Стали известны (https://blog.talosintelligence.com/2018/06/vpnfilter-update....) дополнительные подробности о вредоносном ПО VPNFilter, поразившем (https://www.opennet.dev/opennews/art.shtml?num=48654) более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены для различных моделей маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.
Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак:
- ssler - модуль для проведения MITM-атак по перехвату и модификации незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к сайтам, подобным accounts.google.com.
Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP, а также вычищает в заголовке Accept-Encoding данные о поддержке gzip-сжатия. Подмена приводит к тому, что клиент начинает обращаться к https-ресурсам по http:// без шифрования. Для сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS;
- dstr (device destruction) - модуль для перезаписи файлов прошивок, который повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления требуется перепрошивка с использованием специального оборудования). Модуль вначале пытается удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию очистки Flash через заполнение файлов-устройств /dev/mtdX значением 0xFF, а затем выполнение команду "rm -rf /*" для удаления данных в оставшихся ФС.
Обновлённый список оборудования, которое поражает VPNFilter:
- Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U,
RT-N66U;
- D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N,
DSR-1000, DSR-1000N;
- Huawei HG8245;
- Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N;
- Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109,
CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5;
- Netgear DG834, DGN1000,
DGN2200,
DGN3500,
FVS318N,
MBRN3000,
R6400,
R7000,
R8000,
WNR1000,
WNR2000,
WNR2200,
WNR4000,
WNDR3700,
WNDR4000,
WNDR4300,
WNDR4300-TN,
UTM50;- QNAP TS251, TS439 Pro и другие модели на базе ПО QTS;
- TP-Link R600VPN, TL-WR741ND, TL-WR841N;
- Ubiquiti NSM2 и PBE M5;
- Upvel (конкретные модели не сообщаются)
- ZTE ZXHN H108N.Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, но данное действие приведёт лишь к временной деактивации основного компонента вредоносного ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не удаляется после перезагрузки. Правоохранительные органы проделали работу по блокировке серверов для автоматической загрузке основной части VPNFilter, но в загрузчике вредоносного ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с данными о новом хосте для подключения.
В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс к заводским настройкам (следует удерживать кнопку на задней панели от 5 до 10 секунд). Желательной мерой является обновление прошивки, а также установка надёжного пароля, отключение дополнительных протоколов удалённого управления и ограничение внешнего доступа к устройству и его web-интерфейсу.Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.
URL: https://blog.talosintelligence.com/2018/06/vpnfilter-update....
Новость: https://www.opennet.dev/opennews/art.shtml?num=48732
Ха, у меня D-Link настолько хреновый, что мне не страшны страшные-ужасные вирусы: его и так регулярно где-то раз в месяц приходится перезагружать из-за того, что он начинает тупить даже в домашне-бытовой эксплуатации.
> Ха, у меня D-Link настолько хреновый, что мне не страшны страшные-ужасные вирусы:
> его и так регулярно где-то раз в месяц приходится перезагружать из-за
> того, что он начинает тупить даже в домашне-бытовой эксплуатации.Т.е. ты только что сам признал, что не можешь даже настроить себе нормальный роутер, хотя на опеннете имеешь ценное, экспертное к любой новости?
"имею возможность завести козу, не имею желания"купить он "нормальный" себе не может, только и всего...
У меня вон почти нормальный - подсунутый оператором (не ethernet, поэтому замене не подлежит). Ну виснет, и, вероятнее всего, еще и ломается. Не этим ботнетом, так другим (не верю я, что такие - надежны). И чо? От того что я умею настаивать операторские сети, этой китайской штуковине не жарко и не холодно.
Я настоял, что будет мой собственный роутер. Мартышки, тянувшие сеть малость покобенились, но услышав, что я собираюсь передумать и воспользоваться услугами другого прова, сразу на все согласились, и даже листок, где были довольно толково расписаны все настройки, мне дали. А тебя похоже развели, как лоха позорного.
Ага, особенно когда это единственный провайдер в радиусе 200 км.Ну и конечно "очень выгодные и качественные" мобильные решения.
> Я настоял, что будет мой собственный роутер.где ты собираешься взять "собственый роутер", к примеру, gpon, и сколько, кстати, такой стоит твоих денег?
я, конечно, могу перевести свой в bridge (на самом деле редкий случай, мои оgpon'еные соседи лишены такой возможности), и, не забывая ежемесячно отстегивать за аренду, купить на свои еще один с тем же набором функционала (из линукс-еще-не-готовых-десктопов плохо получаются wifi-точки, особенно на приличные скорости и еще с разделением гостевого/изолированного сегментов) - то есть это все можно, но лично я эти деньги и время найду куда деть.
Ещё во времена ADSL так делал - модем в режиме овощного бриджа на дозвоне и после него уже стоит роутер, который и занимается конкретно маршрутизацией. Ибо почему-то убогий вифи в модем засунуть догадались, а железа засунуть, чтобы нормально нат на 3 компа держать - нет.
есть же гпон конвертер без какой либо умной прошивки, маршрутизатора, тупо бридж по сути. стоят не дорого.
мне собственно такой и ставили, с вопросом вам тупо конвертер или маршрутизатор.
повезло. Моим соседям от мгтс выбора не перепало, что прибили над дверью, то и жрите (у меня самого не gpon, бридж там в принципе добываем, но жалко - игрушка недешевая, умеет довольно много полезного, и в целом, если б не висла раз в неделю-две, была бы вполне хороша. Разумеется, по другую сторону ее портов нет никакого коммунизма, а есть файрволы на всем что в нее втыкается или получает к ней доступ иным путем. Поэтому пусть у провайдера голова болит о том, как ее обновлять или прикрывать в случае чего.)
> купить он "нормальный" себе не может, только и всего...Единственно верное нормальное решение, которое работает 100% и никогда не ложится -- это кабель, воткнутый непосредственно в рабочий комп. Не встречал домашних роутеров, которые бы не висли и держали бы нагрузку. Так что вафлю мои домашние с системника получают.
Вы видимо microtik не пробовали
я пробовал. Послушал сказы о том, как прекрасно все у них работает, кроме вот только иногда...правильно, виснет, потом посмотрел сам - и не стал в этом месте работать.Ограничился дачей советов с безопасного расстояния.
У меня сейчас 750gr3 дома. Железка отличная - 2 ядра 4 потока, 256 ОЗУ. L2TP тянет, маршрутизирует, блокировки обходит - вообще мечта. Но вот понадобилось мне Shadowsocks сделать - а в роутере нет поддержки. Прочитал про костыль Metarouter, подумал, что подниму OpenWRT с Shadowsocks в нём. А потом увидел, что Metarouter на моей модели не поддерживается. Конечно можно перешить сам роутер на OpenWRT - но это надо билдить прошивку и перешивать загрузчик (а там всякие лицензии и непонятно как вернуться если что). Как-то за 3.5к деревянных хотелось бы чего-то функциональнее, чем дешманский тплинк на опенврт, которых можно пучок на косарь купить.
или open-wrt/dd-wrt
Ох уж эти эксперты с мнением ака "оно не тормозит, вы просто что-то неправильно делаете". Выскакивают в любой теме - о роутерах, о венде, об айфончиках, ну и так далее.
Уясните - если что-то тормозит, при этом на это "что-то" не возложено функций, для которых оно не предназначено - значит, виноват либо производитель, либо устройство тупо повреждено.
>> сам признал, что не можешь даже настроить себе нормальный роутер, хотя на опеннете имеешь ценное, экспертное к любой новости?
> Ох уж эти эксперты с мнением ака "оно не тормозит, вы просто
> что-то неправильно делаете". Выскакивают в любой теме - о роутерах, о
> венде, об айфончиках, ну и так далее.Ох уж эти Астахалы инкогнито, с их особо ценным мнением и юлежом. Выскакивают в любой теме - о роутерах, ОСях, техногологиях шифрования, ну и так далее.
> Уясните - если что-то тормозит, при этом на это "что-то" не возложено функций, для которых оно не предназначено - значит, виноват либо производитель, либо устройство тупо повреждено.Уясните уже, что если виноват производитель, то его нужно пинать до устранения неполадок или возвращения денег, а не прикидываться лoxом педaльным.
Так никто и не спорит что нужно пинать.
> A.Stahl (ok) on 07-Июн-18, 12:29
> Ха, у меня D-Link настолько хреновый, что мне не страшны страшные-ужасные вирусы:
> его и так регулярно где-то раз в месяц приходится перезагружать из-за
> того, что он начинает тупить даже в домашне-бытовой эксплуатации.Так и отметим - A.Stahl тупой неосилятор. Неосилил D-Link или купить что-то получше и прошить OpenWRT
Теперь мы знаем "ценность" твоих комментариев.
Не все хотят иметь на роутере велосипеды от очередного Дениски, у которого вообще хрен знает как с безопасностью. Стандартные прошивки проходят аудит. Хреново проходят, конечно, но все же лучше чем ничего.
Мой RT-N66U вошел в список, придется проверить.
DD-WRT его полностью поддерживает, а в OpenWRT не работает диапазон 5 ГГц (раньше так указывалось на сайте, сейчас - не знаю).
Но там Asus-WRT по-умолчанию.
> а в OpenWRT не работает диапазон 5 ГГцНу, это как обычно. Услышав слово "open" сразу приготовьтесь к тому, что половина функционала пойдёт лесом.
>Услышав слово "open" сразу приготовьтесь к тому, что половина функционала пойдёт лесом.Ага, а смотря на всё от вендора - видишь спёртый 10 лет назад самый онный Open* из которого кривыми китайскими ручками сделали ${chipsetvendorname}_SDK_цифри_версии и на основе которого другие китайские ручки по китайским мануалам от ${chipsetvendorname} клепают наипрямейшие прошивки. Для VPNfilter.
Как показательно - ни OpenWrt/LEDE/DD-WRT и подобных в списке нет.
Зачем нам с вами спорить, товарищ? Сидите со своей свободой, но без 5 Ghz. А я так подозреваю, что вам эти 5 Ghz и незачем.
Как заражение происходит?
Предполагают, что через старые уязвимости на устройствах с необновлёнными прошивками, а также через неизвестные 0-day уязвимости.
проникает по дефолтным/простым паролям через телнет/вебморду. потом судя по всему, это гоуно заливает зараженную прошивку для данного типа роутера.
admin:admin
2/3 на опеннете оптимисты, 1/3 параноики, но все они теоретики =)
"Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP" - класс!
Давно думал как дома централизованно можно что то делать типа как делал проксимитрон, но всегда был облом с https.
Осталось только очередной хитрый конфиг для nginx сделать.
Не поможет для сайтов с HSTS Preload, а их довольно много.
Отрезать Strict-Transport-Security, а для тех кто в списке - да и фик с ними.
а вот, кстати, стесняюсь спросить - этот список он куда-то в потроха браузера прибит гвоздем, или оно его наивно скачивает с гугля каждый раз?
на большую часть устройств прошивки уже несколько лет как не обновляются
> на большую часть устройств прошивки *никогда* не обновляются//не благодари
судя по device destruction, производители роутеров потирают руки. хотя конечно, варварство еще то.
Такс, если асусы rt-серии подвержены, не значит ли это, что устройств с прошивками Padavan это тоже коснется?
Это лучше спрашивать на форуме https://forum.ixbt.com/topic.cgi?id=14:64851-42 или смотреть https://bitbucket.org/padavan/rt-n56u/
> Netgear
> WNDR4300Мне насторожиться или можно расслабиться? На 2х девайсах живёт LEDE 17.04, со своими паролями. Да и SSH\web внутрь локалки только завёрнут.
>>Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.А как примонтировать маршрутизатор, чтобы посмотреть прошивку?
> А как примонтировать маршрутизатор, чтобы посмотреть прошивку?Telnet\SSH в помощь :D.
обычно там есть telnet или ssh
> обычно там есть telnet или sshtelnet отлично брутфорсить
Ну так не выставляй наружу
>>>Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.
> А как примонтировать маршрутизатор, чтобы посмотреть прошивку?# mount ./файл_дампа.бин dir/ -o loop,offset=NNNN
> # mount ./файл_дампа.бин dir/ -o loop,offset=NNNNwrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error.
ты настолько не в теме, что не знаешь что большинство производителей китайского гуана шифруют прошивки?
Подтверждаю, на собственном опыте, приходилось все такие манипуляции с роутером проводить. Есть подозрения, что вредонос функционирует не сам посебе, а есть сеть вредоносов для разных устройств...
UPnP нужно закрывать как и webui с cgi дырами.
DNS встроенный в ротер тоже дырка!
Ещё Samba бывает
UPnP вообще вырубать, это архитектурная дыра.
просто закрыть все порты извне для доступа в роутер
Для того, чтобы закрыть все порты, нужно предварительно открыть все порты
я могу их тебе закрыть, но ты ж вонь поднимешь... "цензура" "они за нас решают, какими троянами нам заражаться" "хотим полный доступ к...ой, наоборот - интернета к нашему холодильнику".А закрыть что-то на самой коробочке можно лишь в той мере, в которой об этом подумал китайский производитель. А ему думать некогда, у них лимит на одного ребенка отменили.
> я могу их тебе закрыть
> А закрыть что-то на самой коробочке можно лишь в той мереДе била кусок
На OpenWRT перейти, что ли? Пока мой не в списке...
> На OpenWRT перейти, что ли? Пока мой не в списке...Это вообще первое, что должно быть в списке после покупки роутера. Если на купленный роутер не ставится OpenWRT\LEDE - внимательно изучаем OpenWRT HCL, сдаём предмет в то сельпо, откуда оно родом.
Как вредонос попадает в прошивку, если весь доступ извне закрыт? Пароли не дефолтные, да и если дефолтные, до для доступа изнутри
В роутеры и NAS внедряют всякие службы облачного доступа от вендора, вот через сайты вендора и прогружают пейлоадеры
Я чёт не понял, если у меня ,openwrt, мне спать спокойно?
прочитав эти новости решил проверить работу своего TP-Link WR842ND на прошивке OpenWRT. )))
Новость заказана сообществом OpenWRT, и проплачена,- проплачена открытками с видом на Столлмана)) (шутка)
А серьезно, каким нада быть идиотом, чтобы не снести дефолтную прошивку в первый же свободный вечер, - хотя бы из скуки?))
наверное тем кто "настроил, оно работает и я забил"
Повезло, у меня вообще не один роутер нормально на стоке не работал, а некоторые требовали периодических ребутов. Однажды выбрал по wiki openwrt поддерживаемое устройство и даже не разбираясь со оригинальной прошивкой накатил openwrt, работает 24/7, аптаймы по пол года, может и год было бы если бы не электричество. Openwrt конечно не панацея, помню один роутер которому даже свободная прошивка не помогла, наверное ошибка была в блобах.
Скачал прошивку, обновил, включил Wi-Fi и установил к нему пароль. Больше тебе ничего делать не нужно.
Что лучше? Не работающий маршрутизатор, или маршрутизатор с вирусняком?))
Лучше подключить ПК напрямую если не винда.
> Лучше подключить ПК напрямую если не винда.А второго ПК, планшета или телефона у тебя нет? Или ты им WiFi с компа раздавать будешь? И бояться его выключить или перезагрузить тогда?
а че такого? втыкнул вифи свисток, запустил hostapd -> профит!!!
Надо быть обычным хоме юзером, разумеется. В остальном - ещё не видел устройств сложнее стиралки, где родная прошивка не была бы полной лажей. Да и со стиралками сомнительно.
> Надо быть обычным хоме юзером, разумеется. В остальном - ещё не видел
> устройств сложнее стиралки, где родная прошивка не была бы полной лажей.
> Да и со стиралками сомнительно.со стиралками, свчпечками и кофеварками все максимально отвратительно.
Но... я дома хочу стирать, жрать и пить кофий, а не станки-станки-станки, мне их на работе достаточно.поэтому закатывать солнце вручную, продираясь через глюки, баги, и блобы без которых все равно ничего толком не работает, мне неинтересно совершенно, даже там, где такая возможность есть.
Ну, вопрос вкуса. Как по мне - делается раз в несколько лет, а крови экономит много. С другой стороны - для меня это не совсем уж станки - я хоть и сисадминил в прошлом чуток много лет как только код пишу. Я о роутерах, если что - со стиралкой я бы поковырялся с удовольствием при возможности, но там это сильно более проблемно.Я вообще о другом говорил - о том, что нелепо ожидать, что "простой пользователь" будет что-то перешивать. У них, блин, даже на ноутбуках обычно дефолтная винда, загаженная тонной какого-то мусора от производителя, живёт - какие там роутеры.
> Я вообще о другом говорил - о том, что нелепо ожидать, что
> "простой пользователь" будет что-то перешивать. У них, блин, даже на ноутбуках
> обычно дефолтная винда, загаженная тонной какого-то мусора от производителя, живёт -
> какие там роутеры.Когда уже введут права на работу на выч.тех....
Скорее "когда у же будут хорошо и вовремя массово учить думать". Проблема-то в том, что людям это либо тяжело, либо кажется, что тяжело.А вот эта рефлекторная реакция у многих "давайте запретим/заставим" вообще-то здорово утомила. Блин, человек имеет право быть кем угодно и делать что угодно, пока это не затрагивает кого-то ещё. А когда затрагивает - регулировать надо именно взаимодействие, а не что попало. Если ты в своём (частном) дворе, напившись, ездишь кругами, руля одной ногой - твоё дело. Лишь бы на дороги общего пользования не лез.
Я думаю, моему д-линку DIR-100 эти страшилки не грозят.. Это настолько древнемамонтовое г-но, что никакие ВПН-ны там при всем желании не поднять..
Ахах, тоже самое только тп-линк
> Я думаю, моему д-линку DIR-100 эти страшилки не грозят.. Это настолько древнемамонтовое
> г-но, что никакие ВПН-ны там при всем желании не поднять..рот (порт) есть? Значит, берет!
(я из своего, с горя, свитч сделал. И хотя управление выведено в отдельный порт, физический, хоть и жалко, гарантий все равно никаких - прецеденты получения управления посылкой кривого ethernet фрейма бывали.)
На сегодняшний день ASUS уже выпустило обновление прошивки для нескольких моделей. Рекомендую проверить. У меня на обоих появился значок, что доступна новая версия. Обновился и все. Молодцы ASUS, быстро отреагировали.
TL-WR841N
WPS отключена
Удаленное управление-IP-адрес удаленного управления:0.0.0.0, то есть тоже отключена, мне боятся или еще что-то можно настроить?
Все порты снаружи недоступны?
нормальный онлайн сканер найти не могу все что проверял проверяют только популярные и говорит все закрыты, я так понял дело не в портах а в уязвимости какой-то в этом роутере?
Не надо ничего бояться, надо просто думать головой!
А что бы голова не болела, ко всему прочему надо ее чаще тренировать, а не только в нее есть ;)
iptables -t filter -D OUTPUT -o br-wan -j u-l-out
iptables -t filter -F u-l-out
iptables -t filter -X u-l-out
iptables -t filter -N u-l-out
iptables -t filter -I OUTPUT -o br-wan -j u-l-out
iptables -t filter -A u-l-out -p icmp -j RETURN
for I in `uci show network.wan.dns | cut -d'=' -f2`
do
iptables -t filter -A u-l-out -p udp -d "${I}" --dport 53 -j RETURN
iptables -t filter -A u-l-out -p tcp -d "${I}" --dport 53 -j RETURN
done
# uci show system.ntp.server | cut -d '=' -f 2
for I in `uci show system.ntp.server | cut -d '=' -f 2`
do
#iptables -t filter -A u-l-out -p udp --dport 123 -j RETURN
iptables -t filter -A u-l-out -p udp -d "${I}" --dport 123 -j RETURN
done
iptables -t filter -A u-l-out -p udp --dport 123 -j DROP
iptables -t filter -A u-l-out -p tcp -d freedns.afraid.org --dport 80 -j RETURN
iptables -t filter -A u-l-out -p tcp -d openwrt.org --dport 80 -j RETURN
iptables -t filter -A u-l-out -j LOG
iptables -t filter -A u-l-out -j DROP
#iptables -t filter -A u-l-out -p udp -m multiport ! --sports 53,67,68,80,123 -j LOG
iptables -t filter -A u-l-out -p udp -m multiport ! --dports 53,67,68,80,123 -j LOG
#iptables -t filter -A u-l-out -p tcp -m multiport ! --sports 53,80 -j LOG
#iptables -t filter -A u-l-out -p tcp -m multiport ! --dports 53,80 -j LOG
iptables -t filter -A u-l-out -p tcp --syn -m multiport ! --dports 53,80 -j LOG#iptables -t filter -I OUTPUT -o br-wan -j u-l-out
iptables -t filter -D INPUT -i br-wan -j u-l-in
iptables -t filter -F u-l-in
iptables -t filter -X u-l-in
iptables -t filter -N u-l-in
iptables -t filter -I INPUT -i br-wan -j u-l-in
iptables -t filter -A u-l-in -p icmp -j RETURN
for I in `uci show network.wan.dns | cut -d'=' -f2`
do
iptables -t filter -A u-l-in -p udp -s "${I}" --sport 53 -j RETURN
iptables -t filter -A u-l-in -p tcp -s "${I}" --sport 53 -j RETURN
done
for I in `uci show system.ntp.server | cut -d '=' -f 2`
do
iptables -t filter -A u-l-in -p udp -s "${I}" --sport 123 -j RETURN
done
iptables -t filter -A u-l-in -p tcp -s freedns.afraid.org --sport 80 -j RETURN
iptables -t filter -A u-l-in -p tcp -s openwrt.org --sport 80 -j RETURN
#iptables -t filter -A u-l-in -j LOG
iptables -t filter -A u-l-in -j DROP
iptables -t filter -F u-l-in-u53
iptables -t filter -X u-l-in-u53
iptables -t filter -N u-l-in-u53
iptables -t filter -A u-l-in-u53 -p udp -m multiport --dports 53,67,68,80 -j LOG
#iptables -t filter -A u-l-in -p udp -m multiport ! --sports 53,67,68,80,123 -j LOG
iptables -t filter -A u-l-in -p udp -m multiport ! --sports 53,67,68,80,123 -j LOG
#iptables -t filter -A u-l-in -p udp -m multiport --dports 53,67,68,80 -j LOG#iptables -t filter -A u-l-in -p tcp -m multiport ! --sports 53,80 -j LOG
#iptables -t filter -A u-l-in -p tcp ! --syn -m multiport --dports 53,80,22 -j LOG
iptables -t filter -A u-l-in -p tcp ! --syn -m multiport ! --sports 53,80,22 -j LOG#iptables -t filter -I INPUT -i br-wan -j u-l-in
Господи спаси от iptables и сохрани, такой рецепт попахиает 50 оттенками той самой субстанции.Ubuntu:
apt install -y ufw
systemctl enable ufw
systemctl start ufw
ufw default allow outgoing
ufw default deny incoming
RHEL/CentOS:
yum install -y firewalld
systemctl enable firewalld
systemctl start firewalld
>ufwТам первые буквы перепутаны. Должно быть: fu.
Почему закомменчены некоторые строки?
Например потому, что это "магия", которую он не писал, не понимает, а только копипастит.
> Например потому, что это "магия", которую он не писал, не понимает, а
> только копипастит.Сейчас взял и проверил:
вставил немного измененную (убрал "минусы") строку:
iptables t filter A "u-l-out" p tcp d freedns.afraid.org dport 80 j RETURN
в поиск Google(ru), найден только один результат:
https://www.opennet.dev/openforum/vsluhforumID3/114525.html?n...
Так что видимо копипаста была с оригинала. И если это рабочий вариант (очень похоже ИМХО) то, видимо ваши "примеры" здесь не подходят!
> Не надо ничего бояться, надо просто думать головой!
> А что бы голова не болела, ко всему прочему надо ее чаще
> тренировать, а не только в нее есть ;)А тот кто сходу, даже не вчитываясь в эту бессмысленную простыню покажет на ошибку - тот молодец :)
Для моих Tp-Link'ов (4mb) с OpenWrt (snap.) сейчас уже нельзя воспользоваться Image Builder, только make. Вырезано всё настолько сильно как в фильме "Марсианин" в корабле главного героя, кто собирал для mesh с openssl тот поймет. ) Если даже и будет какая-либо уязвимость записать что-то в прошивку просто некуда. ))
> Обновлённый список оборудования, которое поражает VPNFilter:Есть про микротик - разговор про старые прошивки, они уже год как заткнули дыру.
Про остальные бренды, наверняка, та же оговорка.
Я не понял, как оно распространяется?
Снаружи? Или только изнутри?
> Я не понял, как оно распространяется?
> Снаружи? Или только изнутри?Вам пока не ясно, что написано там наверху?
"" Пока неясно, используются для атаки только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация 0-day уязвимостей [...] ""
Но при этом люди в комментах пишут, например, про микротик, что "они уже год как заткнули дыру".
И вопрос остаётся открытым: заражение происходит из внутренней сети или напрямую из интернета?
Прежде чем узнавать откуда происходит заражение, неплохо было бы уточнить не торчит ли админка голой попой наружу. Я как-то прошёлся по 80 портам в местной городской сетке, узнал много интересного, особенно про микротики. Даже пароль не удосужились поставить.
VPNFilter тут это можно сказать излишества, почти извращение.
Вот Вам и путь к заражению, админка наружу без пароля.
> Вот Вам и путь к заражению, админка наружу без пароля.админка без пароля прекрасно сработает и изнутри - ты даже не заметишь, в погоне за очередными котиками, как твой браузер попутно в нее сходит. Заодно может пароль тебе поставить ;-)
Вообще-то нет. Современные браузеры обычно такой cross-site scripting (или linking) предотвращают.
А у меня Зухель. Вот вам всем!
Вообще-то, уважаемые дамы и мужики, мне как-то не понравились промелькнувшие в тексте "правоохранительные органы". И что там сложного "для рядового пользователя" в дампе и сличении контрольной суммы? Когда вокруг чего-нибудь много шума и никакой ясности -- того и гляди отрежут от тебя еще кусочек, да так, что и не сразу заметишь.