[GUIDA/HOWTO] Risolvere Problema Apertura di Pagine Indesiderate (CAMBIO DNS ROUTER)

[8thphloor]

[GUIDA/HOWTO] RISOLVERE PROBLEMA APERTURA DI PAGINE INDESIDERATE DURANTE LA NAVIGAZIONE (CAMBIO DNS ROUTER)

A fronte delle molte richieste e del fatto che spesso confondiamo un problema con un altro ho creato questa breve guida che spero possa aiutare alcuni di voi a risolvere il fastidioso problema dell'apertura di pagine indesiderate e della navigazione a singhiozzo sui nostri device.

In particolare tratteremo il problema del cambio indesiderato dei dns sul modem/router con la conseguenza che si verrà indirizzati verso pagine malevole anzichè quelle che desideriamo visitare, e la navigazione risulterà rallentata e/o compromessa. Da qui potranno inoltre partire altri tipi di infezioni rivolte a pc e dispositivi mobili.

Spesso pensiamo che il problema risieda sui nostri smartphone (ed è possibile), ma anche se il nostro device è infetto, il problema potrebbe essere nato a monte (modem/router) e un semplice reset del telefono potrebbe non bastare.

Questo problema ha colpito nell'ultimo anno migliaia di dispositivi in Italia, in particolare Dlink e Tplink, ma ha interessato anche altri produttori (un po' meglio è andata a Netgear e Linksys).

Sintetizzando e banalizzando al massimo (e scusandomi con gli esperti in materia, ma cerco di farmi capire da tutti), un malintenzionato, sfruttando una falla nel firmware del vostro router, sommata ad una cattiva configurazione da parte nostra (password di default o banali, mancato aggiornamento, accesso remoto abilitato,..), riesce a modificare i dns di default e da qui ogni volta che visiteremo una pagina, ci porteremo dietro il rischio di essere indirizzati ad un'altra pagina malevola, che a sua volta potrà contenere le infezioni per i vari tipi di device...risultato navigazione compromessa e rischio per i dati personali e per l'integrità dei dispostivi.

Come fare quindi per uscirne?

1) Il primo passo da compiere per capire se si tratta di questo problema è quello, attraverso questo tool online rom-0 test, di verificare se il nostro router è vulnerabile a questo tipo di attacchi.
Se la vulnerabilità è confermata dovremo entrare nell'interfaccia web del nostro modem/router attraverso un qualunque browser digitandone l'indirizzo ip (nel 99% dei casi sarà 192.168.1.1 o 192.168.0.1). Una volta entrati inserendo id e password (ad es. admin admin, o admin password) dovremo andare a cercare quali dns sono impostati (questo cambia da modello a modello, navigate nell'interfaccia e fate affidamento al manuale del vostro dispositivo). Se i dns impostati non sono quelli del vostro provider internet (potrete verificarli sul sito del vostro provider), verificateli ulteriormente con una ricerca whois su google (ad es. su whois.domaintools.com) e se sono di dubbia provenienza avremo trovato il nucleo del problema. Andranno comunque immediatamente cambiati con i dns proprietari del provider, quelli forniti da OpenDNS o (consigliato) con quelli di google (8.8.8.8 e 8.8.4.4).

2) Il secondo passo da fare è quello di verificare la presenza di aggiornamenti del firmware del router (Tplink e Dlink hanno risposto a questi problemi con aggiornamenti per molti modelli) e, se presenti, fare l'update del firmware.

3) Il terzo passo è quello di cambiare password per accedere all'interfaccia del modem (la password deve contenere lettere, numeri, maiuscole, caratteri speciali,...). Facoltativamente e con le stesse accortezze cambiate anche la password di accesso al wifi. Abituatevi a farlo almeno con cadenza semestrale.

4) Sarà poi il momento di verificare se è abilitato l'accesso da remoto sul router e, a meno che non ci serva per scopi particolari, disabilitarlo. Anche qui le modalità per farlo cambiano da modello a modello ma non sarà difficile trovare una voce "accesso remoto" o simile.

5) (facoltativo) Spesso il codice malevolo va ad attaccare il router se è sull'ip interno di default (192.168.1.1. o 0.1). Se sapete cosa fate potrebbe essere una buona idea cambiare l'indirizzo della vostra rete lan (quella interna) con qualcosa di diverso, tipo 192.168.5.1 o anche 10.3.5.7, adattando anche la maschera di rete alle vostre esigenze (attraverso il dhcp la nuova subnet verrà impostata anche sui device connessi).

Dopo aver completato queste operazioni dovremo riavviare il router e contemporaneamente anche tutti i dispositivi connessi, in modo che prendano le nuove impostazioni di rete.

Fatto tutto ciò dovremmo aver risolto a monte la questione. E molto probabilmente i vostri dispositivi torneranno a funzionare a dovere. Attraverso il tool online usato in precedenza potrete verificare il successo dell'operazione sulla vulnerabilità del router rom-0 test.

Sullo smartphone android potremo verificare infine attraverso un tool tra quelli disponibili sul PlayStore il dns impostato, che dovrà coincidere con quello impostato nel router, per escludere che venga impostato in modo malevolo localmente, sovrascrivendo ciò che gli dice il router.


Se i problemi dovessero continuare è segno del fatto che nel frattempo attraverso le pagine malevole visitate a causa dei dns farlocchi un pc, tablet, mac, o smartphone è stato infettato e dovremo procedere per ripulirli a fondo. Il mio consiglio se si ha un poco di tempo è sempre quello, in caso di infezione, di fare piazza pulita e resettarlo a fondo.

N.B. Se riscontrate lo stesso problema anche su rete 3g quasi sicuramente il dispositivo è infetto.


Qui trovate spiegato (molto meglio) ciò che ho provato a dirvi nel modo più semplice possibile in questa breve guida
DNS modificati sul router e redirect verso pagine malevole: come risolvere.

Link discussione da cui è nata la guida

https://www.androidiani.com/forum/sh...d.php?t=450060

Altri link utili

DNS modificati su 300 mila router anche in Italia (D-Link, Hamlet, Micronet, TP-Link, Kraun e altri) | Felice Balsamo
Soluzione per i modem/router TP-Link e Kraun: DNS modificati sui router | Felice Balsamo
[PROBLEMA] DNS del ruoter che cambia solo

[IlRiccioPazzo]

Buonasera...premetto che mi sono appena registrato su questo forum....
Io ho un Note 3 stock ed è da un po di settimane che mi si presenta questo problema anche in 3g.
Cortesemente potresti indicarmi come risolvere questo problema(mi da mooolto fastidio il fatto che appaia anche in 3g)
ti ringrazio per la tua risposta,spero a breve anche perchè è abbastanza urgente ah ed èla terza volta che ripristino smartphone e modem
-Domenico

[8thphloor]

Buonasera...premetto che mi sono appena registrato su questo forum....
Io ho un Note 3 stock ed è da un po di settimane che mi si presenta questo problema anche in 3g.
Cortesemente potresti indicarmi come risolvere questo problema(mi da mooolto fastidio il fatto che appaia anche in 3g)
ti ringrazio per la tua risposta,spero a breve anche perchè è abbastanza urgente ah ed èla terza volta che ripristino smartphone e modem
-Domenico

Se dici che hai già ripristinato tutto più volte e sei certo che i DNS siano a posto, probabilmente è qualche app che installi dopo.

Hai formattato anche sd interna durante il reset? (Occhio che perdi tutto)
Con che recovery hai fatto il wipe? Stock o custom?
Hai il root?

Che tipo di pagine ti si aprono? Solo durante la navigazione con browser o anche in home?

Provato air push detector o simili?

[IlRiccioPazzo]

ti ringrazio per la risposta ma non ne capisco niente in materia...scusa ma non ho capito ciò che mi hai chiesto
se potresti rispiegarmi da capo il tuo messaggio te ne sarei grato

[8thphloor]

ti ringrazio per la risposta ma non ne capisco niente in materia...scusa ma non ho capito ciò che mi hai chiesto
se potresti rispiegarmi da capo il tuo messaggio te ne sarei grato

Cosa non ti è chiaro? Non saprei in che altro modo spiegarmi...forse se sei appena iscritto la cosa migliore sarebbe presentarti anzitutto in sezione note3 e leggere un po' di guide per prendere dimestichezza col forum, col tuo dispositivo e coi termini usati.

Edit comunque da ciò che dici non credo tu abbia rootato o usato recovery modificate. Quindi il problema, se dopo il reset è tutto OK potrebbe proprio essere qualcosa che installi dopo.

Insisto. Che tipo di pagine ti si aprono? E ti succede solo su note3 o anche altri dispositivi connessi alla rete?

[IlRiccioPazzo]

1)Durante il reset(impostazioni/bacup e ripristino/ripristina informazioni di fabbrica)NON ho cancellato i dati dull'SD.

2)Non ho il root
3) Mi si aprono pagine del tipo XVideos e simili ma solo nella navigazione web e in app che si collegano al web.
grazie per una tua eventuale risposta

[8thphloor]

1)Durante il reset(impostazioni/bacup e ripristino/ripristina informazioni di fabbrica)NON ho cancellato i dati dull'SD.

2)Non ho il root
3) Mi si aprono pagine del tipo XVideos e simili ma solo nella navigazione web e in app che si collegano al web.
grazie per una tua eventuale risposta

OK se hai fatto il reset di fabbrica hai automaticamente formattato la SD interna.

Sul lato modem hai controllato che i DNS siano a posto?

Prova a fare intanto una scansione con questo https://play.google.com/store/apps/d...irpushdetector

[IlRiccioPazzo]

ho appena ripristinato modem e telefono poichè non mi si connetteva ad internet(problema già presentatosi in passato presumo per il modem )
le pagine web indesiderate per ora non si aprono....nel caso si dovessero ripresentare ti darò nuovamente fastidio....ah e con airpush detector ora non ho trovato nulla
-Grazie ancora e spero di non dover tornare a scrivere su questo thread per problemi presentatisi a me

[androidamatoriale]

Salve 8thphloor grazie per questo splendido post che mi ha aiutato ma che mi ha fatto sollevare anche alcuni interrogativi..Permettimi il Tu e spero che mi possa aiutare per un problema molto simile a questo che mi genera non poche preoccupazioni.

Premetto che ho un dlink DSL-2740R

Tempo fa con un programma per visionare chi era connesso al mio wi-fi scoprii che c'erano alcuni dispositivi sconosciuti oltre ai miei, nonostante avessi la protezione wpa2 e avessi creato una password utilizzando più volte il pulsante crea chiave del disco di installazione del router(così da metterne una il più sconosciuta possibile) !!!

Decisi quindi di resettare il router e di mettere sempre la protezione wpa2 ma questa volta la password fu inventata totalmente da me senza utilizzare l'algoritmo del cd di installazione del router e così i dispositivi non identificati non sono stati più rilevati.

Ora Mia sorella ha un cellulare con android precisamente un samsung s4 mini... Lei lamentava da tempo il fatto che mentre navigava si aprivano pagine indesiderate (spesso p o r n o) o comunque non riusciva a navigare perchè anche se cercava qualcosa su google lo stesso le restituiva un messaggio d'errore

Tuttavia quello che accade a lei non accade nè sul mio pc fisso nè sul mio smartphone che non è android ( tranquillo sto pensando seriamente di passare però ) nonostante tutti i terminali siano connessi al mio router dlink .

Il problema della vulnerabilità rom-0 l'ho scoperto perchè ho installato sul samsung di mia sorella avast e, mentre la scansione del dispositivo non presentava problemi, andando a fare quella del wi-fi mi è uscito il nome di questa vulnerabilità.

Preoccupato sono andato a fare delle ricerche e sono andato a controllare nella pagina di impostazioni dns setup del router.... Come preferred dns c'era questo 195.238.181.169 e andando a controllare con il sito who is domain tools ho scoperto quello che leggi dal sito.( per la politica antispam ho dovuto mettere gli spazi)

Ora sono un po' preoccupato perchè tramite questo router spesso effettuo pagamenti con vari portafogli elettronici e navigo anche per fini personali esempio facebook whatsapp ect.

Quindi dopo tutta questa spiegazione le mie domande sono:

1) è possibile che stiano usando i miei dati personali e tutte le mie password per altri fini ?
2) perchè il problema di reindirizzamento si manifesta solo sul samsung di mia sorella e nè sul mio pc fisso nè sul mio smartphone?
3) tramite questa vulnerabilità possono anche scoprire o modificare la password del router ?
4) possono aver spiato le mie attività ?

Ti ringrazio anticipatamente e scusa per la lunghezza della questione

[8thphloor]

Salve 8thphloor grazie per questo splendido post che mi ha aiutato ma che mi ha fatto sollevare anche alcuni interrogativi..Permettimi il Tu e spero che mi possa aiutare per un problema molto simile a questo che mi genera non poche preoccupazioni.

Premetto che ho un dlink DSL-2740R

Tempo fa con un programma per visionare chi era connesso al mio wi-fi scoprii che c'erano alcuni dispositivi sconosciuti oltre ai miei, nonostante avessi la protezione wpa2 e avessi creato una password utilizzando più volte il pulsante crea chiave del disco di installazione del router(così da metterne una il più sconosciuta possibile) !!!

Decisi quindi di resettare il router e di mettere sempre la protezione wpa2 ma questa volta la password fu inventata totalmente da me senza utilizzare l'algoritmo del cd di installazione del router e così i dispositivi non identificati non sono stati più rilevati.

Ora Mia sorella ha un cellulare con android precisamente un samsung s4 mini... Lei lamentava da tempo il fatto che mentre navigava si aprivano pagine indesiderate (spesso p o r n o) o comunque non riusciva a navigare perchè anche se cercava qualcosa su google lo stesso le restituiva un messaggio d'errore

Tuttavia quello che accade a lei non accade nè sul mio pc fisso nè sul mio smartphone che non è android ( tranquillo sto pensando seriamente di passare però ) nonostante tutti i terminali siano connessi al mio router dlink .

Il problema della vulnerabilità rom-0 l'ho scoperto perchè ho installato sul samsung di mia sorella avast e, mentre la scansione del dispositivo non presentava problemi, andando a fare quella del wi-fi mi è uscito il nome di questa vulnerabilità.

Preoccupato sono andato a fare delle ricerche e sono andato a controllare nella pagina di impostazioni dns setup del router.... Come preferred dns c'era questo 195.238.181.169 e andando a controllare con il sito who is domain tools ho scoperto quello che leggi dal sito.( per la politica antispam ho dovuto mettere gli spazi)

Ora sono un po' preoccupato perchè tramite questo router spesso effettuo pagamenti con vari portafogli elettronici e navigo anche per fini personali esempio facebook whatsapp ect.

Quindi dopo tutta questa spiegazione le mie domande sono:

1) è possibile che stiano usando i miei dati personali e tutte le mie password per altri fini ?
2) perchè il problema di reindirizzamento si manifesta solo sul samsung di mia sorella e nè sul mio pc fisso nè sul mio smartphone?
3) tramite questa vulnerabilità possono anche scoprire o modificare la password del router ?
4) possono aver spiato le mie attività ?

Ti ringrazio anticipatamente e scusa per la lunghezza della questione

Ciao! Andiamo per punti...

Premessa. Non ho capito se hai già fatto pulizia sul router seguendo tutta la procedura e ora i DNS sono a posto e il router pulito e con nuove password. Questo potrebbe cambiare le risposte ai punti successivi...

0) lascia perdere le chiavi generate dal CD e createne una lunga e più complessa possibile (numeri lettere maiuscole minuscole caratteri speciali...). Le chiavi ottenute con gli algoritmi possono essere scoperte in modo relativamente semplice. Comunque i dispositivi estranei connessi non avevano a che fare con il problema ai DNS. Semplicemente qualcuno nelle vicinanze aveva scoperto la password wifi e ha sfruttato la tua rete mettendola ulteriormente a rischio.

Potrebbe essere un'ottima idea implementare il blocco all'accesso WiFi legato agli indirizzi mac delle schede di rete dei dispositivi. Verrà concessa la connessione solo ai dispositivi con quel determinato mac address. A quel punto per connettersi uno, oltre alla password, dovrebbe clonare anche il mac addr di un dispositivo abilitato ma non connesso...insomma diventa lunga per il vicino impiccione.

1) quando ci sono intrusioni di questo tipo è opportuno, dopo il fix del problema sul router, cambiare tutte le password degli account importanti.

D'altra parte è improbabile che qualcuno ne sia venuto in possesso. Questo tipo di attacchi è mirato a indirizzare il traffico su pagine malevole per ottenerne vantaggi economici, o viene usato come apripista per altri attacchi, più che creare un database di dati estorti.

Certo quando si naviga con DNS malevoli il rischio comunque esiste. Ad esempio se invece della pagina di FB reale tu venissi reindirizzato ad una pagina clone ma farlocca e inserissi id e password lì, ecco che potresti subirne il furto. Ma ripeto non mi sembra questo il caso.
Chiaramente connettendosi inserendo l'ip numerico del sito anziché il nome di dominio non correremmo questo tipo di rischio.

2) questa è una bella domanda. In teoria il router dovrebbe passare quei DNS farlocchi a tutti i dispositivi connessi. Hai per caso DNS impostati manualmente sui dispositivi su cui ciò non accade?

Se invece hai già ripulito la rete e il dispositivo di tua sorella è l'unico che continua ad avere problemi procedi con un reset totale (che io farei comunque).

3) questo sì, motivo per cui nella procedura in op, specifico l'importanza del cambio della password di accesso all'interfaccia del router.

4) anche questo, come per il punto 1, è possibile ma altamente improbabile. Questo tipo di attacchi apre una breccia in una rete che può essere sfruttata in vari modi, a seconda della bravura dell'attaccante e dell'ingenuità dell'attaccato. Se visitando una delle pagine malevole scarico e installo software (anche in modo nascosto tramite pressione di un link) ecco che posso essere soggetto a molteplici tipi di rischio. Ma come detto è altamente improbabile perché oltre all'ingenuità dell'attaccato dovrebbe aggiungersi una totale mancanza di sistemi di sicurezza sul dispositivo (antivirus, UAC,...).

Più facile invece spiarti per il vicino impiccione che riesce a connettersi fisicamente al tuo WiFi.

In conclusione se fixi i problemi al router seguendo la procedura, cambi password di router e account importanti, resetti il telefono compromesso e verifichi che tutti i dispositivi connessi usino il DNS impostato nel router, secondo me puoi dormire sonni tranquilli