Вирус для DD-WRT?

Post new topic   This topic is locked: you cannot edit posts or make replies.    DD-WRT Forum Index -> DD-WRT по-русски
Author Message
YuriKr
DD-WRT User


Joined: 18 Nov 2008
Posts: 275

PostPosted: Wed Mar 25, 2009 11:58    Post subject: Вирус для DD-WRT? Reply with quote
Вот что в новостях мэйл.ру написали ( http://soft.mail.ru/pressrl_page.php?id=33120 ):

Quote:
Еще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимается мониторингом IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена DDoS-атака (Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».
Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.
После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.
Подробное описание ботнета и червя «psyb0t» можно найти в блоге DroneBL.


За что купил - за то продаю, как говорится Smile
Sponsor
homyachek
DD-WRT Novice


Joined: 01 Jun 2009
Posts: 1

PostPosted: Mon Jun 01, 2009 20:02    Post subject: Reply with quote
или я забыл логин и пароль к роутеру, что маловероятно, либо у меня этот вирус...
SAlex_S
DD-WRT Novice


Joined: 04 Dec 2010
Posts: 10

PostPosted: Sun Dec 05, 2010 18:37    Post subject: Reply with quote
Слушайте, а чё все молчат?
Вирус это ведь угроза. Нужно что нибудь предпринимать. Активную или пассивную защиту. Способ лечения. Я пожалуй займусь этим вопросом. И вас призываю отписаться и поделится информацией и мнением.
AndreTM
DD-WRT User


Joined: 13 Apr 2009
Posts: 79
Location: Belozersk

PostPosted: Mon Dec 06, 2010 3:17    Post subject: Reply with quote
Quote:
...снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt)...

Особенно мне нравился перл про "защищенную зону DMZ" :)

У вас включен удаленный доступ к роутеру? И при этом все пароли по умолчанию?
Или так - вы можете стать первым пользователем, доказавшим возможность проникновения psyb0t на роутеры под управлением dd-wrt. Про проникновение на эти же роутеры под управлением фирменных прошивок я уже не говорю...
Вот слейте нам fullflash, для изучения.

А так - кто вам запрещает сделать сброс до factory default?

И раз "все молчат" - значит, тема уже просто не заслуживает внимания вообще.
SAlex_S
DD-WRT Novice


Joined: 04 Dec 2010
Posts: 10

PostPosted: Wed Dec 08, 2010 18:05    Post subject: Reply with quote
Мне обещали завтра принести на диагностику dir-300 с похожими симптомами. Посмотрим что покажет проверка.
---
Ложная тревога.


Last edited by SAlex_S on Thu May 30, 2013 6:41; edited 1 time in total
SaintReset
DD-WRT Guru


Joined: 13 Jan 2009
Posts: 1732

PostPosted: Sat Dec 11, 2010 11:44    Post subject: Reply with quote
обожаю с неквалифицированных параноидальных пациентов сбивать деньги... мож и мне заплатите?
_________________
I can change this world, but G*d doesn`t give me the source (c)
Gooooглю за деньги
realwarrior3
DD-WRT Novice


Joined: 08 May 2013
Posts: 1

PostPosted: Wed May 08, 2013 20:10    Post subject: Reply with quote
Если мне не изменяет память то по умолчанию доступ к роутерам на ДД-врт с внешки просто закрыт.
а если вы сделали проброс ДМЗ на локальную машину и вам ее поломали, и с нее уже зашли на ваш роутер, то по моему это уже должен быть тяжелый случай Smile
SAlex_S
DD-WRT Novice


Joined: 04 Dec 2010
Posts: 10

PostPosted: Thu May 30, 2013 6:47    Post subject: Reply with quote
Вчера обнаружил, что весь роутер заражен вирусом. Вероятно для win ОС, проник на роутер 100% не через комп. Вероятно через планшет, ну и немного процентов, что через сам роутер. Очень удивлен, ведь, доверенной зоны у меня нет, а на планшете антивирус. Но подобным продуктам я не доверяю.
Yarik
DD-WRT Novice


Joined: 10 Oct 2014
Posts: 1

PostPosted: Sat Oct 11, 2014 10:41    Post subject: Reply with quote
И мой роутер TP-Link WDR4900 заразили.
Только вчера принес, залил dd-wrt, настроил.
А утром прихожу, не вооруженным взглядом видно - роутер заражен! Подозреваю, что через мышку.
Простите за стёб.

Попробуем потеоретизировать. Я не хакер, потому могу не все способоы взлома придумать, просто нет такого опыта, но я попробую.

1. Bruteforce - подбор пароля. Способо взлома, описанный в статье.
Теоретически возможный способ. Практически на всех сервера замечаю попытки подбора паролей. Чаще всего лечится простой сменой стандартного пароля для служб.
Телнет отключить для внешнего использования. Даже для внутреннего не вижу в нем смысла. Уже лет 25 его не особо используют т.к. пароль передается в открытом виде и его возможно перехватить, надо использовать только ssh.
Кстати, для ssh есть еще и защита от Bruteforce и DoS:
Security -> Firewall -> Limit SSH Access
При каких условиях высока вероятность взлома роутера снаружи с использованием брутфорса:
1.1. Открыт SSH для входа через WAN с любого адреса;
1.2. Пароль является простым.
Что необходимо выполнить для защиты с высокой вероятностью от данного способа взлома:
1.3. Либо закрыть SSH для входа через WAN, либо указать адреса, с которых вход разрешен.
1.4. Установить сложный пароль, в котором должны быть хотя бы и маленькие, и большие буквы + цифры. Желательно добавить еще какие-нибудь символы: точки, запятые, скобки итд итп.
1.5. Закрыть telnet.

2. Windows Trojan. Более, чем вероятный способ.
Методика очень распространенная. Достаточно большой процент пользователей использует рабочие станции под управлением MS Windows.
Именно эта операционная система наиболее подверженна заражению вирусом.
Антивирус, пусть даже самый дорогой в мире, не является 100% гарантией защиты от вирусов, т.к. вирусы разрабатываются раньше, чем создают от них защиту.
Итак, мы выяснили, что Ваш компьютер может быть заражен. В этом случае все Ваши пароли могут стать достоянием владельца этого вируса.
Если среди этих паролей, пароль от пользователя root Вашего роутера, для злоумышленника остается только использовать его.
И для этого не обязательно, что бы был открыт внешний вход, все можно сделать через Ваш зараженный компьютер.
Первый раз злоумышленник вручную через вирус на компьютере получает доступ к роутеру и внедряет сервис, который будет слушать и выполнять его внешние команды.
Потом он составляет список автоматических действий для вируса на компьютерах, что бы в случае обнаружения прошивок dd-wrt, автоматически внедрялся сервис на роутер.

3. Вирус на мобильных гаджетах. Здесь я не на столько хорошо знаю проблему взлома, но из-за участившихся случаев заражения систем под управлением известных мобильных ОС,
могу предположить вариант развития событий, описанный в п.2.

Для защиты от методов, описанных в п.п. 2 и 3 необходимо иметь на ОС установленный антивирус с актуальной базой сигнатур вирусов. И то, как упоминал ранее, это не 100% гарантия защиты.
Идеальной защитой может быть только запуск системы с чистого носителя. Берете или загрузочную флешку, или загрузочный СД/ДВД-диск, желательно с ОС linux/unix с браузером, загружаетесь и вносите необходимые изменения на роутере. Если вносить изменения приходится не чаще раза в пол года, то можно и до такой степени паранои дойти. :)
Считаю, что было бы лучше, если бы по SSH нельзя было зайти под пользователем root, как это сделано в нормальных системах: сначала вход осуществляется под обычным пользователем, без прав, потом с паролем получаются права суперпользователя. Если неправильно введен пароль суперпользователя, сразу отправляется сообщение о неудачной попытке получения полных прав.
Ну как-то так. Если что-то не правильно написал, поправляйте. Я только несколько часов назад впервые увидел и поставил эту прошивку(вчера только роутер преобрел) и могу далеко не все о ней знать.

P.S. Подозреваю, что скоро будут такие продвинутые мышки для энтузиастов, на которых будет установлен линукс, тогда через них реально будет взломать роутер. :))))))))
Display posts from previous:    Page 1 of 1
Post new topic   This topic is locked: you cannot edit posts or make replies.    DD-WRT Forum Index -> DD-WRT по-русски All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum