Dns spoofing
Segnalo a tutti i membri della lista che ho motivo di ritenere che nel corso della settimana settimana i dns di alcuni fornitori di connettività siano stati violati da un attacco di tipo dns spoofing che parrebbe aver modificato i record A, MX e PTR riferiti ad alcuni nomi a dominio ivi referenziati nei server violati. Dopo la violazione pare sia partita una raffica di richieste di password reset a cui i vari fornitori dei servizi interessati hanno risposto con la solita email il link per il reset della password. E' presumibile che alcuni di questi messaggi di password reset siano stati ricevuti dai server dei malviventi invece che dai server dei legittimi destinatari. Luciano -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/541c707b.9070...@modula.net
Re: Dns spoofing
Il giorno 19/set/2014, alle ore 20:05, fran...@modula.net ha scritto: > Segnalo a tutti i membri della lista che ho motivo di ritenere che nel corso > della settimana settimana i dns di alcuni fornitori di connettività siano > stati violati da un attacco di tipo dns spoofing che parrebbe aver modificato > i record A, MX e PTR riferiti ad alcuni nomi a dominio ivi referenziati nei > server violati. possibile? una dns spoofing a largo raggio e' grave assai. passi la violazione di un solo fornitore di connettivita', ma piu' di uno rende la cosa molto grave. Il tuo motivo di ritenere nasce da? mauro ma...@majaglug.net signature.asc Description: Message signed with OpenPGP using GPGMail
Re: Dns spoofing
Il 22/09/2014 12:23, mauro ha scritto: Il giorno 19/set/2014, alle ore 20:05, fran...@modula.net ha scritto: Segnalo a tutti i membri della lista che ho motivo di ritenere che nel corso della settimana settimana i dns di alcuni fornitori di connettività siano stati violati da un attacco di tipo dns spoofing che parrebbe aver modificato i record A, MX e PTR riferiti ad alcuni nomi a dominio ivi referenziati nei server violati. possibile? una dns spoofing a largo raggio e' grave assai. passi la violazione di un solo fornitore di connettivita', ma piu' di uno rende la cosa molto grave. Il tuo motivo di ritenere nasce da? mauro ma...@majaglug.net I record A, MX e PTR puntavano a server asiatici. Non può trattarsi di una errata configurazione del server DNS dei fornitori perchè anche i PTR sul reverse risolvevano i nomi dei server dei clienti. Altri Dns di altri fornitori invece continuavano a risolvere normalmente. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/542007d6.9010...@modula.net
Re: Dns spoofing
Il 22/09/2014 13:28, fran...@modula.net ha scritto: Il 22/09/2014 12:23, mauro ha scritto: Il giorno 19/set/2014, alle ore 20:05, fran...@modula.net ha scritto: Segnalo a tutti i membri della lista che ho motivo di ritenere che nel corso della settimana settimana i dns di alcuni fornitori di connettività siano stati violati da un attacco di tipo dns spoofing che parrebbe aver modificato i record A, MX e PTR riferiti ad alcuni nomi a dominio ivi referenziati nei server violati. possibile? una dns spoofing a largo raggio e' grave assai. passi la violazione di un solo fornitore di connettivita', ma piu' di uno rende la cosa molto grave. Il tuo motivo di ritenere nasce da? mauro ma...@majaglug.net I record A, MX e PTR puntavano a server asiatici. Non può trattarsi di una errata configurazione del server DNS dei fornitori perchè anche i PTR sul reverse risolvevano i nomi dei server dei clienti. Altri Dns di altri fornitori invece continuavano a risolvere normalmente. Precisazioni: perchè anche i PTR sul reverse risolvevano i nomi dei server dei clienti sui server asiatici. i server violati non sono autoritativi per i domini dei clienti -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54213d83.40...@modula.net
Re: Dns spoofing
Il 22/09/2014 13:28, fran...@modula.net ha scritto: Il 22/09/2014 12:23, mauro ha scritto: Il giorno 19/set/2014, alle ore 20:05, fran...@modula.net ha scritto: Segnalo a tutti i membri della lista che ho motivo di ritenere che nel corso della settimana settimana i dns di alcuni fornitori di connettività siano stati violati da un attacco di tipo dns spoofing I record A, MX e PTR puntavano a server asiatici. Non può trattarsi di una errata configurazione del server DNS dei fornitori perchè anche i PTR sul reverse risolvevano i nomi dei server dei clienti. Altri Dns di altri fornitori invece continuavano a risolvere normalmente. ciao, scusa l'ignoranza, ma potrebbe avere a che fare con pagine strane che mi si sono aperte (http://security-law-bpayuraa.asia/law_enforcement/705... etc.) al posto di altre, che il dns del router mi è sembrato diverso dal solito? valerio -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54230c84.6090...@teletu.it
Re: Dns spoofing
On 19 Settembre 2014 20:05:47 CEST, "fran...@modula.net" wrote: >Segnalo a tutti i membri della lista che ho motivo di ritenere che nel >corso della settimana settimana i dns di alcuni fornitori di >connettività siano stati violati da un attacco di tipo dns spoofing che > >parrebbe aver modificato i record A, MX e PTR riferiti ad alcuni nomi >a >dominio ivi referenziati nei server violati. Fonte? Link per approfondire? A parte che la segnalazione può essere utile, ma comunque non è OT in questa lista? Saluti gerlos -- Inviato dal mio cellulare - scusate gli errori di battitura! -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/43722387-c93b-4c59-bbd5-b41c2566c...@email.android.com
Re: Dns spoofing
Il 24/09/2014 20:46, Gerlos ha scritto: On 19 Settembre 2014 20:05:47 CEST, "fran...@modula.net" wrote: Segnalo a tutti i membri della lista che ho motivo di ritenere che nel corso della settimana settimana i dns di alcuni fornitori di connettività siano stati violati da un attacco di tipo dns spoofing che parrebbe aver modificato i record A, MX e PTR riferiti ad alcuni nomi a dominio ivi referenziati nei server violati. Fonte? Link per approfondire? A parte che la segnalazione può essere utile, ma comunque non è OT in questa lista? Saluti gerlos Per quale motivo ti sembra OT la descrizione di un attacco che sembra essersi verificato la scorsa settimana su alcuni cache server? Come ho già detto, è interessante notare che dopo lo spoofing i malviventi avrebbero richiesto, al posto dei legittimi titolari, il reset delle password con cui alcuni degli utenti dei domini spoofizzati accedevano a vari servizi internet e che alcune delle email di risposta contenenti il link di reset potrebbero essere così arrivate al server dei malviventi, con conseguente possibile furto di identità. Non so in che scala è stato portato l'attacco e quindi non saprei darti altre fonti ma se ne trovi e le segnali sono gradite. Luciano -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5423230e.9070...@modula.net
Re: Dns spoofing
Il 24/09/2014 20:25, valerio ha scritto: Il 22/09/2014 13:28, fran...@modula.net ha scritto: Il 22/09/2014 12:23, mauro ha scritto: Il giorno 19/set/2014, alle ore 20:05, fran...@modula.net ha scritto: Segnalo a tutti i membri della lista che ho motivo di ritenere che nel corso della settimana settimana i dns di alcuni fornitori di connettività siano stati violati da un attacco di tipo dns spoofing I record A, MX e PTR puntavano a server asiatici. Non può trattarsi di una errata configurazione del server DNS dei fornitori perchè anche i PTR sul reverse risolvevano i nomi dei server dei clienti. Altri Dns di altri fornitori invece continuavano a risolvere normalmente. ciao, scusa l'ignoranza, ma potrebbe avere a che fare con pagine strane che mi si sono aperte (http://security-law-bpayuraa.asia/law_enforcement/705... etc.) al posto di altre, che il dns del router mi è sembrato diverso dal solito? valerio Non saprei. Da quanto capisco hai configurato resolv.conf per inviare le richieste dns al router e il router si incarica di trasmetterle al dns esterno (del provider teletu o altro?). Se hai scelto una buona password per l'interfaccia amministrativa del router e hai disabilitato la possibilità di accedervi dall'esterno dovresti essere sufficientemente protetto. Poi tutto può essere ma di solito è più verosimile un problema limitato al browser o a uno dei siti che hai visitato. Luciano. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/54242850.4030...@modula.net