Investigando un posible servidor DNS falso (tal vez DNSChanger)

Question

Investigando un posible servidor DNS falso (tal vez DNSChanger)

#1 de TheJulyPlot (1 votos)

4

Uno de los usuarios de nuestra herramienta RouterCheck se quejaba de ventanas emergentes aleatorias que contenían anuncios en español y ruso. Tras una investigación, encontramos que la configuración de DNS en su enrutador se cambió a

93.158.212.36

No tengo conocimiento de que este servidor DNS sea problemático, pero tengo algunas sospechas.

¿Alguien sabe si se sabe que este servidor es malicioso?

Si no, ¿qué se debe hacer para probar si lo es?

Finalmente, si es así, ¿qué sigue? ¿Nos sometemos al CERT?

dns server

pregunta Sander Smith 03.11.2015 - 17:01

fuente

1 respuesta

Lea otras preguntas en las etiquetas dns server

UID firmantes que no pertenecen a una persona RL con nombre completo integridad de mensajes jasypt

score 1 · Accepted Answer

¿Alguien sabe si se sabe que este servidor es malicioso? Si no, que se debe hacer para comprobar si es?

Usar herramientas como la que usaste es una forma de ver si tu DNS ha sido secuestrado, pero no es infalible. En este caso, puede tener un falso positivo ya que la dirección en cuestión es propiedad de serverius . Ofrecen una amplia gama de servicios de red que podrían explicar legítimamente por qué esa IP se estableció como el servidor DNS primario de los enrutadores. Yo investigaría si son proveedores de su organización (o proveedor de red). Existe la posibilidad de que las ventanas emergentes y la configuración del DNS estén desconectadas. (Aunque pueden estar conectados, obviamente no tengo la información para emitir ese juicio).

Finalmente, si es así, ¿qué sigue? ¿Nos sometemos al CERT?

Si la IP estaba siendo utilizada con propósitos maliciosos, podría enviarla a varios grupos para investigar y colocarla en sus listas negras o bases de datos de reputación. Ejemplos de estos grupos son, entre otros, los diversos grupos nacionales del CERT. Obtener acceso a los grupos CERT es diferente según el país en el que se encuentre. El Reino Unido, por ejemplo, permite a los usuarios que pertenecen a diversas organizaciones de la industria y el gobierno para solicitar unirse en línea .

Muchos proveedores, como Symantec y McAfee, también le permiten enviar IP que usted cree que son objeto de investigación, normalmente a través de sus portales de clientes.

La información en estas listas solo es útil si tiene acceso a ella y la utiliza de alguna manera. Incluso entonces las listas negras y las bases de datos de reputación no son una solución mágica, ya que las IP maliciosas son una entidad extremadamente dinámica y es muy fácil de subvertir.

Para investigaciones rápidas, por lo general uso el comprobador de IP del Internet Storm Center y IPVoid que es un meta sitio para muchas listas negras basadas en inteligencia de código abierto y listas de reputación. Esta es una buena manera de averiguar rápidamente si una IP particular es conocida por estar conectada a una actividad maliciosa.