Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Antivirus&Sicurezza > Virus

Notices

Rispondi
 
Strumenti discussione
Vecchio 02-08-2014, 01.36.26   #1
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Le nuove infezioni via Router





Mi è capitato una bella gatta da pelare, un amico mi dice di avere un PC e un iPad infetti da una stessa infezione, dopo aver portato il PC da un tecnico per la pulizia, il mio amico torna a casa e si ritrova il PC nuovamente infetto, dove qualsiasi Browser dopo qualche secondo di collegamento su qualsisai sito, viene reindirizzato altrove su un sito malevolo. Dopo aver sentito la problematica ho capito che il problema poteva essere il Router (Kraun). Deciso, mi faccio portare il Router e lo resetto a default, fatta questa operazione tutti i sintomi dell'infezione come per magia spariscono.

Passato qualche giorno il mio amico mi richiama dicendomi che il problema era tornato, mi reco sul posto e in effetti sia il PC che l'iPad dopo qualche secondo di collegamento su un qualsiasi sito, venivano reindirizzati sullo stesso sito (htt://law-enforcement-rpn.linabirsa.tk) al momento era irrangiungibile (ho tolto una p sul link di proposito per sicurezza, non cliccatelo) da nessuno dei due. A questo punto decido di collegarmi al router per verificare i DNS, ad essere sincero non ho molta esperienza sui Router e non sono riuscito a trovare nulla che mi facesse capire cosa ci fosse di alterato, decido allora di spuntare nel Router due voci riguardanti il Firewall, sperando di bloccare qualcosa, e in effetti ha funzionato, il PC ha smesso di essere reindirazzato e tutto è tornato alla normalità. Sembrava tutto a posto quando mi accorgo che l'iPad invece continuava ad avere i rendirizzamenti al sito malevolo, ora non so cosa penserete voi, a me fa pensare a un iPad infetto che attraverso il Router infettava il PC, con il Firewall attivato sul Router ho spezzato la catena e l'infezione è rimasta solo sull'iPad (sospetto il Browser).
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k

Ultima modifica di AMIGA : 02-08-2014 alle ore 02.17.45
AMIGA non è collegato   Rispondi citando
Vecchio 02-08-2014, 01.56.18   #2
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: Le nuove infezioni via Router

Facendo un giro in rete alla ricerca di info sul link malevolo, pare che Android sia il più colpito da questa infezione, e nessuno pensa al router

http://www.tuttoandroid.net/forum/an...imuoverlo.html


Qui la conferma che tutti gli apparati collegati allo stesso Router sono infetti allo stesso modo:

https://it.answers.yahoo.com/questio...1142755AA8Begv

http://forum.dobreprogramy.pl/avast-...rlmal-t480106/

http://www.elektroda.pl/rtvforum/topic2874128.html
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k

Ultima modifica di AMIGA : 02-08-2014 alle ore 02.27.32
AMIGA non è collegato   Rispondi citando
Vecchio 02-08-2014, 10.51.15   #3
borgata
Gold Member
WT Expert
 
L'avatar di borgata
 
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
borgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raro
Rif: Le nuove infezioni via Router

Android direi che non c'entra nulla, nel topic che hai linkato il problema persiste anche dopo il ripristino del dispositivo.
É molto più probabile che si tratta di un problema di questo tipo, a meno che non sia un più classico DNS changer.

Ti conviene:
- resettare il router, e mettergli una password di accesso bella robusta. Potrebbe non servire se il problema è il bug linkato sopra, ma è già un punto di partenza.
- Ripulire completamente i browser usati, eliminando cache ed eventualmente profili o rinstallandli.
___________________________________

La risposta è dentro di te...
e però, è sbagliata!
borgata non è collegato   Rispondi citando
Vecchio 02-08-2014, 11.54.53   #4
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: Le nuove infezioni via Router

Quota:
Inviato da borgata Visualizza messaggio
Android direi che non c'entra nulla, nel topic che hai linkato il problema persiste anche dopo il ripristino del dispositivo.
Neanche il PC aveva nulla se collegato su altra rete, tutto andava regolarmente e non vi erano rendirizzamenti di nessun tipo. Dopo il test neanche il router aveva avuto più problemi, una volta settato il Firewall "senza modificare altro" non ha dato nessun problema, questo dimostra che il Router era solo una sorta di "ripetitore" dell'infezione, alla fine solo l'iPad è rimasto infetto dove non ho potuto far nulla per mancanza di esperienza su IOS, lo farà il proprietario.
Quota:
Ti conviene:
- resettare il router, e mettergli una password di accesso bella robusta.
Fatto ma non era servito a nulla
Quota:
- Ripulire completamente i browser usati, eliminando cache ed eventualmente profili o rinstallandli.
Da quanto emerso questo è da fare solo sull'iPad, a mio avviso unica apparecchiatura infetta, dopo il reset del Firefall Router e PC sono andati benissimo.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 02-08-2014, 11.59.06   #5
borgata
Gold Member
WT Expert
 
L'avatar di borgata
 
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
borgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raro
Rif: Le nuove infezioni via Router

Ma l'ipad è jailbreakato o comunque è stato connesso a store "alternativi"?
Non escluderei che il problema possa derivare da questo.
___________________________________

La risposta è dentro di te...
e però, è sbagliata!
borgata non è collegato   Rispondi citando
Vecchio 02-08-2014, 12.14.30   #6
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: Le nuove infezioni via Router

Non saprei dirti l'iPad lo usava un ragazzino, riguardo il tuo link parla solo della vulnerabilità dei router Linksys, quello in questione era un Kraun, comunque pare che a soffrire di questo genere di problemi devastanti (molti tecnici ignorano o non credono a questo tipo di infezione) siano in tanti modelli:

http://www.felicebalsamo.it/dns-modi...a-dlink-tplink
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 02-08-2014, 12.15.58   #7
borgata
Gold Member
WT Expert
 
L'avatar di borgata
 
Registrato: 23-06-2004
Loc.: Cagliari
Messaggi: 13.333
borgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raroborgata è un gioiello raro
Rif: Le nuove infezioni via Router

La vulnerabilità non era solo dei linksys, infatti!
___________________________________

La risposta è dentro di te...
e però, è sbagliata!
borgata non è collegato   Rispondi citando
Vecchio 03-08-2014, 12.52.51   #8
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Le nuove infezioni via Router

Purtroppo è un attacco portato a termine in almeno due modi distinti e sinergici:

Modo 1 -> Compromettere uno o più siti (prendendo di mira anche i motori di ricerca) ed iniettare codice javascript eseguibile in locale;
Modo 2 -> Eseguire identico script da remoto sfruttando l' assistenza remota del router, o il potocollo UPnP.

Senza tralasciare la pericolosità di JavaScript, alcuni router consentono di apportare modifiche di configurazione senza necessità di autenticazione, pertanto viene meno la robustezza della password immessa.

In tutti i casi, viene impostato l'IP di server DNS compromessi, in modo da dirottare l'utente verso siti affetti da malware di natura eterogenea.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 03-08-2014, 13.02.28   #9
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: Le nuove infezioni via Router

Quota:
Inviato da LoryOne Visualizza messaggio
Senza tralasciare la pericolosità di JavaScript, alcuni router consentono di apportare modifiche di configurazione senza necessità di autenticazione, pertanto viene meno la robustezza della password immessa.
Infatti è la cosa che ho notato da subito, il reset e il cambio password alfanumerico non era servito a nulla, poi le spunte sul Firewall sembra invece che abbiano chiuso la porta in faccia all'infezione, ora bisogna vedere quanto duri . Non sento attacchi sui Router Telecom in particolare a quelli "chiusi" dove poco è niente si può cambiare compresa la password d'accesso.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 03-08-2014, 13.20.57   #10
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Le nuove infezioni via Router

E' un problema di natura XSS che affligge i router vulnerabili.
Solitamente si fa accesso diretto alle impostazioni memorizzate attraverso script CGI richiamabili via url all'interfaccia html di configurazione ed in molti casi funziona senza autenticazione.
Ci sono stati casi in cui addirittura il referrer, se modificato opportunamente, consentiva accesso senza autenticazione, indipendentemente dalla richiesta GET/POST formulata in maniera corretta.
Forse il produttore non ne era consapevole, o forse si: un certo pensiero sfuggente ad NSA ha attraversato la mente a diverse persone.
Javascript è utile affinchè venga eseguito l'url in locale comprensivo dei parametri imposti.
O si attacca direttamente l'interfaccia da remoto, perchè in ascolto, oppure si attende che il malcapitato visiti un sito compromesso: JavaScript è una piaga, lo si sa da tempo.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 03-08-2014, 14.03.51   #11
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: Le nuove infezioni via Router

Bene LoryOne, questo per me è un campo minato, non ho molta esperienza, grazie delle info.
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Vecchio 04-08-2014, 10.32.09   #12
AMIGA
Gold Member
Top Poster
 
L'avatar di AMIGA
 
Registrato: 06-07-2006
Loc.: Brindisi
Messaggi: 10.111
AMIGA è un gioiello raroAMIGA è un gioiello raroAMIGA è un gioiello raro
Rif: Le nuove infezioni via Router

Dopo alcuni giorni di Test con le opzioni sul Firewall, l'infezione non si è più presentata, anche l'iPAD dopo un riavvio non ha avuto più problemi, il Router come avevo immaginato ha finito di fate da "ponte".
___________________________________

Dove l'ho sentita ? www.plagimusicali.net

English Amiga Board Amiganews.it AfA One AROS x86 AROS 68k
AMIGA non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
Router device dipendente ? Kinbelkin Internet e Reti locali 6 23-04-2012 13.29.49
Problema con router e XP SP2 mcv93 Windows 7/Vista/XP/ 2003 13 11-09-2008 22.14.34
Cerco Router ADSL Cereal Killer Internet e Reti locali 16 16-09-2005 12.30.29
Aiuto x router... cionidvd Internet e Reti locali 14 13-09-2005 13.15.55
Configurazione Router d-link DSL-500 STDK Internet e Reti locali 0 09-11-2003 19.49.26

Orario GMT +2. Ora sono le: 13.00.47.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.