Menu principale

DSL-2740R A1: Router ADSL2+ Wireless N 300

Aperto da Carciofone, 06 Novembre 2009, 12:40:54

Pondera

Ottimo! :D

vgf62

Citazione di: Alby il 27 Luglio 2014, 08:07:08@vgf62: ma allora in base alla tua esperienza e ai workaround che suggerisci, si tratta di un vero e proprio bug del sorgente del firmware, oppure è una configurazione errata di default che è lasciata così nel firmware quando viene caricato ed eseguito?

Questo problema di poter aver accesso da WAN al file di configurazione del modem/router senza inserire le credenziali di accesso pare avere origine dal sistema operativo di alcuni modem Zyxel chiamato ZyNOS (Zyxel Network Operating System, e stiamo parlando del 1998!).

Probabilmente una parte di quel codice deve essere stata impiegata anche su alcuni modelli di modem/router di altri produttori come TP-Link, D-Link, Huawei e anche Kraun (che poi sono D-Link rimarcati).

Io quindi direi che si tratta di bug del firmware ma sto aspettando una risposta ufficiale da D-Link Europe.

La cosa preoccupante è il 2740R A1 è davvero molto diffuso in Italia e credo che ben pochi possessori di questo modello siano a conoscenza di questo problema e di come poi porvi rimedio.

NewOfficeS

Firmware Information

Current Firmware Version : EU_1.15  
Current Firmware Date : 2010/3/1
 
Questo e' il firmware di un router di un mio cliente che è stato attaccato modificando il dns.

Dovrebbe essere l'ultimo disponibile.

Qual è il metodo per impedire la modifica del DNS ???


Grazie a tutti e soprattutto a chi risponde.

vgf62

Citazione di: NewOfficeS il 28 Luglio 2014, 12:30:41Grazie a tutti e soprattutto a chi risponde.

Torna indietro di una pagina (79) e avrai la soluzione.

NewOfficeS

Citazione di: vgf62 il 28 Luglio 2014, 12:37:18
Citazione di: NewOfficeS il 28 Luglio 2014, 12:30:41Grazie a tutti e soprattutto a chi risponde.

Torna indietro di una pagina (79) e avrai la soluzione.

Si .... l'ho fatto dopo aver scritto il messaggio.

GRAZIE !!!

RSGLupo

Citazione di: devidah il 23 Luglio 2014, 18:21:52...DSL-2740R A1 installato in abitazione privata...
...presenta il DNS modificato "come per magia", per reindirizzare tutto il traffico web verso una truffa "ransomware".

RAGAZZI VI AMO TUTTI...  io in vita mia ne ho smanettati di PC... e non mi sono mai scomposto davanti ai VIRUS, ma questa è la prima volta che mi avevano davvero messo in ginocchio!! sono 2 settimane che combatto SENZA ALCUN RISULTATO con il ransomware in questione, noto anche come VIRUS POLIZIA DI STATO o VIRUS NAPOLITANO (compare infatti la foto del nostro ??? amato  presidente)... tale attacco mi ha:

1) cancellato la rubrica del telefono (Galaxy Ace 1° generaz.) lasciandomi con la sola rubrica della simcard...  che era piena già dal 99, perciò ho perso 15 anni di numeri telefonici più SVARIATE foto salvate nella SD.
2) inchiodato il tablet ASUS MEMOPAD HD 7"
3) messo completamente in ginocchio il portatile HP Pavilion dv7
4) il problema si presenta su qualsiasi device che si connette alla mia wifi di casa (telefoni di amici o altro)

dico tutto ciò per informare altri della violenza devastante che ho subito...  ho RESETTATO e FORMATTATO tutto ripristinando le config di default di fabbrica almeno 2 volte sul PC, 3 sullo smartphone, 7 sul tablet e oltre le 10 sul modem D-LINK DSL-2740R con firmware EU_1.15 Hardware A1.

NON E' MAI CAMBIATO NULLA... dopo ogni format il ransomware torna a presentarsi... ho perso giorni e notti (e molti molti molti dati) senza riuscire a scalfirlo, l'ho attaccato con ogni antyspyware, antivirus e remover che conosco...   NESSUN RISULTATO!!!  NESSUN VIRUS O TROJAN TROVATO!!

L'unico mio collegamento alla rete esterna è un PC fisso, collegato via ethernet ad un NETGEAR WIFI Extender del tipo che usano pure quelli di SKY... il quale ha protetto il PC fisso (da cui vi scrivo) dall'attacco.

mi sono imbattuto in voi perchè ero arrivato da solo alle stesse conclusioni...  NON E' UN VIRUS... è un intrusione sul router...   volevo cambiare il firmware e cercando versioni più aggiornate mi sono appena imbattuto nella vostra discussione...   PROVO IMMEDIATAMENTE A FARE COME DA VOI CONSIGLIATO...   e spero vivamente che sia la soluzione giusta!!!

PREGATE PER ME...   Intanto vi ringrazio e spero di aver contribuito ad INFORMARE...   sto ransomware è davvero UNA BRUTTISSIMA BESTIA!!!

grazie. Lupo

mara76

@vgf62 ho seguito tutte le tue istruzioni e modifiche; spero di non incappare in esplosioni notturne :D
Comunque, il problema della pwd mi rimane sempre. Ho trovato una guida rapidissima e in italiano di questo  modem e pare tutto facile... Praticamente imposto la psd nuova, disconnetto mac e smartphone, li riconnetto e mi chiede (giustamente) la pwd. Gliela do e come risposta ho che la pwd è sbagliata, su entrambi i dispositivi!!!
Vi confermo comunque che il ransomware si è riproposto e ho dovuto riformatore il modem, che tanto era ancora senza psd .
A Pondera dico che il link che mi ha dato mi rimanda a una pagina scritta in una lingua  a me incomprensibile.

RSGLupo

Scusate Mara76 ma visto che anche io sto combattendo la stessa battaglia contro lo stesso nemico sono particolarmente interessato a ciò che posti...   hai detto che hai fatto le modifiche come suggerito da...??

Citazione di: vgf62 il 24 Luglio 2014, 00:07:58Volentieri. Esistono diverse soluzioni:
1. La prima è quella di fare un bel port forwarding quanto meno della porta 80 a un indirizzo IP fasullo che non esiste nella tua rete (ad esempio 192.168.1.250)
2. La seconda è quella di inserire a manina i DNS primario e secondario nelle proprietà delle connessioni di rete dei dispositivi connessi al tuo modem.
3. La terza (molto radicale) è quella di chiudersi fuori dalla pagina nascosta  http://192.168.1.1/scsrvcntr.html del remote management dove attivi e imposti un bel Deny All. Non potrai quindi più accedere anche tu se non con bel un reset hardware.

e pur avendole fatte ti si ripresenta il ransomware??

Mi sorge poi un dubbio... e chiedo lumi a voi più esperti...   ma se io nei miei innumerevoli tentativi ho più volte resettato ai valori di fabbrica, vuol dire che i miei DNS almeno nei primi attimi tornavano ad essere "puliti", e allora come mai il problema ransomware si è sempre ripresentato immediatamente???  
e' possibile che l'hacker (umano o bot non importa) abbia "salvato" l'ID Hardware del mio router ed appena esso si riaffaccia nel mare magnum del web lui mi "vede" e mi ricolpisce immediatamente??

Pondera

Citazione di: RSGLupo il 06 Agosto 2014, 08:02:24se io nei miei innumerevoli tentativi ho più volte resettato ai valori di fabbrica, vuol dire che i miei DNS almeno nei primi attimi tornavano ad essere "puliti", e allora come mai il problema ransomware si è sempre ripresentato immediatamente???  
e' possibile che l'hacker (umano o bot non importa) abbia "salvato" l'ID Hardware del mio router ed appena esso si riaffaccia nel mare magnum del web lui mi "vede" e mi ricolpisce immediatamente??

Hai centrato il punto!
Ci deve essere per forza qualche modulo software del malware memorizzato sul PC ecco perché conviene puntare sulla protezione antivirus.
Inoltre vi consiglio di impostare manualmente i DNS nelle proprietà delle schede di rete o adattatori wireless perché questi hanno la precedenza su quelli del router.

RSGLupo

Grande Pondera che ci sei e rispondi... anche oggi non sono di turno a lavoro perciò per me sarà una LUUUNGA giornata in trincea... sono entrato nella mia 4 settimana dall'inizio dell'attacco, e sono sveglio dalle 06:40.
Ho provato a cambiare i dns sul router ed alla fine della procedura faccio SAVE SETTINGS...  ma...   SORPRESAAA!! non li cambia e torna su "Obtain DNS server address automatically" ...

ho anche impostato "deny all" in SCSRVCNTR.HTML come suggerito qualche post fa...

il mio antivirus è KASPERSKY, però c'è da dire che l'installazione dell'antivirus è avvenuta DOPO l'ultimo formattone totale e PRIMA che cominciassi a fare queste modifiche sul modem... perciò non posso escludere a priori che il pc sia stato infettato PRIMA dell'introduzione dell'antivirus...

consigli su come procedere??
Lupo

p.s.   ORMAI :( non ho paura/problemi a riformattare tutto, sia sul portatile che sul tablet che sul cell...  ma non posso toccare QUESTO PC (che come ho detto sembra essere rimasto isolato dall'attacco) altrimenti sono tagliato fuori da tutto...  sperando di non avere un "portatore sano" in casa!!

bovirus

@RSGLupo

L'antivirus non è suffciente. Serve anche un anti malware. Io uso

AdwCleaner - http://www.bleepingcomputer.com/download/adwcleaner/
Junkware Removal tool - http://www.bleepingcomputer.com/download/junkware-removal-tool/

Scaricali e falli partire più volte (ogni volta fanno la pulziai e riavviano il PC se necessario) finoa  cghe non trovi nulla.

Servriebbe anche un programma per vdere cosa parte in automatico nel PC

CodeStuff Starter - http://codestuff.obninsk.ru/products_starter.html

Puoi provare a vedere cosa parte e disabilitarlo temporaneamente.

RSGLupo

@bovirus

Ok grazie... ora però ho una marea di roba quindi da scaricare e installare...  

...allora facciamo così cerco di riorganizzare le idee, poi provo a buttare giù un piano d'azione e PRIMA di metterlo in pratica lo sottopongo al vostro giudizio. Siccome credo che sarà un post kilometrico e non ho voglia di spammare inutilmente per il mio problema mi dite come posso upparlo da qualche parte, così lo lascio provvisoriamente li..  e se dovesse funzionare e fosse il metodo giusto di agire lo postiamo (editatelo quanto e come credete) qui, in modo da dare anche ad altri una ricetta step-by-step per contrastare sto benedetto virus...   ok??

bovirus

Sono solo ter programmi di pcohi mega.
Credo che questo discorso sulla pulizia qui sia OT rispetto allo scopo di questo thread.
Il modem non viene infettato. E' il pc ad esserlo.
E la discussione sulla pulizia del pC qui mis embra OT.

RSGLupo

Citazione di: bovirus il 06 Agosto 2014, 10:02:05E la discussione sulla pulizia del pC qui mis embra OT.

concordo ASSOLUTISSIMAMENTE, anche se tutto nasce da una vulnerabilità del modem, (il problema è capire bene quando e come chiudere bene il buco del modem, senza correre il rischio di chiuderlo con l'INTRUSO già dentro la rete domestica)...   sposta pure se ritieni opportuno i miei post o dimmi SE e DOVE è meglio aprire un nuovo Topic...  resto in ascolto!!!

mara76

@RSGLUPO ho fatto ieri sera sul tardi le modifiche,quindi non saprei che dire. Per quanto riguarda "IL RITORNO" io ne ho già avuto uno, quindi sono a quota 2 attacchi. Vediamo se le modifiche facciano cose positive!

@Pondera: ho seguito questo link http://verytech.smartworld.it/cambiare-la-password-di-un-modem-d-link-142452.html
per reimpostare la pwd. Succede che riesco a impostarla sul router, ma purtroppo quando riconnetto i dispositivi e la inserisco non mi viene riconosciuta.
Riguardo poi agli aggiornamenti del firmware ricordo che lavoro da un macbook, quindi le operazioni da seguire, da voi tutti indicate per pc (antivirus, antimalware, spyware e mortaccilorovariware) a me risultano ignoti....


Quello che posso notare è che non riesco più a fare l'accesso a 191.1168.1.1 (safari non può connettersi al server), ma per il resto navigo serenamente.

Alby

Citazione di: mara76 il 06 Agosto 2014, 13:12:20Quello che posso notare è che non riesco più a fare l'accesso a 191.1168.1.1 (safari non può connettersi al server), ma per il resto navigo serenamente.

Sarebbe un indirizzo sbagliato ... :D

mara76

Infatti si!!!! Errore di battitura, dovevo mettere un 2 ma ho pigiato male sulla tastiera.
Comunque sono riuscita a risolvere (da sola) il problema che mi aveva fatto aprire il topic: reimpostare la pwd alla rete.
Ciao a tutti.

RSGLupo

Scusate se non mi sono fatto vivo... ma il giorno stesso del mio ultimo post ho provveduto a fare tutta la procedura consigliatami da voi qui, poi è cominciata una settimana moooolto "particolare" al lavoro da me.. ad ogni modo... CE L'HO FATTAAAAAAA!!!! Il fenomeno non si è piú riproposto. Niente piú reindirizzamenti alla pagina del ransomwere. Dopo innumerevoli formattoni su PC, tablet e Smartphone ora sto lentamente reinstallando tutte le mie cose e facendo il conto dei danni... ho ancora piccole stranezze sulla linea wifi ma ve le chiedo nel prossimo post. Per il momento GRAZIE DI CUORE A TUTTI VOI CHE MI AVETE SALVATO ED AIUTATO CON CONSIGLI E METODI, se qualcuno di voi fosse a Roma lo aspetto in zona Garbatella x un caffè!!

RSGLupo

Allora rieccomi.
Dopo i fatti da voi ben conosciuti mi ritrovo con i seguenti fenomeni/stranezze:

1) Il modem si apre se vado su 192.168.1.1   ma alla pagina http://192.168.1.1/info.html mi dice che il "default gate" è 192.168.100.1

2) il wifi extender Netgear che ho in casa prima veniva rilevato e gli veniva attribuito UN ip di connessione al modem, il pc fisso ad esso collegato aveva un'altro ip di connessione al modem, entrambi gli indirizzi MAC risultavano su http://192.168.1.1/clients.html e li potevo verificare anche dal tablet con l'app "inspector wifi" o nel centro connessioni rete e condivisione di WinVista sul portatile; ora invece sulla pagina settaggi del modem è tutto OK, ma su WinVista del portatile non compare nessun altro device collegato alla rete, e sul tablet (l'app suddetta) non compare il pc fisso ma compare DUE VOLTE il codice MAC del Netgear extender e MAI quello del pc fisso.

3) ho frequenti down di linea (talvolta solo botte di lag atroci, più spesso proprio down di connessione), il led wifi ed il led internet sul modem iniziano a lampeggiare, e qualsiasi device in quel momento sia sul web arresta i caricamenti delle pagine, lo streaming video o qualsiasi altro processo...  down durano circa due minuti, poi tutto torna ok (anche se provo a connettermi sull'extender) Durante tali fenomeni però la potenza di segnale WIFI in casa risulta sempre eccellente, in pratica manca proprio la connessione a INTERNET...      

dubbio atroce...    tutto ciò mi accadeva fino a pochi giorni fa, ma questi down o lag finivano con il reindirizzamento alla pagina RANSOMWARE...   e se fossi ancora sotto attacco... ma il modem, con le porte chiuse come da vostre indicazioni, riuscisse a respingere i colpi (durante la sospensione di linea) e appena l'attacco finisce ridarmi via libera sul web???

o forse ho solo fatto qualche idiozia nei settaggi ed ho incasinato qualcosa?

Grazie infinite a tutti!!
Lupo

vgf62

Citazione di: RSGLupo il 12 Agosto 2014, 08:57:07Allora rieccomi.
Dopo i fatti da voi ben conosciuti mi ritrovo con i seguenti fenomeni/stranezze:

1) Il modem si apre se vado su 192.168.1.1   ma alla pagina http://192.168.1.1/info.html mi dice che il "default gate" è 192.168.100.1

Il Default Gateway è corretto, ce l'ho uguale anch'io quindi stai sereno!

Citazione di: mara76 il 11 Agosto 2014, 13:32:26Infatti si!!!! Errore di battitura, dovevo mettere un 2 ma ho pigiato male sulla tastiera.
Comunque sono riuscita a risolvere (da sola) il problema che mi aveva fatto aprire il topic: reimpostare la pwd alla rete.
Ciao a tutti.

Adesso però ci spieghi come hai risolto! :-)

Licenza Creative Commons
Il contenuto dei messaggi del forum è distribuito con
Licenza Creative Commons Attribuzione Non commerciale 4.0
Tutti i marchi registrati citati appartengono ai legittimi proprietari