200-ARM-2020.x.xxx-beta-AIO-64K
Asus RT-N18U + freshtomato-RT-N18U-ARM-2020.x.xxx-beta-AIO-64K-NOSMP
Asus RT-N66U + freshtomato-RT-N66U_RT-AC6x-2020.x.xxx-beta-AIO-64K
Linksys WRT54G v3.1 + freshtomato-K26_RT-MIPSR1-2020.x.xxx-beta-Mini
[Repozytoria FreshTomato] ---- [Obrazy FreshTomato ARM i MIPS] ---- [Dotacje - zmotywuj do dalszej pracy nad FT]
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 6

· Użytkowników online: 0

· Łącznie użytkowników: 23,917
· Najnowszy użytkownik: KtoTyJestes
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

Piaer
19-01-2020 23:49
Coś mi nie gra z tymi RT-AC1900 z ceneo. Avans, Electro i ME na zdjęciu pokazujacym USB przedstawiają chyba inne urządzenie. Dodatkowo te routery są w kategorii xDSL...

pedro
19-01-2020 19:55
https://www.asus.c
om/Networking/RT-A
C1900P/ https://www.ceneo.
pl/69463426#tab=cl
ick_scroll A jak nie, to zawsze AC3200 pozostaje.

djwujek
19-01-2020 13:40
A możesz podpowiedzieć gdzie go kupić

pedro
19-01-2020 12:20
A to jest Asus RT-AC1900P ??? Chyba średnio...

djwujek
19-01-2020 00:18
https://allegro.pl
/oferta/router-asu
s-rt-ac68u-wi-fi-a
c1900-4xlan-gb-1xw
an-8722847447 to je to ??

pedro
19-01-2020 00:10
AC1900P

djwujek
18-01-2020 11:46
Jaki w tym momencie jest najmocniejszy router pod tomato ??

pedro
17-01-2020 18:25
Czytać, czytać i jeszcze raz czytać: "Blacklist Custom - Optional, space separated: domain1.com domain2.com domain3.com"

djwujek
16-01-2020 19:58
Czy w zakładce advanced/adblock/b
lacklist url po wpisaniu 0.0.0.0 nazwą domeny powinno ja zablokować bo mi to nie chce za bardzo dzialac

PanRatio
14-01-2020 01:50
U mnie na AC56U jest 76 stopni. Co ciekawe mój Ryzen 2700 z 8 rdzeniami i 16 wątkami ma teraz 36 stopni XD

tamtosiamto
09-01-2020 13:17
ja nic nie podkrecam, nie ma potrzeby, btw adblock na yt przestal mi dzialac, jaka moze byc przyczyna?

Adooni
09-01-2020 08:11
ja na AC56U@1200MHz mam 83-86C cały czas

jurekk
08-01-2020 22:54
to bardzo niska temperatura 80 i wiecej no do 90 jest oki

tamtosiamto
08-01-2020 14:06
czy to - CPU Temperature 73°C / 163°F jest normalne dla ac56u?

majkel152
05-01-2020 13:10
jest w aio

as1970
04-01-2020 16:55
Czy w fresh tomato jest "TOR" jak to ma miejsce w ASUS-MERLIN

majkel152
04-01-2020 10:59
tak jak w temacie

39,910,169 unikalne wizyty