Livebox et Hijack DNS : redirections Google

Un petit mot concernant les Livebox et les Hijack DNS.
Comme je l’avais signalé sur ce post : http://forum.malekal.com/trojan-win32-dnschanger-routeurs-trojan-routerchanger-t11987.html
Les Livebox depuis quelques semaines sont touchées.

Hier je suis à nouveau tombé sur un sujet où y a une Livebox s’est vue les DNS modifiées ( http://www.commentcamarche.net/forum/affich-21264496-redirection-google ), comme vous pouvez le voir sur le lien précédent, le principe n’est pas nouveau.
Néanmoins dans le passé, les routeurs visés étaient des routeurs grands publics, les Livebox « box Orange » étaient épargnés, ce qui n’est plus le cas maintenant.
Il est fort à parier que les autres box seront (ou le sont) déjà.

Le but du Hijack DNS est de provoquer des Redirections lors des recherches Google (infection) (Gomeo etc).

 

Le principe

Pour mieux comprendre, il est conseillé de lire la page : Principe de fonctionnement d’Internet

En temps normal, le PC connecté à la Livebox reçoit la configuration réseau par le serveur DHCP contenu dans la Livebox.
Au niveau des adresses des serveurs DNS (serveurs de noms), ce ne sont pas les serveurs DNS du fournisseur d’accès internet qui sont renseignés mais ceux de la Livebox.
Les résolutions DNS sont donc effectués par la Livebox (« forward DNS »).Livebox et Hijack DNS : redirections Googleun nslookup sur l’adresse de Google donne ceci :

nslookup www.google.fr
Serveur :  HSIB.home
Address:  192.168.1.1

Réponse ne faisant pas autorité :
DNS request timed out.
    timeout was 2 seconds.
Nom :    www.l.google.com
Addresses:  74.125.230.80
          74.125.230.84
          74.125.230.82
          74.125.230.83
          74.125.230.81
Aliases:  www.google.fr
          www.google.com

Le principe de l’infection est de modifier ces serveurs DNS, dès lors lorsqu’une résolution de la Livebox est effectué, ce n’est pas « les vrais » serveurs Google qui sont donnés, mais un serveur annexe qui se subsitutue au vrai Google.
La recherche est faite sur ce serveur annexe qui peut renvoyer ce que bon lui semble et donc effectuer des redirections lors des recherches GoogleLivebox et Hijack DNS : redirections Google

Un nslookup sur Google donne ceci :

< nslookup www.google.fr /c >
Serveur : livebox.home
Address: 192.168.1.1

 

Nom : WWW.GOOGLE.FR
Address: 67.210.12.152

67.210.12.152 n’est pas du tout une IP Google :

;; ANSWER SECTION:
152.12.210.67.in-addr.arpa. 86400 IN    PTR    67-210-12-152-rev.ineting.net.

 

NetRange:       67.210.0.0 – 67.210.15.255
CIDR:           67.210.0.0/20
OriginAS:       AS36445
NetName:        INTERNET-PATH-NET2
NetHandle:      NET-67-210-0-0-1
Parent:         NET-67-0-0-0-0
NetType:        Direct Allocation
RegDate:        2007-08-13
Updated:        2008-12-02
Ref:            http://whois.arin.net/rest/net/NET-67-210-0-0-1

OrgName:        Internet Path, Inc.
OrgId:          INTER-890
Address:        1971 Western Avenue #1162
City:           Albany
StateProv:      NY
PostalCode:     12203
Country:        US
RegDate:        2008-11-05
Updated:        2010-03-30
Ref:            http://whois.arin.net/rest/org/INTER-890

En cherchant sur Google, on tombe sur ce sujet : http://forum.malekal.com/infection-tenace-behaveslike-win32-apparement-sous-win7-t31224.html
Ici le routeur n’est pas une Livebox si on se réfère à l’adresse IP de la passerelle et des serveurs DNS.

Comment la configuration de la Livebox est modifiée ?

Dans le lien initial, il est expliqué que la modification de la configuration se fait à partir de l’interface WEB du routeur Pour que cela fonctionne, il faut que le mot de passe administrateur usine n’est pas été modifié (ou avoir mis un mot de passe facile qui est dans le dictionnaire).
La Livebox ne propose pas de modifier les serveurs DNS, il est fort à parier que la modification de la configuration se fasse par telnet, mot de passe que peu de personne s’amuseront à modifier.

Solution

Faire un reset de la Livebox : http://assistance.orange.fr/livebox-remise-a-zero-3135.php

EDIT – Juin 2015 : plus de piratage de routeurs

Le phénomène s’accuentue, se reporter à la FAQ : hack/piratage de routeurs en hausse.

Vous pouvez tester les DNS avec DNSCheck : ismydnshijacked.com

Enfin, pour réinitialiser les serveurs de noms/DNS, se reporter à la FAQ : Réinitialiser les serveurs de noms/DNS

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 78 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *