The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Новые сведения о вредоносном ПО VPNFilter, поражающем домашние маршрутизаторы

07.06.2018 10:59

Стали известны дополнительные подробности о вредоносном ПО VPNFilter, поразившем более 500 тысяч домашних маршрутизаторов. Кроме атак на устройства производства Linksys, MikroTik, Netgear, TP-Link и QNAP факты компрометации также выявлены в различных моделях маршрутизаторов и беспроводных точек ASUS, D-Link, Huawei, Ubiquiti, UPVEL и ZTE (общий список вовлечённых в атаку моделей увеличился с 16 до 72). По новым данным образованный вредоносным ПО VPNFilter ботнет может включать на 200 тысяч устройств больше, чем предполагалось изначально.

Помимо модулей для анализа трафика и обращения к управляющему серверу через Tor выявлено два новых модуля-плагина, подгружаемых вредоносным ПО для проведения определённых видов атак:

  • ssler - модуль для проведения MITM-атак по перехвату и модификации незащищённого web-трафика, проходящего через 80 сетевой порт. Модуль может прикреплять к web-страницам JavaScript-код для эксплуатации уязвимостей в браузерах и сохранять фигурирующие в запросах пароли и идентификаторы сеансов, а также отслеживать обращение к сайтам, подобным accounts.google.com.

    Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP, а также вычищает в заголовке Accept-Encoding данные о поддержке gzip-сжатия. Подмена приводит к тому, что клиент начинает обращаться к https-ресурсам по http:// без шифрования. Для сайтов google.com, twitter.com, facebook.com и youtube.com, которые поддерживают только HTTPS, незашифрованные HTTP-запросы клиента транcлируются в исходящие запросы HTTPS;

  • dstr (device destruction) - модуль для перезаписи файлов прошивок, который повреждает прошивку для приведения устройств к невозможности загрузки (для восстановления требуется перепрошивка с использованием специального оборудования). Модуль вначале пытается удалить файлы и процессы, связанные с VPNFilter, после чего инициирует операцию очистки Flash через заполнение файлов-устройств /dev/mtdX значением 0xFF, а затем выполнение команды "rm -rf /*" для удаления данных в оставшихся ФС.

Обновлённый список оборудования, которое поражает VPNFilter:

  • Asus RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, RT-N66U;
  • D-Link DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, DSR-1000N;
  • Huawei HG8245;
  • Linksys E1200, E2500, E3000, E3200, E4200, RV082, WRVS4400N;
  • Mikrotik CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, STX5;
  • Netgear DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, UTM50;
  • QNAP TS251, TS439 Pro и другие модели на базе ПО QTS;
  • TP-Link R600VPN, TL-WR741ND, TL-WR841N;
  • Ubiquiti NSM2 и PBE M5;
  • Upvel (конкретные модели не сообщаются)
  • ZTE ZXHN H108N.

Пользователям отмеченных устройств рекомендуется как минимум перезагрузить устройство, но данное действие приведёт лишь к временной деактивации основного компонента вредоносного ПО, так как код загрузчика VPNFilter интегрируется в прошивку и не удаляется после перезагрузки. Правоохранительные органы проделали работу по блокировке серверов для автоматической загрузки основной части VPNFilter, но в загрузчике вредоносного ПО остаётся возможность пассивного отслеживания в трафике специальных пакетов с данными о новом хосте для подключения.

В некоторых моделях устройств можно избавиться от загрузчика вредоносного ПО через сброс к заводским настройкам (следует удерживать кнопку на задней панели от 5 до 10 секунд). Желательной мерой является обновление прошивки, а также установка надёжного пароля, отключение дополнительных протоколов удалённого управления и ограничение внешнего доступа к устройству и его web-интерфейсу. Пока до конца не выяснено, используются для распространения VPNFilter только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация неизвестных 0-day уязвимостей (в этом случае обновление прошивки не защищает от повторной атаки).

Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.

  1. Главная ссылка к новости (https://blog.talosintelligence...)
  2. OpenNews: Вредоносное ПО VPNFilter поразило более 500 тысяч домашних маршрутизаторов
  3. OpenNews: Волна атак на клиентские маршрутизаторы
  4. OpenNews: В маршрутизаторах Netgear выявлена уязвимость, позволяющая узнать пароль входа
  5. OpenNews: Сведения об инструментарии ЦРУ для захвата управления SOHO-маршрутизаторами
  6. OpenNews: Уязвимости в маршрутизаторах GPON, которые уже используются для создания ботнета
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/48732-vpnfilter
Ключевые слова: vpnfilter, router, botnet, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (97) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 12:29, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –7 +/
    Ха, у меня D-Link настолько хреновый, что мне не страшны страшные-ужасные вирусы: его и так регулярно где-то раз в месяц приходится перезагружать из-за того, что он начинает тупить даже в домашне-бытовой эксплуатации.
     
     
  • 2.34, Аноним (-), 15:15, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +24 +/
    > Ха, у меня D-Link настолько хреновый, что мне не страшны страшные-ужасные вирусы:
    > его и так регулярно где-то раз в месяц приходится перезагружать из-за
    > того, что он начинает тупить даже в домашне-бытовой эксплуатации.

    Т.е. ты только что сам признал, что не можешь даже настроить себе нормальный роутер, хотя на опеннете имеешь ценное, экспертное к любой новости?

     
     
  • 3.44, нах (?), 15:32, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    "имею возможность завести козу, не имею желания"

    купить он "нормальный" себе не может, только и всего...
    У меня вон почти нормальный - подсунутый оператором (не ethernet, поэтому замене не подлежит). Ну виснет, и, вероятнее всего, еще и ломается. Не этим ботнетом, так другим (не верю я, что такие - надежны). И чо? От того что я умею настаивать операторские сети, этой китайской штуковине не жарко и не холодно.

     
     
  • 4.56, Аноним (-), 16:53, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Я настоял, что будет мой собственный роутер. Мартышки, тянувшие сеть малость покобенились, но услышав, что я собираюсь передумать и воспользоваться услугами другого прова, сразу на все согласились, и даже листок, где были довольно толково расписаны все настройки, мне дали. А тебя похоже развели, как лоха позорного.
     
     
  • 5.71, Sinot (ok), 19:18, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ага, особенно когда это единственный провайдер в радиусе 200 км.

    Ну и конечно "очень выгодные и качественные" мобильные решения.

     
  • 5.80, нах (?), 20:07, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я настоял, что будет мой собственный роутер.

    где ты собираешься взять "собственый роутер", к примеру, gpon, и сколько, кстати, такой стоит твоих денег?

    я, конечно, могу перевести свой в bridge (на самом деле редкий случай, мои оgpon'еные соседи лишены такой возможности), и, не забывая ежемесячно отстегивать за аренду, купить на свои еще один с тем же набором функционала (из линукс-еще-не-готовых-десктопов плохо получаются wifi-точки, особенно на приличные скорости и еще с разделением гостевого/изолированного сегментов) - то есть это все можно, но лично я эти деньги и время найду куда деть.

     
     
  • 6.84, НяшМяш (ok), 20:41, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ещё во времена ADSL так делал - модем в режиме овощного бриджа на дозвоне и после него уже стоит роутер, который и занимается конкретно маршрутизацией. Ибо почему-то убогий вифи в модем засунуть догадались, а железа засунуть, чтобы нормально нат на 3 компа держать - нет.
     
  • 6.110, мдауш (?), 15:41, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    есть же гпон конвертер без какой либо умной прошивки, маршрутизатора, тупо бридж по сути. стоят не дорого.
    мне собственно такой и ставили, с вопросом вам тупо конвертер или маршрутизатор.
     
     
  • 7.111, нах (?), 16:10, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    повезло. Моим соседям от мгтс выбора не перепало, что прибили над дверью, то и жрите (у меня самого не gpon, бридж там в принципе добываем, но жалко - игрушка недешевая, умеет довольно много полезного, и в целом, если б не висла раз в неделю-две, была бы вполне хороша. Разумеется, по другую сторону ее портов нет никакого коммунизма, а есть файрволы на всем что в нее втыкается или получает к ней доступ иным путем. Поэтому пусть у провайдера голова болит о том, как ее обновлять или прикрывать в случае чего.)

     
  • 4.59, freehck (ok), 17:23, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > купить он "нормальный" себе не может, только и всего...

    Единственно верное нормальное решение, которое работает 100% и никогда не ложится -- это кабель, воткнутый непосредственно в рабочий комп. Не встречал домашних роутеров, которые бы не висли и держали бы нагрузку. Так что вафлю мои домашние с системника получают.

     
     
  • 5.73, RudW0lf (?), 19:28, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Вы видимо microtik не пробовали
     
     
  • 6.79, пох (?), 19:57, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я пробовал. Послушал сказы о том, как прекрасно все у них работает, кроме вот только иногда...правильно, виснет, потом посмотрел сам - и не стал в этом месте работать.

    Ограничился дачей советов с безопасного расстояния.

     
  • 6.85, НяшМяш (ok), 20:53, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У меня сейчас 750gr3 дома. Железка отличная - 2 ядра 4 потока, 256 ОЗУ. L2TP тянет, маршрутизирует, блокировки обходит - вообще мечта. Но вот понадобилось мне Shadowsocks сделать - а в роутере нет поддержки. Прочитал про костыль Metarouter, подумал, что подниму OpenWRT с Shadowsocks в нём. А потом увидел, что Metarouter на моей модели не поддерживается. Конечно можно перешить сам роутер на OpenWRT - но это надо билдить прошивку и перешивать загрузчик (а там всякие лицензии и непонятно как вернуться если что). Как-то за 3.5к деревянных хотелось бы чего-то функциональнее, чем дешманский тплинк на опенврт, которых можно пучок на косарь купить.
     
  • 5.78, Аноний (?), 19:54, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    или open-wrt/dd-wrt
     
  • 3.115, Отражение луны (ok), 13:05, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ох уж эти эксперты с мнением ака "оно не тормозит, вы просто что-то неправильно делаете". Выскакивают в любой теме - о роутерах, о венде, об айфончиках, ну и так далее.
    Уясните - если что-то тормозит, при этом на это "что-то" не возложено функций, для которых оно не предназначено - значит, виноват либо производитель, либо устройство тупо повреждено.
     
     
  • 4.117, Аноним (-), 15:31, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ох уж эти Астахалы инкогнито, с их особо ценным мнением и юлежом Выскакивают в ... большой текст свёрнут, показать
     
     
  • 5.118, Отражение луны (ok), 15:51, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Так никто и не спорит что нужно пинать.
     
  • 2.103, Аноним (-), 09:43, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > A.Stahl (ok) on 07-Июн-18, 12:29
    > Ха, у меня D-Link настолько хреновый, что мне не страшны страшные-ужасные вирусы:
    > его и так регулярно где-то раз в месяц приходится перезагружать из-за
    > того, что он начинает тупить даже в домашне-бытовой эксплуатации.

    Так и отметим - A.Stahl тупой неосилятор. Неосилил D-Link или купить что-то получше и прошить OpenWRT

    Теперь мы знаем "ценность" твоих комментариев.

     
     
  • 3.116, Отражение луны (ok), 13:09, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не все хотят иметь на роутере велосипеды от очередного Дениски, у которого вообще хрен знает как с безопасностью. Стандартные прошивки проходят аудит. Хреново проходят, конечно, но все же лучше чем ничего.
     

  • 1.2, Аноним (-), 12:32, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мой RT-N66U вошел в список, придется проверить.
     
     
  • 2.26, Аноним (-), 14:35, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    DD-WRT его полностью поддерживает, а в OpenWRT не работает диапазон 5 ГГц (раньше так указывалось на сайте, сейчас - не знаю).
     
     
  • 3.57, осцилунограф (?), 16:54, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Но там Asus-WRT по-умолчанию.
    > а в OpenWRT не работает диапазон 5 ГГц

    Ну, это как обычно. Услышав слово "open" сразу приготовьтесь к тому, что половина функционала пойдёт лесом.

     
     
  • 4.62, Аноним (-), 17:33, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Услышав слово "open" сразу приготовьтесь к тому, что половина функционала пойдёт лесом.

    Ага, а смотря на всё от вендора - видишь спёртый 10 лет назад самый онный Open* из которого кривыми китайскими ручками сделали ${chipsetvendorname}_SDK_цифри_версии и на основе которого другие китайские ручки по китайским мануалам от ${chipsetvendorname} клепают наипрямейшие прошивки. Для VPNfilter.
    Как показательно - ни OpenWrt/LEDE/DD-WRT и подобных в списке нет.

     
     
  • 5.87, осцилунограф (?), 21:27, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем нам с вами спорить, товарищ? Сидите со своей свободой, но без 5 Ghz. А я так подозреваю, что вам эти 5 Ghz и незачем.
     

  • 1.3, Аноним (-), 12:36, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как заражение происходит?
     
     
  • 2.4, Аноним (-), 12:40, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Предполагают, что через старые уязвимости на устройствах с необновлёнными прошивками, а также через неизвестные 0-day уязвимости.
     
  • 2.17, Аноним (-), 13:42, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    проникает по дефолтным/простым паролям через телнет/вебморду. потом судя по всему, это гоуно заливает зараженную прошивку для данного типа роутера.
     
  • 2.20, Аноне (?), 14:07, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    admin:admin
     
     
  • 3.23, Аноним (-), 14:21, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    2/3 на опеннете оптимисты, 1/3 параноики, но все они теоретики =)
     

  • 1.5, Ivan_83 (ok), 12:54, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    "Модуль непосредственно не поддерживает анализ HTTPS, но заменяет в проходящих через него незашифрованных web-страницах, запросах и HTTP-заголовке Location все ссылки "https://" на " http://", вырезает заголовки CSP" - класс!
    Давно думал как дома централизованно можно что то делать типа как делал проксимитрон, но всегда был облом с https.
    Осталось только очередной хитрый конфиг для nginx сделать.
     
     
  • 2.39, 1 (??), 15:19, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не поможет для сайтов с HSTS Preload, а их довольно много.
     
     
  • 3.112, Ivan_83 (ok), 16:35, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Отрезать Strict-Transport-Security, а для тех кто в списке - да и фик с ними.
     
     
  • 4.119, нах (?), 16:41, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а вот, кстати, стесняюсь спросить - этот список он куда-то в потроха браузера прибит гвоздем, или оно его наивно скачивает с гугля каждый раз?

     

  • 1.10, Айран (?), 13:15, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на большую часть устройств прошивки уже несколько лет как не обновляются
     
     
  • 2.41, Andrey Mitrofanov (?), 15:25, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > на большую часть устройств прошивки *никогда* не обновляются

    //не благодари

     

  • 1.16, Аноним (-), 13:34, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    судя по device destruction, производители роутеров потирают руки. хотя конечно, варварство еще то.
     
  • 1.18, corvuscor (ok), 13:49, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такс, если асусы rt-серии подвержены, не значит ли это, что устройств с прошивками Padavan это тоже коснется?
     
     
  • 2.19, anonymous (??), 13:58, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Это лучше спрашивать на форуме https://forum.ixbt.com/topic.cgi?id=14:64851-42 или смотреть https://bitbucket.org/padavan/rt-n56u/
     

  • 1.21, ryoken (ok), 14:14, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Netgear
    > WNDR4300

    Мне насторожиться или можно расслабиться? На 2х девайсах живёт LEDE 17.04, со своими паролями. Да и SSH\web внутрь локалки только завёрнут.

     
  • 1.22, Аноним (-), 14:20, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >>Проверка наличия вредоносного ПО в устройстве проблематична, так как VPNFilter может находиться в пассивном режиме и никак не проявлять себя. В качестве действенной меры определения VPNFilter упоминается сохранение дампа текущей прошивки и сравнение контрольной суммы с эталонным вариантом от производителя, но данный метод слишком сложен для рядовых пользователей. Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.

    А как примонтировать маршрутизатор, чтобы посмотреть прошивку?

     
     
  • 2.24, ryoken (ok), 14:29, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А как примонтировать маршрутизатор, чтобы посмотреть прошивку?

    Telnet\SSH в помощь :D.

     
  • 2.25, koblin (ok), 14:30, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    обычно там есть telnet или ssh
     
     
  • 3.49, Аноним (-), 15:58, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > обычно там есть telnet или ssh

    telnet отлично брутфорсить

     
     
  • 4.52, Crazy Alex (ok), 16:07, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так не выставляй наружу
     
  • 2.42, Andrey Mitrofanov (?), 15:27, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>>Также возможен разбор начинки прошивки: о наличии вредоносного ПО в системе может указывать наличие файлов/каталогов /var/run/vpnfilter, /var/tmp/client.key, /tmp/client.key, /etc/init/security, /etc/loader/init.x3, /etc/devel-login или /etc/loader/.
    > А как примонтировать маршрутизатор, чтобы посмотреть прошивку?

    # mount ./файл_дампа.бин  dir/  -o loop,offset=NNNN

     
     
  • 3.46, нах (?), 15:39, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > # mount ./файл_дампа.бин  dir/  -o loop,offset=NNNN

    wrong fs type, bad option, bad superblock on /dev/loop0, missing codepage or helper program, or other error.

    ты настолько не в теме, что не знаешь что большинство производителей китайского гуана шифруют прошивки?

     

  • 1.31, Аноним (31), 15:01, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подтверждаю, на собственном опыте, приходилось все такие манипуляции с роутером проводить. Есть подозрения, что вредонос функционирует не сам посебе, а есть сеть вредоносов для разных устройств...
     
  • 1.36, Аноним (-), 15:17, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    UPnP нужно закрывать как и webui с cgi дырами.
     
     
  • 2.37, Аноним (-), 15:17, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    DNS встроенный в ротер тоже дырка!
     
     
  • 3.50, iPony (?), 16:00, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё Samba бывает
     
  • 2.53, Аноним (-), 16:14, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    UPnP вообще вырубать, это архитектурная дыра.
     

  • 1.38, Адекват (ok), 15:18, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    просто закрыть все порты извне для доступа в роутер
     
     
  • 2.43, Нанобот (ok), 15:29, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Для того, чтобы закрыть все порты, нужно предварительно открыть все порты
     
  • 2.47, оператор (?), 15:43, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    я могу их тебе закрыть, но ты ж вонь поднимешь... "цензура" "они за нас решают, какими троянами нам заражаться" "хотим полный доступ к...ой, наоборот - интернета к нашему холодильнику".

    А закрыть что-то на самой коробочке можно лишь в той мере, в которой об этом подумал китайский производитель. А ему думать некогда, у них лимит на одного ребенка отменили.

     
     
  • 3.106, Анонимный Алкоголик (??), 11:30, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > я могу их тебе закрыть
    > А закрыть что-то на самой коробочке можно лишь в той мере

    Де била кусок

     

  • 1.55, Аноним (-), 16:49, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На OpenWRT перейти, что ли? Пока мой не в списке...
     
     
  • 2.70, ryoken (ok), 18:57, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > На OpenWRT перейти, что ли? Пока мой не в списке...

    Это вообще первое, что должно быть в списке после покупки роутера. Если на купленный роутер не ставится OpenWRT\LEDE - внимательно изучаем OpenWRT HCL, сдаём предмет в то сельпо, откуда оно родом.

     

  • 1.58, Аноним (-), 17:15, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как вредонос попадает в прошивку, если весь доступ извне закрыт? Пароли не дефолтные, да и если дефолтные, до для доступа изнутри
     
     
  • 2.68, Аноним (-), 18:23, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    В роутеры и NAS внедряют всякие службы облачного доступа от вендора, вот через сайты вендора и прогружают пейлоадеры
     

  • 1.60, kiwinix (?), 17:24, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я чёт не понял, если у меня ,openwrt, мне спать спокойно?
     
  • 1.63, Baz (?), 17:52, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    прочитав эти новости решил проверить работу своего TP-Link WR842ND на прошивке OpenWRT. )))
     
  • 1.64, Аноняшка (?), 17:55, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новость заказана сообществом OpenWRT, и проплачена,- проплачена открытками с видом на Столлмана)) (шутка)
    А серьезно, каким нада быть идиотом, чтобы не снести дефолтную прошивку в первый же свободный вечер, - хотя бы из скуки?))
     
     
  • 2.65, Baz (?), 18:02, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    наверное тем кто "настроил, оно работает и я забил"
     
     
  • 3.72, Аноним (-), 19:19, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Повезло, у меня вообще не один роутер нормально на стоке не работал, а некоторые требовали периодических ребутов. Однажды выбрал по wiki openwrt поддерживаемое устройство и даже не разбираясь со оригинальной прошивкой накатил openwrt, работает 24/7, аптаймы по пол года, может и год было бы если бы не электричество. Openwrt конечно не панацея, помню один роутер которому даже свободная прошивка не помогла, наверное ошибка была в блобах.
     
  • 3.74, Аноним (-), 19:29, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скачал прошивку, обновил, включил Wi-Fi и установил к нему пароль. Больше тебе ничего делать не нужно.
     
  • 2.67, kiwinix (?), 18:03, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Что лучше? Не работающий маршрутизатор, или маршрутизатор с вирусняком?))
     
     
  • 3.77, Аноним (-), 19:47, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучше подключить ПК напрямую если не винда.
     
     
  • 4.107, Аноним (-), 12:21, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Лучше подключить ПК напрямую если не винда.

    А второго ПК, планшета или телефона у тебя нет? Или ты им WiFi с компа раздавать будешь? И бояться его выключить или перезагрузить тогда?

     
     
  • 5.121, Аноним (-), 19:21, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а че такого? втыкнул вифи свисток, запустил hostapd -> профит!!!
     
  • 2.69, Crazy Alex (ok), 18:37, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Надо быть обычным хоме юзером, разумеется. В остальном - ещё не видел устройств сложнее стиралки, где родная прошивка не была бы полной лажей. Да и со стиралками сомнительно.
     
     
  • 3.81, нах (?), 20:11, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Надо быть обычным хоме юзером, разумеется. В остальном - ещё не видел
    > устройств сложнее стиралки, где родная прошивка не была бы полной лажей.
    > Да и со стиралками сомнительно.

    со стиралками, свчпечками и кофеварками все максимально отвратительно.
    Но... я дома хочу стирать, жрать и пить кофий, а не станки-станки-станки, мне их на работе достаточно.

    поэтому закатывать солнце вручную, продираясь через глюки, баги, и блобы без которых все равно ничего толком не работает, мне неинтересно совершенно, даже там, где такая возможность есть.


     
     
  • 4.83, Crazy Alex (ok), 20:21, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, вопрос вкуса. Как по мне - делается раз в несколько лет, а крови экономит много. С другой стороны - для меня это не совсем уж станки - я хоть и сисадминил в прошлом чуток много лет как только код пишу. Я о роутерах, если что - со стиралкой я бы поковырялся с удовольствием при возможности, но там это сильно более проблемно.

    Я вообще о другом говорил - о том, что нелепо ожидать, что "простой пользователь" будет что-то перешивать. У них, блин, даже на ноутбуках обычно дефолтная винда, загаженная тонной какого-то мусора от производителя, живёт - какие там роутеры.

     
     
  • 5.99, ryoken (ok), 07:31, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я вообще о другом говорил - о том, что нелепо ожидать, что
    > "простой пользователь" будет что-то перешивать. У них, блин, даже на ноутбуках
    > обычно дефолтная винда, загаженная тонной какого-то мусора от производителя, живёт -
    > какие там роутеры.

    Когда уже введут права на работу на выч.тех....

     
     
  • 6.105, Crazy Alex (ok), 11:29, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее "когда у же будут хорошо и вовремя массово учить думать". Проблема-то в том, что людям это либо тяжело, либо кажется, что тяжело.

    А вот эта рефлекторная реакция у многих "давайте запретим/заставим" вообще-то здорово утомила. Блин, человек имеет право быть кем угодно и делать что угодно, пока это не затрагивает кого-то ещё. А когда затрагивает - регулировать надо именно взаимодействие, а не что попало. Если ты в своём (частном) дворе, напившись, ездишь кругами, руля одной ногой - твоё дело. Лишь бы на дороги общего пользования не лез.

     

  • 1.75, Аноним (-), 19:31, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я думаю, моему д-линку DIR-100 эти страшилки не грозят.. Это настолько древнемамонтовое г-но, что никакие ВПН-ны там при всем желании не поднять..
     
     
  • 2.76, Аноним (-), 19:41, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ахах, тоже самое только тп-линк
     
  • 2.82, нах (?), 20:13, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я думаю, моему д-линку DIR-100 эти страшилки не грозят.. Это настолько древнемамонтовое
    > г-но, что никакие ВПН-ны там при всем желании не поднять..

    рот (порт) есть? Значит, берет!

    (я из своего, с горя, свитч сделал. И хотя управление выведено в отдельный порт, физический, хоть и жалко, гарантий все равно никаких - прецеденты получения управления посылкой кривого ethernet фрейма бывали.)

     

  • 1.86, Аноним (-), 21:20, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На сегодняшний день ASUS уже выпустило обновление прошивки для нескольких моделей. Рекомендую проверить. У меня на обоих появился значок, что доступна новая версия. Обновился и все. Молодцы ASUS, быстро отреагировали.
     
  • 1.89, Я (??), 21:37, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    TL-WR841N
    WPS отключена
    Удаленное управление-IP-адрес удаленного управления:0.0.0.0, то есть тоже отключена, мне боятся или еще что-то можно настроить?
     
     
  • 2.93, Аноним (-), 22:09, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Все порты снаружи недоступны?
     
     
  • 3.102, Я (??), 09:06, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    нормальный онлайн сканер найти не могу все что проверял проверяют только популярные и говорит все закрыты, я так понял дело не в портах а в уязвимости какой-то в этом роутере?
     

  • 1.95, Аноним (-), 23:03, 07/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Не надо ничего бояться, надо просто думать головой А что бы голова не болела, к... большой текст свёрнут, показать
     
     
  • 2.96, Аноним (-), 23:52, 07/06/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Господи спаси от iptables и сохрани, такой рецепт попахиает 50 оттенками той самой субстанции.

    Ubuntu:
    apt install -y ufw
    systemctl enable ufw
    systemctl start ufw
    ufw default allow outgoing
    ufw default deny incoming


    RHEL/CentOS:
    yum install -y firewalld
    systemctl enable firewalld
    systemctl start firewalld

     
     
  • 3.123, ы (?), 20:52, 10/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >ufw

    Там первые буквы перепутаны. Должно быть: fu.

     
  • 2.97, ауе (?), 00:35, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему закомменчены некоторые строки?
     
     
  • 3.122, angra (ok), 01:27, 10/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Например потому, что это "магия", которую он не писал, не понимает, а только копипастит.
     
     
  • 4.129, Аноним (-), 17:04, 13/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Например потому, что это "магия", которую он не писал, не понимает, а
    > только копипастит.

    Сейчас взял и проверил:
    вставил немного измененную (убрал "минусы") строку:
    iptables t filter A "u-l-out" p tcp d freedns.afraid.org dport 80 j RETURN
    в поиск Google(ru), найден только один результат:
    https://www.opennet.dev/openforum/vsluhforumID3/114525.html?n=San%20Sanich
    Так что видимо копипаста была с оригинала. И если это рабочий вариант (очень похоже ИМХО) то, видимо ваши "примеры" здесь не подходят!

     
  • 2.101, ыы (?), 08:33, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Не надо ничего бояться, надо просто думать головой!
    > А что бы голова не болела, ко всему прочему надо ее чаще
    > тренировать, а не только в нее есть ;)

    А тот кто сходу, даже не вчитываясь в эту бессмысленную простыню покажет на ошибку - тот молодец :)

     

  • 1.98, San Sanich (?), 07:27, 08/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Для моих Tp-Link'ов (4mb) с OpenWrt (snap.) сейчас уже нельзя воспользоваться Image Builder, только make. Вырезано всё настолько сильно как в фильме "Марсианин" в корабле главного героя, кто собирал для mesh с openssl тот поймет. ) Если даже и будет какая-либо уязвимость записать что-то в прошивку  просто некуда. ))
     
  • 1.104, F (?), 10:30, 08/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Обновлённый список оборудования, которое поражает VPNFilter:

    Есть про микротик - разговор про старые прошивки, они уже год как заткнули дыру.

    Про остальные бренды, наверняка, та же оговорка.

     
  • 1.108, абв (?), 13:26, 08/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я не понял, как оно распространяется?
    Снаружи? Или только изнутри?
     
     
  • 2.109, Andrey Mitrofanov (?), 14:14, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я не понял, как оно распространяется?
    > Снаружи? Или только изнутри?

    Вам пока не ясно, что написано там наверху?

    ""  Пока неясно, используются для атаки только уже известные уязвимости, типовые пароли и оплошности в настройке или производится эксплуатация 0-day уязвимостей [...]  ""

     
     
  • 3.113, Анон123 (?), 21:35, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Но при этом люди в комментах пишут, например, про микротик, что "они уже год как заткнули дыру".
    И вопрос остаётся открытым: заражение происходит из внутренней сети или напрямую из интернета?
     
     
  • 4.114, Аноним (-), 23:51, 08/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Прежде чем узнавать откуда происходит заражение, неплохо было бы уточнить не торчит ли админка голой попой наружу. Я как-то прошёлся по 80 портам в местной городской сетке, узнал много интересного, особенно про микротики. Даже пароль не удосужились поставить.
    VPNFilter тут это можно сказать излишества, почти извращение.
    Вот Вам и путь к заражению, админка наружу без пароля.
     
     
  • 5.120, нах (?), 16:43, 09/06/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот Вам и путь к заражению, админка наружу без пароля.

    админка без пароля прекрасно сработает и изнутри - ты даже не заметишь, в погоне за очередными котиками, как твой браузер попутно в нее сходит. Заодно может пароль тебе поставить ;-)

     
     
  • 6.124, Аноним (-), 15:55, 11/06/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то нет. Современные браузеры обычно такой cross-site scripting (или linking) предотвращают.
     

  • 1.125, starper (?), 00:25, 12/06/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у меня Зухель. Вот вам всем!
    Вообще-то, уважаемые дамы и мужики, мне как-то не понравились промелькнувшие в тексте "правоохранительные органы". И что там сложного "для рядового пользователя" в дампе и сличении контрольной суммы? Когда вокруг чего-нибудь много шума и никакой ясности -- того и гляди отрежут от тебя еще кусочек, да так, что и не сразу заметишь.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру