GNU/Linux >> Tutoriels Linux >  >> Linux

Je ne reconnais pas l'adresse de mon serveur DNS :est-ce que cela signifie que je suis compromis ?

Quelque chose dans votre environnement a certainement été compromis. Il semble plus probable que votre routeur ait été compromis. Vous n'avez pas fourni beaucoup d'informations, je vais donc faire quelques hypothèses de base :

  • Vous êtes chez vous
  • Vous êtes derrière un routeur commercial, fourni par votre FAI
  • Vous n'avez rien fait pour sécuriser votre routeur
  • Votre bureau Linux est un client DHCP du routeur.

Ces appareils ont souvent des mots de passe par défaut que les utilisateurs ne changent jamais et des vulnérabilités critiques du micrologiciel qui ne sont pas corrigées. En tant que client DHCP du routeur, votre bureau Linux va extraire les informations DNS dans le cadre de sa requête DHCP et verra donc le comportement que vous avez décrit ci-dessus. La configuration d'autres serveurs DNS dans resolv.conf n'est qu'une solution de contournement. Je vous suggère fortement d'essayer de vous connecter à votre routeur (probablement @ 192.168.1.1, d'après votre capture d'écran). Je parie que vous ne pourrez pas. Vous devrez probablement le réinitialiser aux paramètres d'usine, puis vous connecter. Vous voudrez mieux le sécuriser :mettez à jour le micrologiciel, modifiez les mots de passe par défaut et espérons que cela suffira.

Pour confirmation sans vous connecter à votre routeur, vérifiez la configuration DNS sur votre bureau Windows. S'il pointe vers le même 46.161.40.29, il s'agit très probablement du routeur.


Jetez un œil à cette ressource :
http://thesimplessynthesis.com/post/how-to-set-a-static-ip-and-dns-in-ubuntu-14-04

En résumé, vous mettez peut-être à jour /etc/resolv.conf mais Ubuntu le réécrit en fonction d'autres paramètres prédéfinis. Vous pouvez considérer /etc/resolv.conf comme les entrées résultantes que votre système a dérivées des diverses options.

Vérifiez les emplacements référencés pour les entrées head/base/tail/interfaces et voyez s'ils ont été mis à jour (il peut être bon de noter les autorisations, la propriété et la date de modification). Je m'attends à ce que vous trouviez qu'un ou tous d'entre eux ont les entrées de serveur de noms indésirables. Mettez à jour le fichier et régénérez le fichier resolv.conf (les étapes de l'entrée ci-dessus semblent correctes, mais ne nuiraient pas à la recherche d'un Ubuntu KB pour vérifier le processus correct pour votre version spécifique d'Ubuntu).

Dernier point mais non le moindre cependant... la mise à jour de votre resolv.conf n'a peut-être été qu'un des changements apportés à votre système et d'autres éléments désagréables peuvent se cacher. Si c'était moi... une fois que j'aurais sécurisé mon réseau (comme vous semblez l'avoir regardé en définissant un bon mot de passe sur votre routeur, etc.), je réinstallerais.

Si vous n'êtes pas encore prêt à réinstaller, changez au moins tous vos mots de passe (tous les utilisateurs et root) sur le système. Si quelqu'un a mis à jour resolv.conf, il aurait déjà obtenu un accès root (à moins que vous n'ayez des autorisations géniales, seul root ou les utilisateurs avec un accès sudo devraient pouvoir mettre à jour resolv.conf) et aurait pu facilement saisir votre fichier shadow et avoir un hachage de vos mots de passe .

Cela aurait également pu être auto-infligé ... pensez à installer quelque chose qui vous a incité à un accès élevé (sudo) et vous pensiez qu'il faisait xyz, alors qu'il faisait vraiment XYZ et que vous l'avez peut-être fait vous-même (parfois les exploits sont pas le travail de cerveaux criminels mais plutôt des hacks d'opportunité).

Bonne chance.


Linux
  1. WebLogic ne démarre pas avec l'erreur "Aucun routeur disponible vers la destination"

  2. Que signifie ‘>/dev/null 2>&1’ dans cet article sur les bases de Crontab ? ?

  3. Qu'est-ce que le DNS et comment ça marche ?

  4. Que signifie cet avertissement ?

  5. Que signifie Plus de variables laissées dans cette vue MIB (Linux) ?

Que signifie - dans cette commande Linux ?

Changer le serveur DNS par défaut dans Arch Linux

Comment rendre l'adresse du serveur de noms permanente dans /etc/resolv.conf ?

Modifier définitivement les paramètres DNS dans Ubuntu Server

Pourquoi /etc/resolv.conf pointe-t-il sur 127.0.0.53 ?

TENTATIVE D'EFFRACTION POSSIBLE ! dans /var/log/secure — qu'est-ce que cela signifie ?