[ tox master @ 16.06.2018. 20:58 ] @
Pozdrav
Pre nekog vremena nakon sti su klinci gledali neke klipove po netu primetim da nema interneta to jest firefox izbacuje neko security obavestenje i sta god da pokusam da otvorim preusmerava na neki drugi sajt sa cudnom adresom.
Prvo sam mislio da su klinci skinuli neki virus sto mi je bilo cudno obzirom da imaju user account podesen na kompu.
Onda primetim da se i preko telefona isto desava,preusmerava na neki levi sajt.
Onda se setim da proverim ruter na kom imam ddwrt kad tamo upisani DNS 192.200.110.108 i 192.200.110.109 sto naravno nije bilo.
Pobrisem te dns,preskeniram racunar za svaki slucaj,nadje nekih sitnih gluposti koje mislim da nemaju veze sa ovim i sve radi.
Promenio sam i user i pass za logovanje na ddwrt na ruteru posto su bili defaultni a na ruteru imam i omogucen pristup sa wan porta na 8080 portu da bi mogao da pristupam ruteru kad nisam kuci.
Port za pristup ruteru izvana sam takodje prebacio sa 8080 na neki random port.

Pitanje je sad kako je doslo do ovoga,jel neko slucajno nabasao na moju ip pa se logovao na ddwrt sa defaultnim loginom ili su klinci nesto ipak skinuli sa neta sto nisam video ili je nesto trece u pitanju?
[ Branimir Maksimovic @ 17.06.2018. 07:08 ] @
Pa sve zavisi koji si pass stavio na ruteru, nadam se da nije bio onaj defualtni ;p
Inace port 8080 je dobro poznat tu non stop pokusavaju.
[ bachi @ 17.06.2018. 09:09 ] @
Čovek napisa: "Promenio sam i user i pass za logovanje na ddwrt na ruteru posto su bili defaultni "
[ Branimir Maksimovic @ 17.06.2018. 09:15 ] @
Ali napisao je i ovo:
"Pitanje je sad kako je doslo do ovoga,jel neko slucajno nabasao na moju ip pa se logovao na ddwrt sa defaultnim loginom ili su klinci nesto ipak skinuli sa neta sto nisam video ili je nesto trece u pitanju? "
[ tox master @ 17.06.2018. 18:00 ] @
Login je bio defaultni
root
admin

Znaci ipak bi moglo biti da je neko spolja pristupio i ubacio svoj dns?
Nisam sad bas siguran ali mislim da su firefox ili eset prijavljivali da na tom preusmerenom sajtu postoji neki miner ali su blokirali pristup.
Jel moguce da neko to sve radi samo da bi uvaljao nekom miner na racunar?
[ Branimir Maksimovic @ 17.06.2018. 18:29 ] @
Ljudi svasta rade da se dokopaju resursa za mineovanje pa tako i ubacivanjem fake dns-a koji preusmerava na sajt gde se uploaduje dati miner.
[ nkrgovic @ 17.06.2018. 20:22 ] @
Ono sto zrtva treba da shvati je: Niko nije namenski busio TVOJ ruter. Ima skript koji napada gomilu rutera, gde udje udje - i napravi sta moze.

Nekad smo to zvali "script kiddies". Slicno i danas, nadju, zavrte, pa ako im uspe.
[ tox master @ 17.06.2018. 20:48 ] @
Pretpostavio sam da je tako nesto u pitanju.
Setio sam se da mi se pre par godina vrlo slicna stvar desila sa nekim netgear ruterom sa fabrickim firmwareom a na kome je isto bio dozvoljen pristup sa wan porta.
Znaci pouka je promeniti default user,pass i port i to bi trebalo biti koliko-toliko bezbedno?
[ nkrgovic @ 17.06.2018. 21:02 ] @
Pouka je, za pocetak, ne pustati NIKAD remote management. Ako ti treba remote management, napravi VPN koji te pusti u internu mrezu a management-u i dalje pustaj pristup samo iznutra.
[ Miroslav Cvejić @ 17.06.2018. 21:59 ] @
Ja sam na svom ruteru slučajno log pogledao i ono na hiljade neuspelih pokušaja logovanja usled pogrešne lozinke. Promenio admin nalog da više nije admin nego nešto neuobičajeno i evo već pola godine ni jedan pokušaj spolja u logu.

Ako već imaš nalog "admin" ostaje im samo da provale šifru.

Inače koristim isti DDNS već 10 godina :)