Cher toi,
depuis hier je vois fleurir partout dans ce plat pays qui est le mien des alertes journalistiques concernant le débranchement au 7 mars du serveur DNS que le F-Bi-Aïl Etats-Uniens avait mis en place pour contrer un serveur Estonien de publicité.
Ces mêmes rapports journaleux invitent "chaque utilisateur d'un ordinateur" à aller faire scanner gentiment son Windows ordinateur sur le site www.dns-ok.be.
Voici le fond de ce journal: la parano du flicage/censure/monitoring. Quelqu'un ici sait-il confirmer et prouver ce que fait réellement ce site web ? Il scanne le disque dur je suppose... et il fait quoi de tout ca ?
http://www.rtbf.be/info/medias/detail_un-virus-pourrait-toucher-votre-ordinateur-a-partir-du-7-mars?id=7564193
# </parano>
Posté par Elfir3 . Évalué à 4.
Je suppose que tout se fait via le DNS... t'es infecté, le serveur DNS te donnera telle ip, t'es pas infecté, il te donnera une autre ip.
En fonction, le serveur web derrière cette adresse ip te donnera la page qui te dit que t'es infecté ou l'autre.
Pour info, y'a pas une once de javascript derrière la page des non infectés...
[^] # Re: </parano>
Posté par Xaapyks . Évalué à 1.
Et comment ils ont pu ajouter un enregistrement pour www.dns-ok.be. vers la mauvaise IP sur le DNS "pirate" ?
[^] # Re: </parano>
Posté par Elfir3 . Évalué à 10.
Là est toute l'astuce, ils ont demandé à anonysouris de pirater la machine de la copine d'un des gars de la boite. Celle-ci avait trop bien protégé sa machine, ils ont du faire un barrel roll pour la prendre par surprise et la filmer en train de taper son mot de passe...
Par contre, là où ça coinçait, car ils avaient oublié une chose, c'est que le mot de passe ne s'affichait pas à l'écran. Après plusieurs heures d'analyse du son de la frappe, ils ont peu retrouver les caractères.
Ensuite, ils ont eu la très bonne idée de tester ce mot de passe sur la plupart des serveurs de la boite. Et oui, "calimero" était le mot de passe d'un serveur Windaube 2k8 r32 que le petit copain avait eu idée de mettre sur le même réseau que son NAS avec tout ses flims sur le cyclimse (ou pas). Et par chance, dans un des divx rippés (car ils possédait bien sur les originaux), il y avait à l'arrière d'un scène un écran PC avec l'adresse du serveur DNS.
Là, un jeu d'enfant vu qu'ils ont accès à l'iphone du gars, ils n'ont plus eu qu'à utiliser ce dernier pour se connecter au VPN où se trouvait le serveur DNS. Après une bonne semaine de sniffing et de mouchage, ils pu enfin avoir le mot de passe du serveur DNS. Etant une machine ubuntu desktop, ils ont du trouver le login. Le bruteforce a été utile dans ce cas-ci. Un gentil "dns:test" a finalement été trouvé.
Après, l'histoire est un peu floue. On peut supposer qu'ils se sont appropriés les IP pour mettre en place un serveur DNS chez eux.
# espèce de parano !
Posté par LeXa1979 . Évalué à -1.
Mouarf...
désolé, moinssez et faites disparaitre ce journal :)
j'ai fini par y aller sur ce site, histoire de voir quand meme ce qu'il s'y passe...
mode réflexion perso je pense que je suis effectivement parano
L'acacia acajou de l'académie acoustique est acquitté de ses acrobaties. Tout le reste prend "acc".
[^] # Re: espèce de parano !
Posté par kuroineko . Évalué à 8.
la question n'est pas de savoir si on est parano ou pas mais de savoir si la paranoïa nous sauvera !
:D
# En réalité, c'est tout simple...
Posté par BlueWhisper . Évalué à 4. Dernière modification le 15 février 2012 à 11:09.
Avec un mauvais serveur:
Avec un bon:
Il suffit d'aller sur les adresses ip pour voir la différence. (notons qu'ils ont même pensé au gens comme moi ayant de l'IPv6)
[^] # Re: En réalité, c'est tout simple...
Posté par Elfir3 . Évalué à 1.
Aurais tu tapé les adresses à la main ? :)
193.190.198.222 pour les infectés.
[^] # Re: En réalité, c'est tout simple...
Posté par BlueWhisper . Évalué à 1.
C'est ce que le serveur répond (en effet, cela ne marche pas avec cette adresse), une erreur des belges ou du FBI?
La version suisse (dns-check.ch) fonctionne correctement par contre.
[^] # Re: En réalité, c'est tout simple...
Posté par Elfir3 . Évalué à -2.
Vu les adresses IP, il y a fort à parier que ce soit ceux qui ont configuré les DNS.
[^] # Re: En réalité, c'est tout simple...
Posté par Elfir3 . Évalué à 1.
J'aimerais comprendre la raison de ce moinssage massif ?
Surtout qu'il s'agit bel et bien d'une erreur de la part du FBI.
# Moarf.
Posté par Grunt . Évalué à 7.
J'adore les explications du CERT.be. Pour eux, "ordinateur" = "PC sous Windows" :
http://dns-ok.be/dnschanger_fr.html
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Moarf.
Posté par Elfir3 . Évalué à 2.
Apparemment, OSX aussi si j'en crois les informations pour supprimer le malware.
http://193.190.198.222/#remediation_fr
On écrit où pour leur demander de changer ordinateur par ordinateur sous Windows et OSX ?
[^] # Re: Moarf.
Posté par Gof (site web personnel) . Évalué à 2.
En fait si...
D'après [1], le virus se connecte à l'interface de configuration du routeur wifi (en essayant les mots de passe par défauts) pour y changer le DNS au niveaux du DHCP.
Donc, si la tablette se connecte à un routeur qu'un ordinateur windows infecté a réussi à change, celle-ci est concernée.
[1] Source: http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf
[^] # Re: Moarf.
Posté par Elfir3 . Évalué à 2.
Dans ce cas, c'est temporaire et limité à un certain nombre de routeurs je présume ?
[^] # Re: Moarf.
Posté par Gof (site web personnel) . Évalué à 1.
Pourquoi temporaire?
Mais oui, limité aux routeurs connus du virus et dont le mot de passe est sufisament faible.
[^] # Re: Moarf.
Posté par Elfir3 . Évalué à 2.
Parce qu'il me semble que la plupart des routeurs que je connais fonctionnent obligatoirement en DHCP, mais j'avoue ne jamais avoir creusé plus loin... et j'suis peut-être même complètement à côté de la plaque. J'ai plus chipoté avec ces petites bestioles depuis un bon bout de temps.
[^] # Re: Moarf.
Posté par syj . Évalué à 3.
J'aime bien les solutions Warrior.
J'ai pris la liste des adresses. J'ai tout blacklisté dans mon iptables
iptables -A FORWARD -d 64.28.176.0/20 -j alert-drop-and-log-it
iptables -A FORWARD -d 85.255.112.0/20 -j alert-drop-and-log-it
iptables -A FORWARD -d 67.210.0.0/20 -j alert-drop-and-log-it
iptables -A FORWARD -d 93.188.160.0/21 -j alert-drop-and-log-it
iptables -A FORWARD -d 77.67.0.0/17 -j alert-drop-and-log-it
iptables -A FORWARD -d 213.109.64.0/21 -j alert-drop-and-log-it
iptables -A FORWARD -d 64.28.176.0/20 -j alert-drop-and-log-it
On verra bien si une de mes machines tente d'accéder à un de ces réseaux :)
[^] # Re: Moarf.
Posté par Sébastien B. . Évalué à 2.
Temporaire pour certains. Moi par exemple, j'ai une livebox chez moi.
(quand la livebox redémarre toute seul pour faire une mise à jour, la plupart du temps elle revient aux paramètres d'usines, donc au final, obligé d'avoir le mot de passe d'admin par défaut (à moins de le changer toutes les 2 semaines) et pas moyen d'avoir une DMZ ou autre configuré de manière permanente.
[^] # Re: Moarf.
Posté par syj . Évalué à 2.
Un article sur Zdnet.fr :http://www.zdnet.fr/blogs/securite-cybercriminalite/dns-okfr-verifiez-maintenant-si-vous-etes-infectes-par-dnschanger-39768620.htm
En fait, le réseau serait démanteler depuis le 9 novembre.
# Sur une Livebox mini
Posté par syj . Évalué à 2.
Je me suis toujours méfié des Box.
J'ai eu plusieurs fois des comportement étrange avec une Livebox mini.
Et dès fois (très rarement) genre 2 ou 3 fois en 3 ans, le serveur DNS se plante. Jusqu'à ce que je reset factory de la box, je suis obligé d'utiliser un serveur DNS externe à la main genre 8.8.8.8 pour avoir une connexion internet qui fonctionne.
Peut être que c'est un défaut de la box: mémoire permanente hs, crash suite à une coupure...
PS:Juste pour préciser, j'ai changé le mot de passe par défaut depuis le début. J'ai vérifié que Upnp n'était pas actif.
[^] # Re: Sur une Livebox mini
Posté par shbrol . Évalué à 2.
Interessant : j'ai exactement les mêmes symptomes à la maison actuellement (LiveBox 2).
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.