Aolynk DR814Q comprometido

pplucky · Registo: 22 Nov 2005 Mensagens: 17

Boa noite.

No seguimento de 1 ataque de malware a 1 dos pcs ligados em rede ao meu router Asus WL-500gP V2, que por sua vez está em bridge com o meu modem Aolynk DR814Q, estou com a noção que o meu modem está comprometido.

Estou a receber informações do Symantec Endpoint Protection (em todos os pcs que ligo à rede), que o meu pc está a sofrer ataques de Denial of Service, Port Scan às portas UDP...

Como já reiniciei as configurações de fábrica do router Asus e lhe mudei as passwords de acesso (até aproveitei e fiz-lhe 1 upgrade para o firmware + recente), suponho que o problema não pode estar por aí. Assim, por exclusão de partes, resta-me o Aolynk DR814Q.

Acham possível que alguma coisa tenha sido alterada na configuração do modem e que possa estar a permitir estes ataques? Acham que colocar as definições de fábrica no Aolynk pode resolver o problema?

Com apenas a porta LAN-4 em bridge mode, se eu me ligar a uma das outras portas LAN por cabo, devo conseguir aceder à configuração do Aolynk, certo?
Há alguma forma de saber qual é o IP actual do modem, ligado desta forma?

Obrigado por toda a ajuda.

AdSense · Colocada: 12 Jul 2010 19:37 Assunto: Anúncios Google AdSense

Lusitano · Colocada: 13 Jul 2010 12:32 Assunto:

Não se pode fiar no que diz o Symantec Endpoint Protection. De qualquer forma o Aolynk de origem é um router com diversos problemas de segurança. O meu conselho é que alteres imediatamente a password de admin e de user, bem como a password de acesso Clix.

pplucky · Registo: 22 Nov 2005 Mensagens: 17

Lusitano · Colocada: 14 Jul 2010 11:48 Assunto:

NARS · Colocada: 15 Jul 2010 08:53 Assunto:

Se o Aolynk está mesmo em bridge, com um pvc configurado na pag. LAN/PVC como 0/35 e associado a uma porta ethernet especifica, porta essa que liga à porta WAN do router e o router faz o trabalho de estabelecer a ligação pppoe, nesse caso não existem problemas com os "buracos" que o Aolynk tem, porque através dessa porta ethernet não será possível aceder à configuração do Aolynk.

Seria mais provável o router estar comprometido, mas até isso duvido um bocado... teria que ser algo especifico para afectar esse router especifico... a porta em questão onde estão a entrar as tentativas de ataque não estará mesmo "aberta para o pc" para algum serviço que seja necessária? ou até algum software/malware poderá te-la aberto por upnp...

john3voltas · Registo: 01 Abr 2007 Mensagens: 444

epá nesse pc fazia já um shields up no site do palerma do gibson.
Vai ao site do gibson em http://www.grc.com/default.htm
Nessa página procura a palavra Shields que vais encontrar na secção Hot Spots.
Clicka nesse link do Shields UP!.
Na página seguinte vais encontrar uma espécia de license agreement com o IP do teu PC e um botão ao meio que diz 'proceed'.
Clicka em proceed.
Nova página, clicka em all service ports.
A seguir faz-te um teste às portas.
Se tens firewall no PC, vai dar-te 1055 avisos que estás a ser atacado/scaneado.
Não é grave, deixa seguir até ao fim.
Essas portas têm que dar todas verdes com excepção das que abriste para jogos ou serviços a correrem no PC.
Depois diz qq coisa.

pplucky · Registo: 22 Nov 2005 Mensagens: 17

NARS · Colocada: 27 Jul 2010 03:05 Assunto:

Se ao desligar o upnp o problema desaparece é porque algo no pc usando upnp pediu ao router para abrir essas portas, e ele abriu... agora o que foi esse algo no pc... pode ter sido muita coisa...