Galiba Bir DNS Hack ile Karşı Karşıyayım.(Win32/Rbrute-Çözüldü)

@**Heliosaga** · 15.04.2015, 14:43

Nabersiniz..

Başlıkta belirttiğim gibi garip bir dns hack olayıyla karşı karşıya kaldım. Resimde belirttiğim gibi bir şekilde modem arayüzünde dns numaraları otomatikman değişiyor. Normalde norton dns kullanırım (199.85.126.10 ve .. 127.10) Ama ne zaman bunu kutucuğa girsem bir dahaki seferine sayfayı yenilediğimde bu dns numaralarını görüyorum.

Bu sorun son 6 gündür var sanırım. Çünkü öncelerinden web'te dolaşırken özellikle sahte flash player güncelle sayfaları yada facebook girişi yapın temalı sayfalar geliyordu. Adres satırından bunu rahat anlayabiliyordum (ör. Sahte flash player güncelle başlığında adres satırı "www.facebook.com/setup.exe) bunun gibi adresler tabi hemen kıllık olduğunu sezdim.

Adaware clean, hitmanpro gibi yazılımsal araçlarla ve zonealarm ile taramalarım sonucu sadece 2 tane trojan backdoor bulabildi ve sildi. Silindikten sonra böyle tuzak web sayfaları tabi açılmadı ama bu dns hack olayı çözülemedi. Sizdende yada misafirlerden vs fikir bekliyorum.^^

Ağda benle birlikte bir arkadaş kullanıyor acaba onun pc'sinde mi bir olay var diye sordum oda yok dedi. Gerçi ilk şüphem o. Ama oda garip bişey yok diyor..

Denediğim çözümler,

1- Modem Firmware güncellemesi -- başarısız
2- Modem Resetleme - Başarısız..
3 - TCP/IPV4 arayüzünden DNS yazma - Kısmen başarılı Ama Modem Arayüzündeki DNS hep aynı (Yanlış web adresi yazılımlarında Norton Dns penceresi çıkıyor)

--

Şu an sadece garip ip adreslerinden gelen isteklerin çoğu zonealarm firewall tarafından engelleniyor.

Ne yapabiliriz..:/

@**Kartal** · 15.04.2015, 14:59

Eğer modemden hacklendi isen modemini bir resetle derim, yalnız kullanıcı isin ve şifrelerini unuttuysan yapma, yoksa servis sağlayıcısına telefon edip tekrar öğrenmen gerekebilir, uzun iş.
IP adresin ABD New York gözüküyor, buda ancak Hot Spot Shield gibi programlar kullanıyorsan olur.

O zaman yapman gereken bu programı tekrar çalıştırıp görev yöneticini çalıştırıp hizmetler kısmına gelip otomatik değil, el ile ayaralaman lazım.
Benim şimdilik aklıma gelen bunlar.

@**Heliosaga** · 15.04.2015, 15:07

Onları zaten yaptım.. El ile TCP ayarına dns yazdığımda ipconfig komutundan norton dns'ye ayarlı gözüküyor ama modem dns'sinde bu numara hep duruyor. :/

Modem resetledim zaten adsl kimliğimide biliyorum onlar sorun değilde..

Sıfırladığım halde yine bulaşıyor. Garip bişey.. halen çözemedim.

@**Heliosaga** · 15.04.2015, 15:17

Galiba sorunun kaynağını buldum.

Eset firması şöyle bir analiz yayınlamış tabi ingilizce

Win32/Sality newest component: a router

Alıntı:

Cisco routers matching “level_15_” in the HTTP realm attribute
D-Link DSL-2520U
D-Link DSL-2542B
D-Link DSL-2600U
Huawei EchoLife
TP-LINK
TP-Link TD-8816
TP-Link TD-8817
TP-Link TD-8817 2.0
TP-Link TD-8840T
TP-Link TD-8840T 2.0
TP-Link TD-W8101G
TP-Link TD-W8151N
TP-Link TD-W8901G
TP-Link TD-W8901G 3.0
TP-Link TD-W8901GB
TP-Link TD-W8951ND
TP-Link TD-W8961ND
TP-Link TD-W8961ND
ZTE ZXDSL 831CII
ZTE ZXV10 W300

Bu listede olan modem modellerini kullananlar maalesef bu dns hack'e tamamen açık hedef haline geliyorlar. Olay tamamen firmaların özensizliği sanırım. Bir tür açık var yani..

Araştırmaya devam.. çözümü bulduğumda bu konuyu düzenlerim.

@**Kartal** · 15.04.2015, 15:23

Bence senin işin hack olayı değil, daha önce benimde başıma gelmişti, yasakları aşmak için kullandığım program kendi dns lerini atıyordu daha sonra başlangıç ve hizmetler ksımında programın çalışma prensibini otomatik değilde el ile ayrladım sorun çözüldü.
Bir arkadaşının laptop pc si var ise onunlada girmeyi deneyebilirsin en azından modem hack olayı devre dışı kalmış olur.
Kolay gelsin Serseri

@**Heliosaga** · 16.04.2015, 22:12

Görev başarılı şekilde tamamlandı.

Evet nasıl çözdüğümü anlatma zamanı malum google'dan bu konuyu görecekler olur. Onlarada yararımız dokunur.

Öncelikle bu soruna sebeb olan trojan'ın adı: Win32/Rbrute, Sality adlı belalı virüsün yan kolu gibi bişey..

Bu trojan neler yapıyor? Özellikleri nedir?

* Dns changer görevi gören bu zararlı, modem arayüzüne sızdıktan sonra karşınıza "flash player güncelle" yada kullandığınız tarayıcının yeni güncel versiyonunu yükleme gibi aldatıcı sayfaları ekranınıza getirerek, sality virüsün bulaşmasını sağlamak oluyor.

Çözümü.(Adım Adım)

1- Güvenli kipte tam bir virüs/trojan taraması yapın

2- Modemi Sıfırlayın (Sıfırlamadan önce adsl kimlik ve şifrenizi bildiğinizden emin olun.) Sıfırladıktan sonra modem arayüzü kullanıcı adı ve şifresi için modemin kullanım kitapçığına yada modem'in altına bakın

3 - Modem arayüzüne adsl kimlik ve şifrenizi tanımlayın. Bağlantınızı doğrulayın.

4- Modem arayüzüne uzaktan erişimi devre dışı bırakın.

Resimdeki gibi yapın.. Bu eylem ile modem arayüzüne sizden başka kimse ulaşamıyor..

5- Modem şifresi için daha güçlü bir karakter kombinasyonu atamayı unutmayın.

6- Başlat-Çalıştır kısmına "cmd" yazın. Çıkan komut penceresine "ipconfig/flushdns" yazın. Bu eylem dns önbelleğini temizleyecektir.

7- Kullandığınız tarayıcının çerezlerini tamamen silin.

8- Bilgisayarınızı yeniden başlatın.

--

Görev tamamlandı.

@**ReaL** · 17.04.2015, 01:44

Geçmiş olsun.

Tebrik ederim.

@**Sting** · 17.04.2015, 11:46

Sorun çözülmüş olsa da sistemini Combofix ile taratmanı öneririm.

Çok sinsi truva atları var.Enazından online işlemlerini rahat bir şekilde halledebilirsin.

Bunun haricinde özel DNS adresleriyle işin yoksa Chrome'da Zenmate eklentisini kullanarak istediğin sitelere erişim sağlayabilirsin.

@**Heliosaga** · 17.04.2015, 21:41

Hijackthis ile regedit değerlerini zaten kontrol ettim.

Şu an yanlış bir durum yok. Lakin nasıl kaptığımı anlayamadım. Büyük ihtimal torrent ağı için özel olarak modem arayüzünden açtığım port buna sebeb oldu.

Aklıma gelebilecek tek şey bu. Ama bir yandanda tp-linkte böyle bir açık var.. O yüzden tp link kullananlar mutlaka erişim yönetimini açmaları gerek.

15.04.2015, 14:43	#1
Çevrimiçi @Heliosaga Cehennem Yolcusu Kullanıcıların profil bilgileri misafirlere kapatılmıştır. @Heliosaga	Galiba Bir DNS Hack ile Karşı Karşıyayım.(Win32/Rbrute-Çözüldü) Nabersiniz.. Başlıkta belirttiğim gibi garip bir dns hack olayıyla karşı karşıya kaldım. Resimde belirttiğim gibi bir şekilde modem arayüzünde dns numaraları otomatikman değişiyor. Normalde norton dns kullanırım (199.85.126.10 ve .. 127.10) Ama ne zaman bunu kutucuğa girsem bir dahaki seferine sayfayı yenilediğimde bu dns numaralarını görüyorum. Bu sorun son 6 gündür var sanırım. Çünkü öncelerinden web'te dolaşırken özellikle sahte flash player güncelle sayfaları yada facebook girişi yapın temalı sayfalar geliyordu. Adres satırından bunu rahat anlayabiliyordum (ör. Sahte flash player güncelle başlığında adres satırı "www.facebook.com/setup.exe) bunun gibi adresler tabi hemen kıllık olduğunu sezdim. Adaware clean, hitmanpro gibi yazılımsal araçlarla ve zonealarm ile taramalarım sonucu sadece 2 tane trojan backdoor bulabildi ve sildi. Silindikten sonra böyle tuzak web sayfaları tabi açılmadı ama bu dns hack olayı çözülemedi. Sizdende yada misafirlerden vs fikir bekliyorum.^^ Ağda benle birlikte bir arkadaş kullanıyor acaba onun pc'sinde mi bir olay var diye sordum oda yok dedi. Gerçi ilk şüphem o. Ama oda garip bişey yok diyor.. Denediğim çözümler, 1- Modem Firmware güncellemesi -- başarısız 2- Modem Resetleme - Başarısız.. 3 - TCP/IPV4 arayüzünden DNS yazma - Kısmen başarılı Ama Modem Arayüzündeki DNS hep aynı (Yanlış web adresi yazılımlarında Norton Dns penceresi çıkıyor) -- Şu an sadece garip ip adreslerinden gelen isteklerin çoğu zonealarm firewall tarafından engelleniyor. Ne yapabiliriz..:/ __________________ Never fade away...

15.04.2015, 14:59	#2
Çevrimdışı @Kartal Müdavim Kullanıcıların profil bilgileri misafirlere kapatılmıştır. @Kartal	Cevap: Başım Dertte.. Galiba Bir DNS Hack İle Karşı Karşıyayım. Eğer modemden hacklendi isen modemini bir resetle derim, yalnız kullanıcı isin ve şifrelerini unuttuysan yapma, yoksa servis sağlayıcısına telefon edip tekrar öğrenmen gerekebilir, uzun iş. IP adresin ABD New York gözüküyor, buda ancak Hot Spot Shield gibi programlar kullanıyorsan olur. O zaman yapman gereken bu programı tekrar çalıştırıp görev yöneticini çalıştırıp hizmetler kısmına gelip otomatik değil, el ile ayaralaman lazım. Benim şimdilik aklıma gelen bunlar.

15.04.2015, 15:07	#3
Çevrimiçi @Heliosaga Cehennem Yolcusu Kullanıcıların profil bilgileri misafirlere kapatılmıştır. @Heliosaga	Cevap: Başım Dertte.. Galiba Bir DNS Hack ile Karşı Karşıyayım. Onları zaten yaptım.. El ile TCP ayarına dns yazdığımda ipconfig komutundan norton dns'ye ayarlı gözüküyor ama modem dns'sinde bu numara hep duruyor. :/ Modem resetledim zaten adsl kimliğimide biliyorum onlar sorun değilde.. Sıfırladığım halde yine bulaşıyor. Garip bişey.. halen çözemedim. __________________ Never fade away...

15.04.2015, 15:23	#5
Çevrimdışı @Kartal Müdavim Kullanıcıların profil bilgileri misafirlere kapatılmıştır. @Kartal	Cevap: Başım Dertte.. Galiba Bir DNS Hack ile Karşı Karşıyayım. Bence senin işin hack olayı değil, daha önce benimde başıma gelmişti, yasakları aşmak için kullandığım program kendi dns lerini atıyordu daha sonra başlangıç ve hizmetler ksımında programın çalışma prensibini otomatik değilde el ile ayrladım sorun çözüldü. Bir arkadaşının laptop pc si var ise onunlada girmeyi deneyebilirsin en azından modem hack olayı devre dışı kalmış olur. Kolay gelsin Serseri

16.04.2015, 22:12	#6
Çevrimiçi @Heliosaga Cehennem Yolcusu Kullanıcıların profil bilgileri misafirlere kapatılmıştır. @Heliosaga	Cevap: Başım Dertte.. Galiba Bir DNS Hack ile Karşı Karşıyayım. Görev başarılı şekilde tamamlandı. Evet nasıl çözdüğümü anlatma zamanı malum google'dan bu konuyu görecekler olur. Onlarada yararımız dokunur. Öncelikle bu soruna sebeb olan trojan'ın adı: Win32/Rbrute, Sality adlı belalı virüsün yan kolu gibi bişey.. Bu trojan neler yapıyor? Özellikleri nedir? * Dns changer görevi gören bu zararlı, modem arayüzüne sızdıktan sonra karşınıza "flash player güncelle" yada kullandığınız tarayıcının yeni güncel versiyonunu yükleme gibi aldatıcı sayfaları ekranınıza getirerek, sality virüsün bulaşmasını sağlamak oluyor. Çözümü.(Adım Adım) 1- Güvenli kipte tam bir virüs/trojan taraması yapın 2- Modemi Sıfırlayın (Sıfırlamadan önce adsl kimlik ve şifrenizi bildiğinizden emin olun.) Sıfırladıktan sonra modem arayüzü kullanıcı adı ve şifresi için modemin kullanım kitapçığına yada modem'in altına bakın 3 - Modem arayüzüne adsl kimlik ve şifrenizi tanımlayın. Bağlantınızı doğrulayın. 4- Modem arayüzüne uzaktan erişimi devre dışı bırakın. Resimdeki gibi yapın.. Bu eylem ile modem arayüzüne sizden başka kimse ulaşamıyor.. 5- Modem şifresi için daha güçlü bir karakter kombinasyonu atamayı unutmayın. 6- Başlat-Çalıştır kısmına "cmd" yazın. Çıkan komut penceresine "ipconfig/flushdns" yazın. Bu eylem dns önbelleğini temizleyecektir. 7- Kullandığınız tarayıcının çerezlerini tamamen silin. 8- Bilgisayarınızı yeniden başlatın. -- Görev tamamlandı. __________________ Never fade away...

17.04.2015, 01:44	#7
Çevrimdışı @ReaL Deniz Sevengillerden Kullanıcıların profil bilgileri misafirlere kapatılmıştır. @ReaL	Cevap: Galiba Bir DNS Hack ile Karşı Karşıyayım.(Win32/Rbrute-Çözüldü) Geçmiş olsun. Tebrik ederim. __________________ Tüm katılımcı arkadaşların okumasını rica ediyorum... Lütfen Tıklayınız.. * * *

17.04.2015, 11:46	#8
Çevrimdışı @Sting Tam Üye Kullanıcıların profil bilgileri misafirlere kapatılmıştır. @Sting	Cevap: Galiba Bir DNS Hack ile Karşı Karşıyayım.(Win32/Rbrute-Çözüldü) Sorun çözülmüş olsa da sistemini Combofix ile taratmanı öneririm. Çok sinsi truva atları var.Enazından online işlemlerini rahat bir şekilde halledebilirsin. Bunun haricinde özel DNS adresleriyle işin yoksa Chrome'da Zenmate eklentisini kullanarak istediğin sitelere erişim sağlayabilirsin. __________________ *ya zarı bir kere salla ya da dibe vur...*

17.04.2015, 21:41	#9
Çevrimiçi @Heliosaga Cehennem Yolcusu Kullanıcıların profil bilgileri misafirlere kapatılmıştır. @Heliosaga	Cevap: Galiba Bir DNS Hack ile Karşı Karşıyayım.(Win32/Rbrute-Çözüldü) Hijackthis ile regedit değerlerini zaten kontrol ettim. Şu an yanlış bir durum yok. Lakin nasıl kaptığımı anlayamadım. Büyük ihtimal torrent ağı için özel olarak modem arayüzünden açtığım port buna sebeb oldu. Aklıma gelebilecek tek şey bu. Ama bir yandanda tp-linkte böyle bir açık var.. O yüzden tp link kullananlar mutlaka erişim yönetimini açmaları gerek. __________________ Never fade away...

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder