Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 32 replies
  • Subscribers 3 subscribers
  • Views 9988 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible security issue

Jayson
Howdy

I've been using the ASG home version since version 6 with nearly no issues at all. However in the last twenty four hours something odd is happening that I'm starting to think might be a hack attempt.(man in middle most likely)

For whatever ever reasons, all my computers started getting the ASG block page on most all of the normally used sites, (examples include MSNBC.com, BUY.com, Google.com, etc) that say, blocked country Argentina. I'm in the USA and most of the sites are in the USA. I DO block Argentina, however I'm unable to figure out why all of a sudden all of these sites are getting routed through Argentina.

From Web Logs 

url="ak.buy.com/.../pg_prod_box_left.gif" exceptions="" error="" country="Argentina"

It's the same thing for just about every site I go to. It says everything is coming from Argentina. 

I've changed no settings on my firewall lately.

I have checked my DNS (both forwarders set to Google's public DNS servers)

Any thoughts?

Edit:

I should mention that I have changed the DNS forwarders to the ones supplied by my ISP and get the same results.


This thread was automatically locked due to age.
Parents
  • 0
    A man in the middle attack would require a rogue DHCP server/service on your network somewhere.  If the rogue server can respond to a DHCP request before your ASG can then it could inject its own DNS server into your network.  

    I don't know how many machines you have running behind your ASG but it would be worth a shot to shut them all down and then run one machine with a live-cd for a while to see if the problem returns.  If it does then we're back at square one. If not then shut down all the machines again and turn one on at a time (reboot the live-cd machine after booting each machine) and browse around for a while until the problem returns.  You'll be able to figure out which one has the rogue server on it that way.

    -Bob
  • 0 in reply to Redactor007
    Thanks Redactor007,

    If you do a whois for those sites I am getting the proper IP address...  see the last image.  I can't see how a rogue DNS could get in the middle of that?  I should have included a fourth image of astaro.org using the ip address.

    Paul

    P.S. this happened for a few hours then went away and hasn't happened since.
Reply
  • 0 in reply to Redactor007
    Thanks Redactor007,

    If you do a whois for those sites I am getting the proper IP address...  see the last image.  I can't see how a rogue DNS could get in the middle of that?  I should have included a fourth image of astaro.org using the ip address.

    Paul

    P.S. this happened for a few hours then went away and hasn't happened since.
Children
No Data