W ostatnich dniach zaobserwowaliśmy wzmożoną liczbę włamań na routery ADSL – czyli te służące do połączenia internetowego np. w Netii lub Orange (usługa Neostrada). Atak polega na podmianie adresów DNS, przez co po wejściu na stronę internetową np. google.pl użytkownik zostawał przekierowywany na zupełnie inną inną spreparowaną stronę, zachęcającą do kliknięcia w przycisk i pobrania na swój komputer bliżej nieznanego programu (możliwe, że jakiegoś wirusa, malware… etc.).
[tm_message] DNS (ang. Domain Names System) – to specjalny system, który „tłumaczy” trudne do zapamiętania adresy IP stron www, na przyjemne dla człowieka ciągi znaków. Dla przykładu na stronę google.pl możemy wejść wpisując w okno przeglądarki adres 176.126.59.95 ale nie musimy bo jest DNS[/tm_message]
Poniżej przykład takiej strony. W przeglądarce wyświetla się komunikat zachęcający zmuszający do zaktualizowania Flash Playera. Gdyż nie możliwe jest normalne przeglądanie strony.
Warning! Your Flash Player may be out of date. Please update to continue
Po naciśnięciu przycisku OK użytkownik zostaje przekierowany na tą stronę:
Update Your Flash Player
Naciśnięcie zarówno przycisku Install jak i Remind me later spowoduje pobranie na komputer pliku setup.exe, którego wątpliwe pochodzenie alarmuje nawet darmowy program antywirusowy Avast.
Wracając do adresów DNS…
Domyślnie adresy DNS automatycznie dostarczane są przez operatora. Można jednak używać własnych, wtedy te przydzielone przez ISP zostają pominięte.
Szybki rzut oka na ustawienia karty sieciowej komputera. W tym celu należy wejść w Panel sterowania -> Sieć i Internet -> Połączenia sieciowe -> i na połączeniu z którego korzystamy (w moim przypadku Połączenie lokalne ) klepiemy PPM – prawym przyciskiem myszy i wybieramy właściwości. Następnie zaznaczamy Protokół internetowy w wersji 4 (TCP/IPv4) i naciskamy Właściwości
Ustawienia wydają się być prawidłowe. O czym jeszcze w dalszej części wpisu… Wiemy natomiast, że to nie jest problem komputera.
W następnym kroku sprawdzamy ustawienia Routera. Tutaj w zależności od producenta, sposób logowania będzie różny.
W zakładce Interface Setup -> LAN w sekcji DNS wyraźnie widać, że pola z adresami DNS zostały wypełnione wartościami:
- 37.59.8.25
- 178.33.118.171
Rozwiązanie problemu
W celu rozwiązania problemu należy usunąć te adresy ustawiając Use Auto Discovered DNS Server Only
lub wpisując inne zaufane adresy DNS np. dostarczane przez Google:
- 8.8.8.8
- 8.8.4.4
Można też ustawić statyczne adresy w ustawieniach kart sieciowej w komputerze.
Następnie zmień domyślne hasło do routera. Na koniec zablokuj dostęp do panelu zarządzania routerem od strony Internetu
Czy Twój router mogą przejąć cyber – przestępcy?
Jeśli chcesz sprawdzić, czy Twój router jest podatny na atak, pozwalający na przejęcie nad nim kontroli przetestuj go za pomocą narzędzia dostarczonego przez zespół CERT firmy Orange. Sprawdzi ono, czy konfiguracja urządzenia jest odporna na opisywany atak, a także, czy Twój router jest zabezpieczony hasłem innym, niż standardowe.
[tm_warning] Uwaga: Podczas testu Twój komputer/tablet/telefon musi być podłączony do sieci, w której znajduje się testowany modem. Test mogą wykonać abonenci każdego dostawcy usług internetowych (nie jest ograniczony do Klientów usług Orange Polska). [/tm_warning]
W tym celu naciśnij przycisk skanuj.
PS. Właściwa strona Adobe Flash Player dostępna jest pod adresem http://get.adobe.com/pl/flashplayer/ i wygląda ona mniej więcej tak.
Więc jeśli zauważysz jakąś znaczną różnicę to wiedz, że coś się dzieje…
Routery oferowane przez nas nie są zagrożone. Dbamy o stałą aktualizację ich oprogramowania. Abonenci, którzy korzystają z własnych routerów, spoza oferty operatora, mogą sprawdzić ich podatność na ataki dzięki przygotowanemu przez nas testowi dostępnemu na stronie http://cert.orange.pl/modemscan/. Zachęcamy do wypróbowania tego narzędzia.
cert.orange.pl
Dzięki wielkie okazało się, że mam ten sam typ rutera i teraz wszystko śmiga jak powinno !!