The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux

22.02.2010 20:32

Чешские исследователи в области безопасности компьютерных систем сообщили об обнаружении нового сетевого червя, получившего название "Чак Норрис" и состоящего из незащищенных надлежащим образом мини-маршрутизаторов, DSL-модемов и спутниковых TV-ресиверов, работающих на базе прошивок, основанных на Linux. Как правило инфицирование маршрутизаторов происходит из-за выставления администратором ненадежного пароля, подбираемого путем несложного перебора типовых вариантов, или сохранения пароля, заданного по умолчанию. Также заражение может происходить через эксплуатацию обнаруженной в январе уязвимости в маршрутизаторах D-Link.

Разбор вредоносного кода, загружаемого после проникновения на маршрутизатор, показал, что подобные маршрутизаторы объединены в единый ботнет и поддерживают выполнение команд по участию в совершении DDoS-атак или проведению атак по подбору паролей. На устройствах входящих в ботнет может производиться смена связанных с DNS настроек, что позволяет перенаправлять запросы пользователей к таким популярным ресурсам, как Facebook или Google, на поддельные сайты злоумышленников, на которых может быть организовано внедрение вирусов, перехват паролей и конфиденциальной информации. Имя "Чак Норрис" было присвоено ботнету из-за наличия в одном из вредоносных файлов комментария на итальянском языке "in nome di Chuck Norris" ("во имя Чака Норриса").

По своей сути новый сетевой червь очень напоминает усовершенствованный вариант ботнета Psybot, который был зафиксирован весной прошлого года. Как и Psybot червь "Чак Норрис" поражает устройства на базе архитектуры MIPS, снабженные прошивками, основанными на Linux (Psybot поддерживал прошивки на базе проектов OpenWRT и DD-WRT).

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Зафиксирован первый ботнет из Linux-маршрутизаторов
  3. OpenNews: Уязвимость маршрутизаторах D-Link
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/25528-botnet
Ключевые слова: botnet, linux, security, virus
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (69) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, FPGA (ok), 21:07, 22/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вопрос по "but the botnet also attacks satellite TV receivers". Каким образом атакованы и эти устройства? У них есть web-интерфейс? Или их подключают к интернет?
     
     
  • 2.3, Slavaz (ok), 21:10, 22/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Вопрос по "but the botnet also attacks satellite TV receivers". Каким образом
    >атакованы и эти устройства? У них есть web-интерфейс? Или их подключают
    >к интернет?

    Зачастую да

     
  • 2.70, Карбофос (ok), 15:17, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    к интернету обычно ресивер подключается через рутер. а еще есть wifi, но только взломать этот wlan можно локально.
     

  • 1.6, andamasov (?), 21:13, 22/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    под ресиверами имеются ввиду всякие дримбоксы, опенбоксы.
    у них на борту линукс, и они в сети для кардшаринга
     
  • 1.11, i (??), 21:31, 22/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    криворукие пользователи (пароль придумать не могут) сами виноваты
     
     
  • 2.71, Карбофос (ok), 15:19, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    конфигурации железа разное бывает. например, есть железка azbox, в которой после выключения питания обнуляется большинство настроек. к примеру, все настройки в /etc
     
  • 2.89, User294 (ok), 21:51, 24/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >криворукие пользователи (пароль придумать не могут) сами виноваты

    Для начала, виноваты производители раскладывающие грабли в дефолтах. Что еще за виндозный подход "не всех троянов вычистил - сам дурак!". А какого хрена телнет или вэбфэйс с стандартным паролем по дефолту наружу висит, пардон?! Давайте лучше стодолларовые бумажки пачками на улице без присмотра хранить. Узнаем много нового о человеческой природе и тяге к халяве :)

     

  • 1.12, Karpion (ok), 21:32, 22/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Хорошо бы давать дефолтный пароль в виде MAC-адреса, который печатается на корпусе роутера.

    Кроме того, можно сделать в роутере службу, которая сама будет честно пытаться подобрать пароль, и если получится - начнёт писком требовать к себе внимания (в крутых моделях - скажет человеческим голосом о том, что пароль лёгкий).

    А самое простое - в дефолтных настройках разрешить вход адимину только изнутри.

     
     
  • 2.13, Уноним (?), 21:39, 22/02/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а ничего, что мак адрес через ARP снаружи виден?
     
     
  • 3.15, аноним (?), 22:14, 22/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где снаружи? Не хотите ли сказать что в интернете?
     
     
  • 4.19, Анонимус666 (?), 22:56, 22/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В локальной сети провайдера. Не хотите ли сказать, что там червей нет?
     
     
  • 5.74, Rett Pop (ok), 16:17, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А брать мак-адрес от порта LAN, а не WLAN...
     
     
  • 6.78, pavlinux (ok), 21:01, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагаю пароль - произведение цифр MAC от LAN умноженного на MAC от WAN,
    все это деленное на серийный номер + номер продукта * на штрих код.
    Плюс к этому, три случайные цифры на наклейке - которые есть страница, строка,
    и  2 слова из мануала., но в обратном порядке. (hello world -> olleh dlrow)
    В поставке прилагать 16-ричный калькулятор.



     
     
  • 7.80, Карбофос (ok), 22:06, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    :-D хорошее чувство юмора. лучше счетные палочки вместо калькулятора.
     
  • 3.49, Наме (?), 08:38, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >а ничего, что мак адрес через ARP снаружи виден?

    Н виден. Но, учитывая некоторые особенности, подобрать такой пароль будет не рруднее, чем "qwertyuiop".

     
     
  • 4.58, Анонимус666 (?), 10:46, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот блин уперлись, учите матчасть и не обманывайте людей.
    Я на внешнем интерфейсе вижу пару сотен маков за счет бродкастов и мультикастов, а если отравиль ARP, то все 2^12 в моей сети увижу.
    Кстати из этих бродкастов около трети сгенерировано форточными червями.
     
  • 4.63, XoRe (ok), 12:35, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>а ничего, что мак адрес через ARP снаружи виден?
    >
    >Н виден. Но, учитывая некоторые особенности, подобрать такой пароль будет не рруднее,
    >чем "qwertyuiop".

    Внутри виден MAC адрес внутреннего интерфейса.
    Снаружи виден МАС адрес внешнего.

    Комрадам остается только надеяться, что вендоры не идиоты и ставят паролем внутренний МАС адрес.
    От себя могу заметить, что (вспоминая про всякие инциденты) надеяться на это не стоит)

     
     
  • 5.73, Ноним (?), 16:13, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Производитель Firtzbox-AVM уже как нное количество лет генерирует рандомные пароли и печатает их на наклейке, которая находится на коробке.
    Wifi также по дефолту wpa/wpa2 и интерфейс наружу не смотрит.
     
  • 5.84, Alexander (??), 12:26, 24/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Эти MAC-адреса случайно не отличаются только на единицу?
     
  • 2.17, аноним (?), 22:22, 22/02/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    MAC элементарно брутится Первые 3 байта OUI которых фиксированный набор для про... большой текст свёрнут, показать
     
     
  • 3.91, igor (??), 12:17, 25/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    запретить доступ к настройке маршрутизатора извне тоже не панацея от слабых паролей. за маршрутизатором тоже можно трояна поймать, например через дыру в браузере, а он уже благополучно поселиться в самом маршрутизаторе если пароль на нем слабый будет
     
  • 3.94, Анон (?), 16:42, 28/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Такое есть по-крайней мере в P660RT-EE от Zyxel, железка не работает пока не будет сменен пароль, но к сожалению сложность не учитывается, кроме длины пароля.
     
  • 2.22, XoRe (ok), 23:10, 22/02/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Хорошо бы давать дефолтный пароль в виде MAC-адреса, который печатается на корпусе
    >роутера.

    Можно по серийному номеру.
    Он тоже печатается на корпусе.

     
  • 2.37, User294 (ok), 02:56, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Хорошо бы давать дефолтный пароль в виде MAC-адреса,

    Он должен быть рандомным и пропечатан в мануале/на этикетке. Мак сбрутить невелика наука. Там не так уж много брутить. И заодно - зачем вывешивать средства настройки в WAN по дефолту?! У длинков мазохизм прокачан?

     
  • 2.82, Аноним (-), 02:13, 24/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А если учесть что маки даются не от балды а покупаются из диапозона, и обынчо идут серийно, и есдли удастся узнать версию устройства к которому этот "пароль" подбирается, то думаю первые 3-4 цифры из 6 будет известно, и чтото я гляжу у маков первая цифра часто 00 в общем банальным перебором это займёт не так много времени.
     

  • 1.16, Аноним (16), 22:16, 22/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Ребята! Ну вы все такие крутые: "криворукие пользователи (пароль придумать не могут) сами виноваты), под ресиверами имеются ввиду всякие дримбоксы, опенбоксы.
    у них на борту линукс, и они в сети для кардшаринга". А у Вас давно руки стали "прямые"?

     
     
  • 2.23, аноним (?), 23:19, 22/02/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Ребята! Ну вы все такие крутые: "криворукие пользователи (пароль придумать не могут)
    >сами виноваты), под ресиверами имеются ввиду всякие дримбоксы, опенбоксы.
    >у них на борту линукс, и они в сети для кардшаринга". А
    >у Вас давно руки стали "прямые"?

    Ну Dlink тоже виноват. Собственно они всегда были халтурщиками, и на одной нормальной железки за всю историю не выпустили. Дело в другом - криворукие пользователи и вендоры подставляют Linux. Хотя конечно так очень легко детектить школоту - "развеян миф о неуязвимости Linux" - всерьез человека можно уже не рассматривать.

     
  • 2.26, Anon (?), 00:11, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    butthurt detected.
     
  • 2.56, Hety (??), 10:18, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да. Стали. Пользователи не тупые, а "тупые". И "тупеые" не потому, что отклонения в развитии, а потому что им ЛЕНЬ. И им кажется, что все должно одновременно работать как бы сразу и как бы еще и вирусов не ловить. И, желательно, телепатировать про их потребности. В нашем ИТ отделе висит большой плакат как раз для этих случаев. И написана на нем банальщина: "Компьютер не делает то, что вы хотите, чтобы он сделал. Компьютер делает то, что вы ему говорите".
     
     
  • 3.64, XoRe (ok), 12:41, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Да. Стали. Пользователи не тупые, а "тупые". И "тупеые" не потому, что
    >отклонения в развитии, а потому что им ЛЕНЬ. И им кажется,
    >что все должно одновременно работать как бы сразу и как бы
    >еще и вирусов не ловить.

    Ну, вообще-то, что устройство должно работать так, как заявил производитель.
    Это в IT индустрии привыкли, что глюки были, есть и будут.
    Поэтому отказ от ответственности за глюки прописывается ещё в EULA.
    А в остальных сферах весьма распространена ответственность изготовителя за свое поделие.

     
     
  • 4.68, Hety (??), 13:52, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну, вообще-то, что устройство должно работать так, как заявил производитель.
    >Это в IT индустрии привыкли, что глюки были, есть и будут.
    >Поэтому отказ от ответственности за глюки прописывается ещё в EULA.
    >А в остальных сферах весьма распространена ответственность изготовителя за свое поделие.

    Никто же не говорит, что устройство не работает. Но если вы поставите электрический чайник на плиту - он сгорит к едрене фене. Но ведь он же воду должен кипятить, ага.

     
     
  • 5.85, Аноним (-), 16:58, 24/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Никто же не говорит, что устройство не работает. Но если вы поставите электрический чайник на плиту - он сгорит к едрене фене. Но ведь он же воду должен кипятить, ага.

    Здесь несколько другая ситуация, Вы поставили электрический чайник нагреваться, а из него потекла вода (взломанный шлюз нагенерил кучу трафика который Вам пришлось оплатить). А производитель в документации написал: «работоспособность чайника не гарантирована», а нормальный чайник купить негде, потому что все производители чайников так пишут. И что самое интересное - всех всё устраивает.

     
  • 3.79, pavlinux (ok), 21:11, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >В нашем ИТ отделе висит большой плакат как раз для этих
    >случаев. И написана на нем банальщина: "Компьютер не делает то, что
    >вы хотите, чтобы он сделал. Компьютер делает то, что вы ему
    >говорите".

    IT отдел дибилов? Не можете сказать компьютеру чтоб он делал, то что вы хотите?


     

  • 1.18, Анонимус666 (?), 22:37, 22/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не видел еще мини-маршрутизаторов, у которых HTTP порт в WAN торчал по дефолту. Там вообще все закрыто снаружи, если никакой злобный буратина не включил. У меня логин на раутере 'root:hui', заходите люди добрые. =)
     
     
  • 2.21, vadiml (?), 23:09, 22/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Зато я видел на разных.
    Причём на одном отключить внешний без отключения внутреннего было нельзя, пришлось просто перевесить на 60080-й порт.
     
     
  • 3.29, минона (?), 00:46, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    иптэйблсом закрой.
     
     
  • 4.38, User294 (ok), 02:59, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >иптэйблсом закрой.

    В какомнить openwrt эта малварина, конечно, заработает. Правда вот только заливать ее и запускать придется самому юзеру. Ну, как обычно в общем. А у какогонить криворукого длинка ессно может хватить ума и административные ифейсы вывесить в ван. Если уж эти дубы не могли месяцами залечить баг с переполнением таблицы трекинга соединений и взвисом девайса при активном юзеже p2p то уж тем более наивно от них ожидать что они безопасные дефолты поюзают.

     
  • 4.65, XoRe (ok), 12:44, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >иптэйблсом закрой.

    На роутерах обычно нет интерфейса для правки правил иптэйблсов)
    Поэтому остается только надеяться, что пользователь - специалист в IT и сможет накатить какой-нибудь openWRT (и что на его роутер можно накатить что-нибудь такое).
    А так как обычных пользователь не является специалистом в IT, то надеяться на это не стоит)

     
     
  • 5.75, минона (?), 16:44, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    вполне возможно.
    просто скольким уж друзьям ставил - первое дело сразу новую прошивку и файервол (обычно только проверить. если с adsl, то ещё mtu/mss)

    ps:
    заключение не утешительное.
    спасение утопающих - дело рук самих утопающих.
    и только один совет - проконсультируйтесь со специалистом. что в общем справедливо во всём.

     
  • 2.27, а.н. (?), 00:13, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    проскань любого крупного провa adsl и увидишь. дальше: 1234 без усернаме - зюхеля. admin:admin - длинк и бредоком.

    разработка только lkm с минимумом юзерспейса бабло доставляет весьма неиллюзорное.

     
     
  • 3.39, User294 (ok), 03:02, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Блин, нынче полно дятлов с названиями вайфай сети вида default или подобных. Ессно это LAN уже и административный пароль там тоже ессно дефолтный, как правило admin:admin :). Я таким честно меняю название вайфай сети на что-нибудь забавное и ироничное. Чтобы дятлы наконец задумались о том что вывешивают свою железку всем желающим.
     
     
  • 4.55, anesth (ok), 09:40, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ага:) +1
    На днях прошёлся пешком. Всего одну остановку. Три из пяти насканенных смартфоном точек меня пустили и в сеть, и в админку. SSID, истессна, а-ля default, dlink, broadcom...
     
  • 3.77, Аноним (-), 20:53, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    lkm rootkit'ы имеются в виду что ли?? мне не верится что кто отдаст за это бабки

     
  • 2.28, ононимуз (?), 00:43, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тебя можно сводить на сайт с XSS и браузер сотворит чудо в ифрейме 1х1 пиксель.
    Пару раз, зная конкретный adls-модем, я включал людям телнет и разрешал его наружу.
     
     
  • 3.40, Анонимус666 (?), 03:21, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Тоже верно, но на каждую хитрую... забыл сказать, что у меня вэб доступа нет, только ssh на маршрутизаторе. Но больше не буду рассказывать про свой раутер, а то очень умные тут хаксоры собрались =)
     
  • 2.66, 1 (??), 13:36, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    asus wl500 gp v2 - хтпп с формой для логина в устройство открыто по дефолту во внешнюю сеть.
     
  • 2.95, Анон (?), 16:46, 28/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >не видел еще мини-маршрутизаторов, у которых HTTP порт в WAN торчал по
    >дефолту. Там вообще все закрыто снаружи, если никакой злобный буратина не
    >включил. У меня логин на раутере 'root:hui', заходите люди добрые. =)
    >

    По отчетам denyhost на моем домашнем сервере, именно такого рода сочетания пробиваются в первую очередь. Так что настоятельно рекомендую вам проверить свои логи по трафику.

     

  • 1.30, sfstudio (ok), 01:22, 23/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Psybot червь "Чак Норрис" поражает устройства на базе архитектуры MIPS, снабженные прошивками, основанными на Linux (Psybot поддерживал прошивки на базе проектов OpenWRT и DD-WRT)

    Ох как я раз за ребят из *WRT =))) Кстати. Этот червь тоже LE only ? =) Т.е. криволтэки могут спать спокойно?

    Да да. А ещё некоторые мегамаршрутизатры (намекаю в т.ч. на *WRT) не в состоянии пересчитать некоторые вещи типа ключей при резете и юзают JFSS для хранения rw части фирмвари. Куда нам до такого, всё для юзера/червей даже fs save говорить не нуно, записался, сунулся в rc.local и счастлив =)))

    А пароли на админку эт да, в связи с поголовным овантузятиванием никто не меняет, но кто ж заставляет по дефолту в таких прошивках открывать доступ с WAN к telnet/ssh/web ?

    Ну не верю я что быдлоюзер неосиливший сменить пароль будет в RA менять режимы доступа извне.

    Т.е. тут проблема комплексная:
    1) черезчур увлеклись унификацией
    2) кнопка кайф в *WRT до добра не доведёт
    3) отсустввие банальных механизмов для регенерации ключей сводит на нет всю защиту если вдруг открыт ssh во вне ибо подбор упрощается и значительно ну и плюс зачастую разрешённая 1 версия ssh на таких роутерех вместе с телнетом даже без банального rate limit убьёт остатки безопасности
    4) криворукие юзеры не меняющие паролей

    И всё это только вершина айсберга. Кто там грил о том что *WRT интерпрайз? Получайте! =)))

    Именно по этому на вопрос о том зачем была создана Wive-RTNL для чипов Ralink мой ответ был прост: "Я не разделяю их менения о том как должен выглядить софт для маршрутизаторов".

    Можете закидать меня какашками, но это моё мнение.

     
     
  • 2.31, sfstudio (ok), 01:29, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    P.S. Я лично убеждаю производителя на которого работаю о том что 15сек на обновление ключей и UUID при первой загрузке не то время чтобы плевать на безопасность.
     
  • 2.36, User294 (ok), 02:53, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вы попробуйте для начала затроянить OpenWRT в реальных боевых условиях - расск... большой текст свёрнут, показать
     
     
  • 3.60, sfstudio (ok), 12:11, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Пробовал под RT305 DD-WRT мягко сказать стошнило от перегруженного интерфеса в ... большой текст свёрнут, показать
     
     
  • 4.61, sfstudio (ok), 12:21, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>А вы попробуйте для начала затроянить OpenWRT в реальных боевых условиях -
    >>расскажете потом как получилось :).

    Сорри, слово затроянить как-то при чтении превратилось в затестить =)

     
  • 4.86, User294 (ok), 21:32, 24/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Если честно в этом месте контекст переключается в user mode как юзер я не особ... большой текст свёрнут, показать
     
     
  • 5.92, sfstudio (ok), 16:14, 25/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В общем резюмируюя всё сказанное: "На вкус и цвет все карандаши разные/одинаковые(по вкусу)".
     

  • 1.41, Zenitur (?), 03:33, 23/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Можно подробное руководство, как диагностировать и решить проблему?
    Прошлая решалась просто закрытием порта, если он открыт миру, либо смена пароля с admin на более сложный.
    Обнаруживался червь при помощи телнета и файлик с определённым зазванием был.
    Всё просто и понятно.
    А как теперь?
     
     
  • 2.43, Piter_Ring (ok), 04:38, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    перепрошивкой 100% поможет,
    надолго ли :)
     
     
  • 3.48, Zenitur (?), 08:33, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подробнее - где лежат исправленные прошивки и как лучше перепрошивать?
    У меня у самого ZyXEL, но я помогаю многим друзьям в компьютерном плане.
     
     
  • 4.53, минона (?), 09:24, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    издеваетесь? что значит "исправленные" прошивки?
    они и так все правильные. просто у них дефолтные настройки уж очень хаксор-фрэндли.
    измените эти настройки и всё.
    а если есть подозрение, что бот уже там, то просто перезалейте прошивку и потом уже измените настройки/пароли/явки.
    зы:
    если у вас не заперта дверь и надпись на ней "не_заперто", то это не значит, что железо - очень мягкий металл.
     
  • 2.81, Карбофос (ok), 22:26, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    лучше всего написать патч-скрипт для фирмвари:
    1. разбираем фирмварь на составляющие: хедер, чексумма, основной кусок
    2. монтируем основной кусок как файл-имидж
    3. проводим патч
    4. демонтируем
    5. собираем фирмарь

    после автопатча можно делать апдейт системы.

     
  • 2.87, User294 (ok), 21:48, 24/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Можно подробное руководство, как диагностировать и решить проблему?

    1) Взять в руки сканер портов.
    2) Посканить WAN железки.
    3) Представить себе "а что если я хакер который хочет туда вломиться?" и попробовать это сделать :). Памятуя о дефолтных настройках и активно их юзая. Если получилось - опаньки. Ищем где отключить западлостроение или как сменить пароль.

    Наиболее очевидные пути вламывания:
    1) Web-face.
    2) Телнет
    3) SSH

    Для начала нормальные производители не должны бы ничего из этого по дефолту без явного хотения юзера вывешивать в WAN вообще. Так, на всякий. А если все-таки вывешивают, тогда должны заботиться о том чтобы юзер поменял пароль или же чтобы дефолтный пароль был рандомный, например. Иначе вот так вот на халяву будут иметь. Это не столько дыра в прошивке сколько откровенно слабые дефолты.

     

  • 1.44, Аноним (-), 06:15, 23/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Недавно купил DIR-300. Подефолту капча на странице авторизации.
     
     
  • 2.67, аноним (?), 13:38, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Те же спецы, что сломали длинки, еще в прошлом году показали, что эту капчу малварь может автоматизированно вводить  вообще она на нее пчихать хотела.
     
  • 2.90, User294 (ok), 22:09, 24/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Недавно купил DIR-300. Подефолту капча на странице авторизации.

    Т.е. если вдруг мини-шелбокс придется по душе живому хацкеру, он в своем праве его порутать чтоли? oO

     

  • 1.52, konwin (?), 09:16, 23/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    DIR-655 - по умолчанию снаружи не админится.
     
     
  • 2.88, User294 (ok), 21:49, 24/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А если бы и админился, толку было бы фиг. Думаете кто-то станет писать шеллкод специально для той самопальной системы которая там воткнута? А зачем хаксорам этот крап?
     

  • 1.54, _Vitaly_ (ok), 09:26, 23/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ждем ботнетов из рекламных табло.
     
  • 1.62, Андрей Гангстович (?), 12:28, 23/02/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я живу нахожусь в Чехии 8 лет и особого внимания среди специалистов эта новость не получила, судя по обсуждениям на разных форумах, это был простой брутфорс к админкам. И на архитектуре MIPS совершенно не зависит. Новость слишком преувеличена а раздута
     
     
  • 2.72, Аноним (-), 15:24, 23/02/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Я живу нахожусь в Чехии 8 лет и особого внимания среди специалистов
    >эта новость не получила, судя по обсуждениям на разных форумах, это
    >был простой брутфорс к админкам. И на архитектуре MIPS совершенно не
    >зависит. Новость слишком преувеличена а раздута

    Биарник червя собран под MIPS и работает только в Linux, поэтому данный конкретный ботнет очень даже зависит от MIPS и Linux. Когда запустят в свободное плавание самораспространяющегося универсального червя, тогда и будем говорить про другие платформы.

     
     
  • 3.93, User294 (ok), 19:27, 25/02/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по спаму в аську с предложением скачать себя любимую (а точнее, банального троянца на жабе) - уже запустили и не вчера. Ну а те кто купились - спамят остальным. В итоге это псевдосамоходное кроссплатформенное троянское ПО уже несколько подзабодало, пришлось включить в кутиме антиспамного бота.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру