¿El malware está alterando mi ip de destino?

0

Algo extraño está sucediendo con mis solicitudes de Internet y no tengo el conocimiento para saber por qué está sucediendo.

De repente, empecé a ser dirigido a google france cada vez que realizo búsquedas en Internet, así que busqué mi IP y mi ubicación IP para ver dónde estaba Google y me dio cuenta de que mi dirección IP había cambiado, la nueva IP La dirección ahora pertenecía a un servidor en Francia, un servidor de una ISP que no es mi ISP.

Verifiqué la ip de mi enrutador doméstico y la ip del enrutador no coincide con la nueva ip. Tengo dos máquinas con Windows, una con w10 y otra con w7, el problema ocurre en ambas máquinas. También tengo tabletas Android y he comprobado mi IP en estas tabletas y la IP correcta se devuelve con la ubicación correcta y la ISP correcta. todas las tabletas y PC están conectadas a la red local, lo que en teoría debería compartir la misma dirección IP (?).

Descargué Wirehark para poder ver qué se estaba enviando y dónde, y puedo ver que los paquetes se envían y reciben continuamente por la dirección IP del servidor en Francia.

Para confundir las cosas, esta mañana busqué mi ip en ambas PC de nuevo y me devolvieron la ip, la ubicación y el ISP correctos, sin embargo, verifiqué Wirehark y todavía se estaban enviando y recibiendo paquetes a la ip del servidor en Francia.

¿Es posible que algún malware esté enrutando el tráfico a este servidor en Francia y haya infectado mis dos PC a través de la red?

No uso un vpn y no tengo uno configurado. Revisé la configuración de Windows y ninguna estaba siendo usada. He escaneado con avast y malwarebytes y no han encontrado nada. Actualmente estoy ejecutando un escáner de seguridad de microsoft, pero todavía no muestra nada.

Simplemente no puedo entender lo que está pasando, pero nuevamente tengo un conocimiento muy limitado de la seguridad y las redes. ¿Alguien tiene más de una pista? He estado leyendo sobre los ataques Mitm y pensé que esto suena similar.

    
pregunta Robert Brooks 25.11.2017 - 13:29
fuente

1 respuesta

2

He visto que esto sucede en algunas máquinas, con diferentes direcciones IP de destino (la última fue en Texas, de todos los lugares: el servidor real debería haber estado en el norte de Italia, ni siquiera en el mismo continente).

Verifique la configuración de su red y configure manualmente la entrada de DNS en 8.8.8.8 de Google, y vea si esto sigue sucediendo o no.

Lo que sucedió en mis casos fue que algo había secuestrado los enrutadores, gracias al hecho de que los usuarios los habían dejado con acceso remoto habilitado y contraseñas triviales (pero me informan que ( que puede dañar bruscamente la entrada o explotar vulnerabilidades del enrutador), y reprogramar el DNS enviado a través de DHCP a la red interna para que las consultas de DNS se enruten a un servidor no autorizado.

El servidor fraudulento responde a la mayoría de las consultas de DNS con la dirección de otro servidor fraudulento, que luego puede secuestrar todas sus comunicaciones. Correo de Google, sitio de banca en casa, etc. Las conexiones cifradas HTTPS recibirán certificados firmados falsos, lo que puede desencadenar una alerta de seguridad del navegador ... o no, según el navegador.

Revisaría cuidadosamente los inicios de sesión que usaste mientras estabas secuestrado, y consideraría las contraseñas comprometidas.

Si el truco del DNS funciona, es muy probable que su enrutador también esté comprometido; Lo restablecería a la fábrica y lo aseguraría, a menos que ya lo hubiera asegurado cuando lo instaló, en cuyo caso debe ser considerado vulnerable y reemplazado por un nuevo modelo, o su firmware actualizado si es posible. Es posible que desee buscar en Google la marca y el modelo de su enrutador y palabras clave como "vulnerabilidad", "botnet", "CVE".

    
respondido por el LSerni 25.11.2017 - 15:09
fuente

Lea otras preguntas en las etiquetas