Uwaga! Poniższy problem dotyczy wszystkich polskich dostawców internetu, a nie tylko Orange i posiadaczy modemów ADSL! TL;DR: trwają masowe ataki na posiadaczy routerów wifi, jak na razie tylko Orange zareagowało.
Sprawdź z jakich DNS-ów korzystasz i upewnij się, że nie są to: 5.45.75.36 i 5.45.75.11 lub 95.211.241.94 i 95.211.205.5
Dziś wielu Polaków posiadających internet od Orange (TP SA) miało “problem z dostępem do internetu”. Tę odważną decyzję o nałożeniu blokady podjął dział bezpieczeństwa Orange. I bardzo dobrze. Ci klienci, którzy zostali “odcięci” są bowiem zhackowani — ktoś, włamał im się na routery Wi-Fi za pomocą opisywanej przez nas ostatnio poważnej dziury i podmienił DNS-y na takie, które przekierowują na fałszywe strony banków. Kilka dni temu opisaliśmy historię jednej z ofiar, która w ten sposób straciła 16 000 PLN. Ale potencjalnych ofiar w Polsce może być aż milion! i zwłaszcza ci, którzy nie mają internetu od Orange są obecnie narażeni na ataki.
TP SA (Orange) blokuje “zhackowane” modemy
Jak pisze jeden z naszych czytelników:
Tak naprawdę Orange wcale nie blokuje konkretnych klientów, a po prostu wycięło routing wyłącznie do adresów IP, pod którymi przestępcy postawili fałszywe serwery DNS. Dzięki temu, żadne oprogramowanie na komputerze klienta (np. przeglądarka internetowa) nie będzie w stanie rozwiązywać nazw domenowych, jeśli klient korzysta ze złośliwych DNS-ów. Dla większości przeciętnych użytkowników te symptomy są oczywiście równoznaczne z “brakiem internetu”, chociaż nie jest to prawda.
Warto tu nadmienić, że działania Orange chronią tylko klientów Orange. Na chwilę obecną nic nam nie wiadomo, aby inni operatorzy także zdecydowali się na zablokowanie dostępu do adresów IP fałszywch DNS-ów ze swojej sieci.
Lista fałszywych DNS-ów — sprawdź, czy z nich korzystasz
Oto lista wszystkich znanych nam, fałszywych DNS-ów, które pojawiają się na “zhackowanych” roterach:
5.45.75.36
5.45.75.11
95.211.241.94
95.211.205.5
95.211.156.101
37.252.127.83
Jeśli zaobserwowaliście inne fałszywe DNS-y, dajcie znać.
Jak sprawdzić, z jakiego DNS-a korzystam? Jeśli korzystasz z systemu Windows, wydaj polecenie:
Jeśli korzystasz z systemu Linux bądź Mac OS X, wydaj polecenie w konsoli:
Cholera, mam te DNS-y, co teraz? Jak się zabezpieczyć?
W przypadku, w którym zauważycie wspomniane wyżej adresy IP złośliwych DNS-ów, wykonajcie następujące kroki:
Zalogujcie się na swój router Wi-Fi, albo powiadomcie jego właściciela (jeśli przebywacie w nie swojej sieci). Jeśli standardowa kombinacja admin/admin nie działa, spróbujcie hasła biyshs9eq, jeśli to nie pomoże, wykonacie reset do ustawień fabrycznych.
Przejdźcie do zakładki konfigurującej serwer DNS (ekran konfiguracji WAN oraz ekran konfiguracji DHCP na LAN) i skasujcie złośliwe DNS-y (możecie zastąpić je tymi: 8.8.8.8 i 8.8.4.4)
Wyłączcie dostęp do panelu zarządzania routerem od strony Internetu (w każdym routerze wygląda to troszeczke inaczej, najlepiej sprawdzić w instrukcji obsługi waszego modelu)
To powyżej to absolutne minimum, ale można zrobić więcej, aby być bezpiecznym — szczegółowo opisaliśmy to w artykule sprzed kilku dni pt. “Stracił 16 000 PLN bo miał dziurawy router (tak jak prawie 1,2 miliona Polaków)”. Tam też znajdziecie szczegółowo opisany mechanizm ataku i skutki, jakie może wywołać.
Użytkownik
