Categorized | Новости

Взломали модем…..

Вчера взломали DSL-модем провайдера. На случай, если кто-то у себя заметит сходные симптомы расскажу подробно. Первый симптом – Facebook запросил авторизоваться и не просто авторизоваться, а еще и страница входа в Facebook была не русском, не на английском и даже не на грузинском…. Авторизоваться не стал! При обращении через минуту посыпались ошибки 404, через пару минут – снова приглашение на португальском, потом тестовая страница web-сервера. Для тревоги хватило и первого, а остальное лишь добавило!

Попробовал потрейсить (tracert www.facebook.com) – пакеты пошли к 200.98.136.23
Странно! Проверил принадлежность 200.98.136.23 – Бразилия, даже послышались крики обезьян…
Реальный facebook.com отзывается не на один IP, но все они принадлежат ЕГО же сетям.
Шаг следующий – nslookup
Обращение без указания сервера выдает сервером модем и подставляет 200.98.136.23
Попытался указывать другие DNS-сервера – получал совершенно другие IP.
Проверил модификации файла hosts – очень антикварные модификации, упоминаний facebook нет!
Выводы – параметры настроек ip выдает в домашнюю сеть модем, роутер обеспечивает присвоение ip-адресов непосредственно участникам сети и ПЕРЕДАЕТ настройки DNS-серверов от модема. Практически, уже было понятно, что или проблема в самом модеме, или модем транслирует настройки от провайдера.
До выяснений причин, выставил настройки на публичные Google DNS-сервера на домашнем компьютере, на роутере. Сбросил dns-кэш (ipconfig /flushdns). Вечером продолжил разбираться….
Модем предоставлен провайдером, выдается в «закрытом виде» — с установленными настройками и закрыт на логин/пароль. Естественно, ни о каком варианте специфических логинов и паролей для каждого устройства речь не идет – все закрыты на совершенно стандартную пару! Так что, совершенно не удивлюсь, если случаи подмены настроек DNS-серверов в других модемах провайдера будут повторяться. Например, в моем модеме оказались установки на совершенно «левый» DNS-сервер — 95.143.41.59 – никакого отношения к моему провайдеру не имеет!
Увы, логирование в модеме было отключено, да и я пока включать не стал. Как не стал пока менять логин и пароль на доступ к модему – жизнь с этим провайдером требует периодических обращений к support(((
Посмотрим, как дальше будет.

Ну а для тех, кто дочитал до этого места, сообщаю, под словом «провайдер» скрывается Silknet.
Но все описанное может быть спокойно применено к любому из провайдеров, которые выдают во временное использование клиентам свое настроенное оборудование и устанавливают на этом оборудовании стандартную для компании пару логин/пароль. Вторым обязательным условием является наличие на модеме реального IP – что бывает не часто, обычно внутри сети провайдера выходной точке клиента присваивается IP из private address block.
В любом случае, будьте внимательны. Подмена оригинальных страниц подделками, перенаправление не шифрованного потока через контролируемый прокси используется лишь для одного – узнать те ваши данные, которыми вы добровольно делиться не желаете – логины, пароли, платежная информация.

Комментарии

  1. greg:

    1. поменять пароль на роутере. Если стандартный пароль не подходит, значит выяснить у провайдера не требует ли настройки модем после резета и зарезетить, после чего поставить свой пароль и благополучно его забыть)). Если же требуется последующая настройка, сделать это можно по телефону или вызвать на дом.
    2. Отключить DHCP сервер на роутере, все ip и dns прописать домашних девайсах ручками.
    3. перейти на оптику. на чью, намекать не буду а то получится реклама)
    в этом случае домашняя сеть или роутер будет получать все настройки непосредсвенно с провайдера.

    1. 1. Пока не буду — писал, иногда требуется их support.
      2. Еще до разбирательства с модемом, прописал везде публичные google dns — 8.8.4.4 & 8.8.8.8 — кстати, об этом в публикации есть.
      3. Лень. Но об этом думаю уже минимум полгода.

    2. т.е. я правильно понял что Силкнетовская оптика (WiFi, WPA2) защищена лучше от таких атак?

      1. У меня нет информации о том закрывают ли они своё оборудование которое ставят на стороне клиента стандартными паролями. Более того, даже не знаю ставят ли свою технику! На DSL — ставят, пароль у всех один. В комментариях на ЖЖ к этой публикации прошла информация, что когда-то и СО ставил стандартные пароли, но потом перешел на индивидуальные.

        1. Gogi Dolidze:

          Силкнет просто достал: сил никаких нету.
          Перенастроить модем DSL провайдер не дает,
          всё управление — только по звонку оператору на 2100100, который там, со своей стороны, что-то настраивает по своему усмотрению.
          Связь обрывается постоянно. Ругаться бесполезно.
          После того, как поругаешься, интернет становится стабильным на пару дней, а потом — всё начинается снова.
          Обидно ужасно. За меньшие деньги в Петербурге провайдер tvoe.tv дает реальный живой трафик в ДЕСЯТКИ, а то и в СОТНИ раз больше.
          К примеру, начал скачивать сериал в Питере за 12 долларов в месяц, скорость была 700 кБит/сек.
          Продолжаю здесь, в Тбилиси: скорость 5-7 кБит/сек. То есть в сто раз ниже.
          Если это — не воровство и обман, то что же?
          Нищая страна, но цены выше.
          По законам экономики, это — признак отсутствия конкуренции, возникающего под прикрытием коррумпированной власти.

          1. Со скоростью что-то не внятное — если начинаю качать что-то большое и с надежного источника, канал забивает на полную скорость! Как и предполагается в пакете. Но, браузинг идет как-то дебильненько и не угадаешь в какой момент тормоза начнутся.
            В настройках модема кто-то неоднократно выставлял левые настройки по dns — надоело, сменил стандартные пароли на свои и хоть этот вопрос снял с повестки дня.