Jump to content

Blokace portů od UPC (scan_mdns)


Recommended Posts

Ahoj,

v pátek mi z ničeho nic přestalo fungovat připojení veřejnou IP od UPC.

Celé připojení se chovlao velice podivně:

* Ze sítě UPC jsem se mohl připojit pouze na web a poslat mail přes SMTP-SSL

* Nemohl jsem se připojit na FTP, OpenVPN, Battle.net a co jsem tak zjišťoval, tak na žádné UDP protokoly

* Z vnější sítě jsem si na veřejnou IP od UPC mohl pouze pingnout, ale nepřipojil jsem se na žádném portu (HTTP, FTP, Remote Desktop, SSH,...)

 

Po zavolání na UPC mi bylo sděleno, že ve středu 17.2.2016 kolem poledne se z mojí veřejné IP šířila infiltrace, kteoru jejich automatický systém identifikovla jako virus scan_mdns. Automatický systém mě odstřuhnul v pátek 19.2.2016 v 10:01. Provedl jsem kontorlu všech PC v síti, NAS serveru i linuxového serveru, který mi tam běží. Nebylo nic nalezeno.

 

V UPC mi službu odblokovali, restartovali mi na dálku modem a vše běželo jak má.

V neděli 20.2.2016 se celá situace opakovala, s tím, že k šíření viru došlo v pátek 18.2.2016 kolem 9:45 (tedy 15 minut před prvním zablokováním).

Technik na lince technické podpory byl velmi ochotný, provedl další odblokování a řekl mi, že se tento problém nějak šíří, ale že nikdo neví, co onen virus scan_mdns je, jaká zařízení napadá a jak se ho zbavit.

 

Bylo mi slíbeno, že až se dozví více informací, tak mi je pošlou mailem, protože technika osobně to velmi zajímalo.

Počítám s tím, že dnes v 10:01 budu opět odstřižen.

 

Je v mém vlastním zájmu, abych měl síť i veškerá zařízení čistá, ale když se o scan_mdns nedá ani nic vygooglit, nemůžu s tím nic dělat.

 

Nesetkal jste se s tímto problémem někdo?

 

Díky.

 

Michal

Link to post
Share on other sites

Stalo se mi to taky a měl jsem zavirovaný pc. Ono ti ten vireček může zdeaktivovat antivir a ani o tom nebudeš vědět. Zkus si v nouzovém režimu projet pc nějakým online antivirákem, případně zkus live distro linuxu a tam to projet.

 

jinak ten scan_mdns bude mít asi něco společného s DNS (https://en.wikipedia.org/wiki/Multicast_DNS) a možná ti to jde nějakým způsobem do vnitřní sítě UPC, těžko říci...

  • Internet 50
  • -
  • -
  • modem technicolor
  • Brno
Link to post
Share on other sites

PC s Win jsem skenoval jak pomocí Windows Defender, který je ve Windows, tak pomocí Malwarebytes. Nejpoužívanější PC (moje) jsem projel i ClamAV s aktuální databází z live distra. Na manželčiným notebooku to nejde, protože má UEFI a protože jde o Pentium Bay-Trail, tak jinu možnost bootu nemá.

 

Zajímavé je, že oba incidenty byly v době, kdy nikdo nebyl doma, takže všechny počítače byly vypnuté.

Jediné co běželo byly mé 2 servery na Debianu a Synology DiskStation. Ty jsou zapnuté 24/7.

 

Ale ani najednom neběžel žádný podezřelý proces. Vytížení CPU bylo na minimu.

 

ClamAV kontrola linuxových strojů je samozřejmostí.

Dneska jsem ještě na všem co má linuxový kernel zakázal Avahi-daemon, což je mDNS a DNS-SD služba.

Mám síť se staticky přiřazenými IP od DHCP, takže Avahi nepotřebuji.

 

K blokaci došlo vždy v 10:01.

 

Zatím blokovaný nejsem. Tak uvidíme.

Link to post
Share on other sites

Z toho popisu mi připadá, že nasadili novou verzi firewallu, která je přecitlivělá na něco normálního (neboli že má bug).

V horším případě by to mohlo znamenat, že se šíří virus co napadá routery :shock: Podle toho, že se to asi týká DNS. Nedávno byl objeven bug v jedné linuxové knihovně, který se dá zneužít vhodně formátovanou DNS odpovědí. http://www.root.cz/clanky/postrehy-z-be ... e-systemy/

  • -
  • -
  • -
  • Cisco EPC3212, Kaon SA700
  • Praha
Link to post
Share on other sites

Můj router je ASUS RT-N16 s ASUSWRT-Merlin. Zablokoval jsem správu routeru po WAN (Pokud tam budu něco chtít upravit vzdáleně, mohu vždy použít VPN).

Koukal jsem, že nemám poslední verzi tohoto custom FW a že můj router již není aktivně podporován. Poslední verze je z 7.2.2015. Na tuto verzi aktualizuji teď o víkendu. Nicméně s vypnutým aiCloud a správou z WAN by se do routeru neměl nikdo dostat.

 

Vypadá to, že možná skutečně firewall UPC měl problém s něčím, co ve skutečnosti není hrozba.

 

Pro jistotu jsem změnil hesla na všech strojích, které jsou dostupné z venčí. Tak snad už to bude v pořádku.

Zatím bloknutý nejsem.

Link to post
Share on other sites

Pozor, u asus routerů to blokování správy zvenčí funguje jen jako pravidlo firewallu, i když je to matoucně umístěno v jiné části menu. Takže pokud v routeru máš nezapnutý firewall, nic se neblokuje.

Taky v těch routerech byla taková blbá chyba, že v errorové stránce prozrazovaly heslo.

(to vše se týká továrního firmware, jak je to s merlinem, to nevím)

https://blog.nic.cz/2015/06/25/jak-jsme ... it-router/

  • -
  • -
  • -
  • Cisco EPC3212, Kaon SA700
  • Praha
Link to post
Share on other sites

Chyba se zobrazováním hesla byla opravena v merlinu dříve než v oficiálním ASUSWRT. Navíc o tomto problému vím, proto jsem používal pro vzdálenou správu https na portu 8443. Všechny porty na routeru, které využíval aiCloud a vzdálená správa mi hláśi, že jsou zavřené. Firewall samozřejmě na routeru zapnutý mám.

 

Každopádně moc děkuji za dobré tipy. :-)

Link to post
Share on other sites

Podobný blokace ze strany UPC se notoricky opakují tak cca po dvou letech. A pokaždý není UPC schopno doložit o co konkrétně šlo (nedají log provozu, byť ho tutově mají), všechno jenom svádí na nějaký viry u uživatele. Takže vždycky dostanou akorát odpověď, že pokud nic nedoloží, tak ať přestanou prudit a odblokují to.

Link to post
Share on other sites

No každopádně technik s ekterým jsme mluvil se tvářil, že ho to zajímá a že mi dá vědět, pokud se dozví co to způsobuje.

 

Ale mám taky tu zkušenost, že nic nepošlou a vše svádí na problém u klienta.

 

Mě zase říkali, že mám nárok na 3 odblokování. Pak musím žádat písemně doporučeným dopisem.

 

Ale technik mě pak informoval, že to je na uvážení technika, protože když vidí, že sám s tím něco chci dělat, ale oni sami neví, čím to je způsobeno, tak me odblokují bez problémů.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...