Início » Antivírus e Segurança » Você já viu se o DNS do seu roteador está certo hoje?

Você já viu se o DNS do seu roteador está certo hoje?

Scripts maliciosos em sites estão mudando os servidores de DNS de modems e roteadores sem que ninguém perceba

Paulo Higa Por

Escolher bons servidores de DNS é importante não apenas para deixar sua navegação mais rápida, mas também mais segura. Eles traduzem um endereço (tecnoblog.net) em IP (104.25.134.33). Se você estiver utilizando um servidor não confiável, pode acabar digitando uma senha ou mesmo dados bancários em uma página falsa. E scripts maliciosos escondidos em sites estão alterando o DNS de roteadores sem autorização.

Roteador Wi-Fi (Por Pixabay)

Eles funcionam assim: você acessa um site legítimo, começa a ler o conteúdo e, silenciosamente, seu navegador faz inúmeras requisições maliciosas para a página de administração do seu modem (como http://192.168.1.1). Se o usuário manteve a senha padrão da operadora (“admin”, “12345”, “root” e afins), como é muito comum, o script pode alterar os servidores de DNS sem que ninguém desconfie de nada.

Isso de fato aconteceu. Até a manhã desta quarta-feira (11), um site brasileiro de fofocas estava executando um script malicioso que tentava mudar as configurações do modem para dois servidores de DNS no Canadá. O Tecnoblog apurou que o script já foi removido da página, mas ficou no ar por pelo menos 20 horas. Entramos em contato com o veículo para solicitar um posicionamento, mas não obtivemos resposta.

Em análise feita a pedido do Tecnoblog, o pesquisador de segurança da Kaspersky, Fabio Assolini, nota que o script tem quatro passos: “Em cada um deles, o script vai tentar logar no roteador, usando credenciais conhecidas ou padrão, e assim mudando os servidores de DNS. Não se trata do primeiro [ataque], já ocorreram outras vezes”.

Um servidor de DNS malicioso pode servir para inúmeros fins, como gerar lucro para o criminoso com a exibição de anúncios de sistemas de afiliados, ou mesmo direcionar vítimas para sites falsos (de bancos, por exemplo) para roubar informações, caso do script em questão, segundo Assolini. Um sistema de estatísticas mostrou que, em horários de pico, a audiência do código malicioso ultrapassou 900 usuários simultâneos.

O grande problema é que, se você estiver com um servidor de DNS malicioso, todos os dispositivos conectados ao seu roteador podem estar vulneráveis, incluindo smartphones, tablets e notebooks. Além disso, como o ataque é direcionado à página de administração do roteador, não importa muito o sistema operacional ou navegador que você usa.

“Para não ser vítima do ataque, é importante não usar as senhas padrão dos roteadores e, sempre que possível, manter o firmware atualizado, já que o script, além da força bruta, tenta explorar falhas CSRF [Falsificação de solicitação entre sites] no painel do dispositivo para entrar e mudar o DNS”, recomenda Assolini.

Então já sabe: se eu fosse você, daria uma olhada agora mesmo na página de administração do meu roteador para ver se as configurações de DNS estão corretas.

Leia mais: Qual o melhor DNS do Brasil? Veja como testar

Mais sobre: , ,

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

alex
Aconteceu comigo hoje. Entrei no site do BB e achei estranha a página. Quando fui ver no roteador tava com o seguinte DNS: 91.218.115.168. A página do BB era fake. Não tenho ideia do que possa ter acontecido, mas com certeza foi algo do tipo, pois notei que meu roteador estava com a senha padrão.
ochateador
Vixi...
Então tem que forçar a barra para eles permitirem que a gente use um modem e/ou roteador próprio e com isso evitar essas atualizações/configurações remotas :(
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Acho que não, Vivo e NET enviam updates de firmware pros roteadores remotamente, mudam configurações, as opções de acesso remoto estão desligadas, mas devem ter um canal especial pra isso
PPKX XD ?????????
Acho que não, Vivo e NET enviam updates de firmware pros roteadores remotamente, mudam configurações, as opções de acesso remoto estão desligadas, mas devem ter um canal especial pra isso
ochateador
Não teria como desabilitar esses updates ?
Uma vez ganhei um roteador/modem tão lixo da vivo que perdi umas 2 semanas procurando o acesso admin/root dele. Quando descobri o acesso fiquei 2 madrugadas olhando opção por opção e desativando e/ou removendo várias coisas e com isso o modem/roteador ficou excelente (antes caia 1x por dia, depois caia 1x a cada 10 dias).
Caio Alexandre
NET já mudou isso há séculos, todos os modens vem com uma configuração diferente (geralmente "NET_<parte do="" mac="">") e senha Mac Address.
Humberto Machado
na minha humilde residencia, meu modem da net anda com o wifi desativado, openDNS , dai conecto na porta wan do meu Xiaomi Mi router 3... os visitantes recebem uma senha temporária e as maquinas "de casa" tem autenticação via MACComo minha sogra já é mais velha e usa muito TV aberta, perfil ideal pra qualquer site de aleatoriedade, seria um prato cheio pra esse tipo de invasão
Humberto Machado
na minha humilde residencia, meu modem da net anda com o wifi desativado, openDNS , dai conecto na porta wan do meu Xiaomi Mi router 3... os visitantes recebem uma senha temporária e as maquinas "de casa" tem autenticação via MAC
Como minha sogra já é mais velha e usa muito TV aberta, perfil ideal pra qualquer site de aleatoriedade, seria um prato cheio pra esse tipo de invasão
Tiago Celestino
O que o site O Fuxico falou sobre esse caso?
Diego Rocha
Eu sei que pode falsificar o POST do form (ai o router teria que ter uma proteção contra CSRF) mas no print o js está fazendo GETs.
Lucas
Não sei se é o caso, mas acontece que pode ser por POST também. Se o método é POST, basta falsificar o formulário "da mudança" de DNS e reenvia-lo contando com a ausência da validação de autenticidade do lado servidor (no caso o roteador rs)
Guto Revoredo
Invade meu Mikrotik!
Isaias Freitas
Aconteceu comigo com um site.. ate fiz um post no forum do clubedogardware.
http://www.clubedohardware.com.br/forums/topic/1256890-sites-maliciosos-infectando-roteadores/?tab=comments#comment-6899333
Capitão Guapo
Muito bizarro isso. O problema que o tipo de gente que deixa a senha do roteador com admin 12345 não costuma ler esse tipo de matéria.
vin
Vou procurar mais sobre isso. Obrigado! :)
LeeEdwards2 Reverso
Imagina o pessoal que tem Oi Velox (eu) que o login e senha é admin, o mais básico possível. Pelo menos sou um dos poucos que mudaram a senha do modem.
Joao Naves
A senha é composta do número MAC da etiqueta, não tem como alguém saber se não ver, a não ser que você navegue usando a rede da pessoa e ela veja seu endereço MAC para depois te dar o golpe.
Ligeiro
Alguns mais antigos permitem. Os mais novos dependem. Alguns roteadores Net Virtua tem um duplo SSID por causa do "WiFi promocional" que permite. Aí é difícil de mexer. :
Ligeiro
Tem um problema, mas não sei se é bom falar (vou deixar para outro dar a letra): a senha de roteadores padrão da Vivo (ao menos alguns entre 4 a 2 anos atrás) é fácil em certo aspecto.
Isaias Freitas
Esses dias tava navegando em um site, e ai começou a pedir minha senha do modem. Notei também que ele ficava conectando nos IPS mais comuns. 10.1, 10.0, 1.1, 0.1.
Ligeiro
Acho que ele dá para meter um DD-WRT ou OpenWrt. Tenta lá :)
vin
Não, é esse daqui (WIN 300):
http://www.intelbras.com.br/sites/default/files/styles/product_gallery_large/public/win_300_front.png?itok=9ZZ0hAwW
Antonio Henrique
esse é daquele que tem uma antena no meio né? https://uploads.disquscdn.com/images/824a24d92407073b50a057a28a062cd276517ab1750e51238269b6fa2f0a9b19.png
RABUGENTO SFQNS
Não foi e-mail! Você entendeu errado a postagem do Anderson.
Foi SMS e consta dos sistemas dos bancos.
RABUGENTO SFQNS
Aconteceu nada menos que 4 vezes comigo em menos de 10 dias. Chamam de "envenenamento de DNS".
Pedi à NET para trocar meu modem e coloquei uma senha absurda no meu wi fi
Marcus Araújo
Uso o LEDE, baseado no OpenWrt, que possui um aviso marcante para criar uma senha, inclusive a versão 17.01.3 saiu esses dias. Recomendo por questão de segurança e de desempenho. Roteadores são equipamentos essenciais para nossas redes, mas também é o equipamento que menos vejo ter atenção quanto à segurança por parte das empresas, que não fornecem atualizações de firmware, e dos usuários. Até o pessoal mais ligado em tecnologia possui o péssimo hábito de só seguir o guia padrão de instalação e deixar pra lá depois, não atualizam sequer o firmware quando há uma atualização e aqui já percebemos o estrago.

Felizmente não fui afetado pela falha, como também não fui afetado em casos recentes de envenenamento de DNS. Acho que no passado o Tecnoblog abordou as "distros de roteadores" como as firmwares alternativas do OpenWrt e o DD-Wrt, acho que seria bacana dar esta atenção novamente. Bons serviços de DNS, como o brasileiro GigaDNS e o OpenDNS da Cisco, também são importantes. Certa vez, os serviços de DNS da minha operadora falharam e todo mundo dizia que a rede não funcionava na cidade, mas bastava alterar o DNS e tudo voltava ao normal. DNS de operadora brasileira infelizmente não é confiável, não só por questão de disponibilidade, como também por segurança (geralmente são os serviços de DNS afetados em casos de envenenamento).
Eduardo
Eu uso o OpenDNS
De longe o mais seguro!
Vou colocar aqui para quem quiser mudar seu servidor de DNS para OpenDNS
Primário: 208.67.222.222
Secundário: 208.67.220.220
Diego F. Duarte
Anitube manda abs
johndoe1981
Verdade, já ajuda.
Cássio Amaral
Verdade, já ajuda.
shzlot
Isso não é de hoje. Faz mais de un ano que esse código de alterar o DNS está ativo. Quando detectei isso, o código estava em anúncios do Ad Words. O anúncio tinha vários iframes com os parâmetros de autenticação passados pelo URL, tipo http://usuario:[email protected]/dns/?ip=0.0.0.0
Ennio Sousa
Isso não é de hoje. Faz mais de un ano que esse código de alterar o DNS está ativo. Quando detectei isso, o código estava em anúncios do Ad Words. O anúncio tinha vários iframes com os parâmetros de autenticação passados pelo URL, tipo http://usuario:[email protected]/dns/?ip=0.0.0.0
Ligeiro
Já peguei muito roteador NET Virtua que não deixa isso ser feito. Vivo, parece que só os Fibra tem problemas para configurar o DNS.

Depende muito da operadora, se ela permite fazer a troca de DNS. Operadoras menores muitas vezes nem permitem também. :
Ligeiro
Notei que não respondi sua pergunta. Só que o detalhe é que parte da resposta está no outro comentário.

Se você usa um roteador que está ou com o DNS desconfigurado ou com suspeita de hack, provavelmente terá problemas.

Exemplo: um roteador com hack demora muito mais para responder ou apenas poucos sites funcionam (inclusive os que onde é possível capturar dados). Um roteador sem DNS nota-se pelo fato que nenhum site é acessível.

Pesquise sobre como configurar DNSs que te explica melhor :)
Whebert Souza
Hum rum, acho muito bom isso, mas é bom anotar em algum lugar pois se por um acaso vc perder a etiqueta e não tiver a senha anotada, f#d3#
Diego Rocha
Muito estranho. O roteador aceitar a mudança de DNS por um GET é bizarro de mais. Um bug forte do roteador isso. Outra coisa estranha, o navegador deveria impedir o request com erro de Cross Domain (afinal o dominio do roteador é diferente do dominio do site de fofocas).
Jacques
Não é novo esse script, já tinha visto ele faz alguns anos no gizmodo, sendo distribuído pelo adsense da google...
Joao Naves
Quem usa roteador vivo não tem problemas pois a senha está na etiqueta do roteador, não é senha padrão 12345 ou outras.
Reinaldo Ramirez
já recebi este e-mail Tb é falso não entre observe que qd passa o prompt sobre o arquivo dentro do e-mail em baixo o nome do link que aparece não é do Banco do Brasil mas sim um Código direcionando para outro local
Wesley
Isso acontece há um tempão no site o fuxico. E mesmo com as senhas do meu modem sendo diferente do padrão eles conseguiam mudar. Eu simplesmente bloqueei esse site aqui na minha casa, imagina quantas pessoas infectadas não tem por aí...
X-Tudãoᴳᴼᵀ
Pelo menos a vivo tem senha personalizada, melhor que a senha padrão da net o clássico "admin".
Tom
Pelo menos a vivo tem senha personalizada, melhor que a senha padrão da net o clássico "admin".
Tom
Meu mudei o DNS no meu modem da Net.
X-Tudãoᴳᴼᵀ
Meu mudei o DNS no meu modem da Net.
Gabriel B.R.
Não achei nada sobre DNS no Power Box da Vivo. Se eu não consigo, o malware não consegue... Ou consegue? ?
brunocabral
Sites de animes com script que tenta acessar o modem são relativamente comum.
Leandro Dogue
Eu já presenciei esse problema já faz uns 6 meses porém não lembro qual site eu acessei que estava assim. Apenas notei a caixa de requisição ao roteador inúmeras vezes.

E o sintoma que meu roteador sofreu esta "invasão" foi justamente que ele ficou perdido com a configuração DNS. A senha utilizada era a padrão da GVT na época porém mesmo inculindo um DNS diferente ele não aceitava a configuração. Acredito eu, que o tal exploit acabou danificando alguma configuração no modem relacionado a esta configuração.

Recomendo que não acessem as configurações do roteador pois o reset pelo browse não funcionou no meu caso, acabei precisando dar um reset pelo botão no próprio aparelho.

A partir disso, criei senhas fortes no roteador e não somente para a rede Wireless além de utilizar um serviço DNS diferente da operadora (como Google e OpenDNS pois o padrão da Vivo é um saco).
Victor Brito
Mas não é o site/origem que deve bloquear isso ou não. É o servidor destino, que no caso seria o roteador.
johndoe1981
Ainda bem que eu venci a preguiça e recentemente mudei a senha do meu modem da Vivo. Aliás, faltou a senha padrão dos modems da GVT/Vivo, "gvt12345" kkkkk.
Cássio Amaral
Ainda bem que eu venci a preguiça e recentemente mudei a senha do meu modem da Vivo. Aliás, faltou a senha padrão dos modens da GVT/Vivo, "gvt12345" kkkkk.
Alberto Prado
Eles pertencem ao terra sim.
Ligeiro
Talvez se conversar tanto com a empresa quanto com a telefônica, é possível pedir que dê mais liberdade para você fazer as manutenções. Boa sorte.
Ligeiro
Uma aula simples e rápida:

O DNS é o "Sistema de Nomes de Domínio", em inglês "Domain Name System".

Como todos os computadores em uma rede tipo "web" usam o chamado "Internet Protocol" - IP, o mesmo é endereçado cada computador com um número. O exemplo comum é o famoso 192.168.0.1, que é atribuido comumente ao roteador.

O sistema DNS converte o 192.168.0.1 em roteador.local (se bem que esta parte da aula eu faltei, então não sei como seria em uma rede local o nome do roteador :p ). Ou no caso, o 104.25.135.33 em tecnoblog.net . Assim, você não precisa decorar números para entrar em um site.

Para saber qual servidor é o certo, são atribuídos os servidores DNS, geralmente associados aos grupos de manutenção da internet, empresas de distribuição e operação e empresas de telecomunicações. Por exemplo, o DNS comum antigo da Telefônica/Vivo SP é 200.204.0.10. E o do Google é 8.8.8.8

Geralmente você pode padronizar os DNSs nos roteadores residenciais, bastando ir na área WAN e adcionar os DNS. Aí você não precisa colocar os DNSs em cada equipamento em sua rede. :) Só não esqueça de trocar a senha do seu roteador ;)
Cristiano Hahn
Por isso uso DD-WRT, não confio em firmwares exploitaveis!
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
É num escritório compartilhado, não posso ficar mexendo muito, sei que tem vários modelos de roteadores de várias marcas, já passaram uns 5 diferentes por aqui, alguns permitem, outros não tem o campo ou é bloqueado. Sem contar os casos que depois de alguns meses a Vivo manda um "update" da configuração do seu roteador e muda tudo que vc colocou... mata NATs e etc
PPKX XD ?????????
É num escritório compartilhado, não posso ficar mexendo muito, sei que tem vários modelos de roteadores de várias marcas, já passaram uns 5 diferentes por aqui, alguns permitem, outros não tem o campo ou é bloqueado. Sem contar os casos que depois de alguns meses a Vivo manda um "update" da configuração do seu roteador e muda tudo que vc colocou... mata NATs e etc
Ligeiro
Já procurou tutoriais na internet? Tenho lido relatos que é possível alterar um roteador Vivo Fibra para "modo bridge" ou liberar portas (e aí deixar tudo na mão do roteador próprio).
Athos Castro Moreno
você pode descobrir digitando no cmd ou powershell "nslookup tecnoblog.net" e vendo o que aparece no DNS
Pimentel Jj
Eu já dificulto a vida do ladrão virtual, a primeira que coisa que faço quando compro um roteador novo é mudar a senha de acesso padrão, essa de "Admin admin" tá tão manjada que até os scripts já contam essa senha como "favas contadas".
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Eu uso a extensão do CORS por causa de desenvolvimento de app debugando no chrome com servidor local, o Chrome insistem em enviar um OPTIONS pro servidor de pagamento que bloqueia tudo, se eu desabilito a verificação de CORS passa numa boa, rodando no celular não tenho esse problema.Provavelmente como esses sites devem usar dados de tudo que é lugar, estão com tudo liberado.
PPKX XD ?????????
Eu uso a extensão do CORS por causa de desenvolvimento de app debugando no chrome com servidor local, o Chrome insistem em enviar um OPTIONS pro servidor de pagamento que bloqueia tudo, se eu desabilito a verificação de CORS passa numa boa, rodando no celular não tenho esse problema.
Provavelmente como esses sites devem usar dados de tudo que é lugar, estão com tudo liberado.
LessTech
O problema: se há uma galera que não se preocupa nem em alterar a senha do roteador, você realmente acha que eles vão se dar ao trabalho de fazer algum passo adicional?
Mario Junior ?????????
Tudo ok aqui.

LEDE + Adblock direto no roteador + DNS personalizado.
Victor Hugo
Ofuxico é do Terra? Certeza que é o Terra pelas cores que eles usam
M.
Pois é. Estou tretando com a vivo neste exato momento, pq o roteador de merda deles corta a conexão com a internet toda vez que a TV é desligada. Temos que reiniciar o modem toda vez que isso acontece.
Marcos
Pois é. Estou tretando com a vivo neste exato momento, pq o roteador de merda deles corta a conexão com a internet toda vez que a TV é desligada. Temos que reiniciar o modem toda vez que isso acontece.
Victor Brito
Não. Toda requisição feita por Javascript a partir de uma origem X para um destino Y é verificada pelo navegador que, precedendo a solicitação, envia uma requisição ao servidor Y para saber se ele permite requisições de X. Se isso não estiver configurado, o normal é que o navegador bloqueie a requisição. Não importa se a página estiver carregada, essa verificação sempre será feita a menos que o usuário tenha desabilitado manualmente (e pra fazer isso no Chrome precisa até definir um caminho de outro perfil que vai rodar sem CORS!) ou utilizando uma extensão para desabilitar o CORS.

Isso só não seria verificado se a requisição fosse feita pelo próprio usuário, no console.
Afrânio Moreira Jorge
Liguei para o meu gerente do banco , e perguntei porque o meu acesso ao bankline tinha sido bloqueado . E ele me respondeu que o banco identificou alguma alteração no DNS do meu modem.
Agora sei que é verdade.
Theo Queiroz
"Sorte" a minha que o roteador padrão porco da NET não deixa mudar o DNS. Pelo menos dessa vez seviu pra alguma coisa esse bloqueio.
Anderson Santos
Hoje recebi o seguinte SMS do BB após acessar o internet banking do mesmo: BB identificada violação no seu modem. contate seu provedor de internet e logo após altere as senhas em um TAA ou agencia.

Eu não acessei esse site acima, mas será que há relação?

Pior é que não tenho as senhas pra acessar o modem da AmericaNet.
Lucas Guilherme
Péssimo mesmo é a VIVO obrigar a gente a utilizar o roteador próprio deles, pois apenas ele autentica via PPPoE.
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
A porcaria do roteador da Vivo Fibra não deixa alterar o DNS, altero na minha máquina local pra não usar o do roteador... em casa tenho um roteador decente e configuro pra opendns e google.
PPKX XD ?????????
A porcaria do roteador da Vivo Fibra não deixa alterar o DNS, altero na minha máquina local pra não usar o do roteador... em casa tenho um roteador decente e configuro pra opendns e google.
PPKX XD ✓ᵛᵉʳᶦᶠᶦᵉᵈ
Se o script cria uma conexão entre o seu navegador e o roteador, não deve haver problema, já que quem deveria checar o acesso é o servidor que você está, certo? E duvido que um servidor deste tipo de site cheque se está carregando dados de outras origens, o roteador é o novo destino, ele não sabe o que aconteceu antes de chegar nele...Edit: além disso, se acontecer via script depois que a página já está carregada, é tudo acesso local, e quem poderia bloquear seria o navegador, o script já está carregado e é considerado como uma execução local na sua máquina, nada mais é checado no servidor de origem do script ou da página.
PPKX XD ?????????
Se o script cria uma conexão entre o seu navegador e o roteador, não deve haver problema, já que quem deveria checar o acesso é o servidor que você está, certo? E duvido que um servidor deste tipo de site cheque se está carregando dados de outras origens, o roteador é o novo destino, ele não sabe o que aconteceu antes de chegar nele...

Edit: além disso, se acontecer via script depois que a página já está carregada, é tudo acesso local, e quem poderia bloquear seria o navegador, o script já está carregado e é considerado como uma execução local na sua máquina, nada mais é checado no servidor de origem do script ou da página.
Jefferson Rodrigues
Uma vez, o Wi-Fi da minha casa não tava acessando vários sites. Só se usasse uma VPN. Isso aconteceu com todos os smartphones da minha casa. Então eu mudei esse tal de DNS, do smartphone, e eu passei a acessar os sites normalmente. Alguém sabe o motivo disso acontecer??
Eduardo Freitas
Ué, veste uma camisa do che guevara e tenta fuzilar todo mundo tse tse "fazer uma revolução"
Victor Brito
O CORS não bloqueia essas requisições pra um domínio diferente? Ou os roteadores que estão vulneráveis a esse tipo de ataque repondem "Access-Control-Allow-Origin: *" nas requisições?
Alberto Prado
É o fuxico. Corrigido.
Felipe Rodrigues
Tá com cara de ser o Terra
Alberto Prado
Aguenta aí que vou dá uma olhada.
vin
Meu roteador Intelbras é tão bom que ele não "sabe" que já foi configurado. Então, mesmo com senha, ao digitar o endereço IP dele aparece o assistente de configuração ensinando a ligar o cabo de rede e um botão "Configurações avançadas". É só clicar e todas as configurações do roteador estão expostas. Eita, preocupação com segurança!
Adriel Mattos
Ego não existe mais.
Alberto Prado
Eu já mando a letra. É o site o Fuxico. Direto ele fica mandando essa solicitação de acesso a página do router. E isso não tem só 20 horas não. Já tem umas 2 semanas pelo que eu sei que está assim.
Athos Castro Moreno
o problema disso é que algumas redes publicas/corporativas bloqueiam DNS externos (minha universidade faz isso), dai tem que ficar trocando toda hora
palatoqueimado
Um procedimento extra de segurança que pode ser adotado é forçar a configuração manual dos servidores de DNS do aparelho. Assim você tem controle de qual servidor deverá resolver os endereços, independentemente da rede acessada. Previne ataques MiTM, DNS hijacking, etc..