Přejít na obsah

Blokace portů od UPC (scan_mdns)


Doporučené příspěvky

Návštěvník VALEMiC

Ahoj,

v pátek mi z ničeho nic přestalo fungovat připojení veřejnou IP od UPC.

Celé připojení se chovlao velice podivně:

* Ze sítě UPC jsem se mohl připojit pouze na web a poslat mail přes SMTP-SSL

* Nemohl jsem se připojit na FTP, OpenVPN, Battle.net a co jsem tak zjišťoval, tak na žádné UDP protokoly

* Z vnější sítě jsem si na veřejnou IP od UPC mohl pouze pingnout, ale nepřipojil jsem se na žádném portu (HTTP, FTP, Remote Desktop, SSH,...)

 

Po zavolání na UPC mi bylo sděleno, že ve středu 17.2.2016 kolem poledne se z mojí veřejné IP šířila infiltrace, kteoru jejich automatický systém identifikovla jako virus scan_mdns. Automatický systém mě odstřuhnul v pátek 19.2.2016 v 10:01. Provedl jsem kontorlu všech PC v síti, NAS serveru i linuxového serveru, který mi tam běží. Nebylo nic nalezeno.

 

V UPC mi službu odblokovali, restartovali mi na dálku modem a vše běželo jak má.

V neděli 20.2.2016 se celá situace opakovala, s tím, že k šíření viru došlo v pátek 18.2.2016 kolem 9:45 (tedy 15 minut před prvním zablokováním).

Technik na lince technické podpory byl velmi ochotný, provedl další odblokování a řekl mi, že se tento problém nějak šíří, ale že nikdo neví, co onen virus scan_mdns je, jaká zařízení napadá a jak se ho zbavit.

 

Bylo mi slíbeno, že až se dozví více informací, tak mi je pošlou mailem, protože technika osobně to velmi zajímalo.

Počítám s tím, že dnes v 10:01 budu opět odstřižen.

 

Je v mém vlastním zájmu, abych měl síť i veškerá zařízení čistá, ale když se o scan_mdns nedá ani nic vygooglit, nemůžu s tím nic dělat.

 

Nesetkal jste se s tímto problémem někdo?

 

Díky.

 

Michal

Odkaz ke komentáři
https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/
Sdílet na ostatní stránky

Návštěvník warman

Stalo se mi to taky a měl jsem zavirovaný pc. Ono ti ten vireček může zdeaktivovat antivir a ani o tom nebudeš vědět. Zkus si v nouzovém režimu projet pc nějakým online antivirákem, případně zkus live distro linuxu a tam to projet.

 

jinak ten scan_mdns bude mít asi něco společného s DNS (https://en.wikipedia.org/wiki/Multicast_DNS) a možná ti to jde nějakým způsobem do vnitřní sítě UPC, těžko říci...

Odkaz ke komentáři
https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88813
Sdílet na ostatní stránky

Návštěvník VALEMiC

PC s Win jsem skenoval jak pomocí Windows Defender, který je ve Windows, tak pomocí Malwarebytes. Nejpoužívanější PC (moje) jsem projel i ClamAV s aktuální databází z live distra. Na manželčiným notebooku to nejde, protože má UEFI a protože jde o Pentium Bay-Trail, tak jinu možnost bootu nemá.

 

Zajímavé je, že oba incidenty byly v době, kdy nikdo nebyl doma, takže všechny počítače byly vypnuté.

Jediné co běželo byly mé 2 servery na Debianu a Synology DiskStation. Ty jsou zapnuté 24/7.

 

Ale ani najednom neběžel žádný podezřelý proces. Vytížení CPU bylo na minimu.

 

ClamAV kontrola linuxových strojů je samozřejmostí.

Dneska jsem ještě na všem co má linuxový kernel zakázal Avahi-daemon, což je mDNS a DNS-SD služba.

Mám síť se staticky přiřazenými IP od DHCP, takže Avahi nepotřebuji.

 

K blokaci došlo vždy v 10:01.

 

Zatím blokovaný nejsem. Tak uvidíme.

Odkaz ke komentáři
https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88814
Sdílet na ostatní stránky

Návštěvník P_V

Z toho popisu mi připadá, že nasadili novou verzi firewallu, která je přecitlivělá na něco normálního (neboli že má bug).

V horším případě by to mohlo znamenat, že se šíří virus co napadá routery :shock: Podle toho, že se to asi týká DNS. Nedávno byl objeven bug v jedné linuxové knihovně, který se dá zneužít vhodně formátovanou DNS odpovědí. http://www.root.cz/clanky/postrehy-z-be ... e-systemy/

Odkaz ke komentáři
https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88818
Sdílet na ostatní stránky

Návštěvník VALEMiC

Můj router je ASUS RT-N16 s ASUSWRT-Merlin. Zablokoval jsem správu routeru po WAN (Pokud tam budu něco chtít upravit vzdáleně, mohu vždy použít VPN).

Koukal jsem, že nemám poslední verzi tohoto custom FW a že můj router již není aktivně podporován. Poslední verze je z 7.2.2015. Na tuto verzi aktualizuji teď o víkendu. Nicméně s vypnutým aiCloud a správou z WAN by se do routeru neměl nikdo dostat.

 

Vypadá to, že možná skutečně firewall UPC měl problém s něčím, co ve skutečnosti není hrozba.

 

Pro jistotu jsem změnil hesla na všech strojích, které jsou dostupné z venčí. Tak snad už to bude v pořádku.

Zatím bloknutý nejsem.

Odkaz ke komentáři
https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88822
Sdílet na ostatní stránky

Návštěvník P_V

Pozor, u asus routerů to blokování správy zvenčí funguje jen jako pravidlo firewallu, i když je to matoucně umístěno v jiné části menu. Takže pokud v routeru máš nezapnutý firewall, nic se neblokuje.

Taky v těch routerech byla taková blbá chyba, že v errorové stránce prozrazovaly heslo.

(to vše se týká továrního firmware, jak je to s merlinem, to nevím)

https://blog.nic.cz/2015/06/25/jak-jsme ... it-router/

Odkaz ke komentáři
https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88823
Sdílet na ostatní stránky

Návštěvník VALEMiC

Chyba se zobrazováním hesla byla opravena v merlinu dříve než v oficiálním ASUSWRT. Navíc o tomto problému vím, proto jsem používal pro vzdálenou správu https na portu 8443. Všechny porty na routeru, které využíval aiCloud a vzdálená správa mi hláśi, že jsou zavřené. Firewall samozřejmě na routeru zapnutý mám.

 

Každopádně moc děkuji za dobré tipy. :-)

Odkaz ke komentáři
https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88825
Sdílet na ostatní stránky

Návštěvník YABAKA

Podobný blokace ze strany UPC se notoricky opakují tak cca po dvou letech. A pokaždý není UPC schopno doložit o co konkrétně šlo (nedají log provozu, byť ho tutově mají), všechno jenom svádí na nějaký viry u uživatele. Takže vždycky dostanou akorát odpověď, že pokud nic nedoloží, tak ať přestanou prudit a odblokují to.

Odkaz ke komentáři
https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88833
Sdílet na ostatní stránky

Návštěvník VALEMiC

No každopádně technik s ekterým jsme mluvil se tvářil, že ho to zajímá a že mi dá vědět, pokud se dozví co to způsobuje.

 

Ale mám taky tu zkušenost, že nic nepošlou a vše svádí na problém u klienta.

 

Mě zase říkali, že mám nárok na 3 odblokování. Pak musím žádat písemně doporučeným dopisem.

 

Ale technik mě pak informoval, že to je na uvážení technika, protože když vidí, že sám s tím něco chci dělat, ale oni sami neví, čím to je způsobeno, tak me odblokují bez problémů.

Odkaz ke komentáři
https://www.techforum.cz/topic/5071-blokace-port%C5%AF-od-upc-scan_mdns/#findComment-88834
Sdílet na ostatní stránky

Přidat se ke konverzaci

Přispívat můžete okamžitě a zaregistrovat se později. Pokud máte účet, přihlaste se a přispívejte pod Vaším účtem.
Poznámka: Váš příspěvek vyžaduje před zobrazením schválení moderátorem.

Návštěvník
Odpovědět na toto téma...

×   Vložit jako upravený text.   Obnovit formátování

  Pouze 75 emotikon je povoleno.

×   Váš odkaz byl automaticky vložen.   Místo toho zobrazit jako odkaz

×   Váš předchozí obsah byl obnoven.   Vyčistit editor

×   Nemůžete vložit obrázky přímo. Nahrajte nebo vložte obrázky z URL adresy.

  • Kdo si právě prohlíží tuto stránku   0 registrovaných uživatelů

    • Žádný registrovaný uživatel si neprohlíží tuto stránku
×
×
  • Vytvořit...