Journal Un virus redirige les requête DNS, les ordinateurs Belges scannés par l'état ?

Posté par  . Licence CC By‑SA.
Étiquettes :
4
15
fév.
2012

Cher toi,

depuis hier je vois fleurir partout dans ce plat pays qui est le mien des alertes journalistiques concernant le débranchement au 7 mars du serveur DNS que le F-Bi-Aïl Etats-Uniens avait mis en place pour contrer un serveur Estonien de publicité.

Ces mêmes rapports journaleux invitent "chaque utilisateur d'un ordinateur" à aller faire scanner gentiment son Windows ordinateur sur le site www.dns-ok.be.

Voici le fond de ce journal: la parano du flicage/censure/monitoring. Quelqu'un ici sait-il confirmer et prouver ce que fait réellement ce site web ? Il scanne le disque dur je suppose... et il fait quoi de tout ca ?

http://www.rtbf.be/info/medias/detail_un-virus-pourrait-toucher-votre-ordinateur-a-partir-du-7-mars?id=7564193

  • # </parano>

    Posté par  . Évalué à 4.

    Je suppose que tout se fait via le DNS... t'es infecté, le serveur DNS te donnera telle ip, t'es pas infecté, il te donnera une autre ip.
    En fonction, le serveur web derrière cette adresse ip te donnera la page qui te dit que t'es infecté ou l'autre.

    Pour info, y'a pas une once de javascript derrière la page des non infectés...

    • [^] # Re: </parano>

      Posté par  . Évalué à 1.

      Et comment ils ont pu ajouter un enregistrement pour www.dns-ok.be. vers la mauvaise IP sur le DNS "pirate" ?

      • [^] # Re: </parano>

        Posté par  . Évalué à 10.

        Là est toute l'astuce, ils ont demandé à anonysouris de pirater la machine de la copine d'un des gars de la boite. Celle-ci avait trop bien protégé sa machine, ils ont du faire un barrel roll pour la prendre par surprise et la filmer en train de taper son mot de passe...
        Par contre, là où ça coinçait, car ils avaient oublié une chose, c'est que le mot de passe ne s'affichait pas à l'écran. Après plusieurs heures d'analyse du son de la frappe, ils ont peu retrouver les caractères.

        Ensuite, ils ont eu la très bonne idée de tester ce mot de passe sur la plupart des serveurs de la boite. Et oui, "calimero" était le mot de passe d'un serveur Windaube 2k8 r32 que le petit copain avait eu idée de mettre sur le même réseau que son NAS avec tout ses flims sur le cyclimse (ou pas). Et par chance, dans un des divx rippés (car ils possédait bien sur les originaux), il y avait à l'arrière d'un scène un écran PC avec l'adresse du serveur DNS.

        Là, un jeu d'enfant vu qu'ils ont accès à l'iphone du gars, ils n'ont plus eu qu'à utiliser ce dernier pour se connecter au VPN où se trouvait le serveur DNS. Après une bonne semaine de sniffing et de mouchage, ils pu enfin avoir le mot de passe du serveur DNS. Etant une machine ubuntu desktop, ils ont du trouver le login. Le bruteforce a été utile dans ce cas-ci. Un gentil "dns:test" a finalement été trouvé.

        Après, l'histoire est un peu floue. On peut supposer qu'ils se sont appropriés les IP pour mettre en place un serveur DNS chez eux.

  • # espèce de parano !

    Posté par  . Évalué à -1.

    Mouarf...

    désolé, moinssez et faites disparaitre ce journal :)

    j'ai fini par y aller sur ce site, histoire de voir quand meme ce qu'il s'y passe...

    mode réflexion perso je pense que je suis effectivement parano

    L'acacia acajou de l'académie acoustique est acquitté de ses acrobaties. Tout le reste prend "acc".

    • [^] # Re: espèce de parano !

      Posté par  . Évalué à 8.

      la question n'est pas de savoir si on est parano ou pas mais de savoir si la paranoïa nous sauvera !

      :D

  • # En réalité, c'est tout simple...

    Posté par  . Évalué à 4. Dernière modification le 15 février 2012 à 11:09.

    Avec un mauvais serveur:

    Using domain server:
Name: 85.255.112.1
Address: 85.255.112.1#53
Aliases: 

dns-ok.be has address 193.190.192.222
dns-ok.be has IPv6 address 2001:6a8:3c80::222

    Avec un bon:

    dns-ok.be has address 193.190.198.221
dns-ok.be has IPv6 address 2001:6a8:3c80::221

    Il suffit d'aller sur les adresses ip pour voir la différence. (notons qu'ils ont même pensé au gens comme moi ayant de l'IPv6)

    • [^] # Re: En réalité, c'est tout simple...

      Posté par  . Évalué à 1.

      Aurais tu tapé les adresses à la main ? :)

      193.190.198.222 pour les infectés.

      • [^] # Re: En réalité, c'est tout simple...

        Posté par  . Évalué à 1.

        C'est ce que le serveur répond (en effet, cela ne marche pas avec cette adresse), une erreur des belges ou du FBI?

        $ dig @85.255.112.1 www.dns-ok.be             

; <<>> DiG 9.8.1 <<>> @85.255.112.1 www.dns-ok.be
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29814
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;www.dns-ok.be.         IN  A

;; ANSWER SECTION:
www.dns-ok.be.      30  IN  A   193.190.192.222

;; AUTHORITY SECTION:
rpz.dcwg.org.       30  IN  NS  localhost.

;; ADDITIONAL SECTION:
localhost.      3600    IN  A   127.0.0.1

;; Query time: 100 msec
;; SERVER: 85.255.112.1#53(85.255.112.1)
;; WHEN: Wed Feb 15 11:18:31 2012
;; MSG SIZE  rcvd: 98

        La version suisse (dns-check.ch) fonctionne correctement par contre.

  • # Moarf.

    Posté par  . Évalué à 7.

    J'adore les explications du CERT.be. Pour eux, "ordinateur" = "PC sous Windows" :

    http://dns-ok.be/dnschanger_fr.html

    En effet, le virus "DNSChanger" visait uniquement les ordinateurs (et donc pas les smartphones, tablettes ou équivalent).

    THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

    • [^] # Re: Moarf.

      Posté par  . Évalué à 2.

      Apparemment, OSX aussi si j'en crois les informations pour supprimer le malware.

      http://193.190.198.222/#remediation_fr

      On écrit où pour leur demander de changer ordinateur par ordinateur sous Windows et OSX ?

    • [^] # Re: Moarf.

      Posté par  (site web personnel) . Évalué à 2.

      Le CERT.be précise toutefois que les tablettes et les smartphones ne sont pas concernés par le virus.

      En fait si...
      D'après [1], le virus se connecte à l'interface de configuration du routeur wifi (en essayant les mots de passe par défauts) pour y changer le DNS au niveaux du DHCP.
      Donc, si la tablette se connecte à un routeur qu'un ordinateur windows infecté a réussi à change, celle-ci est concernée.

      [1] Source: http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

      • [^] # Re: Moarf.

        Posté par  . Évalué à 2.

        Dans ce cas, c'est temporaire et limité à un certain nombre de routeurs je présume ?

        • [^] # Re: Moarf.

          Posté par  (site web personnel) . Évalué à 1.

          Pourquoi temporaire?

          Mais oui, limité aux routeurs connus du virus et dont le mot de passe est sufisament faible.

          • [^] # Re: Moarf.

            Posté par  . Évalué à 2.

            Parce qu'il me semble que la plupart des routeurs que je connais fonctionnent obligatoirement en DHCP, mais j'avoue ne jamais avoir creusé plus loin... et j'suis peut-être même complètement à côté de la plaque. J'ai plus chipoté avec ces petites bestioles depuis un bon bout de temps.

            • [^] # Re: Moarf.

              Posté par  . Évalué à 3.

              J'aime bien les solutions Warrior.
              J'ai pris la liste des adresses. J'ai tout blacklisté dans mon iptables

              iptables -A FORWARD -d 64.28.176.0/20 -j alert-drop-and-log-it
              iptables -A FORWARD -d 85.255.112.0/20 -j alert-drop-and-log-it
              iptables -A FORWARD -d 67.210.0.0/20 -j alert-drop-and-log-it
              iptables -A FORWARD -d 93.188.160.0/21 -j alert-drop-and-log-it
              iptables -A FORWARD -d 77.67.0.0/17 -j alert-drop-and-log-it
              iptables -A FORWARD -d 213.109.64.0/21 -j alert-drop-and-log-it
              iptables -A FORWARD -d 64.28.176.0/20 -j alert-drop-and-log-it

              On verra bien si une de mes machines tente d'accéder à un de ces réseaux :)

          • [^] # Re: Moarf.

            Posté par  . Évalué à 2.

            Temporaire pour certains. Moi par exemple, j'ai une livebox chez moi.

            (quand la livebox redémarre toute seul pour faire une mise à jour, la plupart du temps elle revient aux paramètres d'usines, donc au final, obligé d'avoir le mot de passe d'admin par défaut (à moins de le changer toutes les 2 semaines) et pas moyen d'avoir une DMZ ou autre configuré de manière permanente.

      • [^] # Re: Moarf.

        Posté par  . Évalué à 2.

        Un article sur Zdnet.fr :http://www.zdnet.fr/blogs/securite-cybercriminalite/dns-okfr-verifiez-maintenant-si-vous-etes-infectes-par-dnschanger-39768620.htm

        En fait, le réseau serait démanteler depuis le 9 novembre.

  • # Sur une Livebox mini

    Posté par  . Évalué à 2.

    Je me suis toujours méfié des Box.

    J'ai eu plusieurs fois des comportement étrange avec une Livebox mini.

    Et dès fois (très rarement) genre 2 ou 3 fois en 3 ans, le serveur DNS se plante. Jusqu'à ce que je reset factory de la box, je suis obligé d'utiliser un serveur DNS externe à la main genre 8.8.8.8 pour avoir une connexion internet qui fonctionne.

    Peut être que c'est un défaut de la box: mémoire permanente hs, crash suite à une coupure...

    PS:Juste pour préciser, j'ai changé le mot de passe par défaut depuis le début. J'ai vérifié que Upnp n'était pas actif.

    • [^] # Re: Sur une Livebox mini

      Posté par  . Évalué à 2.

      Interessant : j'ai exactement les mêmes symptomes à la maison actuellement (LiveBox 2).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.