Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 32 replies
  • Subscribers 3 subscribers
  • Views 9976 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible security issue

Jayson
Howdy

I've been using the ASG home version since version 6 with nearly no issues at all. However in the last twenty four hours something odd is happening that I'm starting to think might be a hack attempt.(man in middle most likely)

For whatever ever reasons, all my computers started getting the ASG block page on most all of the normally used sites, (examples include MSNBC.com, BUY.com, Google.com, etc) that say, blocked country Argentina. I'm in the USA and most of the sites are in the USA. I DO block Argentina, however I'm unable to figure out why all of a sudden all of these sites are getting routed through Argentina.

From Web Logs 

url="ak.buy.com/.../pg_prod_box_left.gif" exceptions="" error="" country="Argentina"

It's the same thing for just about every site I go to. It says everything is coming from Argentina. 

I've changed no settings on my firewall lately.

I have checked my DNS (both forwarders set to Google's public DNS servers)

Any thoughts?

Edit:

I should mention that I have changed the DNS forwarders to the ones supplied by my ISP and get the same results.


This thread was automatically locked due to age.
Parents
  • 0
    This problem came back this morning again so I switched to my IPS for DNS cleared the ASG DNS cache.  I have an AD system here so I cleared the DNS server cache.  I then cleared the two work station DNS caches and everything is working now.  I had tested buy.com and msnbc.com as well as theweathernetwork.com before this procedure and they all were blocked, now they all work fine.  I'm going to keep my ISP DNS for a while to see if this comes back.

    Jayson, what DNS forwarders were used in those backups?  I'm using 8.171, what version are you on?
Reply
  • 0
    This problem came back this morning again so I switched to my IPS for DNS cleared the ASG DNS cache.  I have an AD system here so I cleared the DNS server cache.  I then cleared the two work station DNS caches and everything is working now.  I had tested buy.com and msnbc.com as well as theweathernetwork.com before this procedure and they all were blocked, now they all work fine.  I'm going to keep my ISP DNS for a while to see if this comes back.

    Jayson, what DNS forwarders were used in those backups?  I'm using 8.171, what version are you on?
Children
  • 0 in reply to PaulHolt
    Well oddly enough my issue has returned as well. 

    This is a completely new ASG install WITHOUT a backup installed. I'm simply running it off the wizard installation. It had been working but for whatever reasons in the middle of the night while no one was using it the problem returned. I can see this from various automated software items going out to do updates.

    This new installation WAS NOT using Google DNS at any point. I was using my local ISP DNS resolvers.

    I still do not understand why this problem would appear when using a Ubuntu live CD. That is a pristine image and shouldn't be having DNS poisoning issues out the gate.

    I'm also seeing this in my log files pretty much non stop every other minute.

    13:12:42  Default DROP  2 
    10.0.0.0      
    → 
    224.0.0.1      

    len=36  ttl=1  tos=0x00  srcmac=0:0:0:0:0:0  dstmac=0:c:29:85:23[:D]a
    13:12:47  Default DROP  2 
    172.29.255.122      
    → 
    224.0.0.1      

    len=32  ttl=1  tos=0x00  srcmac=0:1:5c:31:2d:c1  dstmac=0:c:29:85:23[:D]a


    The IP addresses are not mine and I have no CISCO / Linksys devices on my network. (MAC address lookup)

    Every now and then the 172.29.255.122 address connects to a node at my ISP. It says it belongs to their Finance dept. on Arin. Not sure if that's just a generalized name for the ISP or not. 

    I also see this about every two seconds

    13:27:22  Default DROP  2 
    172.29.255.122:67      
    → 
    255.255.255.255:68      

    len=32  ttl=1  tos=0x00  srcmac=0:1:5c:31:2d:c1  dstmac=0:c:29:85:23[:D]a


    Which seems odd to me that some random address that doesn't belong on my network would be showing up looking for a DHCP server.

    Let me ask you guys this. When I do a traceroute FROM my firewall to anything I'm seeing internal addresses for the next few hopes, is that normal? I've never seen that before.

    Example:

    Firewall * *
    2. 10.x.x.x
    3. 10.x.x.x
    4. 192.x.x.x
    5. 207.x.x.x

    On the sites I'm having issues with I'm seeing 10.x.x.x address on the OTHER end of the trace.

    Thoughts?

    Edit:

    Keep in mind I'm totally back to factory defaults on my ASG.