24 Września 2020 21:22:11
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· Fresh Tomato na RT-N18U
· [Artykuł] Jakie toma...
· DMZ Vu+Solo SE OpenW...
· OpenPli
· [K] Asus RT-N18U lub...
· [MOD] FreshTomato-MI...
· [MOD] FreshTomato-AR...
· Następca WRT54GL
· Linksys WRT54GL połą...
· Wireguard na FreshTo...
· Ustawienia Huawei E3131
· Selektywny routing V...
· Raspberry Pi 4B tomato
· [S] Asus RT-N18U
· WNR3500Lv2
· Asus RT-N18U Asuswrt...
· VPN and Portforwardi...
· IPsec na Tomato - Si...
· Asus AC66U+FreshToma...
· OpenVPN client TUN d...
Najciekawsze tematy
· WNR3500Lv2 [711]
· [Artykuł] Jakie t... [632]
· [MOD] FreshTomato... [318]
· [MOD] FreshTomato... [243]
· Ustawienia Huawei... [29]
· DMZ Vu+Solo SE Op... [14]
· OpenPli [14]
· Raspberry Pi 4B t... [12]
· Wireguard na Fres... [8]
· Selektywny routin... [4]
· Asus RT-N18U Asus... [4]
· Linksys WRT54GL p... [2]
· [K] Asus RT-N18U ... [1]
· Następca WRT54GL [1]
· [S] Asus RT-N18U [1]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
38% [140 głosów]

Broadcom ARM
Broadcom ARM
51% [189 głosów]

Atheros
Atheros
6% [21 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [2 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [4 głosów]

Żaden z powyższych
Żaden z powyższych
3% [11 głosów]

Ogółem głosów: 371
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
3.237.71.23
Reklama
Zobacz temat
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj temat
possible DNS-rebind attack
boomcak
Pobierz kod źródłowy  Kod źródłowy
daemon.warn dnsmasq[12704]: possible DNS-rebind attack detected: internal.smyk.com



Od jakiegoś czasu pojawia mi sie taka pozycja w logach parę razy dziennie.

Wiecie co to moze byc ??

P.S. firmware mam jak w opisie.
Asus RT-N18U Asuswrt-Merlin 384.18 Smile
 
shibby
Alarm pojawi się np. w sytuacji gdy na publicznym serwerze DNS umieścimy rekordy rozwiązujące nazwy dla adresów IP należące do naszej sieci lokalnej.


dodawales jakies wpisy do dnsmasq?
Router: Ubiquiti EdgeRouter ER-12 (FTTH + LTE/failover, OpenVPN, DPI, VLAN) - łącze 1000/1000mbps
Wi-Fi: Ubiquiti UAP-AC-Pro
NAS: Xpenology DS918+ (i5-6200u, 8GB ram, 3x 4TB/RAID5, SSD cache, Unifi, Pi Hole/DNS Server, Home Assistant, NextCloud+onlyOffice)
UPS: Eaton Ellipse Eco 650
 
boomcak
Własnie nic. skasowany mialem nawet skrypt do blokowania reklam i bylo tak samo.

Połączony z 20 czerwiec 2012 16:02:22:
Pobierz kod źródłowy  Kod źródłowy
Jun 19 21:42:16 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org
Jun 20 08:57:27 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:46:50 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: internal.smyk.com
Jun 20 15:58:32 Linux daemon.warn dnsmasq[2811]: possible DNS-rebind attack detected: stnszu.9966.org



Nie wiem co to sie porobilo.... W dodatku widze ze jak sie ten wpis pojawia to wywala mi kadu.
Edytowane przez boomcak dnia 20-06-2012 16:02
Asus RT-N18U Asuswrt-Merlin 384.18 Smile
 
jack78
Dołożę swoje 2 grosze.
Wczoraj również miałem podobne wpisy w logach, a pochodziły z Bahamów
Pobierz kod źródłowy  Kod źródłowy

Nov  1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers.com
Nov  1 22:05:48 unknown daemon.warn dnsmasq[17021]: possible DNS-rebind attack detected: pix5.payswithservers254.com





Mikrotik hAP ac2
UniFi AP AC v2
-OFW, UniFi AP PRO- OpenWRT,
Linksys E1000v2 - Tomato-RT-N5x-MIPSR2-116-Hyzoom.4M-Mini
Tenda AC10 - AC1200 OFW
NAS - HP Microserver Gen8 i3-3220T, 8GB RAM 5x 3TB WD RED | Xpenology DSM 6.0
Troch? sprzętu sieciowego na sprzedaż - http://allegro.pl...id=1116990
 
amikot
Czy pojawianie się tych ostrzeżeń jest normalne?
Adresy widoczne poniżej nie mają dostępu to routera bo są filtrowane na poziomie IPtables. Używam DDNSa - czy to dlatego?

Pobierz kod źródłowy  Kod źródłowy
Jan  4 23:44:20 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net
Jan  4 23:44:49 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan  4 23:44:54 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-eges75nzvx.tclclouds.com
Jan  4 23:49:30 ROUTER daemon.warn dnsmasq[3162]: possible DNS-rebind attack detected: gwrtdp-tn690bfadt-drop.aotclouds.net     



Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
qwerty321
To się dzieje u ciebie w sieci wewnątrz. Np przeglądarka usiłuje przebić się bokiem przez DNS i połączyć z tymi adresami. Zawirusowany komputer, okienko reklamowe, syf w czyimś telefonie.
Często grzebię ludziom w komputerach i ogarnia mnie coraz większa rozpacz. Ludzie już nie panują nad komputerem ani nad telefonem. W kompie potrafią być 2 lub trzy antywirusy, za które właściciel płaci co roku ileś tam setek PLN.
W przeglądarkach po 10 nakładek pomagających wyszukiwać przez yahoo czy amazona i kilka kolejnych. Programy w tle, dziesiątki paskudztwa. To już koniec moim zdaniem.
Później takie komputery same próbują wyczyniać rzeczy, o których się nie śniło.
Edytowane przez qwerty321 dnia 11-01-2020 23:57
 
tegie
Ja mam tego typu wpisy jak tylko podłączają się do sieci telefony Xiaomi.
online: asus n16 -> FreshTomato 2019.3 by perdo
online: netgear r6220 -> Gargoyle 1.12.0.2 by obsy
 
pedro
iphone z kolei generuje ataki z amazonaws.
Huawei E3372s-153 non-hilink + 2x15dBi MIMO

Asus RT-AC3200 + freshtomato-RT-AC3200-ARM-2020.x.xxx-beta-AIO-128K
Asus RT-N18U + freshtomato-RT-N18U-ARM-2020.x.xxx-beta-AIO-64K-NOSMP
Asus RT-N66U + freshtomato-RT-N66U_RT-AC6x-2020.x.xxx-beta-AIO-64K
Linksys WRT54G v3.1 + freshtomato-K26_RT-MIPSR1-2020.x.xxx-beta-MiniVPN
[Repozytoria FreshTomato] ---- [Obrazy FreshTomato ARM i MIPS] ---- [Dotacje - zmotywuj do dalszej pracy nad FreshTomato]
 
Ampersand
Też to (amazonaws) u siebie widziałem a nie mam iphona. Generowane z peceta syna. Muszę się temu przyjrzeć skąd dokładnie to wychodzi.
Netgear R7000: FreshTomato 2020.5 K26ARM USB AIO-64K [TomatoAnon]
Linksys E4200: FreshTomato RT-N5x MIPSR2 2020.3 Mega-VPN
Linksys E2000: FreshTomato 2020.1 MIPSR2 K26 Max
Asus RT-N16: FreshTomato K26USB RT-N5x-MIPSR2-2019.1-Mega-VPN
 
amikot
Nie wiem co to jest w moim wypadku i z czym się łączy, ale whois tych adresów pokazuje takie coś:

Pobierz kod źródłowy  Kod źródłowy
Source: whois.arin.net
IP Address: 169.254.10.10
Name: LINKLOCAL-RFC3927-IANA-RESERVED
Handle: NET-169-254-0-0-1
Registration Date: 27/01/98
Range: 169.254.0.0-169.254.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States


oraz
Pobierz kod źródłowy  Kod źródłowy
Source: whois.arin.net
IP Address: 192.168.33.33
Name: PRIVATE-ADDRESS-CBLK-RFC1918-IANA-RESERVED
Handle: NET-192-168-0-0-1
Registration Date: 15/03/94
Range: 192.168.0.0-192.168.255.255
Org: Internet Assigned Numbers Authority
Org Handle: IANA
Address: 12025 Waterfront Drive
Suite 300
City: Los Angeles
State/Province: CA
Postal Code: 90292
Country: United States




Ten drugi jest ciekawy, bo ma adres IP z puli domyślnie przypisanej do LANu w większości urządzeń sieciowych.
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
qwerty321
Uporządkuj programy i wtyczki w przeglądarkach w urządzeniach w sieci lokalnej. Masz atak od wewnątrz sieci. Ktoś coś ściągnął co próbuje dobrać się do komputerów od środka sieci lan.
Za chwilę ukradną ci kasę z konta i będziesz miał pretensje do wszystkich tylko nie do siebie. Zrebindują ci dns i podstawią stronę banku, na której się sam zalogujesz, a oni wyczyszczą ci konto.
 
amikot
Uporządkuj łatwo powiedzieć. Ja mam w sieci ok 20 urządzeń a log nie wskazuje które z nich jest odpowiedzialne. Przydałby się jakiś dokładniejszy log, ale tomato nie ma opcji verbose czy coś.
Czy ktoś ma jakiś pomysł, jak wyciągnąć informacje na temat tego który adres wewnętrzny tu bruździ?

Połączony z 19 stycznia 2020 16:20:38:
Co do samych ataków, to google podaje dość prostą definicję "DNS-rebining attack" - Atakujący rejestruje domenę na swoim serwerze DNS tak aby wskazywała na adres IP z sieci wewnętrznej. Ofiara wchodząc na zainfekowaną stronę uruchamia skrypt, który łączy się z tą samą domeną co strona, ale przy użyciu podstawionego serwera DNS - czyli w efekcie wskazanie pada na inny adres IP - na adres z sieci lokalnej ofiary. Tym sposobem skrypt dostaje dostęp do sieci lokalnej ofiary.
Teoretycznie więc, wykrywanie ataków powinno polegać na odnajdywaniu tylko takich podstawionych adresów.
Okazuje się jednak, że polega na czymś innym. Na forach OpenWRT znalazłem informację, że dnsmasq z włączoną ochroną "anty-DNS Rebind" blokuje po prostu wszystkie zapytania DNS zwracające adresy IP sieci wewnętrznej.
Jeśli więc jakaś strona, serwis ma pecha i posiada adres IP z puli adresów lokalnych to zostanie zablokowany.
Znalazłem też informację, że niektóre trackery torrentów są właśnie ulokowane w tej przestrzeni adesowej i powodują fałszywie pozytywne informacje o ataku.

Najprawdopodobniej więc, wirusa ani trojana w ogóle nie ma, ale i tak chciałbym wiedzieć z którego urządzenia te adresy są wywoływane - czy to torrent na routerze? Telefon? Czy może firestick? A może dzieci łażą po jakich dziwnych stronach? - To zdecydowanie warto wiedzieć.
Edytowane przez amikot dnia 19-01-2020 16:20
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
pedro
To poproś dewelopera dnsmasq, żeby w logach dodawał taką informację (skąd w sieci wew. taki atak pochodzi).
Huawei E3372s-153 non-hilink + 2x15dBi MIMO

Asus RT-AC3200 + freshtomato-RT-AC3200-ARM-2020.x.xxx-beta-AIO-128K
Asus RT-N18U + freshtomato-RT-N18U-ARM-2020.x.xxx-beta-AIO-64K-NOSMP
Asus RT-N66U + freshtomato-RT-N66U_RT-AC6x-2020.x.xxx-beta-AIO-64K
Linksys WRT54G v3.1 + freshtomato-K26_RT-MIPSR1-2020.x.xxx-beta-MiniVPN
[Repozytoria FreshTomato] ---- [Obrazy FreshTomato ARM i MIPS] ---- [Dotacje - zmotywuj do dalszej pracy nad FreshTomato]
 
amikot
Znalazłem. Można logować z poziomu Tomato - wystarczy dodać w Advanced->DHCP/DNS w polu Dnsmasq Custom configuration parametr:
Pobierz kod źródłowy  Kod źródłowy
log-queries




syslog zostanie wzbogacony o wszystkie potrzebne informacje.
Trzeba sobie tylko zwiększyć rozmiar pliku logu (ja ustawiłem 5mb), bo inaczej do co parę minut będzie nowy plik i szukanie winnego może być bardzo niewygodne.

W moim wypadku winny okazał się mój własny telefon - zdrajca.
Problem w tym, że problemu nie wykrywa ani żaden komórkowy antyvirus, ani antyspy, ani nic w tym stylu. No i utknąłem.
Chciałbym wyśledzić który program jest winny. Nie bardzo uśmiecha mi się zerowanie pamięci telefonu (i karty).

Połączony z 20 stycznia 2020 16:18:52:
No i teraz najlepsze:
W końcu zrobiłem reset telefonu i po resecie dalej są wpisy o DNS-rebind w logu.
Telefon nie był rootowany, ani nie dawałem go nigdy do serwisu. Czyżby wina tkwiła w samym firmware?
Edytowane przez amikot dnia 20-01-2020 16:18
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
Ampersand
Może to jest związane z brandem telefonu jeśli masz takowy od provider-a. Jeśli tak to jaka to sieć?
Netgear R7000: FreshTomato 2020.5 K26ARM USB AIO-64K [TomatoAnon]
Linksys E4200: FreshTomato RT-N5x MIPSR2 2020.3 Mega-VPN
Linksys E2000: FreshTomato 2020.1 MIPSR2 K26 Max
Asus RT-N16: FreshTomato K26USB RT-N5x-MIPSR2-2019.1-Mega-VPN
 
qwerty321
Zrób roota i wywal niepotrzebne procesy chodzące w tle. Nie ma powodu żeby czegoś nie dało się odinstalować z własnego sprzętu.
Jak będziesz miał roota to będzie mógł pozamrażać albo odinstalować systemowe appki wątpliwej jakości. Cały ten bloatware usuniesz.
 
amikot
To był Alcatelowy launcher - to są ich serwery i zapewne to fałszywy pozytyw, aczkolwiek ... ja i tak używam NovaLaunchera więc wyłączyłem tego wbudowanego za pomocą adb i powinno śmigać.
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
qwerty321
To nie false positive ale ich modus operandi. To są gnoje korporacyjne. Ja zawsze wszystko czyszczę mając roota albo używam LineageOS-a.
 
amikot
Poza launcherem wyłączyłem jeszcze kilka innych, ale co do gnoi korporacyjnych, to niestety nie ma zbyt wielkiego wyboru. Wszyscy producenci telefonów tacy sami.

Jesteśmy na nich skazani do czasu aż ktoś w końcu zrobi telefon bazujący na jakimś raspberry pi. Wtedy będzie można zainstalować jakiś Android OSP bez uciekania się do wątpliwego bezpieczeństwa bootloaderów z rosji i bez używania sprzętu który może mieć i zapewne ma jakiś hackerski logger w warstwie sprzętowej - niewidoczny z poziomu systemu.

Technicznie to Raspberremu brakuje jedynie baterii i modułu SIM, aby zrobić z niego telefon. Osobiście wolałbym chodzić z takim cegłowatym raspberrym niż z czymkolwiek innym. A najlepiej by było, żeby apkę do telefonu ktoś po prostu zrobił na linuxa - tak żeby można było dzwonić z poziomu raspbiana.

Znów się rozmarzyłem Sad
Virgin Media Super Hub 3 - Stock firmware - DOCSIS 3.0 modem.
Linksys EA6900 v1.1 - Fresh Tomato 2020.05 AIO - główny router.
Netgear WNDR4500v1 - Fresh Tomato 2020.05 AIO - dodatkowy AP.
Synology DS 509+ - DSM4.2 - jako NAS Smile
 
tamtosiamto
amikot napisał(a):


Znów się rozmarzyłem Sad


od marzen do rzeczywistosci krotka droga, skoro ty na to wpadles, niewykluczone ze inny juz nad tym pracuje Smile
nic nie mam
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 4

· Użytkowników online: 0

· Łącznie użytkowników: 23,957
· Najnowszy użytkownik: Galus71
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

pedro
24-09-2020 21:14
R7000 ma @M_ars z linksysinfo i na nim testuje, więc w zasadzie problem się rozwiązał

tamtosiamto
24-09-2020 18:24
@Pedro czy r7000 przydalby sie do pracy nad tomatem? Mam okazje kupic w uk za ~200pln a za miesiac smigam do PL

pedro
23-09-2020 08:54
Więcej ustawien pomagających lepiej zarządać WL - szczegóły w CHANGELOG

djwujek
23-09-2020 02:01
@Pedro będą jakieś dodatki w zakładce advanced-wireless a mógłbyś zdradzić jakie i co one zmienią ?

pedro
22-09-2020 17:19
Chociaż z drugiej strony jest poprawka dla RT-AC66U/R włączająca kanały 80MHz i parę dodatków w advanced-wireless do ustawienia

pedro
22-09-2020 12:09
Nie - już odpowiedziałem w wątku; tylko nowe sterowniki dla ARM (Kr00k) + poprawki w działaniu WL

djwujek
21-09-2020 18:44
@Pedro Czy w nadchodzącej wersji 2020.6 -Mips przewidujesz jakieś zmiany w sterowniku do Wi-Fi albo jego zmianę na nowszą wersję ??

tamtosiamto
21-09-2020 17:52
czy jakis posiadacz ac56u probowal wgrac firmware od ac68u w celu posiadania aimesh na ac56? https://www.snbfo.
..732/page-5

tamtosiamto
19-09-2020 22:43
wydawalo mi sie, ze okreslilem jak ma to wygladac-ac88u loguje sie do orange-, dsl68u jako drugi, moze byc po wifi

Adooni
19-09-2020 22:06
to proste aimesh moze byc po wi-fi lub przewodowo (nie okresliles o co pytasz). w Twoim przypadku tylko po wi-fi

tamtosiamto
19-09-2020 20:42
nie rozumiem, oswieci mnie ktos? Wydalwalo mi sie, ze znam ang, ale cytat @Adoni mnie przerasta

Adooni
19-09-2020 18:47
wystarczy google: DSL-AC68U/R support both AiMesh primary/node modes now. However, for node only Wireless backhaul mode supported, do not support Ethernet backhaul as this model lacks dedicated WAN

tamtosiamto
19-09-2020 14:48
czy dsl ac68 u nada sie do aimesh? Jako glowny ruter chce dac ac88u do pppoe(orange swiatlowod), tylko nie wiem, czy w aimesh dsl ac68u moze byc jako ten drugi, ofw oczywiscie

tomeq62
16-09-2020 21:57
Dzięki wielkie za pomoc

Adooni
16-09-2020 14:11
w tutoriale masz artykuł IPsec na Tomato - wkleilem tam link ostatni post do opisu jak to zrobic EN

tomeq62
15-09-2020 21:29
czy ma obsługę ipsec ikev2 bo w features nie ma info na ten temat

Adooni
15-09-2020 18:15
jest na niego FreshTomato-ARM

42,452,526 unikalne wizyty