[Claro - Internet Colombia] Foro oficial - (Dudas, inquietudes, sugerencias)
- Iniciador del tema Pikachu_Patapi
- WikiPost WikiPost
- Fecha de inicio
- Estado
Alguien de casualidad sabe que cojones le pasa a claro en Zipaquirá?
Desconozco si pasa en mas municipios aledaños a Bogotá, pero llevo casi 7 dias con 0.2 Megas de Bajada y 10 de Subida en un plan de 300/10
Desconozco si pasa en mas municipios aledaños a Bogotá, pero llevo casi 7 dias con 0.2 Megas de Bajada y 10 de Subida en un plan de 300/10
Entonces temo la procedencia tras el reacondicionamiento con que instalaron estos modems "contagiados" de Malware y Virus, muchos de estos clientes con servicio de internet instalado víctimas del software malicioso, ahora otra "pandemia" de usuarios de Claro como el coronavirus...
La solución, mandar a cambiarlos por unos nuevos, al menos que compren un lote de los nuevos Arris de los mismos que tiene Tigo por foco de infección de malware.
Hola escorpiom,
¿de qué forma se inserta este malware en el CPE?
¿si uno ingresa a la configuración y cambia el dominio de búsqueda y dns adicionales en caso de que el cablemodem los tenga establecidos no debería de ser suficiente?
A menos de que logren manipular el firmware de alguna forma para hacer que los ajustes establecidos por el malware queden por encima de lo definido desde la webgui.
@Cbas no descartes que tu pc esté infectado, si en algún momento el cablemodem te entregó los dns administrados por el creador del malware tienes mucha probabilidad de que se hubiera instalado algo.
LA verdad dudo mucho que se tomen el trabajo de cambiarlos, como mucho sacan una actualización de fw solucionando el tema y eso es mucha gracia.
Saludos.
¿de qué forma se inserta este malware en el CPE?
¿si uno ingresa a la configuración y cambia el dominio de búsqueda y dns adicionales en caso de que el cablemodem los tenga establecidos no debería de ser suficiente?
A menos de que logren manipular el firmware de alguna forma para hacer que los ajustes establecidos por el malware queden por encima de lo definido desde la webgui.
@Cbas no descartes que tu pc esté infectado, si en algún momento el cablemodem te entregó los dns administrados por el creador del malware tienes mucha probabilidad de que se hubiera instalado algo.
LA verdad dudo mucho que se tomen el trabajo de cambiarlos, como mucho sacan una actualización de fw solucionando el tema y eso es mucha gracia.
Saludos.
Posiblemente firmware hackeado, defectuoso, yo lo averigué de Google...
Atención: Cómo saber si tu módem está infectado - Centro de Protección de Datos Personales
A raíz del reclamo de varios usuarios, este Centro de Protección de Datos Personales tomó conocimiento de una vulnerabilidad de los Módem/Router F@st 3890 v3 que se utilizan para el servicio de internet por cablemodem. Esta vulnerablidad permite que un programa malicioso llamado "Hijack...
cpdp.defensoria.org.ar
Esto lo encontré de una página argentina.
Pregunta suelta: tengo un módem Arris desde hace ya bastante rato, he notado ahora con lo de la cuarentena y el teletrabajo que la tercera luz de arriba hacia abajo, marcada con US, se pone naranja con mucha frecuencia. Si no me equivoco este led tiene que ver con la salida de información ? Algunas veces está en verde pero la veo en naranja más tiempo, antes no pasaba. El módem está en bridge y respecto a la navegación todo "normal" ... De pronto alguna caída de internet pero se restablece rápido; digo "normal" porque en esta situación del encierro a muchos les está pasando lo mismo, supongo porque el uso masivo y permanente. La otra cosa que podría indicar que cambió más o menos al inicio de la cuarentena es que me subieron el plan a 150/10.
Creo que @cristianraddude ha dicho algo coherente por primera vez, puede ser un firmware manipulado.
A lo que voy es, el tal "dominio de búsqueda" o en ingles "search domain" es un parámetro (option) que se pasa con el DHCP, 119.
El modem trae en su software un servidor DHCP, con el cual asigna las IP's a los equipos en la red local del usuario.
Lo que se esta viendo es que dicho servidor DHCP del modem esta pasando esa opción 119 como utopia.
Se concluye entonces, que es algo "hardcoded" en el software del modem.
Se que les tengo aburridos con normas y estándares, pero lee el RFC para entender:
Código:
https://tools.ietf.org/html/rfc3397Ahora bien, es posible que el servicio "utopia" de donde provino el malware ya no esta funcionando, la verdad no he indagado.
Porque es algo que ya llevaba años.
Pero como las IP están en una lista negra de los antivirus, cada vez cuando se intenta una conexión a un sitio asociado con utopia, el antivirus salta.
Es por eso que les digo: Desactiva DHCP, coloca IP statica y haga
ipconfig /flushdns
y desactiva la red, vuelva a activarlo y ya esta.
El parámetro en el registro que muestra "utopia" es algo dinámico, apenas que cambias la IP a statica y restablezcas la conexión, ese valor ya no debería estar allí.
Sigue siendo un hecho, y como bien lo comentaba @dagarcia2, los modem vienen así plagados de este defecto, aparentemente no hay una solución fácil aparte de lo comentado anteriormente.
Creo que es hora de echarle el agua sucia a Comcel, por haber metido la pata por la milésima vez.
Escorpiom.
de acuerdo con escorpiom. La técnica se llama dns spoofing o dns poisoning. La idea es que el router que usa dhcp, para facilitar la conexión de los computadores, no sólo asigna automáticamente la dirección ip, sino también transmite los servidores dns por defecto para usar en la conexión. Por lo tanto, si un atacante logra modificar los parámetros dns en el router para el servidor dhcp (puede ser como han dicho modificando el software físicamente o con un backdoor o simplemente con usuario y contraseña) o en el pc directamente, puede definir qué se use otro dns u otra ip resuelta para la conexión. en este caso, la idea era poner el sufijo utopia.net a las resoluciones para redirigir el tráfico a otro servidor. La solución es definir enel pc una dirección ip estática y definir los dns, de tal forma que el equipo no tome los del servidor dhcp comprometido, o colocar un router propio quite controle el dhcp.
Hola,
Este led indica que tienes un problema en los canales de upstream. Me apuesto que puede ser por ruido (alguno puede estar modulando mal)
Por favor ingresa a la página de status del cablemodem y compártenos los niveles del equipo cuando veas el led en verde y cuando pase a naranja.
Si puede ser en texto plano te lo agradezco para poderte ayudar.
Saludos.
Hola,
Esto es claro. Incluso en la configuración de lan en la mayoría de CPE se puede especificar el dominio.
Mi duda es si será suficiente con quitarlo (en caso de que el parámetro se pueda ver en la webgui del equipo) o habrán modificado la configuración del dhcp por debajo y el parámetro persista incluso a reseteos a fábrica.
Voy a intentar buscar un equipo de este modelo en mi nodo a ver si puedo identificar algo.
Saludos.
Este led indica que tienes un problema en los canales de upstream. Me apuesto que puede ser por ruido (alguno puede estar modulando mal)
Por favor ingresa a la página de status del cablemodem y compártenos los niveles del equipo cuando veas el led en verde y cuando pase a naranja.
Si puede ser en texto plano te lo agradezco para poderte ayudar.
Saludos.
Hola,
Esto es claro. Incluso en la configuración de lan en la mayoría de CPE se puede especificar el dominio.
Mi duda es si será suficiente con quitarlo (en caso de que el parámetro se pueda ver en la webgui del equipo) o habrán modificado la configuración del dhcp por debajo y el parámetro persista incluso a reseteos a fábrica.
Voy a intentar buscar un equipo de este modelo en mi nodo a ver si puedo identificar algo.
Saludos.
x2 y son los nodos, está todo sobre vendido y como todo el mundo anda conectado, ahí está el colapso, yo llamo a quejarme y que si, que ya hay avisos de las fallas y la lentitud del internet y bla bla bla, funciona unas horas y se va de nuevo a la ver"!"#" todo, ojalá así como leen otras cosas en este foro lean esto esos de Claro, que dia que llamé me dijeron que la falla estaba en Zipaquirá, Yopal y Neiva en simultaneo.
Yo si me voy por otro lado
Revisando bien la cuestion en los modem Cisco DPC3941T utilizan un firmware de codigo abierto, y en su codigo fuente se ve el siguiente commit
Mis pregunta son las siguientes ¿Ese dominio de quien era(porque ya no existe y porque esta presente en su firmware)? ¿Era un proyecto? ¿De cisco? (puede ser)
Para los que tienen todavia el sufijo utopia.net ¿al borrarlo de la configuracion se resuelve el problema?
Ping @Escorpiom @dnight
Edito: Buscando por el codigo fuente encontre otro commit solucionando el problema, lo que quiere decir que Claro (Comcel) adquirio estos modems con el firmware sin actualizar...
Revisando bien la cuestion en los modem Cisco DPC3941T utilizan un firmware de codigo abierto, y en su codigo fuente se ve el siguiente commit
Código:
# lan_domain - the name of the lan side domain
# -----------
# This may be blank or unassigned if no lan domain is desired
# however for internal dns lookups it is usually desirable to
# have a lan domain
$lan_domain=utopia.netMis pregunta son las siguientes ¿Ese dominio de quien era(porque ya no existe y porque esta presente en su firmware)? ¿Era un proyecto? ¿De cisco? (puede ser)
Para los que tienen todavia el sufijo utopia.net ¿al borrarlo de la configuracion se resuelve el problema?
Ping @Escorpiom @dnight
Edito: Buscando por el codigo fuente encontre otro commit solucionando el problema, lo que quiere decir que Claro (Comcel) adquirio estos modems con el firmware sin actualizar...
Última edición:
Hola, cuando entro a esta opción de configuración me sale tal y como te aparece a tí, es decir, el sufijo DNS aparece en blanco
Si sabes modificar el registro de windows procede con esto, sino es mejor abstenerse
Ejecuta regedit
busca la siguiente cadena
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\
Y borra cualquier perfil que diga utopia.net
Depues buscas la siguiente cadena
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged
Y cambias la siguiente regla DNS suffix si dice utopia.net en infomacion de valor y lo dejas en blanco
Reinicias y revisas
Lo mismo pero con mas megas. Yo lo hice mas para subir archivos del trabajo pero si ayuda a que en caso de que estén viendo un video en 4k no se perratié el internet y no se suba tanto el ping, lo mismo si se está subiendo algún archivo.
No se cómo estan haciendo en claro, pero conozco un par de casos en tigo, que si bien no suspenden, limitan la velocidad, es algo así como un mínimo vital, para estar informado/comunicao. No tengo idea que velocidad dejan, pero a partir de esta limitación, no se genera más cobro del servicio.
Saludos.
