Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 32 replies
  • Subscribers 3 subscribers
  • Views 9963 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible security issue

Jayson
Howdy

I've been using the ASG home version since version 6 with nearly no issues at all. However in the last twenty four hours something odd is happening that I'm starting to think might be a hack attempt.(man in middle most likely)

For whatever ever reasons, all my computers started getting the ASG block page on most all of the normally used sites, (examples include MSNBC.com, BUY.com, Google.com, etc) that say, blocked country Argentina. I'm in the USA and most of the sites are in the USA. I DO block Argentina, however I'm unable to figure out why all of a sudden all of these sites are getting routed through Argentina.

From Web Logs 

url="ak.buy.com/.../pg_prod_box_left.gif" exceptions="" error="" country="Argentina"

It's the same thing for just about every site I go to. It says everything is coming from Argentina. 

I've changed no settings on my firewall lately.

I have checked my DNS (both forwarders set to Google's public DNS servers)

Any thoughts?

Edit:

I should mention that I have changed the DNS forwarders to the ones supplied by my ISP and get the same results.


This thread was automatically locked due to age.
  • 0
    This problem came back this morning again so I switched to my IPS for DNS cleared the ASG DNS cache.  I have an AD system here so I cleared the DNS server cache.  I then cleared the two work station DNS caches and everything is working now.  I had tested buy.com and msnbc.com as well as theweathernetwork.com before this procedure and they all were blocked, now they all work fine.  I'm going to keep my ISP DNS for a while to see if this comes back.

    Jayson, what DNS forwarders were used in those backups?  I'm using 8.171, what version are you on?
  • 0 in reply to PaulHolt
    Well oddly enough my issue has returned as well. 

    This is a completely new ASG install WITHOUT a backup installed. I'm simply running it off the wizard installation. It had been working but for whatever reasons in the middle of the night while no one was using it the problem returned. I can see this from various automated software items going out to do updates.

    This new installation WAS NOT using Google DNS at any point. I was using my local ISP DNS resolvers.

    I still do not understand why this problem would appear when using a Ubuntu live CD. That is a pristine image and shouldn't be having DNS poisoning issues out the gate.

    I'm also seeing this in my log files pretty much non stop every other minute.

    13:12:42  Default DROP  2 
    10.0.0.0      
    → 
    224.0.0.1      

    len=36  ttl=1  tos=0x00  srcmac=0:0:0:0:0:0  dstmac=0:c:29:85:23[:D]a
    13:12:47  Default DROP  2 
    172.29.255.122      
    → 
    224.0.0.1      

    len=32  ttl=1  tos=0x00  srcmac=0:1:5c:31:2d:c1  dstmac=0:c:29:85:23[:D]a


    The IP addresses are not mine and I have no CISCO / Linksys devices on my network. (MAC address lookup)

    Every now and then the 172.29.255.122 address connects to a node at my ISP. It says it belongs to their Finance dept. on Arin. Not sure if that's just a generalized name for the ISP or not. 

    I also see this about every two seconds

    13:27:22  Default DROP  2 
    172.29.255.122:67      
    → 
    255.255.255.255:68      

    len=32  ttl=1  tos=0x00  srcmac=0:1:5c:31:2d:c1  dstmac=0:c:29:85:23[:D]a


    Which seems odd to me that some random address that doesn't belong on my network would be showing up looking for a DHCP server.

    Let me ask you guys this. When I do a traceroute FROM my firewall to anything I'm seeing internal addresses for the next few hopes, is that normal? I've never seen that before.

    Example:

    Firewall * *
    2. 10.x.x.x
    3. 10.x.x.x
    4. 192.x.x.x
    5. 207.x.x.x

    On the sites I'm having issues with I'm seeing 10.x.x.x address on the OTHER end of the trace.

    Thoughts?

    Edit:

    Keep in mind I'm totally back to factory defaults on my ASG.
  • 0
    Could this be somekind of configuration error by my ISP? For trouble shooting giggles threw a laptop directly on the modem (Rental from ISP [Webstar DPX100]) and did some quick tests including a quick NMAP scan and found dozens of NODES with local IP address in the 192.168.x.x / 10.x.x.x / 172.x.x.x on the !!!!! WAN !!!!! side of my modem. The plan is to trade up the modem tomorrow because I noticed A: that its firmware is very old and B: I hate the color =P

    Thoughts?
  • 0
    it must be something on the isp end...or your modem..either way get another modem(i would get one form the isp..use the rental option) and see if the problems go away.,
  • 0
    Jayson, who is your ISP? I'm with Rogers.... but I haven't seen the issue since yesterday morning.
  • 0 in reply to PaulHolt
    Well, I swapped out the modem, the tech at the cable company acted like I was stupid, kept saying its impossible to have internal use IP addresses on the WAN side of the modem. I replied with explain to me why I can see them then? and the only answer he would supply was my firewall must be broken. I in turn asked well how come I get the same results when I remove the firewall and plug a laptop directly in the cable modem. "well that must be broken as well because you cant have internal IPs out the outside"...

    Welp there you have it, we are all stupid.

    At any rate, replacement modem in place. I can still see the internal IP addresses from my ASG and I'm still getting hammered for DHCP request from a singular node with an internal IP on the WAN side of my ASG.

    It's been in place about an hour and I've yet to see any redirection to Argentina (or the other locations) BUT it worked for a number of hours after I installed it clean the last time as well. So I will have to follow up on that question tomorrow after some time has gone by.

    Edit: (update-8:30ish)

    I've been browing the web heavly for the last hour trying to see if the issue comes back, so far so good. I will check again tomorrow morning.
  • 0 in reply to Jayson
    As of this morning the issue was still gone.

    At this time I have no clue of why it started or why it stopped.

    The only thing that is not the same is the replacement cable modem.

    Thoughts?
  • 0 in reply to Jayson
    Just a thought here.. but..

    Maybe your ISP had received a new batch of IP addresses that were originally assigned to a company in/near Argentina. Geoloc databases hadn't been updated yet, so when you visited sites, they assumed based on Geolocation you were near Argentina.

    When you got the new modem, either you didn't get an IP from that range, or Geolocation had finally been updated.

    This is of course all theory....
  • 0 in reply to ReD-MaN
    Same here Jayson, the issue has disappeared and I didn't change anything except my DNS forwarders to my ISP.  It happened with my ISP as well. 

    I'm going to switch back to Google DNS now.
  • 0 in reply to PaulHolt
    Sounds like a nasty virus on one of your boxes allowing recursion of websites.

    Rule this out immediately by disabling DNS on each and every machine you have connected to your astaro box. You already have DNS from forwarding specific DNS servers of your isp. Make the Astaro do this work.

    Windows its: 

    Start>Administrative Tools>Services> "DNS CLIENT"

    Disable this since you don't need it cached twice. Once by Astaro Squid and once by your box.

    PS: if you don't have admin tools just type services.msc in the search program and files box in start menu.


    its not google but who knows maybe a billion dollar company can get hacked but my money is on one of your machines is hacked. 

    Good luck

    Mike