Page 3 of 9 FirstFirst 12345 ... LastLast
Results 31 to 45 of 130

Thread: Внимание! Безопасность Linux-based MIPSel роутеров!

  1. #31
    Quote Originally Posted by Mr.Virtus View Post
    д
    супер, как всегда чёткий, и грамотный ответ, а главное помогло то как

    Каков вопрос - таков ответ. Можно подумать, в Вашем вопросе была хоть толика конкретики.
    Ответ же содержал достаточную при начальных условиях информацию. То, что что-то не можете сделать Вы лично, не значит, что это вообще невозможно.
    © 2008-2013 ABATAPA WL-500gP/128M / Asus RT-N16 / USB Flash / VLAN / PPPoE / VoIP / nShaper / NAS: iStor is607, Sarotech NAS-20, QNap 109 Pro / NFS / Принтер / etc

  2. #32

    Взлом

    Подниму тему...

    Походу взломали мой wl500gp v1 ...
    Прошивка Олега последняя (но не Энтузиастов)

    Dec 1 01:03:22 passwd[16959]: password for `root' changed by user `root'
    Dec 1 01:03:22 dropbear[16967]: password auth succeeded for 'root' from ::ffff:66.221.94.226:4489

    Пароль - 8 случайных букв в разном регистре, наружу открыт только ssh (телнет и веб-интерфейс наружу закрыты).

    Заметил только сейчас, когда не смог залогиниться по telnet\ssh
    в веб-интерфейсе пароль остался.

    Думаю, что ребут решит проблему с логином через телнет (passwd восстановится из флеша).

    P.S.: что интересно - перед сменой пароля и успешным логином судя по логам не было попыток брутфорса (последняя попытка брутфорса - за сутки с лишним до взлома).
    Еще странно, что судя по логу сначала произошла смена пароля, а только потом - логин (т.е. это не брутфорс???)

  3. #33
    Join Date
    May 2007
    Location
    Истра
    Posts
    1,246
    Quote Originally Posted by SancheSZ View Post
    Пароль - 8 случайных букв в разном регистре, наружу открыт только ssh (телнет и веб-интерфейс наружу закрыты).
    Вы абсолютно уверены, что веб-интерфейс наружу закрыт? Покажите вывод iptables-save.
    Есть ещё такие варианты: 1) у вас на компе вирус и он стырил пароль; 2) вы выложили файл с сохранёнными настройками роутера на видное место.
    Everybody stand back. I know iptables.
    Мой вариант правильного выключения роутера.

  4. #34
    Quote Originally Posted by Power View Post
    Вы абсолютно уверены, что веб-интерфейс наружу закрыт? Покажите вывод iptables-save.
    Есть ещё такие варианты: 1) у вас на компе вирус и он стырил пароль; 2) вы выложили файл с сохранёнными настройками роутера на видное место.
    Уверен. У меня на 80 (соответственно и снаружи и изнутри) порту крутится веб-морда для торрента. А веб-морда переведена на другой порт. Все порты (в т.ч. и этот другой) проброшены на мою внутреннюю машину (DMZ). Соответственно даже зная порт снаружи к веб-морде подключиться нельзя.

    P.S.: вообще брутфорсят меня часто, но я как-то на это особо внимания не обращал (кроме пухнущих логов, которые на винт сбрасываются, - проблем никаких).
    Да и щас брутфрос последний (окончившийся ничем был за сутки до этого и с других адресов)

  5. #35
    Тоже была такая же хренотеть как у SancheSZ. Обратил внимание на то что не могу зайти по телнет и SSH Зашел на вебинтерфейс, в логах кусок кода какой-то страницы c JS и прочей лабудой. Подумал что глюк роутера и перепрошил его. Перезагрузка не помогала, т.к. я хранил в .files .passwd

  6. #36
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by SancheSZ View Post
    Уверен. У меня на 80 (соответственно и снаружи и изнутри) порту крутится веб-морда для торрента. А веб-морда переведена на другой порт. Все порты (в т.ч. и этот другой) проброшены на мою внутреннюю машину (DMZ). Соответственно даже зная порт снаружи к веб-морде подключиться нельзя.

    P.S.: вообще брутфорсят меня часто, но я как-то на это особо внимания не обращал (кроме пухнущих логов, которые на винт сбрасываются, - проблем никаких).
    Да и щас брутфрос последний (окончившийся ничем был за сутки до этого и с других адресов)
    Чудес не бывает. Самба в локальную сеть не открыта?
    Порт SSH 22 ? Сменить не пробовали? Перевесив на любой порт выше 1024 Вы себя от головной боли избавите надолго. Хацкеры в своем большинстве не умеют пользоваться нормальными сканирующими утилитами.

  7. #37
    Join Date
    Feb 2008
    Location
    Moscow, Tver
    Posts
    3,962
    Quote Originally Posted by AndreyUA View Post
    Тоже была такая же хренотеть как у SancheSZ. Обратил внимание на то что не могу зайти по телнет и SSH Зашел на вебинтерфейс, в логах кусок кода какой-то страницы c JS и прочей лабудой. Подумал что глюк роутера и перепрошил его. Перезагрузка не помогала, т.к. я хранил в .files .passwd
    Делаем бекап настроек заранее.
    А passwd можно попробовать через веб интерфейс удалить, через System command.

  8. #38
    Итак, новый виток.

    22.02.2010 20:32 Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux

    Чешские исследователи в области безопасности компьютерных систем сообщили об обнаружении нового сетевого червя, получившего название "Чак Норрис" и состоящего из незащищенных надлежащим образом мини-маршрутизаторов, DSL-модемов и спутниковых TV-ресиверов, работающих на базе прошивок, основанных на Linux. Как правило инфицирование маршрутизаторов происходит из-за выставления администратором ненадежного пароля, подбираемого путем несложного перебора типовых вариантов, или сохранения пароля, заданного по умолчанию. Также заражение может происходить через эксплуатацию обнаруженной в январе уязвимости в маршрутизаторах D-Link.

    http://www.opennet.ru/opennews/art.shtml?num=25528
    © 2008-2013 ABATAPA WL-500gP/128M / Asus RT-N16 / USB Flash / VLAN / PPPoE / VoIP / nShaper / NAS: iStor is607, Sarotech NAS-20, QNap 109 Pro / NFS / Принтер / etc

  9. #39
    Join Date
    Mar 2009
    Location
    Russia, Moscow
    Posts
    2,119
    Blog Entries
    33

    Wi-Fi Protected Setup (WPS)

    Новая уязвимость в WPS позволяет быстрее угадывать PIN-код маршрутизатора

    Недавно обнаруженная уязвимость в стандарте Wi-Fi Protected Setup (WPS) сокращает количество попыток, которые требуются хакеру, пытающемуся брутфорсить PIN-код процесса установки беспроводного роутера. В результате ошибки слишком много информации о PIN-коде возвращается атакующему, а сам PIN-код становится слабее, что негативно влияет на защиту миллионов Wi-Fi маршрутизаторов и точек доступа. Исследователь безопасности Стефан Вибок обнаружил эту уязвимость и доложил о ней в US-CERT.

    От проблемы страдают продукты ряда производителей, включая D-Link, Netgear, Linksys и Buffalo. "Я обнаружил несколько очень неудачных проектных решений, которые могут способствовать эффективной брутфорс атаке, нарушая, таким образом, безопасность буквально всех Wi-Fi маршрутизаторов с поддержкой WPS. А поскольку большинство современных моделей поддерживают WPS по умолчанию, то пострадать могут миллионы устройств по всему миру", - сказал Вибок.

    "Одна попытка аутентификации занимает от 0.5 до 3 секунд. Замечено, что больше всего времени уходит на вычисление общего ключа Диффи – Хеллмана (это должно быть сделано перед генерацией M3). Требуемое время может быть сокращено за счет выбора очень малого секретного числа Диффи-Хеллмана, в результате чего вырабатывается небольшой публичный ключ, а вычислить общий ключ со стороны точки доступа становится проще", - добавил он.

    "Если проверка подлинности PIN-кода завершилась неудачно, точка доступа посылает сообщение EAP-NACK назад клиенту. Эти сообщения пересылаются таким образом, что хакеру удается определить, является ли первая половина PIN-кода верной. Последняя цифра уже известна, так как она является контрольной суммой PIN-кода. Все это значительно сокращает количество попыток, требуемых для успешного брутфорса PIN-кода. Количество попыток сокращается со 108 до 103+104, что в сумме дает 11 000 попыток", - сказал консультант US-CERT.

    Вибок разработал инструмент Python для брутфорса PIN-кодов. Он его еще не выпустил, но сказал, что сделает это когда приведет в порядок код. Ни один из подверженных уязвимости производителей не выпустил исправления или обходного пути для бага, но в своей статье Вибок написал, что лучшим способом смягчения на данный момент является отключение WPS. Так же способна помочь установка более длительного времени блокировки в результате многочисленных неудачных попыток аутентификации.

    http://www.xakep.ru/post/58116/

  10. #40
    Quote Originally Posted by Omega View Post
    Новая уязвимость в WPS позволяет быстрее угадывать PIN-код маршрутизатора
    А как с этим обстоит дело в прошивке для wl500gp v2? А то я пару лет не обновлял ничего, а тут вот прочитал про это.
    Last edited by Omega; 24-01-2012 at 18:48. Reason: замечательно обстоит -- WPS просто выкинут нафиг ... :) вместо него отрабатывается скрипт ez-setup ... ;)

  11. #41
    Join Date
    Mar 2009
    Location
    Moscow
    Posts
    968
    Quote Originally Posted by checat View Post
    А как с этим обстоит дело в прошивке для wl500gp v2? А то я пару лет не обновлял ничего, а тут вот прочитал про это.
    В прошивке от Олега и энтузиастов вообще нет поддержки WPS, поэтому даже взламывать нечего
    D-Link DIR-320 A1/A2, DIR-620 C1, Netgear WNR3500L v1 v2

  12. #42
    Join Date
    Mar 2009
    Location
    Russia, Moscow
    Posts
    2,119
    Blog Entries
    33

    Exclamation Avoiding Brute Force Attacks Via The WPS Protocol

    Official Announcement: Avoiding Brute Force Attacks Via The WPS Protocol

    Singapore (March 29, 2012)
    For ASUS wireless and networking products, security is always the first priority.

    In response to US CERT report on the vulnerability of the WPS protocol, ASUS is now working
    with the Wi-Fi Alliance to develop a firmware update capable of deterring and protecting from
    such attacks. We will keep registered users informed as to the availability of this firmware
    update, and will post it on our support site, as well.

    To enhance security, most ASUS routers automatically disable WPS 2 minutes after setup.
    Users can also manually disable WPS-PIN (the WPS push buttonwill still work) through router
    setup to avoid possible concerns. Follow these steps to do so:

    1. Launch your browser and enter 192.168.1.1 in the address bar. Then use admin
      for both username and password to log-in to the router user interface.
    2. Go to the Advanced Setup menu, and select Wireless Settings.
    3. Under WPS settings, select OFF for Enable WPS. **
    4. Click Apply to save settings.

    ** The Enable WPS button is available currently on RT-N66U only. More models
    adopting Asus new firmware, Asus WRT, will also incorporate this function.



    http://www.campuselites.com/2012/03/...-wps-protocol/

  13. #43
    Отцы, а нельзя ли завести отдельную тему (или эту переименовать) и постить в нее только то, что связано с возможными проблемами с безопасностью на роутерах с данной прошивкой (+ софтом из основных репозитариев)? У вас фактически полноценный дистрибутив, в нем куча кода, но как администраторам "коробочек" узнавать о проблемах с безопасностью? ИМХО самое простое решение -- тема для подписки, с минимальным трафиком.

  14. #44
    Join Date
    Mar 2009
    Location
    Default City
    Posts
    2,695
    Blog Entries
    4
    Quote Originally Posted by pux View Post
    Отцы, а нельзя ли завести отдельную тему (или эту переименовать) и постить в нее только то, что связано с возможными проблемами с безопасностью на роутерах с данной прошивкой (+ софтом из основных репозитариев)? У вас фактически полноценный дистрибутив, в нем куча кода, но как администраторам "коробочек" узнавать о проблемах с безопасностью? ИМХО самое простое решение -- тема для подписки, с минимальным трафиком.
    А у нас есть проблемы с безопасностью? И нельзя ли расшифровать понятие "администратор домашнего роутера" )

  15. #45

    Exclamation Уязвимость WPS и прошивка "от олега"

    Процесс взлома описан здесь: http://habrahabr.ru/company/xakep/blog/143834/

    Насколько мне известно, в оригинальной прошивке Asus wl500gpv2 есть включение/отключение WPS. В олеговской не нашел. Оно вообще там работает?

Page 3 of 9 FirstFirst 12345 ... LastLast

Similar Threads

  1. Oscam fьr Mipsel Router
    By N3m3515 in forum German Discussion - Deutsch (DE)
    Replies: 7
    Last Post: 28-03-2015, 05:31
  2. Безопасность SSH (dropbear)
    By SergeyVl in forum Russian Discussion - РУССКИЙ (RU)
    Replies: 309
    Last Post: 28-02-2013, 14:09
  3. Replies: 2
    Last Post: 24-03-2009, 17:18
  4. New 1.0.4.6 based custom firmware
    By kfurge in forum WL-700g Firmware Discussion
    Replies: 272
    Last Post: 20-11-2007, 17:15
  5. Recompiling with mipsel
    By smarechal in forum WL-500g Custom Development
    Replies: 6
    Last Post: 21-03-2005, 12:48

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •