Ahoj,

v pátek mi z ničeho nic přestalo fungovat připojení veřejnou IP od UPC.

Celé připojení se chovlao velice podivně:

* Ze sítě UPC jsem se mohl připojit pouze na web a poslat mail přes SMTP-SSL

* Nemohl jsem se připojit na FTP, OpenVPN, Battle.net a co jsem tak zjišťoval, tak na žádné UDP protokoly

* Z vnější sítě jsem si na veřejnou IP od UPC mohl pouze pingnout, ale nepřipojil jsem se na žádném portu (HTTP, FTP, Remote Desktop, SSH,...)

 

Po zavolání na UPC mi bylo sděleno, že ve středu 17.2.2016 kolem poledne se z mojí veřejné IP šířila infiltrace, kteoru jejich automatický systém identifikovla jako virus scan_mdns. Automatický systém mě odstřuhnul v pátek 19.2.2016 v 10:01. Provedl jsem kontorlu všech PC v síti, NAS serveru i linuxového serveru, který mi tam běží. Nebylo nic nalezeno.

 

V UPC mi službu odblokovali, restartovali mi na dálku modem a vše běželo jak má.

V neděli 20.2.2016 se celá situace opakovala, s tím, že k šíření viru došlo v pátek 18.2.2016 kolem 9:45 (tedy 15 minut před prvním zablokováním).

Technik na lince technické podpory byl velmi ochotný, provedl další odblokování a řekl mi, že se tento problém nějak šíří, ale že nikdo neví, co onen virus scan_mdns je, jaká zařízení napadá a jak se ho zbavit.

 

Bylo mi slíbeno, že až se dozví více informací, tak mi je pošlou mailem, protože technika osobně to velmi zajímalo.

Počítám s tím, že dnes v 10:01 budu opět odstřižen.

 

Je v mém vlastním zájmu, abych měl síť i veškerá zařízení čistá, ale když se o scan_mdns nedá ani nic vygooglit, nemůžu s tím nic dělat.

 

Nesetkal jste se s tímto problémem někdo?

 

Díky.

 

Michal

Stalo se mi to taky a měl jsem zavirovaný pc. Ono ti ten vireček může zdeaktivovat antivir a ani o tom nebudeš vědět. Zkus si v nouzovém režimu projet pc nějakým online antivirákem, případně zkus live distro linuxu a tam to projet.

 

jinak ten scan_mdns bude mít asi něco společného s DNS (https://en.wikipedia.org/wiki/Multicast_DNS) a možná ti to jde nějakým způsobem do vnitřní sítě UPC, těžko říci...

PC s Win jsem skenoval jak pomocí Windows Defender, který je ve Windows, tak pomocí Malwarebytes. Nejpoužívanější PC (moje) jsem projel i ClamAV s aktuální databází z live distra. Na manželčiným notebooku to nejde, protože má UEFI a protože jde o Pentium Bay-Trail, tak jinu možnost bootu nemá.

 

Zajímavé je, že oba incidenty byly v době, kdy nikdo nebyl doma, takže všechny počítače byly vypnuté.

Jediné co běželo byly mé 2 servery na Debianu a Synology DiskStation. Ty jsou zapnuté 24/7.

 

Ale ani najednom neběžel žádný podezřelý proces. Vytížení CPU bylo na minimu.

 

ClamAV kontrola linuxových strojů je samozřejmostí.

Dneska jsem ještě na všem co má linuxový kernel zakázal Avahi-daemon, což je mDNS a DNS-SD služba.

Mám síť se staticky přiřazenými IP od DHCP, takže Avahi nepotřebuji.

 

K blokaci došlo vždy v 10:01.

 

Zatím blokovaný nejsem. Tak uvidíme.

Z toho popisu mi připadá, že nasadili novou verzi firewallu, která je přecitlivělá na něco normálního (neboli že má bug).

V horším případě by to mohlo znamenat, že se šíří virus co napadá routery Podle toho, že se to asi týká DNS. Nedávno byl objeven bug v jedné linuxové knihovně, který se dá zneužít vhodně formátovanou DNS odpovědí. http://www.root.cz/clanky/postrehy-z-be ... e-systemy/

Můj router je ASUS RT-N16 s ASUSWRT-Merlin. Zablokoval jsem správu routeru po WAN (Pokud tam budu něco chtít upravit vzdáleně, mohu vždy použít VPN).

Koukal jsem, že nemám poslední verzi tohoto custom FW a že můj router již není aktivně podporován. Poslední verze je z 7.2.2015. Na tuto verzi aktualizuji teď o víkendu. Nicméně s vypnutým aiCloud a správou z WAN by se do routeru neměl nikdo dostat.

 

Vypadá to, že možná skutečně firewall UPC měl problém s něčím, co ve skutečnosti není hrozba.

 

Pro jistotu jsem změnil hesla na všech strojích, které jsou dostupné z venčí. Tak snad už to bude v pořádku.

Zatím bloknutý nejsem.

Pozor, u asus routerů to blokování správy zvenčí funguje jen jako pravidlo firewallu, i když je to matoucně umístěno v jiné části menu. Takže pokud v routeru máš nezapnutý firewall, nic se neblokuje.

Taky v těch routerech byla taková blbá chyba, že v errorové stránce prozrazovaly heslo.

(to vše se týká továrního firmware, jak je to s merlinem, to nevím)

https://blog.nic.cz/2015/06/25/jak-jsme ... it-router/

Chyba se zobrazováním hesla byla opravena v merlinu dříve než v oficiálním ASUSWRT. Navíc o tomto problému vím, proto jsem používal pro vzdálenou správu https na portu 8443. Všechny porty na routeru, které využíval aiCloud a vzdálená správa mi hláśi, že jsou zavřené. Firewall samozřejmě na routeru zapnutý mám.

 

Každopádně moc děkuji za dobré tipy.

Podobný blokace ze strany UPC se notoricky opakují tak cca po dvou letech. A pokaždý není UPC schopno doložit o co konkrétně šlo (nedají log provozu, byť ho tutově mají), všechno jenom svádí na nějaký viry u uživatele. Takže vždycky dostanou akorát odpověď, že pokud nic nedoloží, tak ať přestanou prudit a odblokují to.

No každopádně technik s ekterým jsme mluvil se tvářil, že ho to zajímá a že mi dá vědět, pokud se dozví co to způsobuje.

 

Ale mám taky tu zkušenost, že nic nepošlou a vše svádí na problém u klienta.

 

Mě zase říkali, že mám nárok na 3 odblokování. Pak musím žádat písemně doporučeným dopisem.

 

Ale technik mě pak informoval, že to je na uvážení technika, protože když vidí, že sám s tím něco chci dělat, ale oni sami neví, čím to je způsobeno, tak me odblokují bez problémů.

To je furt to stejný: https://www.google.cz/search?q=scan_mdn ... port%C5%AF