¿Mi ISP aloja malware o ha sufrido una toma de control de subdominio, o mi enrutador está comprometido?

4

Soy nuevo en este tema de netsec pero quería preguntarme una opinión sobre lo que está pasando aquí.

He estado haciendo un poco de desarrollo web y he estado usando Codekit durante años, pero recientemente noté que el servidor http incorporado (que se basa en mDNS / Bonjour) estaba reemplazando el nombre de computadora genuino con un nombre de dominio que está vinculado a mi ISP (telenet.be).

Cuando navegué a la url (al principio por accidente ya que así fue como descubrí el problema), fue bloqueado por safari por ser inseguro. Lo comprobé con el informe de transparencia de Google y también confirmé que no era seguro:

"https://transparencyreport.google.com/safe-browsing/search?url=http:%2F%2Fptr-7t1s6cghydz54g8s3vv.18120a2.ip6.access.telenet.be" 
as well as the subdomain : 
"https://transparencyreport.google.com/safe-browsing/search?url=access.telenet.be"

Me puse en contacto con Codekit, quien confirmó que todo el software lo hace para solicitar el nombre de la computadora. Al usar Wireshark, confirmé que eso era lo que estaba haciendo y que la respuesta fue correcta. Aunque no soy un usuario experto de Wireshark y leer más allá de eso puede dar pistas.

Bryan en Codekit mencionó que creía que a veces los ISP abusan de Bonjour en la red local, y eso podría estar sucediendo aquí. Llegué a la conclusión de que si el enrutador se comportara mal, el informe de Transparencia de Google no lo habría marcado, ya que no estaría al tanto de los problemas de mDNS de LAN.

También he notado otro artefacto. Codekit puede generar un certificado autofirmado para usar https en su servidor http. Cuando estoy desconectado del enrutador, el certificado tiene las entradas esperadas de DNSName cuando se genera. Sin embargo, cuando me conecto al enrutador, cuando codekit genera el certificado, incluye dos nombres DNS adicionales que parecen estar relacionados con el problema:

ptr-7t1s6cghydz54g8s3vv.
ptr-7t1s6cigrgphwg7vz1u.

También intenté conectarme a través de un punto de acceso personal desde el servicio 4G de mi teléfono (es decir, evitando el enrutador) y el problema no se presenta en absoluto. De hecho, lo he intentado tantas veces que estoy seguro de que no es mi Mac el que tiene el problema, ya que probablemente debería ocurrir independientemente de cómo accedo a Internet. Entonces, desde esta perspectiva, creo que tiene algo que ver con el servicio Bonjour de mDNS.

Me puse en contacto con el ISP para pedirles que verifiquen el contenido de su subdominio y los registros de DNS y para verificar que no hayan alojado malware de forma inadvertida y para solicitar un enrutador de reemplazo para realizar una prueba A / B. Al principio me dijeron (no es broma) que reiniciara mi enrutador. Luego dijeron que reemplazarían el enrutador por una tarifa. También debo agregar que el ISP no permite el acceso directo al panel de administración del enrutador, en su lugar, debe ir a través de su sitio web (sí lo dije) para configurar el reenvío de puertos, las contraseñas de red, etc. ...

Después de muchos días de conversaciones y más investigaciones, creo que hay tres escenarios posibles, descritos en el título, pero mis capacidades técnicas sobre cómo lidiar con esto están agotadas. Parece que estoy dando vueltas en círculos con el ISP, o bien saben esto y no están dispuestos a hacer nada al respecto, o simplemente no tienen la experiencia técnica para entender lo que está pasando.

De ahí el post aquí. ¿Alguien puede arrojar algo de luz sobre esto?

    
pregunta T9b 23.12.2017 - 21:18
fuente

1 respuesta

2

Por qué obtienes el dominio extraño

Su ISP le da una IP cuando se conecta a Internet. Existe un tipo de registro DNS que se usa para vincular una IP a un nombre de host (llamado registro PTR, lo que explica por qué los dominios que enumeró todos comienzan con ptr). Si visita este sitio , puede ver su registro PTR actual.

Por qué internet 3G no tiene un nombre de host

Es posible que su 3G IP no tenga un registro PTR.

¿Por qué estos dominios son tratados como maliciosos

Como puede ver en Informe de transparencia , todos los subdominios de ip6.access.telenet.be se consideran maliciosos.

Esto probablemente se deba a que:

  • Alguien en su ISP albergó deliberadamente un sitio malicioso y marcó todo el ISP
  • Alguien en su ISP se infectó con un malware que albergaba un sitio malicioso, causando el mismo efecto

Referencias

respondido por el jrtapsell 28.12.2017 - 21:37
fuente

Lea otras preguntas en las etiquetas