Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 32 replies
  • Subscribers 3 subscribers
  • Views 9974 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible security issue

Jayson
Howdy

I've been using the ASG home version since version 6 with nearly no issues at all. However in the last twenty four hours something odd is happening that I'm starting to think might be a hack attempt.(man in middle most likely)

For whatever ever reasons, all my computers started getting the ASG block page on most all of the normally used sites, (examples include MSNBC.com, BUY.com, Google.com, etc) that say, blocked country Argentina. I'm in the USA and most of the sites are in the USA. I DO block Argentina, however I'm unable to figure out why all of a sudden all of these sites are getting routed through Argentina.

From Web Logs 

url="ak.buy.com/.../pg_prod_box_left.gif" exceptions="" error="" country="Argentina"

It's the same thing for just about every site I go to. It says everything is coming from Argentina. 

I've changed no settings on my firewall lately.

I have checked my DNS (both forwarders set to Google's public DNS servers)

Any thoughts?

Edit:

I should mention that I have changed the DNS forwarders to the ones supplied by my ISP and get the same results.


This thread was automatically locked due to age.
  • 0
    Sure enough... within an hour the problem surfaced.  I have switched back to my ISP's DNS and will remain there.  

    I did a major scan of my machine, rootkit scan, memory, all files including the whole file got scanned and nothing was found.
  • 0
    Jayson, isn't this a different issue than the one that caused you to start this thread?  Are you still having the issue with DNS trying to redirect your browsing to Argentina?  Did that turn out to be a Trojan that required cleaning all of your PCs?

    As for the 10/8 addresses, it's not unusual for a larger ISP to use those internally - even between routers on their private network.  I bet they use the 172.16/12 private range inside their offices and that the 172.20.x.x  IP you're seeing is indeed in their accounting office.  The 192.168.x.x addresses you're seeing could be a neighbor with a misconfiguration, but it also could be visible for the same reason the others are visible.  My guess would be that you're seeing these due to an error in the config of one of your ISP's routers.

    Cheers - Bob
  • 0
    BTW if you are using antispam services on asg most anti-spam serv ices do NOT allow the use of public dns(like opendns or google)...therefore you seriously comromise anti-spam's effectiveness...stick with isp dns.
  • 0 in reply to William Warren
    Jayson, has your system been working OK or have you had issues again?  My system has started doing it again but now it is happening with random places.  I went to whois.net and checked the site addresses and they are resolving correctly, see images and file. 

    Paul
  • 0
    A man in the middle attack would require a rogue DHCP server/service on your network somewhere.  If the rogue server can respond to a DHCP request before your ASG can then it could inject its own DNS server into your network.  

    I don't know how many machines you have running behind your ASG but it would be worth a shot to shut them all down and then run one machine with a live-cd for a while to see if the problem returns.  If it does then we're back at square one. If not then shut down all the machines again and turn one on at a time (reboot the live-cd machine after booting each machine) and browse around for a while until the problem returns.  You'll be able to figure out which one has the rogue server on it that way.

    -Bob
  • 0 in reply to Redactor007
    Thanks Redactor007,

    If you do a whois for those sites I am getting the proper IP address...  see the last image.  I can't see how a rogue DNS could get in the middle of that?  I should have included a fourth image of astaro.org using the ip address.

    Paul

    P.S. this happened for a few hours then went away and hasn't happened since.
  • 0
    Paul, it's good to hear that everything is working.  If anything starts up again hop on a windows machine and do an ipconfig /all This will show the DNS server(s) your machine is resolving addresses from.  If it isn't your ASG or the one you set in DNS Forwarders then you'll know you have man in the middle.

    -Bob
  • 0
    No this problem was never resolved. No, my systems never appeared to have viruses, not to mention I can put a laptop running a live cd outside of my firewall and get the same results. It simply has to be a configuration issue on the ISP side.
  • 0
    Hi,
    You can see where the Maxmind GeoIP database thinks your IP is at via
    MaxMind - GeoIP | IP Address Locator Demo

    Barry
  • 0
    Upgraded to 9x the other day, haven't seen this issue show up yet since that upgrade.