Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 32 replies
  • Subscribers 3 subscribers
  • Views 9976 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible security issue

Jayson
Howdy

I've been using the ASG home version since version 6 with nearly no issues at all. However in the last twenty four hours something odd is happening that I'm starting to think might be a hack attempt.(man in middle most likely)

For whatever ever reasons, all my computers started getting the ASG block page on most all of the normally used sites, (examples include MSNBC.com, BUY.com, Google.com, etc) that say, blocked country Argentina. I'm in the USA and most of the sites are in the USA. I DO block Argentina, however I'm unable to figure out why all of a sudden all of these sites are getting routed through Argentina.

From Web Logs 

url="ak.buy.com/.../pg_prod_box_left.gif" exceptions="" error="" country="Argentina"

It's the same thing for just about every site I go to. It says everything is coming from Argentina. 

I've changed no settings on my firewall lately.

I have checked my DNS (both forwarders set to Google's public DNS servers)

Any thoughts?

Edit:

I should mention that I have changed the DNS forwarders to the ones supplied by my ISP and get the same results.


This thread was automatically locked due to age.
Parents
  • 0
    Jayson, who is your ISP? I'm with Rogers.... but I haven't seen the issue since yesterday morning.
  • 0 in reply to PaulHolt
    Well, I swapped out the modem, the tech at the cable company acted like I was stupid, kept saying its impossible to have internal use IP addresses on the WAN side of the modem. I replied with explain to me why I can see them then? and the only answer he would supply was my firewall must be broken. I in turn asked well how come I get the same results when I remove the firewall and plug a laptop directly in the cable modem. "well that must be broken as well because you cant have internal IPs out the outside"...

    Welp there you have it, we are all stupid.

    At any rate, replacement modem in place. I can still see the internal IP addresses from my ASG and I'm still getting hammered for DHCP request from a singular node with an internal IP on the WAN side of my ASG.

    It's been in place about an hour and I've yet to see any redirection to Argentina (or the other locations) BUT it worked for a number of hours after I installed it clean the last time as well. So I will have to follow up on that question tomorrow after some time has gone by.

    Edit: (update-8:30ish)

    I've been browing the web heavly for the last hour trying to see if the issue comes back, so far so good. I will check again tomorrow morning.
  • 0 in reply to Jayson
    As of this morning the issue was still gone.

    At this time I have no clue of why it started or why it stopped.

    The only thing that is not the same is the replacement cable modem.

    Thoughts?
  • 0 in reply to Jayson
    Just a thought here.. but..

    Maybe your ISP had received a new batch of IP addresses that were originally assigned to a company in/near Argentina. Geoloc databases hadn't been updated yet, so when you visited sites, they assumed based on Geolocation you were near Argentina.

    When you got the new modem, either you didn't get an IP from that range, or Geolocation had finally been updated.

    This is of course all theory....
Reply
  • 0 in reply to Jayson
    Just a thought here.. but..

    Maybe your ISP had received a new batch of IP addresses that were originally assigned to a company in/near Argentina. Geoloc databases hadn't been updated yet, so when you visited sites, they assumed based on Geolocation you were near Argentina.

    When you got the new modem, either you didn't get an IP from that range, or Geolocation had finally been updated.

    This is of course all theory....
Children
  • 0 in reply to ReD-MaN
    Same here Jayson, the issue has disappeared and I didn't change anything except my DNS forwarders to my ISP.  It happened with my ISP as well. 

    I'm going to switch back to Google DNS now.
  • 0 in reply to PaulHolt
    Sounds like a nasty virus on one of your boxes allowing recursion of websites.

    Rule this out immediately by disabling DNS on each and every machine you have connected to your astaro box. You already have DNS from forwarding specific DNS servers of your isp. Make the Astaro do this work.

    Windows its: 

    Start>Administrative Tools>Services> "DNS CLIENT"

    Disable this since you don't need it cached twice. Once by Astaro Squid and once by your box.

    PS: if you don't have admin tools just type services.msc in the search program and files box in start menu.


    its not google but who knows maybe a billion dollar company can get hacked but my money is on one of your machines is hacked. 

    Good luck

    Mike