Page 1 of 9 123 ... LastLast
Results 1 to 15 of 127

Thread: Внимание! Безопасность Linux-based mipsel роутеров!

  1. #1

    Exclamation Внимание! Безопасность Linux-based mipsel роутеров!

    Появилась информация о появлении червя, атакующего роутеры, DSL-модемы с архитектурой mipsel и под управлением Linux.

    Как его описывают тут:
    * это — первый ботнетовый червь, поражающий роутеры и DSL-модемы;
    * содержит шеллкод для многих устройств на базе mipsel;
    * не нацелен на ПК или серверы;
    * использует множество техник, включая брутфорсовый подбор usernameassword;
    * собирает пароли, передаваемые по сети;
    * может сканировать сеть на предмет уязвимых серверов с phpMyAdmin и MySQL.

    Уязвимы Linux-устройства на базе mipsel, с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.
    Как пишут на http://dronebl.org/blog/8:
    You are only vulnerable if:

    * Your device is a mipsel device.
    * Your device has telnet, SSH or web-based interfaces available to the WAN
    * Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.
    В англоязычной части форума уже проскакивало здесь.

    Уделяйте внимание настройкам ваших маршрутизаторов, стойкости паролей, настройкам firewall, доступности вашего маршрутизатора извне!

    В большинстве случаев зараженные роутеры "излечиваются" перезагрузкой.
    © 2008-2013 ABATAPA WL-500gP/128M / Asus RT-N16 / USB Flash / VLAN / PPPoE / VoIP / nShaper / NAS: iStor is607, Sarotech NAS-20, QNap 109 Pro / NFS / Принтер / etc

  2. #2
    Code:
    ... настройкам firewall, доступности вашего маршрутизатора извне!
    Хотел бы я на него посмотреть
    А то что много ботов ломится на порты 22,23, 80, 443... так
    iptables -I INPUT -i $WAN_IF .... -j LOG_DROP или просто DROP
    wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...

  3. #3
    Quote Originally Posted by Less View Post
    А то что много ботов ломится на порты 22,23, 80, 443... так
    iptables -I INPUT -i $WAN_IF .... -j LOG_DROP или просто DROP
    Это далеко не у всех так. И тем более не у всех закрыт доступ из MAN.

    Ну, вот и еще новости:
    Злоумышленникам удалось доказать возможность создания рабочих ботнет сетей на платформах отличных от Windows, захватив управление над примерно 100 тысячами ADSL мини-маршрутизаторов и задействовав их в качестве единой ботнет сети для проведения DDoS атак и рассылки спама.
    Источники:
    Last edited by Omega; 09-03-2012 at 16:30. Reason: fixed
    © 2008-2013 ABATAPA WL-500gP/128M / Asus RT-N16 / USB Flash / VLAN / PPPoE / VoIP / nShaper / NAS: iStor is607, Sarotech NAS-20, QNap 109 Pro / NFS / Принтер / etc

  4. #4
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Основной целью атаки являются ADSL модемы Netcomm NB5, работающие под управлением Linux.

    udhcpc.env представляет собой сжатый универсальный исполняемый код (33 Кб), откомпилированный для платформы MIPSel
    Однако, похоже, этот бот не угрожает конкретно нам, т.к. в этом случае его пришлось бы компилить с использованием тулчейна олео, или Олега. ИМХО любой бинарный код не запустится на любом устройстве mipsel.

    В общем, если держать наружу открытым только ssh, иметь нормальный пароль, а к остальным сервисам ходить через туннели, то можно спать спокойно. Для еще большего покоя на ssh можно повесить bruteforce защиту с помощью ipt_recent

    А про то, что веб морду наружу не надо открывать вообще, а особенно с доступом admin/admin --- про это уже не раз говорено. Тут можно проблему и без ботов поиметь.

  5. #5
    Quote Originally Posted by al37919 View Post
    Однако, похоже, этот бот не угрожает конкретно нам, т.к. в этом случае его пришлось бы компилить с использованием тулчейна олео, или Олега. ИМХО любой бинарный код не запустится на любом устройстве mipsel.
    Не обязательно.
    На любом - нет, на многих - запустится статически слинкованный.


    Quote Originally Posted by al37919 View Post
    В общем, если держать наружу открытым только ssh, иметь нормальный пароль, а к остальным сервисам ходить через туннели, то можно спать спокойно.
    Так о том и речь, разве нет?

    Quote Originally Posted by al37919 View Post
    А про то, что веб морду наружу не надо открывать вообще, а особенно с доступом admin/admin --- про это уже не раз говорено. Тут можно проблему и без ботов поиметь.
    То, что говорено где-то кем-то - ничего для многих производителей (да и пользователей) не изменило.
    По-прежнему можно найти массу модемов с открытым управлением снаружи и паролями по умолчанию. Что и использовано тут.
    © 2008-2013 ABATAPA WL-500gP/128M / Asus RT-N16 / USB Flash / VLAN / PPPoE / VoIP / nShaper / NAS: iStor is607, Sarotech NAS-20, QNap 109 Pro / NFS / Принтер / etc

  6. #6

    Полный ПЭ! Прошу комментария

    Вирусы теперь могут проникать в BIOS

    Конец марта в этом году ознаменовался двумя важными новостями – во-первых, найден способ помещения вредоносного кода в память BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов червем под названием «psyb0t», который превращает роутер в компонент ботнет-сети.



    Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста, Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы для удаленного управления, или руткита (rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.

    Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена. Подробнее об атаке на BIOS можно прочитать в блоге ThreatPost.

    Еще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимается мониторингом IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена DDoS-атака (Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».

    Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.

    После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.

    Подробное описание ботнета и червя «psyb0t» можно найти в блоге DroneBL.

    По материалам zdnet.com и theregister.co.uk.

    Оригинал статьи тут

    Вопрос: с безопасностью наших Asus все в полном порядке?

  7. #7
    Join Date
    Oct 2008
    Location
    Новосибирск
    Posts
    72
    Quote Originally Posted by SuxZ View Post
    Вопрос: с безопасностью наших Asus все в полном порядке?
    От хозяина Асуса зависит. Как и в большинстве других случаев. А вообще про это отдельный топ уже есть.

  8. #8
    Join Date
    May 2006
    Location
    Moscow, Russia
    Posts
    1,457
    Quote Originally Posted by Dao_Dezi View Post
    А вообще про это отдельный топ уже есть.
    Перенес сюда.
    Intel 2200BG (v.9.0.4.39) + Asus WL500g Premium (1.9.2.7-10.7) + ONLIME / [Corbina L2TP] / [MGTS + ZTE 831AII]

  9. #9
    Интересно, червь на bash написан?

  10. #10
    Join Date
    Oct 2008
    Location
    Новосибирск
    Posts
    72
    Судя по описанию - обычный ELF для процессоров mips. Потому и не заражает обычные компы.

  11. #11
    Join Date
    Mar 2009
    Location
    Russia, Moscow
    Posts
    2,081
    Blog Entries
    30

    Exclamation Вирус «psyb0t» для роутеров на базе Linux Mipsel

    Ботнет атакует: червь для Linux-based роутеров

    В сети появился новый червь «psyb0t», отличительными особенностями которого являются:
    • это - первый ботнетовый червь, поражающий маршрутизаторы (роутеры) и DSL-модемы;
    • содержит шеллкод для многих устройств на базе операционной системы Linux Mipsel;
    • использует множество техник, включая брутфорсовый подбор username/password;
    • может сканировать сеть на предмет уязвимых серверов с phpMyAdmin и MySQL;
    • собирает пароли, передаваемые по сети;
    • не нацелен на ПК или серверы.

    Уязвимы Linux-устройства на базе Mipsel, с открытым web -
    интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.

    http://www.linux.org.ru/view-message.jsp?msgid=3583539


    Вирусы теперь могут проникать в BIOS и роутеры !

    Конец марта в этом году ознаменовался двумя важными новостями – во-первых, найден способ помещения
    вредоносного кода в память BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов
    червем под названием «psyb0t», который превращает роутер в компонент ботнет-сети.

    Еще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимается мониторингом
    IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена
    DDoS-атака (Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании
    инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал,
    что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании
    домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».

    Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с
    маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом,
    либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые
    сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный
    алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.

    После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства
    – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального
    сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd
    и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них
    различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети
    серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-
    сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации
    и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что
    большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.

    Подробное описание ботнета и червя «psyb0t» можно найти в блоге DroneBL.
    По материалам zdnet.com и theregister.co.uk.
    Источник: http://teh-podderzhka.3dn.ru/news/2009-03-25-23

    Длинк уже собирается вводить капчу ...
    Вирус psyb0t и pоутеры D-Link

    В данный момент не было выявлено заражения роутеров D-Link данным вирусом.

    Для предотвращения заражением вирусом, следует принять следующие меры:
    1. Перезагрузить.
    2. Задать сложный стойкий пароль 6-10 символов, желательно использовать спец. символы, кроме / \ ; * ? " | < >
    3. Проверить устройство на открытый порт 23 вы можете тут: https://www.grc.com/x/portprobe=23
    4. Проверить устройство на открытые порты вы можете тут: https://www.grc.com/x/ne.dll?bh0bkyd2

    В будущем, вероятно, появятся вирусы, способные подбирать пароль, в связи с этим
    планируется введение подтверждения пароля при помощи графической картинки.
    http://forum.dlink.ru/viewtopic.php?t=89214

    Скоро напишут виры для клавы и мыши ...

    З.Ы. Да, только сейчас заметил, что аналогичная тема уже была ...
    Попрошу уважаемых модераторов слить посты в тему ув. ABATAPA

    2 ABATAPA Искал, но не расширенным поиском ...
    Нужно ставить "Tags" для быстрого поиска топиков ...
    Last edited by Omega; 15-04-2009 at 05:14. Reason: заметил дубль

  12. #12
    Похоже у Нас заразился один роутер сам проявлял сетевую активность за ночи нагнал трафика на 700 метров, это был D-link 320 со 2-ой прошивкой от lly перезагрузка почему-то не помогла, кнопка сброса не работала на сброс (правда я её в рабочем состоянии не проверял может она и так не работает) пришлось сбросить через веб интерфейс и заново прописать то что там нужно по инструкции, сами виноваты пароль был элементарный 414 =((( Не ставьте простых паролей !!!

  13. #13
    Join Date
    Apr 2008
    Location
    город самоваров и пряников
    Posts
    1,492
    Quote Originally Posted by al37919 View Post
    на ssh можно повесить bruteforce защиту с помощью ipt_recent
    Подробнее про это, пожалуйста.

  14. #14
    Join Date
    Feb 2007
    Location
    Moscow, Russia
    Posts
    3,805
    Quote Originally Posted by MrGalaxy View Post
    Подробнее про это, пожалуйста.
    подробнее --- пожалуйста: кнопка ПОИСК наверху страницы. Либо ставьте 1.9.2.7-d --- там эта защита включается в вебе.

  15. #15
    Join Date
    Apr 2008
    Location
    город самоваров и пряников
    Posts
    1,492
    Господа!
    Кто может рассказать про ipt_recent?
    Как его правильно ставить на роутер и как прописывать потом правила?

Page 1 of 9 123 ... LastLast

Similar Threads

  1. [WL-600g] Доработка прошивки для серии ADSL роутеров
    By AndreyPopov in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 100
    Last Post: 02-04-2015, 18:06
  2. Безопасность SSH (dropbear)
    By SergeyVl in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 309
    Last Post: 28-02-2013, 13:09
  3. Linux guru please help restore my hdd !!
    By engtteo in forum WL-700g Q&A
    Replies: 1
    Last Post: 06-06-2009, 01:50

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •