Návštěvník VALEMiC Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 Ahoj, v pátek mi z ničeho nic přestalo fungovat připojení veřejnou IP od UPC. Celé připojení se chovlao velice podivně: * Ze sítě UPC jsem se mohl připojit pouze na web a poslat mail přes SMTP-SSL * Nemohl jsem se připojit na FTP, OpenVPN, Battle.net a co jsem tak zjišťoval, tak na žádné UDP protokoly * Z vnější sítě jsem si na veřejnou IP od UPC mohl pouze pingnout, ale nepřipojil jsem se na žádném portu (HTTP, FTP, Remote Desktop, SSH,...) Po zavolání na UPC mi bylo sděleno, že ve středu 17.2.2016 kolem poledne se z mojí veřejné IP šířila infiltrace, kteoru jejich automatický systém identifikovla jako virus scan_mdns. Automatický systém mě odstřuhnul v pátek 19.2.2016 v 10:01. Provedl jsem kontorlu všech PC v síti, NAS serveru i linuxového serveru, který mi tam běží. Nebylo nic nalezeno. V UPC mi službu odblokovali, restartovali mi na dálku modem a vše běželo jak má. V neděli 20.2.2016 se celá situace opakovala, s tím, že k šíření viru došlo v pátek 18.2.2016 kolem 9:45 (tedy 15 minut před prvním zablokováním). Technik na lince technické podpory byl velmi ochotný, provedl další odblokování a řekl mi, že se tento problém nějak šíří, ale že nikdo neví, co onen virus scan_mdns je, jaká zařízení napadá a jak se ho zbavit. Bylo mi slíbeno, že až se dozví více informací, tak mi je pošlou mailem, protože technika osobně to velmi zajímalo. Počítám s tím, že dnes v 10:01 budu opět odstřižen. Je v mém vlastním zájmu, abych měl síť i veškerá zařízení čistá, ale když se o scan_mdns nedá ani nic vygooglit, nemůžu s tím nic dělat. Nesetkal jste se s tímto problémem někdo? Díky. Michal Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/ Sdílet na ostatní stránky More sharing options...
Návštěvník warman Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 Stalo se mi to taky a měl jsem zavirovaný pc. Ono ti ten vireček může zdeaktivovat antivir a ani o tom nebudeš vědět. Zkus si v nouzovém režimu projet pc nějakým online antivirákem, případně zkus live distro linuxu a tam to projet. jinak ten scan_mdns bude mít asi něco společného s DNS (https://en.wikipedia.org/wiki/Multicast_DNS) a možná ti to jde nějakým způsobem do vnitřní sítě UPC, těžko říci... Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88813 Sdílet na ostatní stránky More sharing options...
Návštěvník VALEMiC Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 PC s Win jsem skenoval jak pomocí Windows Defender, který je ve Windows, tak pomocí Malwarebytes. Nejpoužívanější PC (moje) jsem projel i ClamAV s aktuální databází z live distra. Na manželčiným notebooku to nejde, protože má UEFI a protože jde o Pentium Bay-Trail, tak jinu možnost bootu nemá. Zajímavé je, že oba incidenty byly v době, kdy nikdo nebyl doma, takže všechny počítače byly vypnuté. Jediné co běželo byly mé 2 servery na Debianu a Synology DiskStation. Ty jsou zapnuté 24/7. Ale ani najednom neběžel žádný podezřelý proces. Vytížení CPU bylo na minimu. ClamAV kontrola linuxových strojů je samozřejmostí. Dneska jsem ještě na všem co má linuxový kernel zakázal Avahi-daemon, což je mDNS a DNS-SD služba. Mám síť se staticky přiřazenými IP od DHCP, takže Avahi nepotřebuji. K blokaci došlo vždy v 10:01. Zatím blokovaný nejsem. Tak uvidíme. Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88814 Sdílet na ostatní stránky More sharing options...
Návštěvník P_V Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 Z toho popisu mi připadá, že nasadili novou verzi firewallu, která je přecitlivělá na něco normálního (neboli že má bug). V horším případě by to mohlo znamenat, že se šíří virus co napadá routery Podle toho, že se to asi týká DNS. Nedávno byl objeven bug v jedné linuxové knihovně, který se dá zneužít vhodně formátovanou DNS odpovědí. http://www.root.cz/clanky/postrehy-z-be ... e-systemy/ Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88818 Sdílet na ostatní stránky More sharing options...
Návštěvník VALEMiC Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 Můj router je ASUS RT-N16 s ASUSWRT-Merlin. Zablokoval jsem správu routeru po WAN (Pokud tam budu něco chtít upravit vzdáleně, mohu vždy použít VPN). Koukal jsem, že nemám poslední verzi tohoto custom FW a že můj router již není aktivně podporován. Poslední verze je z 7.2.2015. Na tuto verzi aktualizuji teď o víkendu. Nicméně s vypnutým aiCloud a správou z WAN by se do routeru neměl nikdo dostat. Vypadá to, že možná skutečně firewall UPC měl problém s něčím, co ve skutečnosti není hrozba. Pro jistotu jsem změnil hesla na všech strojích, které jsou dostupné z venčí. Tak snad už to bude v pořádku. Zatím bloknutý nejsem. Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88822 Sdílet na ostatní stránky More sharing options...
Návštěvník P_V Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 Pozor, u asus routerů to blokování správy zvenčí funguje jen jako pravidlo firewallu, i když je to matoucně umístěno v jiné části menu. Takže pokud v routeru máš nezapnutý firewall, nic se neblokuje. Taky v těch routerech byla taková blbá chyba, že v errorové stránce prozrazovaly heslo. (to vše se týká továrního firmware, jak je to s merlinem, to nevím) https://blog.nic.cz/2015/06/25/jak-jsme ... it-router/ Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88823 Sdílet na ostatní stránky More sharing options...
Návštěvník VALEMiC Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 Chyba se zobrazováním hesla byla opravena v merlinu dříve než v oficiálním ASUSWRT. Navíc o tomto problému vím, proto jsem používal pro vzdálenou správu https na portu 8443. Všechny porty na routeru, které využíval aiCloud a vzdálená správa mi hláśi, že jsou zavřené. Firewall samozřejmě na routeru zapnutý mám. Každopádně moc děkuji za dobré tipy. Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88825 Sdílet na ostatní stránky More sharing options...
Návštěvník YABAKA Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 Podobný blokace ze strany UPC se notoricky opakují tak cca po dvou letech. A pokaždý není UPC schopno doložit o co konkrétně šlo (nedají log provozu, byť ho tutově mají), všechno jenom svádí na nějaký viry u uživatele. Takže vždycky dostanou akorát odpověď, že pokud nic nedoloží, tak ať přestanou prudit a odblokují to. Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88833 Sdílet na ostatní stránky More sharing options...
Návštěvník VALEMiC Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 No každopádně technik s ekterým jsme mluvil se tvářil, že ho to zajímá a že mi dá vědět, pokud se dozví co to způsobuje. Ale mám taky tu zkušenost, že nic nepošlou a vše svádí na problém u klienta. Mě zase říkali, že mám nárok na 3 odblokování. Pak musím žádat písemně doporučeným dopisem. Ale technik mě pak informoval, že to je na uvážení technika, protože když vidí, že sám s tím něco chci dělat, ale oni sami neví, čím to je způsobeno, tak me odblokují bez problémů. Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88834 Sdílet na ostatní stránky More sharing options...
Návštěvník YABAKA Odesláno 22. února 2016 Sdílet Odesláno 22. února 2016 To je furt to stejný: https://www.google.cz/search?q=scan_mdn ... port%C5%AF Citovat Odkaz ke komentáři https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88835 Sdílet na ostatní stránky More sharing options...
Doporučené příspěvky
Přidat se ke konverzaci
Přispívat můžete okamžitě a zaregistrovat se později. Pokud máte účet, přihlaste se a přispívejte pod Vaším účtem.
Poznámka: Váš příspěvek vyžaduje před zobrazením schválení moderátorem.