Problema vulnerabilità Rom 0

Ciao. Ho un problema che non riesco a risolvere (quando avvio il browser si apre una pagina di un finto sondaggio). Ho provato a fare tutte le scansioni che mi hanno suggerito tramite vari programmi tra cui Farbar. Dato che il problema è rimasto, mi hanno suggerito di formattare il pc tramite chiavetta USB. Ho fatto tutto ma il problema è rimasto. Ho anche provato a resettare il router ma non è cambiato nulla.

Ho fatto una scansione con Avast e mi ha rilevato il problema di sicurezza Rom 0. Ho provato a seguire questa guida senza successo: http://www.netnetfree.com/guide-e-t...za-del-proprio-router-contro-zynos-rom-0.html

L’errore segnalato è questo: ID Catalogo CVE-2014-4019

Il mio router: ADSL2+ Modem Router WL-127 Sitecom

Avast appunto suggerisce di fare queste due operazioni:

la vulnerabilità può essere risolta configurando l’inoltro porte per la porta 80 sul router verso un indirizzo IP inutilizzato sulla rete. Per eseguire questa procedura, accedi alla pagina di configurazione del router e trova la sezione “Inoltro porte”. Da qui, potrai impostare una regola che indichi al router di inviare tutto il traffico HTTP a un indirizzo IP locale inutilizzato (ad es., 192.168.0.255, in caso l’indirizzo non sia già utilizzato da un altro dispositivo sulla rete).

La soluzione manuale consiste nel modificare i record DNS del router usando l’interfaccia di amministrazione del router.

Dato che non sono esperto di configurazione router, riuscite per caso a spiegarmi passo passo come fare?

Si può impostare tutto anche dal prompt dei comandi?

Grazie in anticipo per l’aiuto. :wink:

Aggiornare il router firmware alla versione più recente.
Come modificare le impostazioni DNS può essere letto nel manuale del router.

https://www.sitecom.com/file/wl-127-full-manual/pdf/11916
http://setuprouter.com/router/sitecom/wl-127/manuals.htm

Per gli aggiornamenti mi hanno detto che non ci sono.

Mi hanno anche linkato il manuale, il problema è che ci sono davvero un sacco di informazioni e da solo non riesco a impostare quei valori.

Se possibile, mi servirebbe una guida passo passo per fare quelle operazioni.

Es. apri pannello del router, vai in questa sezione, digita qui questi numeri ecc…, perché purtroppo non sono esperto di configurazione router.

Il sito e il manuale si stanno dando passo-passo le istruzioni

Se riesci, puoi dirmi quali sezioni devo guardare per fare le due operazioni? Grazie mille per l’aiuto.

[i]la vulnerabilità può essere risolta configurando l’inoltro porte per la porta 80 sul router verso un indirizzo IP inutilizzato sulla rete. Per eseguire questa procedura, accedi alla pagina di configurazione del router e trova la sezione “Inoltro porte”. Da qui, potrai impostare una regola che indichi al router di inviare tutto il traffico HTTP a un indirizzo IP locale inutilizzato (ad es., 192.168.0.255, in caso l’indirizzo non sia già utilizzato da un altro dispositivo sulla rete).

La soluzione manuale consiste nel modificare i record DNS del router usando l’interfaccia di amministrazione del router.[/i]

Ho solo paura di fare qualche casino e impostare male le opzioni, magari peggiorando solo la situazione.

Da qui, potrai impostare una regola che indichi al router di inviare tutto il traffico HTTP a un indirizzo IP locale inutilizzato (ad es., 192.168.0.255, in caso l’indirizzo non sia già utilizzato da un altro dispositivo sulla rete).

Se ad esempio vado sulla sezione 4.3.2 NAT e poi su virtual server, c’è una tabella con scritto virtual server listing.

Devo modifcare le opzioni su Rule 1? Se sì, devo piazzare il valore 80 su Star Port e End Port?
Su local ip address devo piazzare 192.168.0.255 o altri valori?

Oppure devo andare in un’altra sezione?

Se vado nella sezione LAN DNS, è spuntata l’opzione Use Auto discovered Server Only.

Se clicco su Use User Discovered Server Only, posso piazzare i DNS di google?

8.8.8.8
8.8.4.4

C’è solo per caso qualcuno che riesce a indicarmi se la procedura che ho scritto è corretta?

Grazie in anticipo!

Prova a piazzare i dns di google o quelli di comodo https://www.comodo.com/secure-dns/ e vedere se risolvi il problema

Per i DNS ho un dubbio (non so se sono riuscito a piazzarli oppure no).

In pratica, sono andato sul pannello del router e ho selezionato l’opzione User Discovered Server Only (prima piazzava i DNS in automatico).

Adesso, se vado nel pannello mi segnala i DNS di Google.

Se invece provo a modificare le impostazioni tramite modifica opzioni scheda (su pc, senza entrare nel pannello router) e faccio doppio clic su protocollo internet versione 4 è selezionata l’opzione ottieni indirizzo server DNS automaticamente. Se clicco su usa questi DNS e piazzo quelli di Google, poi ritorna di nuovo l’opzione automatica.

C’è per caso qualche comando dal prompt dei comandi per capire se la mia connessione è ok? Perché Avast mi segnala sempre la vulnerabilità Rom 0.

Ho provato a fare anche una scansione con RKill, questo il risultato (c’è qualcosa da fixare?):

Checking for Windows services to stop:

  • No malware services found to stop.

Checking for processes to terminate:

  • No malware processes found to kill.

Checking Registry for malware related settings:

  • No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

  • Windows Defender Disabled

    [HKLM\SOFTWARE\Microsoft\Windows Defender]
    “DisableAntiSpyware” = dword:00000001

Checking Windows Service Integrity:

  • agp440 [Missing Service]

  • b06bdrv [Missing Service]

  • CapImg [Missing Service]

  • ebdrv [Missing Service]

  • gagp30kx [Missing Service]

  • iaLPSSi_GPIO [Missing Service]

  • iaLPSSi_I2C [Missing Service]

  • ibbus [Missing Service]

  • IEEtwCollectorService [Missing Service]

  • IoQos [Missing Service]

  • ksthunk [Missing Service]

  • mlx4_bus [Missing Service]

  • ndfltr [Missing Service]

  • nv_agp [Missing Service]

  • PerfHost [Missing Service]

  • TimeBroker [Missing Service]

  • uagp35 [Missing Service]

  • uliagpkx [Missing Service]

  • vpci [Missing Service]

  • WcsPlugInService [Missing Service]

  • WinMad [Missing Service]

  • WinVerbs [Missing Service]

  • wpcfltr [Missing Service]

  • WSService [Missing Service]

  • AJRouter => %SystemRoot%\system32\svchost.exe -k LocalServiceNetworkRestricted [Incorrect ImagePath]

  • NetTcpPortSharing => %systemroot%\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe [Incorrect ImagePath]

  • WpnService => %systemroot%\system32\svchost.exe -k netsvcs [Incorrect ImagePath]

  • PrintNotify => C:\Windows\system32\spool\drivers\W32X86\3\PrintConfig.dll [Incorrect ServiceDLL]

  • vmicrdv => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]

  • vmicvss => %SystemRoot%\System32\icsvcext.dll [Incorrect ServiceDLL]

Searching for Missing Digital Signatures:

  • No issues found.

Checking HOSTS File:

  • HOSTS file entries found:

127.0.0.1 localhost

la vulenrabilità è nel router quindi non serve far girare rkill (che invece verifica se ci sono problemi nel pc)
per vedere se il pc ha preso i dns impostati nel router gira il comando ipconfig /all
http://www.techsupportforum.com/forums/f138/how-to-run-an-ipconfig-all-command-655357.html

Ok ti ho inviato un messaggio privato con tutto quello che mi è apparso. Riesci per caso a dirmi se è tutto ok?

i dns sono ok,
prova a modificare la sezione NAT del tuo router come hai scritto

Momentaneamente non ho impostato la porta 80 ma ho piazzato i DNS di Google dal pannello del router e da 3 giorni non mi apre più la pagina. Il problema quindi forse è risolto?

Ho fatto anche una scansione piazzando sfc /scannow nel prompt dei comandi ed è venuto fuori questo:

Protezione risorse di Windows: nessuna violazione di integrità trovata.

Vedendo la scansione di RKill c’è per caso ancora qualcosa da fixare oppure no? Grazie per l’aiuto!

C’è per caso qualche aggiornamento riguardo RKill?

In questi giorni non ho avuto problemi. Oggi però facendo una ricerca (con browser Firefox), il browser è automaticamente cambiato in DuckDuckGo. Ho visto che installando Firefox, nella voce ricerca e motori di ricerca in un clic compaiono vari siti (es. Yahoo, Wikipedia e anche DuckDuck Go). Ho rimosso tutto e ho lasciato solo Google. Devo fixare ancora qualcosa?

C’è per caso qualche novità? Così chiudo definitivamente la questione, grazie! :smiley:

Per un po’ è andato tutto bene. Adesso è spuntata nuovamente la pagina del finto sondaggio. Ho provato a piazzare i DNS di Comodo ma non è servito. C’è altro che posso fare?

Aggiornare il firmware del router se vi è una versione che risolve la vulnerabilità o ottenere un altro router che non ce l’ha.

Cambiare router quindi risolve definitivamente il problema? Volevo prendere il modem router DLINK 2750B. È un buon router? È affetto dal bug Rom 0?

Ultima cosa, queste sono le voci del virtual server (all’interno del router). Seguendo le indicazioni di Avast (scritte nei precedenti topic) cosa devo piazzare nella voce application?


Virtual Server for: Single IP Account

Rule Index: 1

Application:
FTP oppure SSH, TELNET, HTTPS_Server ecc…

Start Port Number:

End Port Number:

Local IP Address:

Grazie per l’aiuto!

Verifica anche che il servizio UPnP, se presente, sia disattivato

Sì ho controllato ed è disattivato. Secondo te comunque il modem router dlink2750b è un buon acquisto? Cambiare router dovrebbe risolvere il problema?

Farei altri tentativi prima di acquistare un nuovo router

Segui i consigli scritti http://www.ilsoftware.it/articoli.asp?tag=DNS-modificati-sul-router-e-redirect-verso-pagine-malevole-come-risolvere_11213 in questa pagina, che sono più o meno quelli standard.

Altrimenti un consiglio che anche in altri forum do è contattare direttamente il produttore, così da capire se c’è qualche “alternativa” per trovare una soluzione, senza provvedere all’acquisto di un nuovo router.