DNS qual usar?

[Xflapc2]

Alguém indica bons servidores DNS e confiáveis?

Uso o do google e estou achando que tá dando certos lags na net.

O da Oi tá gerando propagandas em certos sites.

O que indicam?
Grato

[Véio do Rio]

OpenDNS: 208.67.222.222; 208.67.220.220

[OpaioX]

Alguém indica bons servidores DNS e confiáveis?

Uso o do google e estou achando que tá dando certos lags na net.

O da Oi tá gerando propagandas em certos sites.

O que indicam?

Grato

@Xflapc2

 

São propagandas que ficam na frente do site por um tempo e depois somem? Qual DNS da oi você usou aí e notou isso?

[Xflapc2]

cara nao lembro pois o modem pegava DNS automaticamente, sim sumiam depois de um tempo às vezes longo, acontecia direto no site do PAR  PERFEITO  e no O DIA uma vez. Depois que mudei  o DNS nunca mais aconteceu. No caso quando aparecia o site ficava praticamente inutilizavel, todo estranho e lento e nao abria nada, ficava um tal de "PLAY" e "DOWNLOAD" Às vezes e uma micro popup imitando uma mini janela do windows. mandando atualizar algo,

[OpaioX]

cara nao lembro pois o modem pegava DNS automaticamente, sim sumiam depois de um tempo às vezes longo, acontecia direto no site do PAR  PERFEITO  e no O DIA uma vez. Depois que mudei  o DNS nunca mais aconteceu. No caso quando aparecia o site ficava praticamente inutilizavel, todo estranho e lento e nao abria nada, ficava um tal de "PLAY" e "DOWNLOAD" Às vezes e uma micro popup imitando uma mini janela do windows. mandando atualizar algo,

Isso mesmo, será que o dns da oi foi comprometido? No suporte deles eles me indicaram o do google 8.8.8.8 

[Véio do Rio]

Isso mesmo, será que o dns da oi foi comprometido? No suporte deles eles me indicaram o do google 8.8.8.8 

Sim, e já faz algum tempo...

[OpaioX]

Sim, e já faz algum tempo...

 

@Véio do Rio

Já faz algum tempo que indicam o 8.8.8.8 ou que o DNS foi comprometido? 

[Véio do Rio]

@

Já faz algum tempo que indicam o 8.8.8.8 ou que o DNS foi comprometido? 

 

Que o DNS deles foi comprometido. Na verdade, se bem me lembro, o que ocorreu é que conseguiram envenenar o servidor DHCP deles que fornecem IPs para os clientes, ou seja, todos que têm internet da OI com IP dinâmico receberam endereços de servidores DNS envenenados...vou procurar as discussões nas listas de segurança que participo e depois posto aqui.

[Henrique - RJ]

Tem que ver se não foi o DNS do roteador/modem seu que foi alterado precisando dar um reset nele e trocar a sua senha de acesso para que não volte a acontecer.

 

Os DNS que se pode indicar são os da Symantec e o da Comodo ( os que conheço mas existem muitos outros ).

 

O DNS do Google e do OpenDNS não indico por que são muito manjados mundialmente e por isso correm risco de serem alvo de crackers estrangeiros isto é, podem ser muito visados mas nunca li de terem sido atacados.

[OpaioX]

Que o DNS deles foi comprometido. Na verdade, se bem me lembro, o que ocorreu é que conseguiram envenenar o servidor DHCP deles que fornecem IPs para os clientes, ou seja, todos que têm internet da OI com IP dinâmico receberam endereços de servidores DNS envenenados...vou procurar as discussões nas listas de segurança que participo e depois posto aqui.

 

@Véio do Rio

 

Posta aí, nos faz esse favor?

 

É o tipo de coisa que eles fazem questão de escondes dos clientes. E, pelo que tudo indicada, as pessoas vão continuar sem saber. Qualquer provedor de acesso a internet, tentará esconder um incidente de segurança (eu considero gravíssimo). Se pararmos para pensar, um servidor DNS tem um papel importantíssimo no funcionamento da internet. Será que valeria a pena anotar o IP dos sites mais acessados e salvá-los direto como favoritos? Será que existe alguém tão paranoico que faça isso? ehehehehehe e será que funciona? Eu joguei o ip de alguns sites  no navegador e não funcionou... engraçado que antigamente  quando criavamos nosso servidor web caseiro, jogávamos http:// com nosso ip e entrava, agora uns sites q testei não deu certo.

 

Mas você lembra quando foi a ultima vez? Isso já deve ter acontecido várias vezes né... rsrsrsr mas a última foi quando? Aguardo mais informações direto da sua lista de discussões...

@Henrique - RJ

 

Cara, deixar de usar uma serviço só porque ele é popular e por isso será mais visado é complicado. Se for assim, vamos deixar de usar email do Yahoo? do Google? Que garantia temos que o servidor DNS da Comodo e Symantec é tão mais seguro? Eu até entendo seu ponto de vista, mas sei lá, é estranho confiar nos servidores da Comodo e não confiar no Google. 

 

Acho que deveriam dar mais atenção aos servidores DNS, é uma falha gravíssima e afeta um número de usuários altíssimo se ocorre esse tal de envenenamento. 

[Véio do Rio]

Conforme prometido, segue print da lista CISSP-BR onde o assunto foi abordado:

Bom dia pessoal,

Na lista GTER surgiu este ponto, de q a Oi está nacionamente entregando servidores DNS comprometidos via DHCP do ADSL que respondem para endereços falsos de bancos.

E a pagina do Google, G1 e UOL está exibindo um banner da Adsense.

Os DNS que deveria entregar seriam: 201.10.128.x

mas está entregado 173.255.134.206. (de um cloud gringo)

e o site do BB neste DNS aponta para um cloud gringo tambem.

O que vocês sugere para denunciarmos isso?

Alguem aqui na lista trampa na Oi?

O pessoal na lista vai abrir chamados, mas se for alguem corrompido alterando a delegação do DNS, pode ser que nao surja efeito um chamado.

Encaminhei pra uns conhecidos la, mas queria mais um apoio.

[ ]'s

Fabricio Lima

Sendmail administration is not black magic. There are legitimate technical reasons why it requires the sacrifice of a live chicken.

---------- Mensagem encaminhada ----------

De: Carlos Menandro <carlosmenandro@...>

Data: 7 de maio de 2015 22:17

Assunto: Re: [GTER] Oi entregando DNS "banker"

Para: Grupo de Trabalho de Engenharia e Operacao de Redes <gter@...>

Para quem não acredita... olha meu Mikrotik doméstico com ADSL Oi:

http://i.imgur.com/TXK4V4i.png

Em 6 de maio de 2015 10:16, Vinícius Zavam <egypcio@...>

escreveu:

> 2015-05-05 16:32 GMT-03:00 Antonio Listas <aclistas@...>:

>

> > Não é o modem.

> > Ao contrário de outras operadoras como a GVT, o modem não tem a porta de

> > administração aberta (80) para a Internet e muito menos a de telnet (23).

> >

> > E são os servidores que o próprio DHCP puxa, quando atribui IP.

> > O campo não é nem editável, somente se eu quiser inserir meus próprios

> > servidores de DNS que ele fica editável.

> >

> > A primeira coisa que fiz quando reparei no servidor de DNS alterado foi

> > resetar o modem para as configurações de fábrica, e assim que efetuou o

> > DHCP Request, o servidor de DNS secundário atribuído já era o malicioso.

> > Como eu disse, os PRÓPRIOS servidores de DNS da Oi no mês passado

> > (201.10.128.3 e 201.10.128.2) estavam com as respostas para o BB

> alteradas,

> > assim como outros endereços (www.google-analytics.com).

> > Parece que simplesmente alteraram a forma de entregar as respostas

> > alteradas para o cliente, ao invés de mexer no próprio DNS da Oi,

> > substituiram o DNS secundário por um próprio que fica mais fácil de

> > controlarem.

> >

> >

> > Sent: Tuesday, May 05, 2015 at 6:28 PM

> > From: "Alexandre J. Correa (Onda)" <alexandre@...>

> > To: "Grupo de Trabalho de Engenharia e Operacao de Redes" <

> > gter@...>

> > Subject: Re: [GTER] Oi entregando DNS "banker"

> > Ja verificaram se nao é o modem que está infectado ??

> >

> > Na casa do meu pai, o modem dele (NET) foi acessado remotamente,

> > colocaram alguns scripts bash que mudavam o DNS do servidor dhcp

> interno...

> >

> >

> > On 05/05/2015 15:14, Carlos Menandro wrote:

> > > Estou com o mesmo problema em várias ADSLs no estado de Rondônia.

> > >

> > > Em 5 de maio de 2015 12:53, Antonio Listas <aclistas@...>

> escreveu:

> > >

> > >> Olá,

> > >>

> > >> Meu ADSL da Oi e de diversos conhecidos que tenho na região está

> > recebendo

> > >> direto do DHCP da Oi, um servidor de DNS secundário com o IP

> > >> 173.255.134.206.

> > >>

> > >> Pois bem, o DNS secundário aqui nunca foi esse, aqui sempre foi:

> > >> Primário: 201.10.128.2

> > >> Secundário: 201.10.128.3 (e agora, 173.255.134.206).

> > >>

> > >> O IP 173.255.134.206 pertence a UK2.net, que vende serviços de

> > servidores

> > >> virtuais/dedicados no varejo.

> > >> O IP 173.255.134.206 (DNS secundário) está trocando os endereços do

> > Banco

> > >> do Brasil e enviando-nos para uma página "fake" para capturar os dados

> > de

> > >> acesso do banco.

> > >>

> > >> www.bb.com.br[http://www.bb.com.br] has address 162.243.90.26

> > >> www57.bb.com.br has address 162.243.90.26

> > >> 162.243.90.26 - este, que por sua vez, é um servidor também

> pertencente

> > a

> > >> uma empresa que vende serviços de servidores virtuais, a Digital

> Ocean.

> > >>

> > >> Ao mesmo tempo, diversos portais grandes como G1 e UOL começaram a

> > exibir

> > >> um banner do Google Adsense no topo da página, algo que não aparece

> > >> utilizando DNS da OpenDNS e SuperDNS.

> > >>

> > >> Sendo assim, vendo este cenário, imagino que:

> > >> a) funcionário da Oi se aliando a hackers;

> > >> rede da Oi completamente comprometida, onde até acesso aos

> servidores

> > >> de DHCP tiveram pra poder alterar o DNS secundário entregue aos

> > clientes.

> > >>

> > >> Provavelmente o Brasil todo esteja assim. Imagino quantas pessoas não

> > >> estão tendo seus dados bancários roubados, e não sei mais o que, visto

> > que

> > >> só consegui identificar isso por causa do BB, mas não tenho conta em

> > outros

> > >> bancos para testar...

> > >> Parabéns pra Oi.

> > >>

> > >> É bom salientar que no mês passado os próprios DNS da Oi estavam

> > >> infectados, o que eu acreditava ser algum cache poison, mas

> > aparentemente

> > >> não é poison, e sim alguém lá dentro fazendo de propósito.

> > >> Verifiquei que existem diversos relatos em outros forums na Internet

> > onde

> > >> o pessoal que utiliza a Oi já havia percebido exatamente os mesmos

> > sintomas

> > >> que percebi neste final de semana.

> >

> > --

> > Sds.

> >

> > Alexandre Jeronimo Correa

> >

>

> salvo minha ignorância, é interessante repassar casos como esse para os

> CSIRT responsáveis ou até mesmo registrar com o suporte e anotar números de

> chamado/ocorrência (mesmo que exista aquela imagem de que não irão se

> interessar ou resolver o caso; mais difícil ainda é não se interessar ou

> resolver o que não foi reportado).

>

>

> --

> Vinícius Zavam

> profiles.google.com/egypcio

> --

> gter list https://eng.registro.br/mailman/listinfo/gter

>

--

gter list https://eng.registro.br/mailman/listinfo/gter