Сообщений в теме: 5002

[gosh]

[mod]Данный топик не относится в сервису поддержки клиентов Мегалайн со стороны Казахтелеком.
1. Все претензии относительно услуги Мегалайн необходимо адресовать непосредственно в АО"Казахтелеком":
- устно по Телефону доверия (служба поддержки потребителей) - 8 800 080 20 80, в рабочие дни, с 9 часов утра до 18 часов вечера.
- письменно на имя Председателя Правления АО"Казахтелеком" К. Есекеева по адресам:
Республика Казахстан,
Офис - 1: 010000, г. Астана, район Сарыарка, пр. Абая, 31. Офис - 2: 050059, г. Алматы, ул Фурманова, 240 Б. (инфо с сайта www.telecom.kz)
2. Корпоративный интернет-блог АО"Қазақтелеком" – blog.telecom.kz. (не работает)
Официальный сайт услуги - www.megaline.kz.
twitter.com/#!/TelecomKZ

Локальные правила:
3. Задавать в топике вопросы, - ответы на которые в явной форме опубликованы на официальном сайте www.megaline.kz или доступны при обращении в call-centre Казахтелеком, - ЗАПРЕЩЕНО.
4. Тематические вопросы обсуждаются в соответствующих топиках:
Скорость на Мегалайн/IDNet
Настройки модемов для подключения к aDSL + топики по разным производителям.
Обсуждение adsl-модемов
5. "Платность/бесплатность" пользования ресурсами/сайтами определеяется путем идентификации их IP-адресов на принадлежность к сетям АО "Казахтелеком" в базе RIPE (IP-листинг) или IP-листинге от КТ. Все уточнения по отдельным ресурсам, торрентам и пр. проводить вне данного топика.
6. Обсуждение работоспособности отдельных ресурсов сети проводятся в отдельном сабжевом топике.
Оффтоп удаляется без предупреждения и наказывается согласно Правилам форума.
7. На форуме Все вместе официальных представителей Казахтелеком никогда НЕ БЫЛО и НЕТ.
Начало обсуждения - Интернет от АО "Казахтелеком" (Megaline, IDNet и т.п.). Том 1 [/mod]

Сообщение отредактировал gosh: 17.09.2014, 12:14:04

[Данияр Саптояков]

 

Будем звонить вечером. P.S. Кстати очень даже быстро до оператора дозвонился.

Ну тут то всё сложнее, сеть по факту принадлежит дочке в лице Алтела, у мамаши КТ на ней свои услуги и правила а у Алтела - свои. ИМХО абонентам КТ в некоторых случаях выгоднее подключать именно IDNet Wireless, а не Алтел 4G. Например при сопоставимой цене у КТ постоплата а у Алтела - предоплата. Но анонсов услуги на сайте КТ толком не найти, а у Алтела всё на сайте есть.

 

В договоре написано так - АО altel, в лице ген директора отдела нашего казахтелекома... В теме altela снова спросить чтоли

[gugolplex]

 

У тебя маршрутизатор центральный BRAS возможно траблы из за него? Хотя не исключаю что косяк в подъездном оборудовании. У меня то уже идет NGN оборудование, все порты открыты, ничего не заблокировано.

Были бы знакомые на АТС- узнал бы, но никого там не осталось. Ладно, меньше портов- меньше головняков и китайцам меньше шансов.

 

 

Просто тут причина вот в чем:

 

На запрос Карагандинской ОДТ исх. 15-38/5834 от 09.10.2014 г., относительно выявленного факта массового изменения DNS-серверов у абонентов "Megaline" Карагандинской ОДТ внешней системой (ПБ 4045660), получен ответ 11.1-06/3396 от 20.10.2014г.
В ответ на Ваш запрос исх. 15-38/5834 от 09.10.2014 г., относительно выявленного факта массового изменения DNS-серверов у абонентов "Megaline" Карагандинской ОДТ внешней системой (ПБ 4045660) сообщаем, инженерным персоналом блока технической поддержки сетей ПД ГЦУСТ, было проведено расследование по данному факту, и выявлена его причина (злоумышленники с помощью скрипта подключались на клиентские устройства через WEB интерфейс (http port 80), на которых логин и пароль были настроены по умолчанию: логин- admin, пароль- admin, 123456, password и тому подобное). Блокирование 80-го порта является нецелесообразной задачей, как на оборудовании магистрального уровня, так и на клиентских устройствах, так как вследствие выполнения данной операции, у абонентов будет отсутствовать доступ к сети интернет. На текущий момент, в целях обеспечения безопасности, на сети ПД массовых услуг связи, осуществляется блокировка портов: telnet (23) и snmp(161).
Ранее по данной проблеме, в 2013 году была сделана рассылка во все филиалы АО "Казахтелеком", в рамках которой были выданы рекомендации по устранению и предотвращению данной проблемы. На основании того, что проблема затрагивает только абонентов со стандартными настройками доступа к оборудованию, считаем, что проблема должна решаться на уровне каждого из филиалов Общества самостоятельно, с учетом предоставленных рекомендаций.

 

Доводим до Вашего сведения, что по Карагандинской ОДТ с 01.10.2014 г наблюдаются массовые обращения на отсутствия услуги "Megaline": линк, сессия есть, не отображаются страницы Web сайтов. На основании обращений абонентов был открыт проблемный № 4045660, в ходе решения данного проблемного билета было выявлено, что на всех клиентских ADSL модемах клиентов обратившихся по данной проблеме, были прописаны DNS сервера не принадлежащие обществу (95.211.193.6/108.62.62.235; 92.46.142.1/108.38.38.231; 146.185.220.85/95.211.193.6;146.46.223.85/ 95.62.193.6; 69.85.88.100/95.214.193.231; 195.20.141.140/95.234.110.138) Имеется подозрения на вирусную атаку 01.10.2014 на ADSL модемы у которых открыт доступ из сети Интернет как по Telnet/Web.
С 01.10.2014 г по 08.10.2014 г по данной проблеме по Карагандинской ОДТ обратились 550 абонентов, данные обращения были отработаны согласно рекомендациям ГЦУСТ (приложение). На данный момент обращения продолжают поступать.
В связи с этим прошу рассмотреть возможность выявления источника атаки, а также принятия мер по избежанию подобных проблем в будущем, т.к. так как довести до всех абонентов "Megaline" рекомендации и произвести настройку всех клиентских модемов по Карагандинской ОДТ нет возможности.

 

В связи с выявленным фактом смены IP-адресов DNS-серверов на модемах (ПБ 2602207), что явилось причиной массовых заявок абонентов Общества о неработоспособности услуг Интернет ставим вас в известность, что в целях предотравщения подобных проблем по сети ГЦУСТ ПД установлены следующие ограничения по трафику в сторону динамических пулов BRAS, а именно закрыт доступ по следующим портам:
- TCP порты 80, 23, 443;
- UDP порты 161.
Также, рекомендуем выполнить в срочном порядке следующие
действия:
ДИС:
1. сделать оповещение на сайте www.megaline.kz о том, что в качестве временной меры в целях предотвращения дальнейшего распространение подобной проблемы нами были сделаны ограничения по трафику (см. выше). Также, с указанием рекомендации о необходимости смены заводских настроек аутентификации на модемах и другом оконечном оборудовании и отключении удаленного доступа на оконечное модемное оборудование, в случае отсутствия необходимости в данном доступе.
ОДТ/ГЦТ: 1. оповестить сотрудников ЦБР о данной проблеме и сделать инструкцию сотрудникам по удалению из конфигурации оконечного оборудования заведомо ложных IP-адресов DNS-серверов (например, 95.211.228.6 и/или 50.7.29.74);
2. осуществлять предварительную диагностику при выявлении описанной выше проблемы у абонентов рекомендовать клиентам изменять настройки DNS-серверов на модемном оборудовании и, также настоятельно рекомендовать изменять заводские настройки аутентификации на модемах и отключении удаленного доступа на оконечное модемное оборудование, в случае отсутствия необходимости в нём.

[pubuser]

Да, я об этом упоминал в свое время, что крайне велика доля устройств, светящих наружу 80 портом и может быть даже 23,  отдельно выделяется категория тп-линков серии 88xx у которых доступ по 80 порту на WAN неотключаемый в принципе. Конечно злоумышленникам нет проблем насканить нужные адреса и поменять на поддельные днс в настройках. Но телеком слишком как то глобально отреагировал, обломив ряд портов.

 

p.s. Так же я отдельно упоминал о том, что их внутренние служебные устройства с адресом 192.168.1.1 (возможно те же BRAS) доступны абонентам как адсл так и GPON практически напрямую, причем сервисные порты используемые службой BGP там так же открыты. Если у юзера есть девайс с адресом 192.168.1.1 то проблемы как бы и нету, а вот продвинутые юзеры с другими подсетями без проблем могут эксплуатировать возможно существующие уязвимости в сервисном оборудовании. Отсюда видимо и недавний упомянутый здесь массовый падеж сессий BGP на узлах и центральных бэкбонах, где то таки оставили пароль admin\admin на телнете, только вот забыли почему то что устройство таки доступно абонентам и ip маршрутизируется запросто из домашней подсети.

 

p.p.s Насчет безопасности абонентов подчеркну что подобные проблемы (как и любые другие с безопасностью) должны решаться ими самостоятельно, провайдер не должен нести совершенно никакой ответственности за покупку юзерами заведомо дырявого оборудования, за оставленные абонентом логин и пароль по умолчанию и уж тем более нет никакой ответственности провайдера за отсутствие у абонентов технических знаний и квалификации по настройке абонентских устройств. Исключения составят разве что случаи, когда неквалифицированная настройка оборудования абонента выполнена провайдером за деньги - в этом случае провайдер обязан будет скомпенсировать возможный материальный ущерб, который теоретически может возникнуть в результате проникновения в сеть абонента злоумышленников.

Сообщение отредактировал pubuser: 23.10.2014, 21:17:08

[pessimist]

Ни в одном из абзацев не нашёл упоминания 22го порта SSH. Телеком пожинает плоды своей же безалаберности, так как дыра с дефолтными данными авторизации вкупе с дефолтным доступом на менеджмент известна с времени начала широкого внедрения Мегалайна и вообще удивительно, что активно её начали использовать только сейчас. В принципе как я и говорил - закрытие портов 22 и 23 не катастрофа, но тотальный ламеризм большей части абонентов это не устранит. Опять же судя по виду косяк с DNS больше отностится к Мегалайну и абоненты старой сети FTTB страдают "за компанию".

[gugolplex]

Ни в одном из абзацев не нашёл упоминания 22го порта SSH. Телеком пожинает плоды своей же безалаберности, так как дыра с дефолтными данными авторизации вкупе с дефолтным доступом на менеджмент известна с времени начала широкого внедрения Мегалайна и вообще удивительно, что активно её начали использовать только сейчас. В принципе как я и говорил - закрытие портов 22 и 23 не катастрофа, но тотальный ламеризм большей части абонентов это не устранит. Опять же судя по виду косяк с DNS больше отностится к Мегалайну и абоненты старой сети FTTB страдают "за компанию".

 

Да действительно про 22 порт нет упоминания, но в телекоме все возможно, вполне возможно, что его тоже за компанию обрезали, ну и до кучи порты 21, 25 ,135, 137,138,139, здесь только проверка на практике нужна.

[pessimist]

Да действительно про 22 порт нет упоминания, но в телекоме все возможно, вполне возможно, что его тоже за компанию обрезали, ну и до кучи порты 21, 25 ,135, 137,138,139, здесь только проверка на практике нужна.

Страусиное решение получается, лочить потенциально уязвимые сервисы. Сюда же можно записать 8080, 5022,5023. и т.д. - проблему не решат, а геммор создадут.
Это ИМХО результат того, что "устанавтеры" КТ в принципе не отвечают за настройку железок, ламерам типа дешевле а КТ - головняк с взламываемым железом, падением сервисов, валом заявок на 165 и т.д.

[pubuser]

Насчет конкретных портов - скорее всего забанено по типу Сервиса а не номера порта. 22 и 23 они один и тот же Telnet только первый шифрован, второй нет. Видимо не особо разбирались в нумерации и банили в чем нибудь типа Kerio Konnect Firewall а про убожество формирования его правил никому рассказывать не нужно)

[pessimist]

Насчет конкретных портов - скорее всего забанено по типу Сервиса а не номера порта. 22 и 23 они один и тот же Telnet только первый шифрован, второй нет. Видимо не особо разбирались в нумерации и банили в чем нибудь типа Kerio Konnect Firewall а про убожество формирования его правил никому рассказывать не нужно)

Ну ясен перец, прикрутили что под руку попалось. Короче FTTH-ам с DHCP я так понимаю больше повезло, там BRAS не используется, плюс железки проверенные и не из ближайшего магазина, плюс 80 порт изначально залочен.....Хотя нет, спасибо, я лучше посижу с SSH на других портах но на личной железке и пусть у файрвола КТ башню сносит от атак. Будет лишний повод подать заявку, чтобы КТ сеть по уму выравнивал а не по залоченым портам.

[bersar]

Кто подскажет - вчера при смене сессии АДСЛ, пропал интернет. Вернее IP получаю. трасcировки, до например mail.ru, проходят, а ни одна страничка не открывается - возможно это как то связано с тем что выше обсуждают - куда копать? По 165/160 говорят что у них всё ок.

 

ЗЫ у соседей такая же белиберда...

[pessimist]

возможно это как то связано с тем что выше обсуждают - куда копать? По 165/160 говорят что у них всё ок.   ЗЫ у соседей такая же белиберда...

Если это то, что мы обсуждаем - менять логины\пароли на доступ к модему(роутеру), закрывать дочтуп к управлению извне, проверять настройки DNS на нём же или более кардинальный способ - сбросить его настройки на дефолтные и забить всё ручками заново. Не забудьте только логин\пароль от PPPoE записать. 

Есть ещё более тяжёлый случай, когда атака идёт с заражённого домашнего компа, тут вышеуказанные меры не помогут без решения вопроса о лечении компа, что под силу продвинутым ITшникам.

Сообщение отредактировал pessimist: 24.10.2014, 09:07:24

[pubuser]

Копать в сторону DNS серверов сперва. Правильно ли резолвятся имена и правильные ли ip адреса выдаются при обращении к тому же mail.ru. Не исключено что трассировка идет куда угодно но не на сам mail.ru

[bersar]

Копать в сторону DNS серверов сперва. Правильно ли резолвятся имена и правильные ли ip адреса выдаются при обращении к тому же mail.ru. Не исключено что трассировка идет куда угодно но не на сам mail.ru

проверял не только до мейла, до европейских серверов Айон например такая же как была до обновления АДСЛ сессии...а вот на ДНС сразу грешил, но выставление вручную "рекомендованных" не помогло - попробую дефолт скинуть, может поможет...

ЗЫ вот как быть с соседями - у них и модемы другие, а ситуация как и у меня, причем началась она раньше...у меня только после обновления АДСЛ

Сообщение отредактировал bersar: 24.10.2014, 10:28:31

[pubuser]

Если по пингам все работает\роутится\трассируется, то днсы к примеру гугла надо ставить руками в сетевой карте и проверить на всякий случай файл hosts. И потом уже скидывать модем в дефолт.

[bersar]

Если по пингам все работает\роутится\трассируется, то днсы к примеру гугла надо ставить руками в сетевой карте и проверить на всякий случай файл hosts. И потом уже скидывать модем в дефолт.

днс гугла - это которые 8.8.8.8 и 8.8.4.4?

Сообщение отредактировал bersar: 24.10.2014, 09:21:44

[pubuser]

Они самые. Если пингуются эти днсы то и резолвить они должны правильно. На всякий случай перед тестами - в командной строке выполнить команду ipconfig /flushdns

[pessimist]

ЗЫ вот как быть с соседями - у них и модемы другие, а ситуация как и у меня, причем началась она раньше...у меня только после обновления АДСЛ

© Проблемы негров должны волность самих негров.

Я к тому, что обсуждаемый нами случай может быть присущ разным устройствам разных производителей домашнего сегмента. Упрощение "под массы" привело к печатанию логина-пароля на этикетке, проблемы с знаниями в предметной области - открытию управления девайсом снаружи. При этом второе в общем то относительно безобидно если следовать рекомендациям и менять логин-пароль управления сразу после инсталляции. 

Опять же никто не отменяет факапа на вашей АТС, который Ктшникам ещё доказать надо и тут одного пинга\трейса будет маловато.

Сообщение отредактировал pessimist: 24.10.2014, 09:31:02

[pessimist]

Они самые. Если пингуются эти днсы то и резолвить они должны правильно. На всякий случай перед тестами - в командной строке выполнить команду ipconfig /flushdns

Если взять случай тяжёлого психоза с манией преследования, то после взлома никто не мешает покопаться в настройках современного модема\роутера (ПК) с целью корректировки статических маршрутов. В этом случае танцы с бубнами вокруг DNS уже не помогут. И гугл будет пинговаться и яндекс.. Только именно их ли сервера будут отвечать на эти запросы???

[pubuser]

случай тяжёлого психоза с манией преследования, то после взлома никто не мешает покопаться в настройках современного модема\роутера (ПК) с целью корректировки статических маршрутов.

Таки да, об этом я как то и не подумал) 

Только именно их ли сервера будут отвечать на эти запросы???

 

А для этого нужно знать адресацию сетевую и уметь проверять по базам адреса - а иначе

 

Проблемы негров должны волность самих негров.

[pessimist]

А для этого нужно знать адресацию сетевую и уметь проверять по базам адреса - а иначе   Цитата Проблемы негров должны волность самих негров.

Почитает тут нас обычный абонент, пошевелит волосами на макушке, погоняет мурашек по телу и дальше пойдёт чай пить с открытыми наружу http портами и любимой связкой admin\admin.....Пока в один прекрасный день и у него не отвелится любимый вконтактик и однотрахники. Тогда сразу крики "КТ - корпорация зла, ворует мой Инет, жрёт мою скорость и смотрит моё порно за мои же деньги".

[bersar]

 

А для этого нужно знать адресацию сетевую и уметь проверять по базам адреса - а иначе   Цитата Проблемы негров должны волность самих негров.

Почитает тут нас обычный абонент, пошевелит волосами на макушке, погоняет мурашек по телу и дальше пойдёт чай пить с открытыми наружу http портами и любимой связкой admin\admin.....Пока в один прекрасный день и у него не отвелится любимый вконтактик и однотрахники. Тогда сразу крики "КТ - корпорация зла, ворует мой Инет, жрёт мою скорость и смотрит моё порно за мои же деньги".

 

это точно  

по сабжу - сброс на дефолт не помог, проблема осталась...видимо проблема на стороне КТ всё таки

ЗЫ пароли везде свои стоят, модем не исключение