[GUIDA/HOWTO] RISOLVERE PROBLEMA APERTURA DI PAGINE INDESIDERATE DURANTE LA NAVIGAZIONE (CAMBIO DNS ROUTER)
A fronte delle molte richieste e del fatto che spesso confondiamo un problema con un altro ho creato questa breve guida che spero possa aiutare alcuni di voi a risolvere il fastidioso problema dell'apertura di pagine indesiderate e della navigazione a singhiozzo sui nostri device.
In particolare tratteremo il problema del cambio indesiderato dei dns sul modem/router con la conseguenza che si verrà indirizzati verso pagine malevole anzichè quelle che desideriamo visitare, e la navigazione risulterà rallentata e/o compromessa. Da qui potranno inoltre partire altri tipi di infezioni rivolte a pc e dispositivi mobili.
Spesso pensiamo che il problema risieda sui nostri smartphone (ed è possibile), ma anche se il nostro device è infetto, il problema potrebbe essere nato a monte (modem/router) e un semplice reset del telefono potrebbe non bastare.
Questo problema ha colpito nell'ultimo anno migliaia di dispositivi in Italia, in particolare Dlink e Tplink, ma ha interessato anche altri produttori (un po' meglio è andata a Netgear e Linksys).
Sintetizzando e banalizzando al massimo (e scusandomi con gli esperti in materia, ma cerco di farmi capire da tutti), un malintenzionato, sfruttando una falla nel firmware del vostro router, sommata ad una cattiva configurazione da parte nostra (password di default o banali, mancato aggiornamento, accesso remoto abilitato,..), riesce a modificare i dns di default e da qui ogni volta che visiteremo una pagina, ci porteremo dietro il rischio di essere indirizzati ad un'altra pagina malevola, che a sua volta potrà contenere le infezioni per i vari tipi di device...risultato navigazione compromessa e rischio per i dati personali e per l'integrità dei dispostivi.
Come fare quindi per uscirne?
1) Il primo passo da compiere per capire se si tratta di questo problema è quello, attraverso questo tool online rom-0 test, di verificare se il nostro router è vulnerabile a questo tipo di attacchi.
Se la vulnerabilità è confermata dovremo entrare nell'interfaccia web del nostro modem/router attraverso un qualunque browser digitandone l'indirizzo ip (nel 99% dei casi sarà 192.168.1.1 o 192.168.0.1). Una volta entrati inserendo id e password (ad es. admin admin, o admin password) dovremo andare a cercare quali dns sono impostati (questo cambia da modello a modello, navigate nell'interfaccia e fate affidamento al manuale del vostro dispositivo). Se i dns impostati non sono quelli del vostro provider internet (potrete verificarli sul sito del vostro provider), verificateli ulteriormente con una ricerca whois su google (ad es. su whois.domaintools.com) e se sono di dubbia provenienza avremo trovato il nucleo del problema. Andranno comunque immediatamente cambiati con i dns proprietari del provider, quelli forniti da OpenDNS o (consigliato) con quelli di google (8.8.8.8 e 8.8.4.4).
2) Il secondo passo da fare è quello di verificare la presenza di aggiornamenti del firmware del router (Tplink e Dlink hanno risposto a questi problemi con aggiornamenti per molti modelli) e, se presenti, fare l'update del firmware.
3) Il terzo passo è quello di cambiare password per accedere all'interfaccia del modem (la password deve contenere lettere, numeri, maiuscole, caratteri speciali,...). Facoltativamente e con le stesse accortezze cambiate anche la password di accesso al wifi. Abituatevi a farlo almeno con cadenza semestrale.
4) Sarà poi il momento di verificare se è abilitato l'accesso da remoto sul router e, a meno che non ci serva per scopi particolari, disabilitarlo. Anche qui le modalità per farlo cambiano da modello a modello ma non sarà difficile trovare una voce "accesso remoto" o simile.
5) (facoltativo) Spesso il codice malevolo va ad attaccare il router se è sull'ip interno di default (192.168.1.1. o 0.1). Se sapete cosa fate potrebbe essere una buona idea cambiare l'indirizzo della vostra rete lan (quella interna) con qualcosa di diverso, tipo 192.168.5.1 o anche 10.3.5.7, adattando anche la maschera di rete alle vostre esigenze (attraverso il dhcp la nuova subnet verrà impostata anche sui device connessi).
Dopo aver completato queste operazioni dovremo riavviare il router e contemporaneamente anche tutti i dispositivi connessi, in modo che prendano le nuove impostazioni di rete.
Fatto tutto ciò dovremmo aver risolto a monte la questione. E molto probabilmente i vostri dispositivi torneranno a funzionare a dovere. Attraverso il tool online usato in precedenza potrete verificare il successo dell'operazione sulla vulnerabilità del router rom-0 test.
Sullo smartphone android potremo verificare infine attraverso un tool tra quelli disponibili sul PlayStore il dns impostato, che dovrà coincidere con quello impostato nel router, per escludere che venga impostato in modo malevolo localmente, sovrascrivendo ciò che gli dice il router.
Se i problemi dovessero continuare è segno del fatto che nel frattempo attraverso le pagine malevole visitate a causa dei dns farlocchi un pc, tablet, mac, o smartphone è stato infettato e dovremo procedere per ripulirli a fondo. Il mio consiglio se si ha un poco di tempo è sempre quello, in caso di infezione, di fare piazza pulita e resettarlo a fondo.
N.B. Se riscontrate lo stesso problema anche su rete 3g quasi sicuramente il dispositivo è infetto.
Qui trovate spiegato (molto meglio) ciò che ho provato a dirvi nel modo più semplice possibile in questa breve guida
DNS modificati sul router e redirect verso pagine malevole: come risolvere.
Link discussione da cui è nata la guida
https://www.androidiani.com/forum/sh...d.php?t=450060
Altri link utili
DNS modificati su 300 mila router anche in Italia (D-Link, Hamlet, Micronet, TP-Link, Kraun e altri) | Felice Balsamo
Soluzione per i modem/router TP-Link e Kraun: DNS modificati sui router | Felice Balsamo
[PROBLEMA] DNS del ruoter che cambia solo