|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
02-08-2014, 01.36.26 | #1 |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Le nuove infezioni via Router
Mi è capitato una bella gatta da pelare, un amico mi dice di avere un PC e un iPad infetti da una stessa infezione, dopo aver portato il PC da un tecnico per la pulizia, il mio amico torna a casa e si ritrova il PC nuovamente infetto, dove qualsiasi Browser dopo qualche secondo di collegamento su qualsisai sito, viene reindirizzato altrove su un sito malevolo. Dopo aver sentito la problematica ho capito che il problema poteva essere il Router (Kraun). Deciso, mi faccio portare il Router e lo resetto a default, fatta questa operazione tutti i sintomi dell'infezione come per magia spariscono. Passato qualche giorno il mio amico mi richiama dicendomi che il problema era tornato, mi reco sul posto e in effetti sia il PC che l'iPad dopo qualche secondo di collegamento su un qualsiasi sito, venivano reindirizzati sullo stesso sito (htt://law-enforcement-rpn.linabirsa.tk) al momento era irrangiungibile (ho tolto una p sul link di proposito per sicurezza, non cliccatelo) da nessuno dei due. A questo punto decido di collegarmi al router per verificare i DNS, ad essere sincero non ho molta esperienza sui Router e non sono riuscito a trovare nulla che mi facesse capire cosa ci fosse di alterato, decido allora di spuntare nel Router due voci riguardanti il Firewall, sperando di bloccare qualcosa, e in effetti ha funzionato, il PC ha smesso di essere reindirazzato e tutto è tornato alla normalità. Sembrava tutto a posto quando mi accorgo che l'iPad invece continuava ad avere i rendirizzamenti al sito malevolo, ora non so cosa penserete voi, a me fa pensare a un iPad infetto che attraverso il Router infettava il PC, con il Firewall attivato sul Router ho spezzato la catena e l'infezione è rimasta solo sull'iPad (sospetto il Browser).
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k Ultima modifica di AMIGA : 02-08-2014 alle ore 02.17.45 |
02-08-2014, 01.56.18 | #2 |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: Le nuove infezioni via Router
Facendo un giro in rete alla ricerca di info sul link malevolo, pare che Android sia il più colpito da questa infezione, e nessuno pensa al router
http://www.tuttoandroid.net/forum/an...imuoverlo.html Qui la conferma che tutti gli apparati collegati allo stesso Router sono infetti allo stesso modo: https://it.answers.yahoo.com/questio...1142755AA8Begv http://forum.dobreprogramy.pl/avast-...rlmal-t480106/ http://www.elektroda.pl/rtvforum/topic2874128.html
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k Ultima modifica di AMIGA : 02-08-2014 alle ore 02.27.32 |
02-08-2014, 10.51.15 | #3 |
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: Le nuove infezioni via Router
Android direi che non c'entra nulla, nel topic che hai linkato il problema persiste anche dopo il ripristino del dispositivo.
É molto più probabile che si tratta di un problema di questo tipo, a meno che non sia un più classico DNS changer. Ti conviene: - resettare il router, e mettergli una password di accesso bella robusta. Potrebbe non servire se il problema è il bug linkato sopra, ma è già un punto di partenza. - Ripulire completamente i browser usati, eliminando cache ed eventualmente profili o rinstallandli.
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
02-08-2014, 11.54.53 | #4 | |||
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: Le nuove infezioni via Router
Quota:
Quota:
Quota:
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
|||
02-08-2014, 11.59.06 | #5 |
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: Le nuove infezioni via Router
Ma l'ipad è jailbreakato o comunque è stato connesso a store "alternativi"?
Non escluderei che il problema possa derivare da questo.
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
02-08-2014, 12.14.30 | #6 |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: Le nuove infezioni via Router
Non saprei dirti l'iPad lo usava un ragazzino, riguardo il tuo link parla solo della vulnerabilità dei router Linksys, quello in questione era un Kraun, comunque pare che a soffrire di questo genere di problemi devastanti (molti tecnici ignorano o non credono a questo tipo di infezione) siano in tanti modelli:
http://www.felicebalsamo.it/dns-modi...a-dlink-tplink
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
02-08-2014, 12.15.58 | #7 |
Gold Member
WT Expert
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
|
Rif: Le nuove infezioni via Router
La vulnerabilità non era solo dei linksys, infatti!
___________________________________
La risposta è dentro di te... e però, è sbagliata! |
03-08-2014, 12.52.51 | #8 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Le nuove infezioni via Router
Purtroppo è un attacco portato a termine in almeno due modi distinti e sinergici:
Modo 1 -> Compromettere uno o più siti (prendendo di mira anche i motori di ricerca) ed iniettare codice javascript eseguibile in locale; Modo 2 -> Eseguire identico script da remoto sfruttando l' assistenza remota del router, o il potocollo UPnP. Senza tralasciare la pericolosità di JavaScript, alcuni router consentono di apportare modifiche di configurazione senza necessità di autenticazione, pertanto viene meno la robustezza della password immessa. In tutti i casi, viene impostato l'IP di server DNS compromessi, in modo da dirottare l'utente verso siti affetti da malware di natura eterogenea.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
03-08-2014, 13.02.28 | #9 |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: Le nuove infezioni via Router
Infatti è la cosa che ho notato da subito, il reset e il cambio password alfanumerico non era servito a nulla, poi le spunte sul Firewall sembra invece che abbiano chiuso la porta in faccia all'infezione, ora bisogna vedere quanto duri . Non sento attacchi sui Router Telecom in particolare a quelli "chiusi" dove poco è niente si può cambiare compresa la password d'accesso.
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
03-08-2014, 13.20.57 | #10 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Le nuove infezioni via Router
E' un problema di natura XSS che affligge i router vulnerabili.
Solitamente si fa accesso diretto alle impostazioni memorizzate attraverso script CGI richiamabili via url all'interfaccia html di configurazione ed in molti casi funziona senza autenticazione. Ci sono stati casi in cui addirittura il referrer, se modificato opportunamente, consentiva accesso senza autenticazione, indipendentemente dalla richiesta GET/POST formulata in maniera corretta. Forse il produttore non ne era consapevole, o forse si: un certo pensiero sfuggente ad NSA ha attraversato la mente a diverse persone. Javascript è utile affinchè venga eseguito l'url in locale comprensivo dei parametri imposti. O si attacca direttamente l'interfaccia da remoto, perchè in ascolto, oppure si attende che il malcapitato visiti un sito compromesso: JavaScript è una piaga, lo si sa da tempo.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
03-08-2014, 14.03.51 | #11 |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: Le nuove infezioni via Router
Bene LoryOne, questo per me è un campo minato, non ho molta esperienza, grazie delle info.
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
04-08-2014, 10.32.09 | #12 |
Gold Member
Top Poster
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
|
Rif: Le nuove infezioni via Router
Dopo alcuni giorni di Test con le opzioni sul Firewall, l'infezione non si è più presentata, anche l'iPAD dopo un riavvio non ha avuto più problemi, il Router come avevo immaginato ha finito di fate da "ponte".
___________________________________
Dove l'ho sentita ? www.plagimusicali.net English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
Router device dipendente ? | Kinbelkin | Internet e Reti locali | 6 | 23-04-2012 13.29.49 |
Problema con router e XP SP2 | mcv93 | Windows 7/Vista/XP/ 2003 | 13 | 11-09-2008 22.14.34 |
Cerco Router ADSL | Cereal Killer | Internet e Reti locali | 16 | 16-09-2005 12.30.29 |
Aiuto x router... | cionidvd | Internet e Reti locali | 14 | 13-09-2005 13.15.55 |
Configurazione Router d-link DSL-500 | STDK | Internet e Reti locali | 0 | 09-11-2003 19.49.26 |