Amazon sigue pidiendo información de inicio de sesión / cc a través de una página no segura - ¿Secuestro de DNS?

Navega tus respuestas
4

Todas mis computadoras en la casa no se conectarán a Amazon.com, pero sí algunas páginas de inicio de sesión de Amazon no seguras (http). Esta es la segunda vez que tengo este problema. La primera vez que lo resolví cambiando mis servidores DNS a Goggle's DNS (8.8.8.8 y 8.8.4.4). Los revisé esta noche y uno al azar fue el primero, mientras que 8.8.8.8 fue el segundo. Los reinicié a Google, pero todavía recibo esta página de inicio de sesión falsa. Todos los enlaces que presiona simplemente actualizan la misma página (como la Política de privacidad, la Ayuda, etc.)

Mi enrutador es un Asus RT-N66R con el último firmware. Si utilizo las herramientas de red para hacer ping a amazon.com, todos los paquetes se pierden. Si uso mi computadora portátil, recibo respuestas de www.amazon.com, pero no de amazon.com

Usé comprobador de enrutadores de F-Secure y muestra que todo está bien, tanto cuando uso el DNS de Google y cuando lo configuro en automático y uso mi ISP (Comcast). Estoy en el final de mi ingenio en cuanto a WTF está en marcha. ¡Por favor ayúdame!

[EDITAR] Usé los servidores DNS de Google y reinicié el enrutador. Todo está bien ahora, pero me encantaría saber qué diablos ha estado pasando.

    
pregunta merlot 22.11.2015 - 00:59
fuente

2 respuestas

4

Según sus detalles, algo está alterando la configuración del DNS y, dado que afecta a toda la red, probablemente sea el enrutador. Además, el hecho de que la primera dirección DNS en el enrutador fuera algo que no configuraste indica un ataque contra el enrutador.

  

Utilicé el verificador de enrutadores de F-Secure y muestra que todo está bien

No tengo ni idea de lo que realmente hace la comprobación del enrutador, pero desde un breve vistazo sugeriría que busque varios hosts aleatorios dentro del dominio ismydnshijacked.com. El servidor DNS probablemente verificará de dónde provienen estas búsquedas. Pero si esto es realmente todo, entonces un atacante podría configurar su propio servidor DNS (y configurar su enrutador para que lo use), que luego resuelve estos dominios utilizando los servidores DNS públicos de google. En este caso, todo se verá bien porque la búsqueda de DNS provino de un servidor DNS confiable.

En la medida en que estoy seguro de que este verificador de enrutadores podría engañarse fácilmente para creer que todo está bien y se sabe que los atacantes se aseguran de que sus ataques no sean detectados por soluciones de seguridad conocidas.

  

[EDITAR] Usé los servidores DNS de Google y reinicié el enrutador. Todo está bien ahora, pero me encantaría saber qué diablos ha estado pasando.

De nuevo, esto indica un ataque contra tu enrutador. Según su descripción, el enrutador es Asus RT-N66R, que solo basado en una búsqueda de Google tiene un historial malo que contiene varias posibles vulnerabilidades. Parece que se realizaron correcciones en 06/2015 para reducir la superficie de ataque ("Se mejoró la fuerza de autenticación de inicio de sesión y se solucionaron los problemas relacionados con CSRF"), pero hay un firmware de 2015/11/06 que de nuevo realiza correcciones en esta área ( "Se modificó el mecanismo de protección de fuerza bruta en la página de inicio de sesión del enrutador" y se corrigieron varios desbordamientos de búfer).

Por lo tanto, sugiero que su enrutador no se encuentre en el último firmware

    
respondido por el Steffen Ullrich 22.11.2015 - 08:17
fuente
0

Algunas cosas que vale la pena considerar:

  1. Cambia la contraseña administrativa de tu enrutador a algo aleatorio. Lo ideal es hacerlo desde una computadora / teléfono inteligente si es posible. No inicie sesión en el enrutador desde ninguna de sus computadoras comprometidas y no guarde la contraseña
  2. Configure su enrutador para que la administración remota no esté habilitada
  3. Asegúrese de que el TR-069 no esté habilitado

Espere y vea si esto sucede otra vez.

    
respondido por el lorenzog 22.11.2015 - 13:09
fuente

Lea otras preguntas en las etiquetas

¿Por qué un certificado SSL hecho por sí mismo no puede tener una firma falsa? [duplicar] ¿Necesita DNSSEC si usa HSTS? [duplicar]