No reconozco la dirección de mi servidor DNS: ¿significa esto que estoy en peligro?

8

Estoy usando la distribución de Ubuntu GNOME Linux como mi escritorio. Recientemente, me fue imposible conectarme a Internet con él. Cuando verifiqué su configuración de red, vi que la dirección DNS era 46.161.40.29 .

Cuando busqué esta dirección IP en mi otro escritorio (una máquina con Windows 7), encontré el artículo enlace .

En mi máquina Linux, configuré el servidor de nombres DNS en /etc/resolv.conf a 8.8.8.8 y 8.8.4.4 , y pude acceder a Internet.

Tenga en cuenta que cada vez que reinicio mi máquina, no puedo conectarme a Internet y el archivo DNS ( /etc/resolv.conf ) está en blanco. Mi conexión por cable tampoco se muestra en el administrador de red.

Todavía veo 46.161.40.29 en la configuración de mi conexión por cable:

¿Mi computadora está comprometida? Si es así, ¿qué puede hacer un atacante?

  

Nota: Estoy usando el módem doméstico D-Link DSL-2520u, y la versión del firmware es v1.08. Cuando verifiqué la configuración de mi DNS en la interfaz del módem (192.168.1.1), apuntaba la dirección de DNS principal a 188.42.254.137 y la secundaria a 8.8.8.8.

    
pregunta Dave Mn 25.09.2015 - 16:44
fuente

5 respuestas

23

Definitivamente algo en su entorno ha sido comprometido. Parece más probable que su enrutador haya sido comprometido. No ha proporcionado mucha información, por lo que haré algunas suposiciones básicas:

  • estás en casa
  • Usted está detrás de un enrutador comercial, proporcionado por su ISP
  • No has hecho nada para asegurar tu enrutador
  • Su escritorio Linux es un cliente DHCP del enrutador.

Estos dispositivos a menudo tienen contraseñas predeterminadas que los usuarios nunca cambian y vulnerabilidades críticas de firmware que no se pueden parchar. Como cliente DHCP del enrutador, su escritorio de Linux obtendrá información de DNS como parte de su solicitud de DHCP, por lo que verá el comportamiento que describió anteriormente. La configuración de otros servidores DNS en resolv.conf es solo una solución. Le sugiero que intente iniciar sesión en su enrutador (probablemente @ 192.168.1.1, según su captura de pantalla). Apuesto a que no podrás. Probablemente tendrás que restablecerlo a los valores predeterminados de fábrica y luego iniciar sesión. Querrás protegerlo mejor: actualizar el firmware, cambiar las contraseñas predeterminadas y esperar que sea suficiente.

Para la confirmación sin iniciar sesión en su enrutador, verifique la configuración de DNS en su escritorio de Windows. Si apunta al mismo 46.161.40.29, entonces es muy probable que sea el enrutador.

    
respondido por el Jesse Keilson 25.09.2015 - 17:17
fuente
2

Eche un vistazo a este recurso:
enlace

En resumen, puede estar actualizando /etc/resolv.conf pero Ubuntu lo está reescribiendo en base a otras configuraciones predefinidas. Puede pensar en /etc/resolv.conf como las entradas resultantes que su sistema derivó de las diversas opciones.

Verifique las ubicaciones a las que se hace referencia para las entradas de cabecera / base / cola / interfaces y vea si se han actualizado (podría ser bueno tomar nota de los permisos, la propiedad y la fecha de cambio). Espero que encuentre que uno o todos ellos tienen las entradas de servidor de nombres no deseadas. Actualice el archivo y vuelva a generar el archivo resolv.conf (los pasos en la entrada anterior parecen correctos, pero no perjudicaría la búsqueda de un KB de Ubuntu para verificar el proceso correcto para su versión específica de Ubuntu).

Por último, pero no menos importante ... la actualización de su resolv.conf puede haber sido uno de los cambios en su sistema y otros elementos desagradables pueden estar al acecho. Si fuera yo ... una vez que hubiera asegurado mi red (como parece haber estado observando al establecer una buena contraseña en su enrutador, etc.), volvería a instalar.

Si una reinstalación no es algo para lo que todavía está preparado, al menos cambie todas sus contraseñas (todos los usuarios y root) en el sistema. Si alguien hubiera actualizado resolv.conf, ya habría obtenido acceso de root (a menos que tenga permisos funky solo root o los usuarios con acceso a sudo deberían poder actualizar resolv.conf) y podrían haber capturado fácilmente su archivo de sombra y tener un hash de sus contraseñas .

Esto también podría haber sido autoinfligido ... piense en instalar algo que le haya pedido acceso elevado (sudo) y pensó que estaba haciendo xyz, cuando en realidad estaba haciendo XYZ y es posible que lo haya hecho usted mismo ( a veces, las hazañas no son obra de autores intelectuales criminales, sino más bien hacks de oportunidades).

Buena suerte.

    
respondido por el User4890 25.09.2015 - 20:45
fuente
1

Corrección para el problema de secuestro de DNS en Dlink DSL 2520U. Ir a la interfaz del módem. Haga clic en Avanzar - Gestión remota. En Configuración de administración remota, marque la casilla Habilitar la opción de gestión remota. Deje el puerto de administración remota en el valor predeterminado de 80. Seleccione la opción Denegar todo para el filtro de entrada de administración remota. Las siguientes opciones Detalles automáticamente se convierte en Nadie está permitido. Haga clic en Aplicar configuración y reinicie el módem. El servidor dns nunca será cambiado ahora o secuestrado. Antes de habilitar la administración remota, el servidor dns se secuestraba y cambiaba diariamente o, a veces, en un par de horas y mi rendimiento y velocidad en Internet disminuían hasta que cambiaba el servidor dns manualmente. El servidor dns en mi módem ahora permanece sin cambios desde hace un mes desde que habilité la configuración de administración remota.

    
respondido por el Amit Nath Sharma 14.02.2016 - 05:48
fuente
0

Tuve exactamente el mismo problema. Ejecuto Linux Ubuntu 12.04 / Win Xp (sistema operativo dual) en mi PC y tengo un módem DSL 2520U que compré aquí en la India. Al principio todo estaba bien. Después de unas semanas noté el problema descrito en este hilo. La razón por la que sospeché se debió a la carga lenta de las páginas web a las que normalmente voy y algunas páginas no se cargan en absoluto. Mi ISP recomienda adquirir la configuración de los servidores DNS automáticamente (no la configuración manual). Lo que sucede es que alguien (ya sea un pirata informático o alguien de Internet cambió el código del firmware del módem) ingresa a mi módem, lo cambia a la configuración de DNS manual y pone 2 direcciones como 31.3.XX.YY para DNS primario y secundario. Volvería a automático y cambiaría a manual en 2 horas. Fue frustrante.

Llamé a mi ISP y no pudieron entender por qué. Visité el soporte de Dlink y volví a cargar el firmware (el mismo firmware, bcos que no tenían una actualización) pero el problema persistió. Incluso reformateé mi disco duro y recargué Ubuntu, pero el problema no desapareció. Finalmente, sentí que el módem tiene un error en el firmware y se cambió al módem LAN alámbrico TP-LINK 8816 y el problema se ha solucionado (al menos por ahora). Creo que DLINK 2520u tiene un problema de seguridad que es explotado por algún sitio web que visitamos accidentalmente.

Mi sugerencia es que todos los módems LAN con cable son baratos y que debería cambiar en lugar de perder tiempo. Sé que TP LINK funciona, pero puedes probar Net Gear o incluso Cisco si tienen uno a nivel de usuario.

    
respondido por el rks 17.02.2016 - 14:06
fuente
0

Esa propiedad intelectual está en Rusia, y eso no puede significar nada bueno. Puede intentar desconectar su enrutador, renovar los contratos DHCP y ver qué sucede. Si es solo tu enrutador, entonces no es demasiado serio.

Si no pudo acceder a Internet mientras estaba configurada esta dirección DNS, esto podría significar que el servidor ya estaba desactivado, por lo que podría estar bien.

Todavía sería mejor utilizar una computadora y una red limpias para acceder y cambiar las contraseñas de todos sus servicios en línea.

    
respondido por el user1751825 17.02.2016 - 15:11
fuente

Lea otras preguntas en las etiquetas