Repeater in mein Netzwerk injiziert?

7

Ich weiß, das ist keine Support-Website, aber auf der anderen Seite fand ich mein Problem sehr faszinierend. Ich werde es trotzdem veröffentlichen.

Gestern haben sich alle meine Maschinen von meinem Heimnetzwerk getrennt. Es dauerte eine Weile, bis sie sich wieder verbinden konnten. Dann wurde alles wieder normal, außer einer meiner Maschinen (Windows 7) erlaubte mir keine Internetverbindung. Ich kann auf alle meine E-Mail-Konten zugreifen (imap).

Ich kann auf google.com zugreifen, aber in den meisten Fällen wird das Autorisierungsfenster meines Browsers geöffnet und Sie werden aufgefordert, sich anzumelden. Es sagt:

Repeater
Login: admin / PW: 1234

Wenn ich diesen Dialog verlasse, kehrt der Browser zurück 401 unauthorized.

Wenn ich versuche, mich mit einem https://<website>Es gibt eine Warnung zu einem beschädigten Zertifikat, das nur für 127.0.0.1 (unter Windows und Ubuntu) gültig ist.

Das Netzwerk wurde von uns nicht verändert und die von uns verwendete FritzBox fungiert nicht als Repeater. Wir verwenden überhaupt keine Repeater.

Ich habe versucht, das Problem zu beheben:  - Ich habe das Betriebssystem auf Ubuntu umgestellt, und ich hatte das gleiche Problem.  - Ich habe mein DNS geleert, 8.8.8.8 hinzugefügt ... die gleichen Probleme.  - Ich habe meine Router-Firmware aktualisiert.

Nachdem ich den USB-Dongle gewechselt hatte, war alles wieder normal. Ich dachte, der Dongle sei einfach kaputt. Heute bin ich nach Hause gekommen und schätze, was passiert ... dasselbe passiert wieder und diesmal ist es nicht nur dieselbe Maschine wie zuvor, sondern auch meine Smartphone .

Ich habe einen Tracepath gemacht. Hier ist die Ausgabe auf meinem beschädigten Computer:

foo@foo-MS-7758:~$ tracepath golem.de
 1?: [LOCALHOST]                                         pmtu 1500
 1:  brw002258164b03.setup                                 4.380ms reached
 1:  brw002258164b03.setup                                15.272ms reached
     Resume: pmtu 1500 hops 1 back 1 

Ausgabe auf der Arbeitsmaschine:

 1?: [LOCALHOST]                                         pmtu 1500
 1:  fritz.box                                            10.208ms 
 1:  fritz.box                                             2.689ms 
 2:  p5DCC4446.dip0.t-ipconnect.de                         2.198ms pmtu 1492
 2:  87.186.224.118                                       19.518ms 
 3:  217.0.77.6                                           23.220ms asymm  4 
 4:  b-ea7-i.B.DE.NET.DTAG.DE                             32.254ms asymm  6 
 5:  dtag1.syseleven.net                                  27.833ms asymm  6 
 6:  ae1-0.blu1-r2.syseleven.net                          28.128ms 
 7:  ae0-0.blu1-r1.syseleven.net                          28.677ms asymm  8 
 8:  176.74.59.148                                        28.629ms reached

Haben Sie eine Ahnung, was das bewirken könnte und wie ich es reparieren kann? Wie könnte ich mehr Informationen sammeln, um auf den Grund zu kommen?

EDIT: DNS funktioniert übrigens korrekt. Ich kann jede URL anpingen und es wird mir zwar die richtige IP-Adresse, aber keine Antworten angezeigt.

EDIT2: brw002258164b03 ist der Netzwerkname meines drahtlosen Bruders. Die Fritzbox scheint den Verkehr auf die falschen Geräte oder was auch immer zu lenken. Auch Tracepath gibt nicht immer brw002258164b03 zurück, sondern auch einige Microsoft-Servernamen usw.

Dies erklärt immer noch nicht, warum ich auf google und golem.de zugreifen kann, aber keine anderen Websites (tracepath gab auch den Namen des Brother-Druckernetzwerks zurück, als ich golem.de oder google.de nachverfolgte).

Ich habe meinen Computer aus der Liste der Netzwerkgeräte entfernt und dann mit einer statischen IP-Adresse verbunden. Ich bin gespannt, wie das klappt.

Goot
quelle
Besitzen Sie vielleicht einen drahtlosen Brother-Drucker?
Daniel B
Wireshark könnte einige weitere Informationen liefern, möglicherweise mit der IP, mit der es kommuniziert, wenn Sie es noch nicht wissen
barlop
Ich besitze einen drahtlosen Bruder-Drucker, ja. Nachdem ich die Kommunikation zwischen drahtlosen Geräten deaktiviert hatte, gab es keine Probleme mehr, aber ich weiß immer noch nicht, wie dies geschehen konnte.
Goot
Ich habe gerade meinen Computer gestartet und habe wieder dieselben Probleme.
Goot
tyi - ich habe meine fritz.box vor ein paar tagen ausgetauscht und soweit ist alles wieder normal. Ich werde das alte zurücksetzen und es dann analysieren.
Goot

Antworten:

1

Es gibt eine UPNP-Sicherheitsanfälligkeit, die in freier Wildbahn auf eine Weise ausgenutzt wird, die das Autorisierungs-Popup verursacht. Deaktivieren Sie UPNP auf Ihrem Router und schalten Sie ihn aus und wieder ein. Dann Google für "Upnp Vulnerability" für mehr Informationen, als ich anbieten könnte.

Richard St Peters
quelle