URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 64138
[ Назад ]

Исходное сообщение
"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."

Отправлено opennews , 22-Фев-10 21:07 
Чешские исследователи в области безопасность компьютерных систем сообщили (http://seclists.org/fulldisclosure/2010/Feb/387) об обнаружении нового сетевого червя, получившего название "Чак Норрис" и состоящего их незащищенных надлежащим образом мини-маршрутизаторов, DSL-модемов и спутниковых TV-ресиверов, работающих на базе прошивок, основанных на Linux. Как правило инфицирование маршрутизаторов происходит из-за выставления администратором ненадежного пароля, подбираемого путем несложного перебора типовых вариантов, или сохранения пароля, заданного по умолчанию. Также заражение может происходить через эксплуатацию обнаруженной в январе уязвимости (http://www.opennet.me/opennews/art.shtml?num=24986) в маршрутизаторах D-Link.

Разбор вредоносного кода, загружаемого после проникновения на маршрутизатор, показал, что подобные маршрутизаторы объединены   единый ботнет и поддерживают выполнение команд по участию в совершении DDoS-атак или проведению атак по подбору паролей. На устройства...

URL: http://seclists.org/fulldisclosure/2010/Feb/387
Новость: http://www.opennet.me/opennews/art.shtml?num=25528


Содержание

Сообщения в этом обсуждении
"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено FPGA , 22-Фев-10 21:07 
Вопрос по "but the botnet also attacks satellite TV receivers". Каким образом атакованы и эти устройства? У них есть web-интерфейс? Или их подключают к интернет?

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Slavaz , 22-Фев-10 21:10 
>Вопрос по "but the botnet also attacks satellite TV receivers". Каким образом
>атакованы и эти устройства? У них есть web-интерфейс? Или их подключают
>к интернет?

Зачастую да


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Карбофос , 23-Фев-10 15:17 
к интернету обычно ресивер подключается через рутер. а еще есть wifi, но только взломать этот wlan можно локально.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено andamasov , 22-Фев-10 21:13 
под ресиверами имеются ввиду всякие дримбоксы, опенбоксы.
у них на борту линукс, и они в сети для кардшаринга

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено i , 22-Фев-10 21:31 
криворукие пользователи (пароль придумать не могут) сами виноваты

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Карбофос , 23-Фев-10 15:19 
конфигурации железа разное бывает. например, есть железка azbox, в которой после выключения питания обнуляется большинство настроек. к примеру, все настройки в /etc

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 24-Фев-10 21:51 
>криворукие пользователи (пароль придумать не могут) сами виноваты

Для начала, виноваты производители раскладывающие грабли в дефолтах. Что еще за виндозный подход "не всех троянов вычистил - сам дурак!". А какого хрена телнет или вэбфэйс с стандартным паролем по дефолту наружу висит, пардон?! Давайте лучше стодолларовые бумажки пачками на улице без присмотра хранить. Узнаем много нового о человеческой природе и тяге к халяве :)


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Karpion , 22-Фев-10 21:32 
Хорошо бы давать дефолтный пароль в виде MAC-адреса, который печатается на корпусе роутера.

Кроме того, можно сделать в роутере службу, которая сама будет честно пытаться подобрать пароль, и если получится - начнёт писком требовать к себе внимания (в крутых моделях - скажет человеческим голосом о том, что пароль лёгкий).

А самое простое - в дефолтных настройках разрешить вход адимину только изнутри.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Уноним , 22-Фев-10 21:39 
а ничего, что мак адрес через ARP снаружи виден?

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено аноним , 22-Фев-10 22:14 
Где снаружи? Не хотите ли сказать что в интернете?

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Анонимус666 , 22-Фев-10 22:56 
В локальной сети провайдера. Не хотите ли сказать, что там червей нет?

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Rett Pop , 23-Фев-10 16:17 
А брать мак-адрес от порта LAN, а не WLAN...

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено pavlinux , 23-Фев-10 21:01 
Предлагаю пароль - произведение цифр MAC от LAN умноженного на MAC от WAN,
все это деленное на серийный номер + номер продукта * на штрих код.
Плюс к этому, три случайные цифры на наклейке - которые есть страница, строка,
и  2 слова из мануала., но в обратном порядке. (hello world -> olleh dlrow)
В поставке прилагать 16-ричный калькулятор.




"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Карбофос , 23-Фев-10 22:06 
:-D хорошее чувство юмора. лучше счетные палочки вместо калькулятора.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Наме , 23-Фев-10 08:38 
>а ничего, что мак адрес через ARP снаружи виден?

Н виден. Но, учитывая некоторые особенности, подобрать такой пароль будет не рруднее, чем "qwertyuiop".


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Анонимус666 , 23-Фев-10 10:46 
Вот блин уперлись, учите матчасть и не обманывайте людей.
Я на внешнем интерфейсе вижу пару сотен маков за счет бродкастов и мультикастов, а если отравиль ARP, то все 2^12 в моей сети увижу.
Кстати из этих бродкастов около трети сгенерировано форточными червями.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено XoRe , 23-Фев-10 12:35 
>>а ничего, что мак адрес через ARP снаружи виден?
>
>Н виден. Но, учитывая некоторые особенности, подобрать такой пароль будет не рруднее,
>чем "qwertyuiop".

Внутри виден MAC адрес внутреннего интерфейса.
Снаружи виден МАС адрес внешнего.

Комрадам остается только надеяться, что вендоры не идиоты и ставят паролем внутренний МАС адрес.
От себя могу заметить, что (вспоминая про всякие инциденты) надеяться на это не стоит)


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Ноним , 23-Фев-10 16:13 
Производитель Firtzbox-AVM уже как нное количество лет генерирует рандомные пароли и печатает их на наклейке, которая находится на коробке.
Wifi также по дефолту wpa/wpa2 и интерфейс наружу не смотрит.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Alexander , 24-Фев-10 12:26 
Эти MAC-адреса случайно не отличаются только на единицу?

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено аноним , 22-Фев-10 22:22 
>Хорошо бы давать дефолтный пароль в виде MAC-адреса, который печатается на корпусе
>роутера.

MAC элементарно брутится. Первые 3 байта OUI которых фиксированный набор для производителя, остальное - даже 2^24 перебрать не проблема, что уж говорить о том, что серия скорее всего будет известна, значит маков для перебора - несколько десятков тысяч.

>Кроме того, можно сделать в роутере службу, которая сама будет честно пытаться
>подобрать пароль, и если получится - начнёт писком требовать к себе
>внимания (в крутых моделях - скажет человеческим голосом о том, что
>пароль лёгкий).

Тогда техподдерка будет обречена рассказывать куче придyрков о том, почему их железка пищит. Будет сложный пароль по умолчанию - придyрки не войдут на железку и понесут в гарантию. Будет проверка сложности пароля при смене - не будут менять.
Нужно просто не предоставлять никакой функциональности кроме смены пароля до собственно смены пароля. Ну и проверять на простоту, да.

>А самое простое - в дефолтных настройках разрешить вход адимину только изнутри.

Это тоже вариант.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено igor , 25-Фев-10 12:17 
запретить доступ к настройке маршрутизатора извне тоже не панацея от слабых паролей. за маршрутизатором тоже можно трояна поймать, например через дыру в браузере, а он уже благополучно поселиться в самом маршрутизаторе если пароль на нем слабый будет

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Анон , 28-Фев-10 16:42 
Такое есть по-крайней мере в P660RT-EE от Zyxel, железка не работает пока не будет сменен пароль, но к сожалению сложность не учитывается, кроме длины пароля.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено XoRe , 22-Фев-10 23:10 
>Хорошо бы давать дефолтный пароль в виде MAC-адреса, который печатается на корпусе
>роутера.

Можно по серийному номеру.
Он тоже печатается на корпусе.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 23-Фев-10 02:56 
>Хорошо бы давать дефолтный пароль в виде MAC-адреса,

Он должен быть рандомным и пропечатан в мануале/на этикетке. Мак сбрутить невелика наука. Там не так уж много брутить. И заодно - зачем вывешивать средства настройки в WAN по дефолту?! У длинков мазохизм прокачан?


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Аноним , 24-Фев-10 02:13 
А если учесть что маки даются не от балды а покупаются из диапозона, и обынчо идут серийно, и есдли удастся узнать версию устройства к которому этот "пароль" подбирается, то думаю первые 3-4 цифры из 6 будет известно, и чтото я гляжу у маков первая цифра часто 00 в общем банальным перебором это займёт не так много времени.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Аноним , 22-Фев-10 22:16 
Ребята! Ну вы все такие крутые: "криворукие пользователи (пароль придумать не могут) сами виноваты), под ресиверами имеются ввиду всякие дримбоксы, опенбоксы.
у них на борту линукс, и они в сети для кардшаринга". А у Вас давно руки стали "прямые"?


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено аноним , 22-Фев-10 23:19 
>Ребята! Ну вы все такие крутые: "криворукие пользователи (пароль придумать не могут)
>сами виноваты), под ресиверами имеются ввиду всякие дримбоксы, опенбоксы.
>у них на борту линукс, и они в сети для кардшаринга". А
>у Вас давно руки стали "прямые"?

Ну Dlink тоже виноват. Собственно они всегда были халтурщиками, и на одной нормальной железки за всю историю не выпустили. Дело в другом - криворукие пользователи и вендоры подставляют Linux. Хотя конечно так очень легко детектить школоту - "развеян миф о неуязвимости Linux" - всерьез человека можно уже не рассматривать.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Anon , 23-Фев-10 00:11 
butthurt detected.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Hety , 23-Фев-10 10:18 
Да. Стали. Пользователи не тупые, а "тупые". И "тупеые" не потому, что отклонения в развитии, а потому что им ЛЕНЬ. И им кажется, что все должно одновременно работать как бы сразу и как бы еще и вирусов не ловить. И, желательно, телепатировать про их потребности. В нашем ИТ отделе висит большой плакат как раз для этих случаев. И написана на нем банальщина: "Компьютер не делает то, что вы хотите, чтобы он сделал. Компьютер делает то, что вы ему говорите".

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено XoRe , 23-Фев-10 12:41 
>Да. Стали. Пользователи не тупые, а "тупые". И "тупеые" не потому, что
>отклонения в развитии, а потому что им ЛЕНЬ. И им кажется,
>что все должно одновременно работать как бы сразу и как бы
>еще и вирусов не ловить.

Ну, вообще-то, что устройство должно работать так, как заявил производитель.
Это в IT индустрии привыкли, что глюки были, есть и будут.
Поэтому отказ от ответственности за глюки прописывается ещё в EULA.
А в остальных сферах весьма распространена ответственность изготовителя за свое поделие.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Hety , 23-Фев-10 13:52 
>Ну, вообще-то, что устройство должно работать так, как заявил производитель.
>Это в IT индустрии привыкли, что глюки были, есть и будут.
>Поэтому отказ от ответственности за глюки прописывается ещё в EULA.
>А в остальных сферах весьма распространена ответственность изготовителя за свое поделие.

Никто же не говорит, что устройство не работает. Но если вы поставите электрический чайник на плиту - он сгорит к едрене фене. Но ведь он же воду должен кипятить, ага.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Аноним , 24-Фев-10 16:58 
> Никто же не говорит, что устройство не работает. Но если вы поставите электрический чайник на плиту - он сгорит к едрене фене. Но ведь он же воду должен кипятить, ага.

Здесь несколько другая ситуация, Вы поставили электрический чайник нагреваться, а из него потекла вода (взломанный шлюз нагенерил кучу трафика который Вам пришлось оплатить). А производитель в документации написал: «работоспособность чайника не гарантирована», а нормальный чайник купить негде, потому что все производители чайников так пишут. И что самое интересное - всех всё устраивает.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено pavlinux , 23-Фев-10 21:11 
>В нашем ИТ отделе висит большой плакат как раз для этих
>случаев. И написана на нем банальщина: "Компьютер не делает то, что
>вы хотите, чтобы он сделал. Компьютер делает то, что вы ему
>говорите".

IT отдел дибилов? Не можете сказать компьютеру чтоб он делал, то что вы хотите?



"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Анонимус666 , 22-Фев-10 22:37 
не видел еще мини-маршрутизаторов, у которых HTTP порт в WAN торчал по дефолту. Там вообще все закрыто снаружи, если никакой злобный буратина не включил. У меня логин на раутере 'root:hui', заходите люди добрые. =)

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено vadiml , 22-Фев-10 23:09 
Зато я видел на разных.
Причём на одном отключить внешний без отключения внутреннего было нельзя, пришлось просто перевесить на 60080-й порт.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено минона , 23-Фев-10 00:46 
иптэйблсом закрой.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 23-Фев-10 02:59 
>иптэйблсом закрой.

В какомнить openwrt эта малварина, конечно, заработает. Правда вот только заливать ее и запускать придется самому юзеру. Ну, как обычно в общем. А у какогонить криворукого длинка ессно может хватить ума и административные ифейсы вывесить в ван. Если уж эти дубы не могли месяцами залечить баг с переполнением таблицы трекинга соединений и взвисом девайса при активном юзеже p2p то уж тем более наивно от них ожидать что они безопасные дефолты поюзают.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено XoRe , 23-Фев-10 12:44 
>иптэйблсом закрой.

На роутерах обычно нет интерфейса для правки правил иптэйблсов)
Поэтому остается только надеяться, что пользователь - специалист в IT и сможет накатить какой-нибудь openWRT (и что на его роутер можно накатить что-нибудь такое).
А так как обычных пользователь не является специалистом в IT, то надеяться на это не стоит)


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено минона , 23-Фев-10 16:44 
вполне возможно.
просто скольким уж друзьям ставил - первое дело сразу новую прошивку и файервол (обычно только проверить. если с adsl, то ещё mtu/mss)

ps:
заключение не утешительное.
спасение утопающих - дело рук самих утопающих.
и только один совет - проконсультируйтесь со специалистом. что в общем справедливо во всём.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено а.н. , 23-Фев-10 00:13 
проскань любого крупного провa adsl и увидишь. дальше: 1234 без усернаме - зюхеля. admin:admin - длинк и бредоком.

разработка только lkm с минимумом юзерспейса бабло доставляет весьма неиллюзорное.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 23-Фев-10 03:02 
Блин, нынче полно дятлов с названиями вайфай сети вида default или подобных. Ессно это LAN уже и административный пароль там тоже ессно дефолтный, как правило admin:admin :). Я таким честно меняю название вайфай сети на что-нибудь забавное и ироничное. Чтобы дятлы наконец задумались о том что вывешивают свою железку всем желающим.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено anesth , 23-Фев-10 09:40 
Ага:) +1
На днях прошёлся пешком. Всего одну остановку. Три из пяти насканенных смартфоном точек меня пустили и в сеть, и в админку. SSID, истессна, а-ля default, dlink, broadcom...

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Аноним , 23-Фев-10 20:53 
lkm rootkit'ы имеются в виду что ли?? мне не верится что кто отдаст за это бабки


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено ононимуз , 23-Фев-10 00:43 
Тебя можно сводить на сайт с XSS и браузер сотворит чудо в ифрейме 1х1 пиксель.
Пару раз, зная конкретный adls-модем, я включал людям телнет и разрешал его наружу.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Анонимус666 , 23-Фев-10 03:21 
Тоже верно, но на каждую хитрую... забыл сказать, что у меня вэб доступа нет, только ssh на маршрутизаторе. Но больше не буду рассказывать про свой раутер, а то очень умные тут хаксоры собрались =)

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено 1 , 23-Фев-10 13:36 
asus wl500 gp v2 - хтпп с формой для логина в устройство открыто по дефолту во внешнюю сеть.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Анон , 28-Фев-10 16:46 
>не видел еще мини-маршрутизаторов, у которых HTTP порт в WAN торчал по
>дефолту. Там вообще все закрыто снаружи, если никакой злобный буратина не
>включил. У меня логин на раутере 'root:hui', заходите люди добрые. =)
>

По отчетам denyhost на моем домашнем сервере, именно такого рода сочетания пробиваются в первую очередь. Так что настоятельно рекомендую вам проверить свои логи по трафику.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено sfstudio , 23-Фев-10 01:22 
> Psybot червь "Чак Норрис" поражает устройства на базе архитектуры MIPS, снабженные прошивками, основанными на Linux (Psybot поддерживал прошивки на базе проектов OpenWRT и DD-WRT)

Ох как я раз за ребят из *WRT =))) Кстати. Этот червь тоже LE only ? =) Т.е. криволтэки могут спать спокойно?

Да да. А ещё некоторые мегамаршрутизатры (намекаю в т.ч. на *WRT) не в состоянии пересчитать некоторые вещи типа ключей при резете и юзают JFSS для хранения rw части фирмвари. Куда нам до такого, всё для юзера/червей даже fs save говорить не нуно, записался, сунулся в rc.local и счастлив =)))

А пароли на админку эт да, в связи с поголовным овантузятиванием никто не меняет, но кто ж заставляет по дефолту в таких прошивках открывать доступ с WAN к telnet/ssh/web ?

Ну не верю я что быдлоюзер неосиливший сменить пароль будет в RA менять режимы доступа извне.

Т.е. тут проблема комплексная:
1) черезчур увлеклись унификацией
2) кнопка кайф в *WRT до добра не доведёт
3) отсустввие банальных механизмов для регенерации ключей сводит на нет всю защиту если вдруг открыт ssh во вне ибо подбор упрощается и значительно ну и плюс зачастую разрешённая 1 версия ssh на таких роутерех вместе с телнетом даже без банального rate limit убьёт остатки безопасности
4) криворукие юзеры не меняющие паролей

И всё это только вершина айсберга. Кто там грил о том что *WRT интерпрайз? Получайте! =)))

Именно по этому на вопрос о том зачем была создана Wive-RTNL для чипов Ralink мой ответ был прост: "Я не разделяю их менения о том как должен выглядить софт для маршрутизаторов".

Можете закидать меня какашками, но это моё мнение.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено sfstudio , 23-Фев-10 01:29 
P.S. Я лично убеждаю производителя на которого работаю о том что 15сек на обновление ключей и UUID при первой загрузке не то время чтобы плевать на безопасность.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 23-Фев-10 02:53 
> Ох как я раз за ребят из *WRT =)))

А вы попробуйте для начала затроянить OpenWRT в реальных боевых условиях - расскажете потом как получилось :).

Хинт1: по дефолту там вообще на WAN нет нифига. И радио отрублено. Удачи в взломе, ага. Правда взломщик должен быть в интранете а юзеру всяко придется сунуться в девайс до начала его юзежа (врядли юзер юудет рад роутеру без вайфая).

Хинт2: разработчики оного судя по сайту вполне в курсе той бяки и проверили что их оно не пробирает в дефолтовой конфиге. А как там юзер напортачит дальше - уже дело юзера.

>Да да. А ещё некоторые мегамаршрутизатры (намекаю в т.ч. на *WRT) не в состоянии
>пересчитать некоторые вещи типа ключей при резете и юзают JFSS для хранения rw части
>фирмвари. Куда нам до такого, всё для юзера/червей даже fs save говорить не нуно,
>записался, сунулся в rc.local и счастлив =)))

А еще у компьютера жесткий диск запись позволяет, если уж параною прокачивать. Давайте на него тоже запись запретим? Как по мне так нормальная RW файловая система - это фича. Позволяющая ставить пакеты. Кстати, именно малвари не обязательно записываться на диск. Не это ее цель. Вон msblsat и его наследники до сих пор существуют. Живут себе в виндозных сетях как бестелесные пакеты. Летают себе. На диск половина модификаций вообще не пишет себя. А зачем им это? Они и так хорошо летают. Так что хрен их в большой сети полностью удавишь. Потому и живые до сих пор.

> ж заставляет по дефолту в таких прошивках открывать доступ с WAN к telnet/ssh/web ?

Ну дык в OpenWRT ничего и не открыто по дефолту в WAN :).Так что до того как ругать - хорошо бы посмотреть сначала, имхо. Нет, чисто технически на OpenWRT можно запустить вируса но в лучших традициях *никсов заливать его и запускать придется самолично :).Да, после этого он разумеется сможет заработать.Правда так даже J2ME трояны работают, блин и они кстати завалили асю спамом с ссылками на скачку самих себя, кстати :)

>Ну не верю я что быдлоюзер неосиливший сменить пароль будет в RA менять режимы
>доступа извне.

OpenWRT юзеру в дефолтах не гадит. За остальных не скажу.

>1) черезчур увлеклись унификацией

Ну, если уж о паранойе - я видел PoC пример (шелл)кода который запускается на 3 абсолютно разных архитектурах и прыгает на соотв. блок кода "своего" процессора. Паранойя вас замучает теперь :)

>2) кнопка кайф в *WRT до добра не доведёт

Что такое кнопка кайф в OpenWRT например? :)

>3) отсустввие банальных механизмов для регенерации ключей сводит на нет всю защиту
> если вдруг открыт ssh во вне ибо подбор упрощается

За открытие SSH вовне в роутере по дефолту надо сразу расстреливать. Без суда и следствия. А там уж история разберется, было оно секурно или нет :)

>4) криворукие юзеры не меняющие паролей

В случае опенврты во первых юзеру придется сходить в админку чтобы радио включить а во вторых - wan по дефолту ничего не торчит. Ну и как там поиметь криворукого юзера?

>И всё это только вершина айсберга. Кто там грил о том что *WRT интерпрайз? Получайте! =)))

Думаете, вам сделает честь черный пиар при том что он содержит недостоверную инфорормацию? oO

>Именно по этому на вопрос о том зачем была создана Wive-RTNL для чипов Ralink мой ответ
>был прост: "Я не разделяю их менения о том как должен выглядить софт для маршрутизаторов".

Ну а мне нравятся OpenWRTшные прошивки. За гибкость и возможность заставить роутер делать то что надо мне а не кому-то-там без чрезмерно большого траходрома. Также мне не нравятся архаичные 2.4 ядра, немодифицируемая ФС, горбатые тулсы для сборки и прочая. А если исходить из вашей логики - лучше всего не подавать на роутер питание. Тогда его уж точно никто не сломает :)

>Можете закидать меня какашками, но это моё мнение.

Постарался сделать это конструктивно. Надеюсь получилось :)


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено sfstudio , 23-Фев-10 12:11 
>А вы попробуйте для начала затроянить OpenWRT в реальных боевых условиях -
>расскажете потом как получилось :).

Пробовал под RT305* DD-WRT мягко сказать стошнило от перегруженного интерфеса в котором в части wifi (а это основная задача данного роутера) дажее покрутить не чего. Агрегацию пакетов и ту выломали нафиг.

>Хинт1: по дефолту там вообще на WAN нет нифига. И радио отрублено.
>Удачи в взломе, ага. Правда взломщик должен быть в интранете а
>юзеру всяко придется сунуться в девайс до начала его юзежа (врядли
>юзер юудет рад роутеру без вайфая).

Сборка DD-WRT распространямая для Senao на RT3052 имеет не прикрытый telnet на wan. По остальным не скажу.

>Хинт2: разработчики оного судя по сайту вполне в курсе той бяки и
>проверили что их оно не пробирает в дефолтовой конфиге. А как
>там юзер напортачит дальше - уже дело юзера.

Ну а я и грю что основная причина юзверь однако...

>А еще у компьютера жесткий диск запись позволяет, если уж параною прокачивать.

У вас компьютер и маршрутизатор это одно и то же? Сочувствую.

>Давайте на него тоже запись запретим? Как по мне так нормальная
>RW файловая система - это фича.

Достаточно иметь раздел под конфиги в раме сохраняемый на флэш отдельной командой и если замучают звери не сложно это дело модифицировать ведь скрипт сохранения сам лежит на rw части флэша.

>Позволяющая ставить пакеты.

Да да. На 4х метровую флэш в JFSS2 мнооооого пакетов влезет =) О девайсах с USB речь другая, там как смонтируешь так и будет. Но основное сердце маршрутизатора должно быть на ro разделе причём там же должна быть сжатая копия того что распаковывается на rw. Вся оптварь - добро пожаловать на внешний накопитель.

>Кстати, именно
>малвари не обязательно записываться на диск. Не это ее цель. Вон
>msblsat и его наследники до сих пор существуют. Живут себе в
>виндозных сетях как бестелесные пакеты. Летают себе. На диск половина модификаций
>вообще не пишет себя. А зачем им это? Они и так
>хорошо летают. Так что хрен их в большой сети полностью удавишь.
>Потому и живые до сих пор.

Да да. Давайте о винде не будем? А то обоснуем не нужность LPR тем что в виндах оно толком не работает =) Винда изначальный рассадник заразы и причин тому много.

>Ну дык в OpenWRT ничего и не открыто по дефолту в WAN
>:).Так что до того как ругать - хорошо бы посмотреть сначала,

Дык смотрел правда DD-WRT покупать себе девайс на броадкоме чтобы посмотреть OpenWRT желания не возникало. Как-то у мну и так склад девайсов которые Аорп шлёт под разработку чтобы ещё что-то покупать =))) И так скоро солить буду.

>имхо. Нет, чисто технически на OpenWRT можно запустить вируса но в
>лучших традициях *никсов заливать его и запускать придется самолично :).Да, после
>этого он разумеется сможет заработать.Правда так даже J2ME трояны работают, блин
>и они кстати завалили асю спамом с ссылками на скачку самих
>себя, кстати :)

Я почему-то считал что OpenWRT по структуре и общим принципам схожи с DD-WRT. Нет? Если нет тады сорри отзываю от ребят из OpenWRT свою какашку.

>OpenWRT юзеру в дефолтах не гадит. За остальных не скажу.

Ну вот DD-WRT (возможно и конкретная сборка) таки гадит.

>Ну, если уж о паранойе - я видел PoC пример (шелл)кода который

А показать? Ну как в старых традициях - дай посмотреть =) А то тут иногда бьёшся при портировании тревиального кода под новую платформу, может есть способ лучше?

>запускается на 3 абсолютно разных архитектурах и прыгает на соотв. блок
>кода "своего" процессора. Паранойя вас замучает теперь :)

Врятли. На бумаге оно всегда очень красиво.

>Что такое кнопка кайф в OpenWRT например? :)

Я образно =))) Вообще считаю web на роутере происами марсиан, но в силу того что в последние время приходиться пилить прошивки для "населения" то приходиться держать морду. Но от нормального инита с нормальной логикой на rwfs я не уйду.

>За открытие SSH вовне в роутере по дефолту надо сразу расстреливать. Без
>суда и следствия. А там уж история разберется, было оно секурно
>или нет :)

Да ну? А как например добавить подсеть в таблицу маршрутизации из командировки на камчатке =) Приехать специально чтобы добавить одну чтроку в конфиг? Нет уж. Мы уж как-нить по нормально настроенному ssh прикрытого iptables с connlimit/ratelimit на нестандартном порту всё это и проделаем. А то как-то билеты москва-камчатка-омск сегодня дороги =)

>В случае опенврты во первых юзеру придется сходить в админку чтобы радио
>включить а во вторых - wan по дефолту ничего не торчит.
>Ну и как там поиметь криворукого юзера?

Ничего не понял, причём тут вдруг нарисовался вдруг влючить wifi... Кстати а кто мешает с виндовым трояном говноюзеру передать и нужный шелкод для его маршрутизатора ведь уже не нужно будет ползать извне, достаточно и изнутри. Да и сохраняться не нужно, на ПК винт большой.

>Думаете, вам сделает честь черный пиар при том что он содержит недостоверную
>инфорормацию? oO

Ну я незнаю где вы тут увидели чёрный пиар, просто моя оценка ситуации причём поверхностная и не притендующая на 100% верность. Иначе я бы писал бы не на форум, а нарисовал бы красочную замету у себя на сайте, но т.к. пишу на форум то наверное хочется услышать и другие мнения в т.ч. опровержения.

>Ну а мне нравятся OpenWRTшные прошивки. За гибкость и возможность заставить роутер
>делать то что надо мне а не кому-то-там без чрезмерно большого
>траходрома.

Ну в моих прошивках всё ровно тоже. А не хватает встроенных возможностей - берите сырцы и пилите.

>Также мне не нравятся архаичные 2.4 ядра, немодифицируемая ФС,

2.4 остались в 8186 устройствах 5ти летней давности. Немодифицируемая фс это тоже вы сами придумали. Раздел где лежат консиги вполне себе модифицируется. И на встроенную флэш нефиг тянуть оптварь. Хочется ставить софт - бери юсб девайс и тыкай туда оптварь гигами. А со встроенного флэша девайс должен взлетать по кнопочке резет из любой позы. И как-то rw fs к этому при крахе не располагают.

>горбатые тулсы для сборки и прочая.

Эть какие горбатые тулзы? gcc + пара скриптов? =)

>А если исходить из вашей логики - лучше всего не подавать на роутер питание. Тогда его уж
>точно никто не сломает :)

Ну а не логично разве? =) Но ведь есть принцип разумной достаточности.

>Постарался сделать это конструктивно. Надеюсь получилось :)

Ну относительно таки да =)


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено sfstudio , 23-Фев-10 12:21 
>>А вы попробуйте для начала затроянить OpenWRT в реальных боевых условиях -
>>расскажете потом как получилось :).

Сорри, слово затроянить как-то при чтении превратилось в затестить =)


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 24-Фев-10 21:32 
>>расскажете потом как получилось :).
>Пробовал под RT305* DD-WRT мягко сказать стошнило от перегруженного интерфеса в котором
>в части wifi (а это основная задача данного роутера) дажее покрутить
>не чего. Агрегацию пакетов и ту выломали нафиг.

Если честно [в этом месте контекст переключается в user mode] как юзер я не особо горю желанием твикать многочисленные параметры wi-fi. В юзерском сценарии в пределах дома/квартиры сие попросту не должно требоваться вообще. Как максимум я могу захотеть сменить канал на конкретный и настроть более чем 1 SSID или же захочу быть клиентом и AP одновременно. Ну еще шифрование задать. В опенвртшном вэбфейсе все это можно (правда далеко не любой драйвер сие позволяет, очень зависит от железки и драйверов). А зачем мне как именно юзеру трогать параметры типа агрегации пакетов? Как гуру - возможно. Но как гуру я и из консольки не обломлюсь, тогда уж. И вот тут большой плюс если прошивка на это заточена.

>Сборка DD-WRT распространямая для Senao на RT3052 имеет не прикрытый telnet на
>wan. По остальным не скажу.

Я больше OpenWRT интересуюсь. Потому что мне строго говоря не требуется готовая полированая мордочка для дурачков с 1 кнопкой "сделайте мне хорошо". Мне требуется удобная "база" из которой я в меру своей дурости сам постепенно соберу то что мне надо. OpenWRT в этом качестве пришелся "по руке". :)

>Ну а я и грю что основная причина юзверь однако...

Да нет, в случае ботнетчиков причина - дубы у производителя которые задают несекурные дефолты. И очень хорошо что Акорп в отличие от - не будет пакостить в дефолтах. Можно будет нетребовательным чайниковатым юзерам советовать без риска что их порутают нафиг (а выгребать говно еще и с роутеров - немного не то что мне хотелось бы).

>>А еще у компьютера жесткий диск запись позволяет, если уж параною прокачивать.
>У вас компьютер и маршрутизатор это одно и то же? Сочувствую.

Да, я снес на свой маршрутизатор вагон (около)сетевых сервисов и теперь сетью занимается сетевой компьютер [ака маршрутизатор] :). И да, теперь всякие проксики, динднс апдейтеры, опевпны и прочий (около)сетевой stuff - живут там где и должны. И не отлипают из-за рестарта компа, etc. Лично мне это удобно. И еще всякого снесу :). Сетью и (около)сетевыми сервисами должна заниматься сетевая железка. Мне это кажется логичным, блин. И как просто юзеру, и как злостному гику.

>>RW файловая система - это фича.
>Достаточно иметь раздел под конфиги в раме сохраняемый на флэш отдельной командой

А зачем мне этот геморрой? Как видим, троянцы прекрасно себя чувствуют даже когда кроме гольного squash вообще нет нифига. В итоге гемор будет, но не троянцам а юзеру. Ну, знаете, я как-то не хочу себе геморрой, тем более что троянам как видим и так вполне хорошо живется. А если я доиграюсь что система засрется - ну зажму кнопку при загрузке и грузанусь в гольный squash, отбросив изменения. После чего могу вручную замаунтить отдельно и заняться "патологоанатомическими" мероприятиями по выяснению что там было не так в заведомо чистой ОС. А если влом разбираться - можно просто фирмваре перелить оттуда. Эта механика в принципе достаточно проста чтобы обучить под нее даже чайника.

>и если замучают звери не сложно это дело модифицировать ведь скрипт
>сохранения сам лежит на rw части флэша.

А зачем мне как юзеру этот геморрой? Троянцы как видим и так вон есть. А вот сношать себе мозг левыми сущностями я не хочу. Поэтому для лично меня нормальная ФС - огромный плюс который спасает меня от массы головняка и позволяет не дрессироваться на тему ввода левых нестандартных команд.

>>Позволяющая ставить пакеты.
>Да да. На 4х метровую флэш в JFSS2 мнооооого пакетов влезет =)

База OpenWRT лезет в ~2 мега squashfs. А еще почти 2 мега в сжатой ФС - довольно прилично в общем то учитывая скромный размер пакетов для таких железок. Впрочем, у 500GP флеша 8 мегз а у более интересных мне железок и вовсе 16 :).Так что пакетов лезет весьма и весьма.

>О девайсах с USB речь другая, там как смонтируешь так и будет.

Лично у меня все нужные пакеты пока-что утрамбовались в внутреннюю флеху на моем немолодом асусе. И еще свободно почти половина ФС. Про железки с 16 мегами флеша я и вовсе молчу - там раздолье :)

>Но основное сердце маршрутизатора должно быть на ro разделе причём
>там же должна быть сжатая копия того что распаковывается на rw.

В OpenWRT сделано так: есть база в RO squash и есть юзерские изменения в JFFS2. Если доигрались, можно загрузиться без JFFS2 с дефолтными настройками и потом замаунтив оный исправить свои ляпы или перелить фирмваре например, etc :).Плюс подхода - можно версии пакетов обновлять без перешивания. Минус - обновления жрут место 2 раза - в squash и jffs. В общем на мое имхо забавная технология, имеет и плюсы и минусы. Я для себя вижу больше плюсов чем минусов. Если в какомнить OpenSSL накопается дыра например - я будучи за тридевять земель предпочту сменить пакет с ней чем все фирмваре переливать. Как-то менее стремненько. Да, еще есть и версия которая целиком вся в JFFS2 но там отсутствует failsafe режим и оно пухлее (squash жмет лучше). Мне так не нравится.

>Вся оптварь - добро пожаловать на внешний накопитель.

Мне не нравится идея что у меня скажем отвалится опенвпн, прокся или там построение графиков траффа если я отцеплю внешний диск. Кому нравится - он в своем праве.

>Да да. Давайте о винде не будем?

Давайте. Но давайте все-таки заметим что малварь и так себя хорошо чувствует без записывемых партиций. А вот мне например нормалная ФС жизню упрощает. Итого - для кого фирмваре делается? Для меня или для троянцев?! Или почему в итоге пролетает пользователь а не троянцы? Они удовольствовались tmp а вот юзеру при нужде что-то поменять приходится сношаться с пересборкой образа или костыльными ФС. Что как-то геморройно шибко (и не понятно что не даст трояну сохранить ФС, собственно).

>А то обоснуем не нужность LPR тем что в виндах оно толком не работает =)

Лучше хреново чем совсем никак, имхо :)

>Дык смотрел правда DD-WRT

Ну да, не в лотерею а в карты, не выиграл а проиграл :)

>покупать себе девайс на броадкоме чтобы посмотреть OpenWRT желания не возникало.

Броадком достаточно распостранен в природе, тот же 500GP например есть у кучи знакомого народа. Да и OpenWRT поддерживает кучу разных железяк - неужто ничего подходящего под руку не попалось? Мне кажется логичным судить о прощивке и ее безопасности посмотрев ее хоть краем глаза и сканером портов :)

>Как-то у мну и так склад девайсов которые Аорп шлёт под разработку чтобы ещё
>что-то покупать =))) И так скоро солить буду.

У меня тоже есть несколько девайсов, правда, мне Акорп ничего не шлет :).Но на лайт версию склада в принципе тянет наверное :)

>Я почему-то считал что OpenWRT по структуре и общим принципам схожи с
>DD-WRT. Нет? Если нет тады сорри отзываю от ребят из OpenWRT свою какашку.

Насколько я знаю - у них общие корни (т.е. изначально это были как бы прошивки от роутеров серии WRT). Но дальше каждый эфолюционировал по своему. Ну и в итоге есть обезьяны, а есть человеки. Есть OpenWRT а есть DD-WRT. И еще куча всяких есть. При том у авторов каждых из низ свои goals, свои видения как правильно и так далее.

>Ну вот DD-WRT (возможно и конкретная сборка) таки гадит.

За OpenWRT сие не замечено.

>может есть способ лучше?

Не, для портирования это не годится. Для кроссплатформенного эксплойта - может быть.
Например что-то типа http://www.groar.org/expl/intermediate/spanning.html
Идея проста как топор - надо чтобы инструкции "хидера" не мешали остальным процам и были вызовом нужного куска кода на "своем" CPU :).Если поизгаляться, можно подогнать "хидер" так что один и тот же блок сможет отстреляться на совершенно разных CPU, перебросив выполнение на "свой" блок кода. На практике сие поюзать геморно и требует работающий мозг, так что это больше just for fun имхо. Просто кто-то хотел показать что теоретически можно задетектить совершенно разные по архитектуре процы прямо в момент выполнения, весьма своеобразным методом :)

>Врятли. На бумаге оно всегда очень красиво.

Да, это больше PoC :)

>Я образно =))) Вообще считаю web на роутере происами марсиан,

У OpenWRT до недавних пор не было официального вэбфейса. Только в 9й версии появился. Посему до сих пор не вопрос встретить опенврту без вебморды, даже 9-ю. Кому надо - ставит пакетики с мордой. Кому не надо - не засирает себе ФС :). Это к вопросу зачем надо пакетизацию и RWшную ФС.

>но в силу того что в последние время приходиться пилить прошивки для "населения"
>то приходиться держать морду.

Ну, знаете, мне вот как-то удобнее типовые правила айпитаблесу в морде вводить введя нужные значения в поля. Меньше риск лопухнуться где-то. Графики загруженности опять же в морде удобнее смотреть. Ну и так далее.

>Но от нормального инита с нормальной логикой на rwfs я не уйду.

Ваше право. Я и не настаивал на этом и даже согласен что сие имеет право на жизнь. У совсем дубовых юзеров для которых это просто коробочка :). Вот опенврта - это дистр для тех кто хочет получить от коробочки несколько больше чем это. И там имхо вполне уместные инженерные решения с RW фс и прочая. Тем кому нужна опенврта - трах с извращениями в ФС не нужен. Но срать в дефолтах и им не хорошо. Поэтому по дефолту конечно есть ssh доступ но - только из LAN. Что разумно, хорошо и правильно.

>Да ну? А как например добавить подсеть в таблицу маршрутизации из командировки
>на камчатке =)

Я бы будучи в командировке на камчатке ничего бы не трогал если работает. А то потом вообще не достучишься. Да и если у юзера такая нужда возникает - думаю что он пароль нормальный ставит :)

>Приехать специально чтобы добавить одну чтроку в конфиг?

Понимаете, кому надо - да, разрешит себе ssh на внешку. Сменив пароль и прочая. А вот по дефолту его вывешивать в WAN домашним хомячкам которые от этого слова шарахаются и спасибо если вообще допрут пароль сменить и SSID с default - это уже попросту вредительство. По сути призводитель при этом клепает дармовые микро-шелбоксы, а вовсе не... :)

>как-то билеты москва-камчатка-омск сегодня дороги =)

Да, особенно "прикольно" все это настраивать без нормальной ФС как раз... :P.

>>Ну и как там поиметь криворукого юзера?
>Ничего не понял, причём тут вдруг нарисовался вдруг влючить wifi...

А они для пущей секурити по дефолту вайфай не включают. Так что когда вы впервые застартили девайс - доступ к нему только проводом с стороны LAN. И усе. Неудобные для хаксоров дефолты, имхо.

>Кстати а кто мешает с виндовым трояном говноюзеру передать и нужный шелкод для
>его маршрутизатора

Наверное ничего, но, строго говоря, если уже есть ресурсы огромного и мощного писюка - зачем много бодаться еще и с сломом коробочек? А если параною развивать - так троян может пароль к вебморде заснифать. HTTPS то в морде мало кто юзает, да еще и телнеты всякие. Спасать юзера от всех возможных вариантов поимения имхо нереально, надо перекрыть наиболее очевидные и опасные, которые просто автоматизировать. Как вот эти сканы.

>Ну я незнаю где вы тут увидели чёрный пиар, просто моя оценка
>ситуации причём поверхностная и не притендующая на 100% верность.

Ну, мне кажется что вам трудно быть 100% нейтральным по отношению к другим продуктам. В принципе могу понять - свой то продукт для себя всяко лучше :)

>хочется услышать и другие мнения в т.ч. опровержения.

Ну, услышали :).

>Ну в моих прошивках всё ровно тоже. А не хватает встроенных возможностей
>- берите сырцы и пилите.

OpenWRT откровенно ориентировано на модифицируемость без геморроя. Тут вам и read-write ФС, сделанная по уму, с неубиваемой основой и юзерскими довесками (не хочу ничего сказать, но после нее на костыли как в олеге и т.п. - не охота), и пакетная система, и более-менее человеческие средства для пересборки образов в виде как надо именно мне. Этакая болванка-конструктор из которой желающие могут сделать без чрезмерного геморроя то что им надо. Все-равно производитель все не предусмотрит. А что, мне опенвпн или мелкий проксь для полутора юзеров держать на писюке чтоли? Так у писюка может кулер накрыться и упсом его на пару суток фиг подопрешь (такая упса будет стоить дороже писюка). Пусть сетевая железка сетевыми сервисами и заведует :). Некоторые инженерные решения спорны или имеют свои минусы. Некоторые неоптимальны. Да. Всегда есть tradeoff-ы. Есть набор плюсов, за которые воздается набором минусов.

>>Также мне не нравятся архаичные 2.4 ядра, немодифицируемая ФС,
>2.4 остались в 8186 устройствах 5ти летней давности. Немодифицируемая фс это тоже
>вы сами придумали. Раздел где лежат консиги вполне себе модифицируется.

Дело в том что для себя я не рассматриваю это как коробочку с фиксированным набором функций. Я рассматриваю это как сетевой компьютер на который следует максимально сбагрить сетевые сервисы. Который можно не выключать и который всегда доступен, который просто подпереть бесперебойным питанием на значительное время и прочая. Да, разумеется это не нужно простым юзерам. Зато мне - нужно.

>И на встроенную флэш нефиг тянуть оптварь. Хочется ставить софт - бери
>юсб девайс и тыкай туда оптварь гигами.

Знаете в чем проблема? По лично моей классификации есть очень разное по степени критичности оптваре. И если без торентокачалки я как-то переживу еще, если юсб-диск отвалится или его отцепят, пропадет контакт, etc, то вот без какогонить опенвпна или проксика - будет очень некомфортно и по сути mission железяки будет failed. Просто потому что я потом из какой-нибудь жопы мира не смогу попасть в свою сеть. Не смогу получить мой надежный туннель с сжатием и шифрованием.

>А со встроенного флэша девайс должен взлетать по кнопочке резет из любой позы. И как-то
>rw fs к этому при крахе не располагают.

У OpenWRT "рекомендуемая" схема - достаточно грамотно сделана. Есть некая база в squashfs и есть довесок в JFFS. По дефолту - старт с сквоша, в жффс - ничего. По мере обновления или доустановки пакетов, правки конфигов и прочая - дописывается в жффс. При нормальной загрузке ФС объединяются, и у юзера текущий вид ФС. Но есть и режим аварийной загрузки - когда жффс не монтируется. Тогда юзер оказывается в неубиваемой базе из сквоша с дефолтными настройками и дальше его дело что там делать. Может перелить фирмваре и угробить свои потуги в jffs. Может замаунтить jffs2 в сторонку и попытаться откатить неудачные изменения. И т.п.. В принципе может прокатить даже для тупых, но для продвинутых юзеров такая схема дает больше шансов на рекавери и позволяет продвинутое рекавери когда оно надо.

>>горбатые тулсы для сборки и прочая.
>Эть какие горбатые тулзы? gcc + пара скриптов? =)

Ну, у опенврты их скрипты позволяют запихнуть в readonly "базу" в squash именно те пакеты которые нужны лично мне без чрезмерного траха. Так что если я для себя решил что OpenVPN это критичный системный сервис а не какое-то там оптваре которое можно на юсб диск, я в своем праве сделать его условно-неубиваемым вообще. У остальных сие действо получается как-то геморройнее. Да и пересобирать ФС на каждый пук - не очень прикольно на мое имхо.

>>точно никто не сломает :)
>Ну а не логично разве? =) Но ведь есть принцип разумной достаточности.

Вот-вот :). И собственно сам по себе опенврт с дефолтами - довольно неудобная штука для хакеров на мое имхо. Во всяком случае не вижу там столь откровенно халявных методов влезания типа того что описано в этой статье. Да, троян, конечно там заработает (а почему нет?). Вот только загнать его в дефолтную опенврт не слишком то просто будет. Придется юзеру самому свой девайс в ботнет джойнить если уж так хочется приобщиться :)

>Ну относительно таки да =)

Ну, наверное местами излишне повозмущался :)


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено sfstudio , 25-Фев-10 16:14 
В общем резюмируюя всё сказанное: "На вкус и цвет все карандаши разные/одинаковые(по вкусу)".

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Zenitur , 23-Фев-10 03:33 
Можно подробное руководство, как диагностировать и решить проблему?
Прошлая решалась просто закрытием порта, если он открыт миру, либо смена пароля с admin на более сложный.
Обнаруживался червь при помощи телнета и файлик с определённым зазванием был.
Всё просто и понятно.
А как теперь?

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Piter_Ring , 23-Фев-10 04:38 
перепрошивкой 100% поможет,
надолго ли :)

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Zenitur , 23-Фев-10 08:33 
Можно подробнее - где лежат исправленные прошивки и как лучше перепрошивать?
У меня у самого ZyXEL, но я помогаю многим друзьям в компьютерном плане.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено минона , 23-Фев-10 09:24 
издеваетесь? что значит "исправленные" прошивки?
они и так все правильные. просто у них дефолтные настройки уж очень хаксор-фрэндли.
измените эти настройки и всё.
а если есть подозрение, что бот уже там, то просто перезалейте прошивку и потом уже измените настройки/пароли/явки.
зы:
если у вас не заперта дверь и надпись на ней "не_заперто", то это не значит, что железо - очень мягкий металл.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Карбофос , 23-Фев-10 22:26 
лучше всего написать патч-скрипт для фирмвари:
1. разбираем фирмварь на составляющие: хедер, чексумма, основной кусок
2. монтируем основной кусок как файл-имидж
3. проводим патч
4. демонтируем
5. собираем фирмарь

после автопатча можно делать апдейт системы.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 24-Фев-10 21:48 
>Можно подробное руководство, как диагностировать и решить проблему?

1) Взять в руки сканер портов.
2) Посканить WAN железки.
3) Представить себе "а что если я хакер который хочет туда вломиться?" и попробовать это сделать :). Памятуя о дефолтных настройках и активно их юзая. Если получилось - опаньки. Ищем где отключить западлостроение или как сменить пароль.

Наиболее очевидные пути вламывания:
1) Web-face.
2) Телнет
3) SSH

Для начала нормальные производители не должны бы ничего из этого по дефолту без явного хотения юзера вывешивать в WAN вообще. Так, на всякий. А если все-таки вывешивают, тогда должны заботиться о том чтобы юзер поменял пароль или же чтобы дефолтный пароль был рандомный, например. Иначе вот так вот на халяву будут иметь. Это не столько дыра в прошивке сколько откровенно слабые дефолты.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Аноним , 23-Фев-10 06:15 
Недавно купил DIR-300. Подефолту капча на странице авторизации.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено аноним , 23-Фев-10 13:38 
Те же спецы, что сломали длинки, еще в прошлом году показали, что эту капчу малварь может автоматизированно вводить  вообще она на нее пчихать хотела.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 24-Фев-10 22:09 
>Недавно купил DIR-300. Подефолту капча на странице авторизации.

Т.е. если вдруг мини-шелбокс придется по душе живому хацкеру, он в своем праве его порутать чтоли? oO


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено konwin , 23-Фев-10 09:16 
DIR-655 - по умолчанию снаружи не админится.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 24-Фев-10 21:49 
А если бы и админился, толку было бы фиг. Думаете кто-то станет писать шеллкод специально для той самопальной системы которая там воткнута? А зачем хаксорам этот крап?

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено _Vitaly_ , 23-Фев-10 09:26 
Ждем ботнетов из рекламных табло.

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Андрей Гангстович , 23-Фев-10 12:28 
Я живу нахожусь в Чехии 8 лет и особого внимания среди специалистов эта новость не получила, судя по обсуждениям на разных форумах, это был простой брутфорс к админкам. И на архитектуре MIPS совершенно не зависит. Новость слишком преувеличена а раздута

"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено Аноним , 23-Фев-10 15:24 
>Я живу нахожусь в Чехии 8 лет и особого внимания среди специалистов
>эта новость не получила, судя по обсуждениям на разных форумах, это
>был простой брутфорс к админкам. И на архитектуре MIPS совершенно не
>зависит. Новость слишком преувеличена а раздута

Биарник червя собран под MIPS и работает только в Linux, поэтому данный конкретный ботнет очень даже зависит от MIPS и Linux. Когда запустят в свободное плавание самораспространяющегося универсального червя, тогда и будем говорить про другие платформы.


"Обнаружен новый ботнет из незащищенных маршрутизаторов с про..."
Отправлено User294 , 25-Фев-10 19:27 
Судя по спаму в аську с предложением скачать себя любимую (а точнее, банального троянца на жабе) - уже запустили и не вчера. Ну а те кто купились - спамят остальным. В итоге это псевдосамоходное кроссплатформенное троянское ПО уже несколько подзабодало, пришлось включить в кутиме антиспамного бота.