Page 9 of 9 FirstFirst ... 789
Results 121 to 127 of 127

Thread: Внимание! Безопасность Linux-based mipsel роутеров!

  1. #121
    Join Date
    Aug 2008
    Location
    Kharkov UA
    Posts
    35

    Вирус в файловой системе wl500GP

    Прошивка древняя
    Linux version 2.6.22.19 (root@localhost) (gcc version 4.6.3 (GCC) ) #2 Mon Oct 8 18:11:53 YEKT 2012
    1.9.2.7-rtn-r4667

    Дело в том что эта зараза (в атачче выделены 3 файла, которые во многих папках появились), как-то залезла в файловую систему и там размножилась, а я думал что под линукс вирусов нет 😉
    Думал, рекурсивно удалить в BusyBox файл, например «photo.scr».
    locate file – найти все файлы с именем file — не находит locate. Подскажите как рекурсивно удалить файлы? На роутете много чего наставлено, и переустанавливать и настраивать не хотелось бы, поэтому хотел бы тупо удалить подозрительные файлы, но руками ходить лень. Могу приложить вывод команды какой нужно.
    Name:  2cfc247ab6974b85b6b8db53a7ab9101.png
Views: 139
Size:  26.9 KB

  2. #122
    Join Date
    Mar 2011
    Location
    Moscow
    Posts
    231
    Quote Originally Posted by Service2 View Post
    Дело в том что эта зараза (в атачче выделены 3 файла, которые во многих папках появились), как-то залезла в файловую систему и там размножилась, а я думал что под линукс вирусов нет ��
    Оказывается, есть.

    Quote Originally Posted by Service2 View Post
    Думал, рекурсивно удалить в BusyBox файл, например «photo.scr».
    locate file – найти все файлы с именем file — не находит locate. Подскажите как рекурсивно удалить файлы?
    find
    В инете полно примеров.

    Quote Originally Posted by Service2 View Post
    На роутете много чего наставлено, и переустанавливать и настраивать не хотелось бы, поэтому хотел бы тупо удалить подозрительные файлы, но руками ходить лень. Могу приложить вывод команды какой нужно.
    Прежде чем удалять, следует разобраться, откуда эти файлы взялись.
    Last edited by don-pedro; 27-02-2017 at 08:45.
    WL500gp 1.9.2.7-d-r2624, Optware.

  3. #123
    Join Date
    Aug 2008
    Location
    Kharkov UA
    Posts
    35
    find
    -sh: find: not found

    Как и ожидалось, удаление руками на долго не помогло. Файлы с таким же именем опять появляются. Помогите разобраться и найти источник заразы?

  4. #124
    Join Date
    Mar 2011
    Location
    Moscow
    Posts
    231
    Quote Originally Posted by Service2 View Post
    find
    -sh: find: not found
    findutils надо поставить.

    Quote Originally Posted by Service2 View Post
    Как и ожидалось, удаление руками на долго не помогло. Файлы с таким же именем опять появляются. Помогите разобраться и найти источник заразы?
    Если диск самбой расшарен, то источник заразы - домашние компы.
    WL500gp 1.9.2.7-d-r2624, Optware.

  5. #125
    Join Date
    Mar 2009
    Location
    Russia, Moscow
    Posts
    2,081
    Blog Entries
    30

    Cool Атака ботов

    Quote Originally Posted by Born13
    Помогите определить что происходит на прошивке RT-AC68U от Hugo - атакуют боты !
    Логин не стандартный, пароль сложный 13 букв чисел с заглавными. Уже менял 3 раза пароли и логин.
    SSH только по ключу. Логин и пароль отключены для SSH. порт произвольный.
    Entware-ng не установлен, единственное что использую это StealthMode Sunset (Merlin)

    Потом выполняется вход и SSH включают для wan и включают использование паролей в SSH и меняют порт на 2222
    PHP Code:
    Mar  6 06:59:04 dropbear[29479]: Child connection from 190.137.111.208:48605
    Mar  6 06
    :59:14 dropbear[29479]: Password auth succeeded for 'Born' from 190.137.111.208:48605
    Mar  6 07
    :00:30 dropbear[29563]: Running in background
    Mar  6 07
    :01:21 dropbear[29651]: Child connection from 190.137.111.208:36802
    Mar  6 07
    :01:31 dropbear[29651]: Password auth succeeded for 'Born' from 190.137.111.208:36802
    Mar  6 07
    :01:37 dropbear[29651]: User Born executing '/sbin/ifconfig'
    Mar  6 07:01:41 dropbear[29651]: User Born executing 'cat /proc/meminfo'
    Mar  6 07:01:45 dropbear[29651]: User Born executing '2>/dev/null sh -c 'cat /lib/libdl.so* || cat /lib/librt.so* || cat /bin/cat || cat /sbin/ifconfig''
    Mar  6 07:01:51 dropbear[29651]: User Born executing 'cat /proc/version'
    Mar  6 07:01:55 dropbear[29651]: User Born executing 'uptime'
    Mar  6 07:01:59 dropbear[29651]: User Born executing '1>/dev/null 2>/dev/null /sbin/iptables -L -n && echo 1 || echo 0'
    Mar  6 07:02:03 dropbear[29651]: User Born executing '(python -V 2>/dev/null && echo python && python -V) || (/usr/local/bin/python -V 2>/dev/null && echo /usr/local/bin/python && /usr/local/bin/python -V)'
    Mar  6 07:02:06 dropbear[29651]: Exit (Born): Exited normally
    Mar  6 07
    :04:34 dropbear[29940]: Child connection from 109.237.123.45:55826
    Mar  6 07
    :04:42 dropbear[29940]: Password auth succeeded for 'Born' from 109.237.123.45:55826
    Mar  6 07
    :05:14 dropbear[29940]: User Born executing 'cat /proc/version'
    Mar  6 07:05:17 dropbear[29940]: User Born executing 'PATH=$PATH:/usr/sbin iptables -L -n'
    Mar  6 07:05:22 dropbear[29940]: User Born executing 'ps'
    Mar  6 07:05:26 dropbear[29940]: User Born executing 'cat /bin/cat 2>/dev/null'
    Mar  6 07:07:19 dropbear[29940]: User Born executing 'cat > /tmp/bungee'
    Mar  6 07:07:52 dropbear[29940]: User Born executing 'PATH=$PATH:/usr/sbin iptables -D INPUT -p tcp --dport 16872 -j ACCEPT; PATH=$PATH:/usr/sbin iptables -I INPUT -p tcp --dport 16872 -j ACCEPT'
    Mar  6 07:08:02 dropbear[29940]: User Born executing 'PATH=$PATH:/usr/sbin iptables -t nat -D PREROUTING -p tcp --dport 16872 -j ACCEPT; PATH=$PATH:/usr/sbin iptables -t nat -I PREROUTING -p tcp --dport 16872 -j ACCEPT'
    Mar  6 07:08:11 dropbear[29940]: User Born executing 'PATH=$PATH:/usr/sbin iptables -D DMZ -t nat -p tcp --dport 16872 -j RETURN; PATH=$PATH:/usr/sbin iptables -I DMZ -t nat -p tcp --dport 16872 -j RETURN'
    Mar  6 07:08:24 dropbear[29940]: User Born executing 'chmod +x /tmp/bungee'
    Mar  6 07:08:38 dropbear[29940]: User Born executing '( /tmp/bungee 16872 30 360 14400 0 10000 > /dev/null 2>&1 )&'
    Mar  6 07:08:49 dropbear[29940]: User Born executing 'rm -f /tmp/bungee'
    Mar  6 07:09:09 dropbear[29940]: Exit (Born): Exited normally
    Mar  6 07
    :16:14 dropbear[30616]: Child connection from 149.255.202.108:51786
    Mar  6 07
    :16:14 dropbear[30616]: Password auth succeeded for 'Born' from 149.255.202.108:51786
    Mar  6 07
    :16:41 dropbear[30616]: Exit (Born): Exited normally 
    << в логе авторизация не по ключу, а по паролю. Может, dropbear какой-древний?

    Проблема в том что он логинится к веб-морде с вне (WAN) и меняет настройки SSH на свой порт 2222 и вход по паролю.
    Доступ с WAN мне очень нужен так как, этот роутер стоит в маленьком офисе.

    В логах нет попыток подбора пароля. Логинится он с первого раза. Зная Логин и Пароль.
    Получается утечка логина и пароля только с внутри роутера.
    Логин и пароль не сохранен в браузере, вход на него только с проверенного одного ноута.
    Можно как то ограничить вход в Веб-морду через один МАК?

    << А tcpdump-ом (или другим анализатором) не проще трафик проанализировать, что бы просто узнать, как они к Вам попадают?

    Попадает он на веб-морду роутера по логину и паролю, потом включает SSH, и коннектится по SSH. Вот старый лог с февраля:

    PHP Code:
    Feb 20 00:09:14 HTTP(SloginLogin successful from 189.25.95.249
    Feb 20 00
    :09:33 rc_servicehttpd 1258:notify_rc restart_time;restart_httpd;restart_upnp
    Feb 20 00
    :09:33 dropbear[1235]: Early exit: Terminated by signal
    Feb 20 00
    :09:33 kernelklogdexiting
    Feb 20 00
    :09:33 syslogd exiting
    Feb 20 00
    :09:33 syslogd startedBusyBox v1.25.1
    Feb 20 00
    :09:33 kernelklogd startedBusyBox v1.25.1 (2017-01-25 00:07:39 WET)
    Feb 20 00:09:33 dropbear[1903]: Running in background
    Feb 20 00
    :09:34 start_nat_rulesapply the nat_rules(/tmp/nat_rules_vlan2_vlan2)!
    Feb 20 00:09:34 RT-AC68Ustart httpd
    Feb 20 00
    :09:36 miniupnpd[1929]: HTTP listening on port 55981
    Feb 20 00
    :09:36 miniupnpd[1929]: Listening for NAT-PMP/PCP traffic on port 5351
    Feb 20 00
    :09:36 hour monitordaemon is starting
    Feb 20 00
    :09:36 hour monitordaemon terminates
    Feb 20 00
    :09:41 dropbear[1930]: Child connection from 189.25.95.249:45127 
    Hint! http://forum.ixbt.com/topic.cgi?id=14:62613:2149#2149

  6. #126
    что-то я туплю
    поставил защиту от брута (в веб-морде) 1200 секунд это получается 20 минут
    вижу это в iptables-save
    Code:
    ...
    -A INPUT -p tcp -m tcp --dport 22022 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE 
    ...
    -A BRUTE -m recent --update --seconds 1200 --hitcount 3 --name BRUTE --rsource -j DROP 
    -A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
    ...
    однако, судя по логам 10 мин.
    Code:
    20-05-2017 11:19:52 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:53053
    20-05-2017 11:19:52 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:53053
    20-05-2017 11:19:53 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:53053
    20-05-2017 11:19:54 (info|authpriv|dropbear) Exit before auth: Exited normally
    20-05-2017 11:27:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:47069
    20-05-2017 11:27:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:47069
    20-05-2017 11:27:24 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:47069
    20-05-2017 11:27:24 (info|authpriv|dropbear) Exit before auth: Exited normally
    20-05-2017 11:27:58 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:42213
    20-05-2017 11:27:59 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:42213
    20-05-2017 11:27:59 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:42213
    20-05-2017 11:28:00 (info|authpriv|dropbear) Exit before auth: Exited normally
    20-05-2017 11:35:51 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:40636
    20-05-2017 11:35:51 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:40636
    20-05-2017 11:35:51 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:40636
    20-05-2017 11:35:52 (info|authpriv|dropbear) Exit before auth: Exited normally
    20-05-2017 11:36:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:49339
    20-05-2017 11:36:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:49339
    20-05-2017 11:36:24 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:49339
    в чем косяк?
    прошивка последняя с asus.vectormm.net/rtn/
    роутер asus rt-n16

    и вот что-то туплю с блокировкой (
    если я правильно понял, то надо так:
    Code:
    iptables -A INPUT -p tcp -s 220.225.230.7 --dport 22022 -j DROP
    iptables -A INPUT -p tcp -s 46.128.44.23 --dport 22022 -j DROP
    однако, в лока всё равно есть информация о попытках подключения
    Last edited by egorart; 21-05-2017 at 14:16.

  7. #127
    Кажется разобрался.
    Если происходит просто долбежка с несуществующим именим (nonexistent), то ни чего не блокируется.
    А если имя известно, то блокировка происходит.
    Code:
    22-05-2017 11:28:57 (warning|authpriv|dropbear) Bad password attempt for 'root' from 188.xxx.xx.10:14384
    22-05-2017 11:29:02 (warning|authpriv|dropbear) Bad password attempt for 'root' from 188.xxx.xx.10:14384
    22-05-2017 11:29:02 (info|authpriv|dropbear) Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 188.xxx.xx.10:14384
    Если добавлять правила, как я понял, в конец (iptables -A INPUT -p tcp -s 220.225.230.7 --dport 22022 -j DROP), то не блокируется.
    А если в начало (iptables -I INPUT -s 220.225.230.7 -j DROP), то вроде как блокирует.
    В логах теперь этих ip нет.

    п.с. надеюсь такой вариант блокировки правильный
    п.п.с. да, про fail2ban знаю. охото было так разобраться.

Page 9 of 9 FirstFirst ... 789

Similar Threads

  1. [WL-600g] Доработка прошивки для серии ADSL роутеров
    By AndreyPopov in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 100
    Last Post: 02-04-2015, 18:06
  2. Безопасность SSH (dropbear)
    By SergeyVl in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 309
    Last Post: 28-02-2013, 13:09
  3. Linux guru please help restore my hdd !!
    By engtteo in forum WL-700g Q&A
    Replies: 1
    Last Post: 06-06-2009, 01:50

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •