Zmienione DNSy w routerze: wirus lub włamanie


(kranu) #1

Mam neostradę skonfigurowaną na routerze TP-link TD-W8960N.

Ostatnio przestały mi się otwierać niektóre strony, więc chciałem zobaczyć co się dzieje, ale nie mogę się zalogować na router.

Hasła oczywiście nie zapomniałem. Udało mi się jednak zalogować w trybie usera który ma dostęp do wybranych danych bez możliwości edycji.

Zauważyłem, że router przydziela komputerom w sieci przez DHCP bardzo dziwne zagraniczne DNSy: 184.82.128.138, 94.242.206.150.

Na pewno nie są to Orangowe, ani Googlowskie (8.8.8.8, 8.8.4.4) - a takie osobiście ustawiałem, jestem tego pewien.

Ustawiłem sobie na komputerach ręcznie odpowiednie DNSy i stronki się otwierają, ale tak naprawdę nie wiem co jeszcze mam zmienione w konfiguracji routera i dlaczego.

Włamanie? Nie sądzę, bo po co.. może wirus? są wirusy które atakują routery? Mógł wykorzystać jakąś dziurę w sofcie (aktualnym) routera lub złamać hasło bo nie było trudne.

Ostatecznie zrobię hard reset i od nowa skonfiguruję, ale chciałbym się dowiedzieć co się stało no i trudno mi będzie odtworzyć konfigurację bo mam dużo portów przekierowanych - nie pamiętam już które i na co. Ale coś z tym muszę zrobić bo podmienione DNSy to duża luka bezpieczeństwa, możliwość phishingu itp.


(adam9870) #2

DNSy które podałeś należą do hostnoc.net z USA.

Przejrzyj logi na routerze.

Na przyszłość używaj silnych haseł, używaj KeePassa.


(kranu) #3

Znam ten atak, router jest na niego odporny.