Reply With QuoteХотел бы я на него посмотретьCode:... настройкам firewall, доступности вашего маршрутизатора извне!
А то что много ботов ломится на порты 22,23, 80, 443... так
iptables -I INPUT -i $WAN_IF .... -j LOG_DROP или просто DROP
Forum Guru
Внимание! Безопасность Linux-based MIPSel роутеров!
Появилась информация о появлении червя, атакующего роутеры, DSL-модемы с архитектурой mipsel и под управлением Linux.
Как его описывают тут:
Как пишут на http://dronebl.org/blog/8:* это — первый ботнетовый червь, поражающий роутеры и DSL-модемы;
* содержит шеллкод для многих устройств на базе mipsel;
* не нацелен на ПК или серверы;
* использует множество техник, включая брутфорсовый подбор usernameassword;
* собирает пароли, передаваемые по сети;
* может сканировать сеть на предмет уязвимых серверов с phpMyAdmin и MySQL.
Уязвимы Linux-устройства на базе mipsel, с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.
В англоязычной части форума уже проскакивало здесь.You are only vulnerable if:
* Your device is a mipsel device.
* Your device has telnet, SSH or web-based interfaces available to the WAN
* Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.
Уделяйте внимание настройкам ваших маршрутизаторов, стойкости паролей, настройкам firewall, доступности вашего маршрутизатора извне!
В большинстве случаев зараженные роутеры "излечиваются" перезагрузкой.
© 2008-2013 ABATAPA WL-500gP/128M / Asus RT-N16 / USB Flash / VLAN / PPPoE / VoIP / nShaper / NAS: iStor is607, Sarotech NAS-20, QNap 109 Pro / NFS / Принтер / etc
Senior Member
Хотел бы я на него посмотретьCode:... настройкам firewall, доступности вашего маршрутизатора извне!
А то что много ботов ломится на порты 22,23, 80, 443... так
iptables -I INPUT -i $WAN_IF .... -j LOG_DROP или просто DROP
wl500gp-1.9.2.7-d-r1222 + StoreJet 35 Ultra >>> rtorrent+rutorrent -|- lighhtpd + ssl + auth -|- vnStat + vnStat PHP frontend -|- vsftpd -|- squid + lightsquid...
Forum Guru
Это далеко не у всех так. И тем более не у всех закрыт доступ из MAN.Originally Posted by Less
А то что много ботов ломится на порты 22,23, 80, 443... так
iptables -I INPUT -i $WAN_IF .... -j LOG_DROP или просто DROP
Ну, вот и еще новости:
Источники:Злоумышленникам удалось доказать возможность создания рабочих ботнет сетей на платформах отличных от Windows, захватив управление над примерно 100 тысячами ADSL мини-маршрутизаторов и задействовав их в качестве единой ботнет сети для проведения DDoS атак и рассылки спама.
Last edited by Omega; 09-03-2012 at 17:30. Reason: fixed
© 2008-2013 ABATAPA WL-500gP/128M / Asus RT-N16 / USB Flash / VLAN / PPPoE / VoIP / nShaper / NAS: iStor is607, Sarotech NAS-20, QNap 109 Pro / NFS / Принтер / etc
Forum Guru
Однако, похоже, этот бот не угрожает конкретно нам, т.к. в этом случае его пришлось бы компилить с использованием тулчейна олео, или Олега. ИМХО любой бинарный код не запустится на любом устройстве mipsel.Основной целью атаки являются ADSL модемы Netcomm NB5, работающие под управлением Linux.
udhcpc.env представляет собой сжатый универсальный исполняемый код (33 Кб), откомпилированный для платформы MIPSel
В общем, если держать наружу открытым только ssh, иметь нормальный пароль, а к остальным сервисам ходить через туннели, то можно спать спокойно. Для еще большего покоя на ssh можно повесить bruteforce защиту с помощью ipt_recent
А про то, что веб морду наружу не надо открывать вообще, а особенно с доступом admin/admin --- про это уже не раз говорено. Тут можно проблему и без ботов поиметь.
Forum Guru
Не обязательно.
На любом - нет, на многих - запустится статически слинкованный.
Так о том и речь, разве нет?
То, что говорено где-то кем-то - ничего для многих производителей (да и пользователей) не изменило.
По-прежнему можно найти массу модемов с открытым управлением снаружи и паролями по умолчанию. Что и использовано тут.
© 2008-2013 ABATAPA WL-500gP/128M / Asus RT-N16 / USB Flash / VLAN / PPPoE / VoIP / nShaper / NAS: iStor is607, Sarotech NAS-20, QNap 109 Pro / NFS / Принтер / etc
Junior Member
Вирусы теперь могут проникать в BIOS
Конец марта в этом году ознаменовался двумя важными новостями – во-первых, найден способ помещения вредоносного кода в память BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов червем под названием «psyb0t», который превращает роутер в компонент ботнет-сети.
Заражение микросхемы BIOS в компьютере до сих пор считалось чем-то из области фантастики. Именно BIOS (Basic Input/Output System) отвечает за сохранение конфигурации системы в неизменном виде, а также за исполнение базовых функций ввода и вывода информации. Тем не менее, два аргентинских специалиста, Альфредо Ортега (Alfredo Ortega) и Анибал Сакко (Anibal Sacco) из компании Core Security Technologies показали на конференции по информационной безопасности CanSecWest успешное введение в BIOS специальной программы для удаленного управления, или руткита (rootkit). В частности, им удалось на глазах зрителей заразить компьютеры с операционными системами Windows и OpenBSD, а также виртуальную машину OpenBSD на платформе VMware Player.
Хотя для заражения BIOS по методу Ортеги и Сакко необходимо заранее скомпрометировать машину или иметь физический доступ к машине, последствия такого заражения оказались просто ужасными – даже после полного стирания информации на жестком диске, перепрошивки BIOS и переустановки операционной системы при следующей перезагрузке машина вновь оказывается заражена. Подробнее об атаке на BIOS можно прочитать в блоге ThreatPost.
Еще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимается мониторингом IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена DDoS-атака (Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».
Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.
После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.
Подробное описание ботнета и червя «psyb0t» можно найти в блоге DroneBL.
По материалам zdnet.com и theregister.co.uk.
Оригинал статьи тут
Вопрос: с безопасностью наших Asus все в полном порядке?
Member
От хозяина Асуса зависит. Как и в большинстве других случаев. А вообще про это отдельный топ уже есть.
Подмастерье
Перенес сюда.
Intel 2200BG (v.9.0.4.39) + Asus WL500g Premium (1.9.2.7-10.7) + ONLIME / [Corbina L2TP] / [MGTS + ZTE 831AII]
Member
Интересно, червь на bash написан?
Member
Судя по описанию - обычный ELF для процессоров mips. Потому и не заражает обычные компы.
Forum Guru
Вирус «psyb0t» для роутеров на базе Linux Mipsel
Ботнет атакует: червь для Linux-based роутеров
В сети появился новый червь «psyb0t», отличительными особенностями которого являются:
- это - первый ботнетовый червь, поражающий маршрутизаторы (роутеры) и DSL-модемы;
- содержит шеллкод для многих устройств на базе операционной системы Linux Mipsel;
- использует множество техник, включая брутфорсовый подбор username/password;
- может сканировать сеть на предмет уязвимых серверов с phpMyAdmin и MySQL;
- собирает пароли, передаваемые по сети;
- не нацелен на ПК или серверы.
Уязвимы Linux-устройства на базе Mipsel, с открытым web -
интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.
http://www.linux.org.ru/view-message.jsp?msgid=3583539
Вирусы теперь могут проникать в BIOS и роутеры !
Источник: http://teh-podderzhka.3dn.ru/news/2009-03-25-23Конец марта в этом году ознаменовался двумя важными новостями – во-первых, найден способ помещения
вредоносного кода в память BIOS, а во-вторых, обнаружено массовое заражение домашних маршрутизаторов
червем под названием «psyb0t», который превращает роутер в компонент ботнет-сети.
Еще одну серьезную опасность обнаружили администраторы сайта DroneBL, который занимается мониторингом
IP-адресов, служащих источником различных сетевых атак. Примерно две недели назад на сайт была совершена
DDoS-атака (Distributed Denial of Service – распределенная атака на отказ в обслуживании). При расследовании
инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал,
что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании
домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».
Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с
маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом,
либо открывающие доступ через службы sshd или telnetd для защищенной зоны DMZ, если у них заданы слабые
сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует специальный
алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.
После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства
– в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального
сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd
и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них
различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети
серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-
сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации
и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что
большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.
Подробное описание ботнета и червя «psyb0t» можно найти в блоге DroneBL.
По материалам zdnet.com и theregister.co.uk.
Длинк уже собирается вводить капчу ...
http://forum.dlink.ru/viewtopic.php?t=89214Вирус psyb0t и pоутеры D-Link
В данный момент не было выявлено заражения роутеров D-Link данным вирусом.
Для предотвращения заражением вирусом, следует принять следующие меры:
- Перезагрузить.
- Задать сложный стойкий пароль 6-10 символов, желательно использовать спец. символы, кроме / \ ; * ? " | < >
- Проверить устройство на открытый порт 23 вы можете тут: https://www.grc.com/x/portprobe=23
- Проверить устройство на открытые порты вы можете тут: https://www.grc.com/x/ne.dll?bh0bkyd2
В будущем, вероятно, появятся вирусы, способные подбирать пароль, в связи с этим
планируется введение подтверждения пароля при помощи графической картинки.
Скоро напишут виры для клавы и мыши ...
З.Ы. Да, только сейчас заметил, что аналогичная тема уже была ...
Попрошу уважаемых модераторов слить посты в тему ув. ABATAPA
2 ABATAPA Искал, но не расширенным поиском ...
Нужно ставить "Tags" для быстрого поиска топиков ...
Last edited by Omega; 15-04-2009 at 06:14. Reason: заметил дубль
Senior Member
Похоже у Нас заразился один роутер сам проявлял сетевую активность за ночи нагнал трафика на 700 метров, это был D-link 320 со 2-ой прошивкой от lly перезагрузка почему-то не помогла, кнопка сброса не работала на сброс (правда я её в рабочем состоянии не проверял может она и так не работает) пришлось сбросить через веб интерфейс и заново прописать то что там нужно по инструкции, сами виноваты пароль был элементарный 414 =((( Не ставьте простых паролей !!!
Вечный студент
Подробнее про это, пожалуйста.
Forum Guru
подробнее --- пожалуйста: кнопка ПОИСК наверху страницы. Либо ставьте 1.9.2.7-d --- там эта защита включается в вебе.
Вечный студент
Господа!
Кто может рассказать про ipt_recent?
Как его правильно ставить на роутер и как прописывать потом правила?
Posting Permissions
