Чешские исследователи в области безопасность компьютерных систем сообщили (http://seclists.org/fulldisclosure/2010/Feb/387) об обнаружении нового сетевого червя, получившего название "Чак Норрис" и состоящего их незащищенных надлежащим образом мини-маршрутизаторов, DSL-модемов и спутниковых TV-ресиверов, работающих на базе прошивок, основанных на Linux. Как правило инфицирование маршрутизаторов происходит из-за выставления администратором ненадежного пароля, подбираемого путем несложного перебора типовых вариантов, или сохранения пароля, заданного по умолчанию. Также заражение может происходить через эксплуатацию обнаруженной в январе уязвимости (http://www.opennet.me/opennews/art.shtml?num=24986) в маршрутизаторах D-Link.Разбор вредоносного кода, загружаемого после проникновения на маршрутизатор, показал, что подобные маршрутизаторы объединены единый ботнет и поддерживают выполнение команд по участию в совершении DDoS-атак или проведению атак по подбору паролей. На устройства...
URL: http://seclists.org/fulldisclosure/2010/Feb/387
Новость: http://www.opennet.me/opennews/art.shtml?num=25528
Вопрос по "but the botnet also attacks satellite TV receivers". Каким образом атакованы и эти устройства? У них есть web-интерфейс? Или их подключают к интернет?
>Вопрос по "but the botnet also attacks satellite TV receivers". Каким образом
>атакованы и эти устройства? У них есть web-интерфейс? Или их подключают
>к интернет?Зачастую да
к интернету обычно ресивер подключается через рутер. а еще есть wifi, но только взломать этот wlan можно локально.
под ресиверами имеются ввиду всякие дримбоксы, опенбоксы.
у них на борту линукс, и они в сети для кардшаринга
криворукие пользователи (пароль придумать не могут) сами виноваты
конфигурации железа разное бывает. например, есть железка azbox, в которой после выключения питания обнуляется большинство настроек. к примеру, все настройки в /etc
>криворукие пользователи (пароль придумать не могут) сами виноватыДля начала, виноваты производители раскладывающие грабли в дефолтах. Что еще за виндозный подход "не всех троянов вычистил - сам дурак!". А какого хрена телнет или вэбфэйс с стандартным паролем по дефолту наружу висит, пардон?! Давайте лучше стодолларовые бумажки пачками на улице без присмотра хранить. Узнаем много нового о человеческой природе и тяге к халяве :)
Хорошо бы давать дефолтный пароль в виде MAC-адреса, который печатается на корпусе роутера.Кроме того, можно сделать в роутере службу, которая сама будет честно пытаться подобрать пароль, и если получится - начнёт писком требовать к себе внимания (в крутых моделях - скажет человеческим голосом о том, что пароль лёгкий).
А самое простое - в дефолтных настройках разрешить вход адимину только изнутри.
а ничего, что мак адрес через ARP снаружи виден?
Где снаружи? Не хотите ли сказать что в интернете?
В локальной сети провайдера. Не хотите ли сказать, что там червей нет?
А брать мак-адрес от порта LAN, а не WLAN...
Предлагаю пароль - произведение цифр MAC от LAN умноженного на MAC от WAN,
все это деленное на серийный номер + номер продукта * на штрих код.
Плюс к этому, три случайные цифры на наклейке - которые есть страница, строка,
и 2 слова из мануала., но в обратном порядке. (hello world -> olleh dlrow)
В поставке прилагать 16-ричный калькулятор.
:-D хорошее чувство юмора. лучше счетные палочки вместо калькулятора.
>а ничего, что мак адрес через ARP снаружи виден?Н виден. Но, учитывая некоторые особенности, подобрать такой пароль будет не рруднее, чем "qwertyuiop".
Вот блин уперлись, учите матчасть и не обманывайте людей.
Я на внешнем интерфейсе вижу пару сотен маков за счет бродкастов и мультикастов, а если отравиль ARP, то все 2^12 в моей сети увижу.
Кстати из этих бродкастов около трети сгенерировано форточными червями.
>>а ничего, что мак адрес через ARP снаружи виден?
>
>Н виден. Но, учитывая некоторые особенности, подобрать такой пароль будет не рруднее,
>чем "qwertyuiop".Внутри виден MAC адрес внутреннего интерфейса.
Снаружи виден МАС адрес внешнего.Комрадам остается только надеяться, что вендоры не идиоты и ставят паролем внутренний МАС адрес.
От себя могу заметить, что (вспоминая про всякие инциденты) надеяться на это не стоит)
Производитель Firtzbox-AVM уже как нное количество лет генерирует рандомные пароли и печатает их на наклейке, которая находится на коробке.
Wifi также по дефолту wpa/wpa2 и интерфейс наружу не смотрит.
Эти MAC-адреса случайно не отличаются только на единицу?
>Хорошо бы давать дефолтный пароль в виде MAC-адреса, который печатается на корпусе
>роутера.MAC элементарно брутится. Первые 3 байта OUI которых фиксированный набор для производителя, остальное - даже 2^24 перебрать не проблема, что уж говорить о том, что серия скорее всего будет известна, значит маков для перебора - несколько десятков тысяч.
>Кроме того, можно сделать в роутере службу, которая сама будет честно пытаться
>подобрать пароль, и если получится - начнёт писком требовать к себе
>внимания (в крутых моделях - скажет человеческим голосом о том, что
>пароль лёгкий).Тогда техподдерка будет обречена рассказывать куче придyрков о том, почему их железка пищит. Будет сложный пароль по умолчанию - придyрки не войдут на железку и понесут в гарантию. Будет проверка сложности пароля при смене - не будут менять.
Нужно просто не предоставлять никакой функциональности кроме смены пароля до собственно смены пароля. Ну и проверять на простоту, да.>А самое простое - в дефолтных настройках разрешить вход адимину только изнутри.
Это тоже вариант.
запретить доступ к настройке маршрутизатора извне тоже не панацея от слабых паролей. за маршрутизатором тоже можно трояна поймать, например через дыру в браузере, а он уже благополучно поселиться в самом маршрутизаторе если пароль на нем слабый будет
Такое есть по-крайней мере в P660RT-EE от Zyxel, железка не работает пока не будет сменен пароль, но к сожалению сложность не учитывается, кроме длины пароля.
>Хорошо бы давать дефолтный пароль в виде MAC-адреса, который печатается на корпусе
>роутера.Можно по серийному номеру.
Он тоже печатается на корпусе.
>Хорошо бы давать дефолтный пароль в виде MAC-адреса,Он должен быть рандомным и пропечатан в мануале/на этикетке. Мак сбрутить невелика наука. Там не так уж много брутить. И заодно - зачем вывешивать средства настройки в WAN по дефолту?! У длинков мазохизм прокачан?
А если учесть что маки даются не от балды а покупаются из диапозона, и обынчо идут серийно, и есдли удастся узнать версию устройства к которому этот "пароль" подбирается, то думаю первые 3-4 цифры из 6 будет известно, и чтото я гляжу у маков первая цифра часто 00 в общем банальным перебором это займёт не так много времени.
Ребята! Ну вы все такие крутые: "криворукие пользователи (пароль придумать не могут) сами виноваты), под ресиверами имеются ввиду всякие дримбоксы, опенбоксы.
у них на борту линукс, и они в сети для кардшаринга". А у Вас давно руки стали "прямые"?
>Ребята! Ну вы все такие крутые: "криворукие пользователи (пароль придумать не могут)
>сами виноваты), под ресиверами имеются ввиду всякие дримбоксы, опенбоксы.
>у них на борту линукс, и они в сети для кардшаринга". А
>у Вас давно руки стали "прямые"?Ну Dlink тоже виноват. Собственно они всегда были халтурщиками, и на одной нормальной железки за всю историю не выпустили. Дело в другом - криворукие пользователи и вендоры подставляют Linux. Хотя конечно так очень легко детектить школоту - "развеян миф о неуязвимости Linux" - всерьез человека можно уже не рассматривать.
butthurt detected.
Да. Стали. Пользователи не тупые, а "тупые". И "тупеые" не потому, что отклонения в развитии, а потому что им ЛЕНЬ. И им кажется, что все должно одновременно работать как бы сразу и как бы еще и вирусов не ловить. И, желательно, телепатировать про их потребности. В нашем ИТ отделе висит большой плакат как раз для этих случаев. И написана на нем банальщина: "Компьютер не делает то, что вы хотите, чтобы он сделал. Компьютер делает то, что вы ему говорите".
>Да. Стали. Пользователи не тупые, а "тупые". И "тупеые" не потому, что
>отклонения в развитии, а потому что им ЛЕНЬ. И им кажется,
>что все должно одновременно работать как бы сразу и как бы
>еще и вирусов не ловить.Ну, вообще-то, что устройство должно работать так, как заявил производитель.
Это в IT индустрии привыкли, что глюки были, есть и будут.
Поэтому отказ от ответственности за глюки прописывается ещё в EULA.
А в остальных сферах весьма распространена ответственность изготовителя за свое поделие.
>Ну, вообще-то, что устройство должно работать так, как заявил производитель.
>Это в IT индустрии привыкли, что глюки были, есть и будут.
>Поэтому отказ от ответственности за глюки прописывается ещё в EULA.
>А в остальных сферах весьма распространена ответственность изготовителя за свое поделие.Никто же не говорит, что устройство не работает. Но если вы поставите электрический чайник на плиту - он сгорит к едрене фене. Но ведь он же воду должен кипятить, ага.
> Никто же не говорит, что устройство не работает. Но если вы поставите электрический чайник на плиту - он сгорит к едрене фене. Но ведь он же воду должен кипятить, ага.Здесь несколько другая ситуация, Вы поставили электрический чайник нагреваться, а из него потекла вода (взломанный шлюз нагенерил кучу трафика который Вам пришлось оплатить). А производитель в документации написал: «работоспособность чайника не гарантирована», а нормальный чайник купить негде, потому что все производители чайников так пишут. И что самое интересное - всех всё устраивает.
>В нашем ИТ отделе висит большой плакат как раз для этих
>случаев. И написана на нем банальщина: "Компьютер не делает то, что
>вы хотите, чтобы он сделал. Компьютер делает то, что вы ему
>говорите".IT отдел дибилов? Не можете сказать компьютеру чтоб он делал, то что вы хотите?
не видел еще мини-маршрутизаторов, у которых HTTP порт в WAN торчал по дефолту. Там вообще все закрыто снаружи, если никакой злобный буратина не включил. У меня логин на раутере 'root:hui', заходите люди добрые. =)
Зато я видел на разных.
Причём на одном отключить внешний без отключения внутреннего было нельзя, пришлось просто перевесить на 60080-й порт.
иптэйблсом закрой.
>иптэйблсом закрой.В какомнить openwrt эта малварина, конечно, заработает. Правда вот только заливать ее и запускать придется самому юзеру. Ну, как обычно в общем. А у какогонить криворукого длинка ессно может хватить ума и административные ифейсы вывесить в ван. Если уж эти дубы не могли месяцами залечить баг с переполнением таблицы трекинга соединений и взвисом девайса при активном юзеже p2p то уж тем более наивно от них ожидать что они безопасные дефолты поюзают.
>иптэйблсом закрой.На роутерах обычно нет интерфейса для правки правил иптэйблсов)
Поэтому остается только надеяться, что пользователь - специалист в IT и сможет накатить какой-нибудь openWRT (и что на его роутер можно накатить что-нибудь такое).
А так как обычных пользователь не является специалистом в IT, то надеяться на это не стоит)
вполне возможно.
просто скольким уж друзьям ставил - первое дело сразу новую прошивку и файервол (обычно только проверить. если с adsl, то ещё mtu/mss)ps:
заключение не утешительное.
спасение утопающих - дело рук самих утопающих.
и только один совет - проконсультируйтесь со специалистом. что в общем справедливо во всём.
проскань любого крупного провa adsl и увидишь. дальше: 1234 без усернаме - зюхеля. admin:admin - длинк и бредоком.разработка только lkm с минимумом юзерспейса бабло доставляет весьма неиллюзорное.
Блин, нынче полно дятлов с названиями вайфай сети вида default или подобных. Ессно это LAN уже и административный пароль там тоже ессно дефолтный, как правило admin:admin :). Я таким честно меняю название вайфай сети на что-нибудь забавное и ироничное. Чтобы дятлы наконец задумались о том что вывешивают свою железку всем желающим.
Ага:) +1
На днях прошёлся пешком. Всего одну остановку. Три из пяти насканенных смартфоном точек меня пустили и в сеть, и в админку. SSID, истессна, а-ля default, dlink, broadcom...
lkm rootkit'ы имеются в виду что ли?? мне не верится что кто отдаст за это бабки
Тебя можно сводить на сайт с XSS и браузер сотворит чудо в ифрейме 1х1 пиксель.
Пару раз, зная конкретный adls-модем, я включал людям телнет и разрешал его наружу.
Тоже верно, но на каждую хитрую... забыл сказать, что у меня вэб доступа нет, только ssh на маршрутизаторе. Но больше не буду рассказывать про свой раутер, а то очень умные тут хаксоры собрались =)
asus wl500 gp v2 - хтпп с формой для логина в устройство открыто по дефолту во внешнюю сеть.
>не видел еще мини-маршрутизаторов, у которых HTTP порт в WAN торчал по
>дефолту. Там вообще все закрыто снаружи, если никакой злобный буратина не
>включил. У меня логин на раутере 'root:hui', заходите люди добрые. =)
>По отчетам denyhost на моем домашнем сервере, именно такого рода сочетания пробиваются в первую очередь. Так что настоятельно рекомендую вам проверить свои логи по трафику.
> Psybot червь "Чак Норрис" поражает устройства на базе архитектуры MIPS, снабженные прошивками, основанными на Linux (Psybot поддерживал прошивки на базе проектов OpenWRT и DD-WRT)Ох как я раз за ребят из *WRT =))) Кстати. Этот червь тоже LE only ? =) Т.е. криволтэки могут спать спокойно?
Да да. А ещё некоторые мегамаршрутизатры (намекаю в т.ч. на *WRT) не в состоянии пересчитать некоторые вещи типа ключей при резете и юзают JFSS для хранения rw части фирмвари. Куда нам до такого, всё для юзера/червей даже fs save говорить не нуно, записался, сунулся в rc.local и счастлив =)))
А пароли на админку эт да, в связи с поголовным овантузятиванием никто не меняет, но кто ж заставляет по дефолту в таких прошивках открывать доступ с WAN к telnet/ssh/web ?
Ну не верю я что быдлоюзер неосиливший сменить пароль будет в RA менять режимы доступа извне.
Т.е. тут проблема комплексная:
1) черезчур увлеклись унификацией
2) кнопка кайф в *WRT до добра не доведёт
3) отсустввие банальных механизмов для регенерации ключей сводит на нет всю защиту если вдруг открыт ssh во вне ибо подбор упрощается и значительно ну и плюс зачастую разрешённая 1 версия ssh на таких роутерех вместе с телнетом даже без банального rate limit убьёт остатки безопасности
4) криворукие юзеры не меняющие паролейИ всё это только вершина айсберга. Кто там грил о том что *WRT интерпрайз? Получайте! =)))
Именно по этому на вопрос о том зачем была создана Wive-RTNL для чипов Ralink мой ответ был прост: "Я не разделяю их менения о том как должен выглядить софт для маршрутизаторов".
Можете закидать меня какашками, но это моё мнение.
P.S. Я лично убеждаю производителя на которого работаю о том что 15сек на обновление ключей и UUID при первой загрузке не то время чтобы плевать на безопасность.
> Ох как я раз за ребят из *WRT =)))А вы попробуйте для начала затроянить OpenWRT в реальных боевых условиях - расскажете потом как получилось :).
Хинт1: по дефолту там вообще на WAN нет нифига. И радио отрублено. Удачи в взломе, ага. Правда взломщик должен быть в интранете а юзеру всяко придется сунуться в девайс до начала его юзежа (врядли юзер юудет рад роутеру без вайфая).
Хинт2: разработчики оного судя по сайту вполне в курсе той бяки и проверили что их оно не пробирает в дефолтовой конфиге. А как там юзер напортачит дальше - уже дело юзера.
>Да да. А ещё некоторые мегамаршрутизатры (намекаю в т.ч. на *WRT) не в состоянии
>пересчитать некоторые вещи типа ключей при резете и юзают JFSS для хранения rw части
>фирмвари. Куда нам до такого, всё для юзера/червей даже fs save говорить не нуно,
>записался, сунулся в rc.local и счастлив =)))А еще у компьютера жесткий диск запись позволяет, если уж параною прокачивать. Давайте на него тоже запись запретим? Как по мне так нормальная RW файловая система - это фича. Позволяющая ставить пакеты. Кстати, именно малвари не обязательно записываться на диск. Не это ее цель. Вон msblsat и его наследники до сих пор существуют. Живут себе в виндозных сетях как бестелесные пакеты. Летают себе. На диск половина модификаций вообще не пишет себя. А зачем им это? Они и так хорошо летают. Так что хрен их в большой сети полностью удавишь. Потому и живые до сих пор.
> ж заставляет по дефолту в таких прошивках открывать доступ с WAN к telnet/ssh/web ?
Ну дык в OpenWRT ничего и не открыто по дефолту в WAN :).Так что до того как ругать - хорошо бы посмотреть сначала, имхо. Нет, чисто технически на OpenWRT можно запустить вируса но в лучших традициях *никсов заливать его и запускать придется самолично :).Да, после этого он разумеется сможет заработать.Правда так даже J2ME трояны работают, блин и они кстати завалили асю спамом с ссылками на скачку самих себя, кстати :)
>Ну не верю я что быдлоюзер неосиливший сменить пароль будет в RA менять режимы
>доступа извне.OpenWRT юзеру в дефолтах не гадит. За остальных не скажу.
>1) черезчур увлеклись унификацией
Ну, если уж о паранойе - я видел PoC пример (шелл)кода который запускается на 3 абсолютно разных архитектурах и прыгает на соотв. блок кода "своего" процессора. Паранойя вас замучает теперь :)
>2) кнопка кайф в *WRT до добра не доведёт
Что такое кнопка кайф в OpenWRT например? :)
>3) отсустввие банальных механизмов для регенерации ключей сводит на нет всю защиту
> если вдруг открыт ssh во вне ибо подбор упрощаетсяЗа открытие SSH вовне в роутере по дефолту надо сразу расстреливать. Без суда и следствия. А там уж история разберется, было оно секурно или нет :)
>4) криворукие юзеры не меняющие паролей
В случае опенврты во первых юзеру придется сходить в админку чтобы радио включить а во вторых - wan по дефолту ничего не торчит. Ну и как там поиметь криворукого юзера?
>И всё это только вершина айсберга. Кто там грил о том что *WRT интерпрайз? Получайте! =)))
Думаете, вам сделает честь черный пиар при том что он содержит недостоверную инфорормацию? oO
>Именно по этому на вопрос о том зачем была создана Wive-RTNL для чипов Ralink мой ответ
>был прост: "Я не разделяю их менения о том как должен выглядить софт для маршрутизаторов".Ну а мне нравятся OpenWRTшные прошивки. За гибкость и возможность заставить роутер делать то что надо мне а не кому-то-там без чрезмерно большого траходрома. Также мне не нравятся архаичные 2.4 ядра, немодифицируемая ФС, горбатые тулсы для сборки и прочая. А если исходить из вашей логики - лучше всего не подавать на роутер питание. Тогда его уж точно никто не сломает :)
>Можете закидать меня какашками, но это моё мнение.
Постарался сделать это конструктивно. Надеюсь получилось :)
>А вы попробуйте для начала затроянить OpenWRT в реальных боевых условиях -
>расскажете потом как получилось :).Пробовал под RT305* DD-WRT мягко сказать стошнило от перегруженного интерфеса в котором в части wifi (а это основная задача данного роутера) дажее покрутить не чего. Агрегацию пакетов и ту выломали нафиг.
>Хинт1: по дефолту там вообще на WAN нет нифига. И радио отрублено.
>Удачи в взломе, ага. Правда взломщик должен быть в интранете а
>юзеру всяко придется сунуться в девайс до начала его юзежа (врядли
>юзер юудет рад роутеру без вайфая).Сборка DD-WRT распространямая для Senao на RT3052 имеет не прикрытый telnet на wan. По остальным не скажу.
>Хинт2: разработчики оного судя по сайту вполне в курсе той бяки и
>проверили что их оно не пробирает в дефолтовой конфиге. А как
>там юзер напортачит дальше - уже дело юзера.Ну а я и грю что основная причина юзверь однако...
>А еще у компьютера жесткий диск запись позволяет, если уж параною прокачивать.
У вас компьютер и маршрутизатор это одно и то же? Сочувствую.
>Давайте на него тоже запись запретим? Как по мне так нормальная
>RW файловая система - это фича.Достаточно иметь раздел под конфиги в раме сохраняемый на флэш отдельной командой и если замучают звери не сложно это дело модифицировать ведь скрипт сохранения сам лежит на rw части флэша.
>Позволяющая ставить пакеты.
Да да. На 4х метровую флэш в JFSS2 мнооооого пакетов влезет =) О девайсах с USB речь другая, там как смонтируешь так и будет. Но основное сердце маршрутизатора должно быть на ro разделе причём там же должна быть сжатая копия того что распаковывается на rw. Вся оптварь - добро пожаловать на внешний накопитель.
>Кстати, именно
>малвари не обязательно записываться на диск. Не это ее цель. Вон
>msblsat и его наследники до сих пор существуют. Живут себе в
>виндозных сетях как бестелесные пакеты. Летают себе. На диск половина модификаций
>вообще не пишет себя. А зачем им это? Они и так
>хорошо летают. Так что хрен их в большой сети полностью удавишь.
>Потому и живые до сих пор.Да да. Давайте о винде не будем? А то обоснуем не нужность LPR тем что в виндах оно толком не работает =) Винда изначальный рассадник заразы и причин тому много.
>Ну дык в OpenWRT ничего и не открыто по дефолту в WAN
>:).Так что до того как ругать - хорошо бы посмотреть сначала,Дык смотрел правда DD-WRT покупать себе девайс на броадкоме чтобы посмотреть OpenWRT желания не возникало. Как-то у мну и так склад девайсов которые Аорп шлёт под разработку чтобы ещё что-то покупать =))) И так скоро солить буду.
>имхо. Нет, чисто технически на OpenWRT можно запустить вируса но в
>лучших традициях *никсов заливать его и запускать придется самолично :).Да, после
>этого он разумеется сможет заработать.Правда так даже J2ME трояны работают, блин
>и они кстати завалили асю спамом с ссылками на скачку самих
>себя, кстати :)Я почему-то считал что OpenWRT по структуре и общим принципам схожи с DD-WRT. Нет? Если нет тады сорри отзываю от ребят из OpenWRT свою какашку.
>OpenWRT юзеру в дефолтах не гадит. За остальных не скажу.
Ну вот DD-WRT (возможно и конкретная сборка) таки гадит.
>Ну, если уж о паранойе - я видел PoC пример (шелл)кода который
А показать? Ну как в старых традициях - дай посмотреть =) А то тут иногда бьёшся при портировании тревиального кода под новую платформу, может есть способ лучше?
>запускается на 3 абсолютно разных архитектурах и прыгает на соотв. блок
>кода "своего" процессора. Паранойя вас замучает теперь :)Врятли. На бумаге оно всегда очень красиво.
>Что такое кнопка кайф в OpenWRT например? :)
Я образно =))) Вообще считаю web на роутере происами марсиан, но в силу того что в последние время приходиться пилить прошивки для "населения" то приходиться держать морду. Но от нормального инита с нормальной логикой на rwfs я не уйду.
>За открытие SSH вовне в роутере по дефолту надо сразу расстреливать. Без
>суда и следствия. А там уж история разберется, было оно секурно
>или нет :)Да ну? А как например добавить подсеть в таблицу маршрутизации из командировки на камчатке =) Приехать специально чтобы добавить одну чтроку в конфиг? Нет уж. Мы уж как-нить по нормально настроенному ssh прикрытого iptables с connlimit/ratelimit на нестандартном порту всё это и проделаем. А то как-то билеты москва-камчатка-омск сегодня дороги =)
>В случае опенврты во первых юзеру придется сходить в админку чтобы радио
>включить а во вторых - wan по дефолту ничего не торчит.
>Ну и как там поиметь криворукого юзера?Ничего не понял, причём тут вдруг нарисовался вдруг влючить wifi... Кстати а кто мешает с виндовым трояном говноюзеру передать и нужный шелкод для его маршрутизатора ведь уже не нужно будет ползать извне, достаточно и изнутри. Да и сохраняться не нужно, на ПК винт большой.
>Думаете, вам сделает честь черный пиар при том что он содержит недостоверную
>инфорормацию? oOНу я незнаю где вы тут увидели чёрный пиар, просто моя оценка ситуации причём поверхностная и не притендующая на 100% верность. Иначе я бы писал бы не на форум, а нарисовал бы красочную замету у себя на сайте, но т.к. пишу на форум то наверное хочется услышать и другие мнения в т.ч. опровержения.
>Ну а мне нравятся OpenWRTшные прошивки. За гибкость и возможность заставить роутер
>делать то что надо мне а не кому-то-там без чрезмерно большого
>траходрома.Ну в моих прошивках всё ровно тоже. А не хватает встроенных возможностей - берите сырцы и пилите.
>Также мне не нравятся архаичные 2.4 ядра, немодифицируемая ФС,
2.4 остались в 8186 устройствах 5ти летней давности. Немодифицируемая фс это тоже вы сами придумали. Раздел где лежат консиги вполне себе модифицируется. И на встроенную флэш нефиг тянуть оптварь. Хочется ставить софт - бери юсб девайс и тыкай туда оптварь гигами. А со встроенного флэша девайс должен взлетать по кнопочке резет из любой позы. И как-то rw fs к этому при крахе не располагают.
>горбатые тулсы для сборки и прочая.
Эть какие горбатые тулзы? gcc + пара скриптов? =)
>А если исходить из вашей логики - лучше всего не подавать на роутер питание. Тогда его уж
>точно никто не сломает :)Ну а не логично разве? =) Но ведь есть принцип разумной достаточности.
>Постарался сделать это конструктивно. Надеюсь получилось :)
Ну относительно таки да =)
>>А вы попробуйте для начала затроянить OpenWRT в реальных боевых условиях -
>>расскажете потом как получилось :).Сорри, слово затроянить как-то при чтении превратилось в затестить =)
>>расскажете потом как получилось :).
>Пробовал под RT305* DD-WRT мягко сказать стошнило от перегруженного интерфеса в котором
>в части wifi (а это основная задача данного роутера) дажее покрутить
>не чего. Агрегацию пакетов и ту выломали нафиг.Если честно [в этом месте контекст переключается в user mode] как юзер я не особо горю желанием твикать многочисленные параметры wi-fi. В юзерском сценарии в пределах дома/квартиры сие попросту не должно требоваться вообще. Как максимум я могу захотеть сменить канал на конкретный и настроть более чем 1 SSID или же захочу быть клиентом и AP одновременно. Ну еще шифрование задать. В опенвртшном вэбфейсе все это можно (правда далеко не любой драйвер сие позволяет, очень зависит от железки и драйверов). А зачем мне как именно юзеру трогать параметры типа агрегации пакетов? Как гуру - возможно. Но как гуру я и из консольки не обломлюсь, тогда уж. И вот тут большой плюс если прошивка на это заточена.
>Сборка DD-WRT распространямая для Senao на RT3052 имеет не прикрытый telnet на
>wan. По остальным не скажу.Я больше OpenWRT интересуюсь. Потому что мне строго говоря не требуется готовая полированая мордочка для дурачков с 1 кнопкой "сделайте мне хорошо". Мне требуется удобная "база" из которой я в меру своей дурости сам постепенно соберу то что мне надо. OpenWRT в этом качестве пришелся "по руке". :)
>Ну а я и грю что основная причина юзверь однако...
Да нет, в случае ботнетчиков причина - дубы у производителя которые задают несекурные дефолты. И очень хорошо что Акорп в отличие от - не будет пакостить в дефолтах. Можно будет нетребовательным чайниковатым юзерам советовать без риска что их порутают нафиг (а выгребать говно еще и с роутеров - немного не то что мне хотелось бы).
>>А еще у компьютера жесткий диск запись позволяет, если уж параною прокачивать.
>У вас компьютер и маршрутизатор это одно и то же? Сочувствую.Да, я снес на свой маршрутизатор вагон (около)сетевых сервисов и теперь сетью занимается сетевой компьютер [ака маршрутизатор] :). И да, теперь всякие проксики, динднс апдейтеры, опевпны и прочий (около)сетевой stuff - живут там где и должны. И не отлипают из-за рестарта компа, etc. Лично мне это удобно. И еще всякого снесу :). Сетью и (около)сетевыми сервисами должна заниматься сетевая железка. Мне это кажется логичным, блин. И как просто юзеру, и как злостному гику.
>>RW файловая система - это фича.
>Достаточно иметь раздел под конфиги в раме сохраняемый на флэш отдельной командойА зачем мне этот геморрой? Как видим, троянцы прекрасно себя чувствуют даже когда кроме гольного squash вообще нет нифига. В итоге гемор будет, но не троянцам а юзеру. Ну, знаете, я как-то не хочу себе геморрой, тем более что троянам как видим и так вполне хорошо живется. А если я доиграюсь что система засрется - ну зажму кнопку при загрузке и грузанусь в гольный squash, отбросив изменения. После чего могу вручную замаунтить отдельно и заняться "патологоанатомическими" мероприятиями по выяснению что там было не так в заведомо чистой ОС. А если влом разбираться - можно просто фирмваре перелить оттуда. Эта механика в принципе достаточно проста чтобы обучить под нее даже чайника.
>и если замучают звери не сложно это дело модифицировать ведь скрипт
>сохранения сам лежит на rw части флэша.А зачем мне как юзеру этот геморрой? Троянцы как видим и так вон есть. А вот сношать себе мозг левыми сущностями я не хочу. Поэтому для лично меня нормальная ФС - огромный плюс который спасает меня от массы головняка и позволяет не дрессироваться на тему ввода левых нестандартных команд.
>>Позволяющая ставить пакеты.
>Да да. На 4х метровую флэш в JFSS2 мнооооого пакетов влезет =)База OpenWRT лезет в ~2 мега squashfs. А еще почти 2 мега в сжатой ФС - довольно прилично в общем то учитывая скромный размер пакетов для таких железок. Впрочем, у 500GP флеша 8 мегз а у более интересных мне железок и вовсе 16 :).Так что пакетов лезет весьма и весьма.
>О девайсах с USB речь другая, там как смонтируешь так и будет.
Лично у меня все нужные пакеты пока-что утрамбовались в внутреннюю флеху на моем немолодом асусе. И еще свободно почти половина ФС. Про железки с 16 мегами флеша я и вовсе молчу - там раздолье :)
>Но основное сердце маршрутизатора должно быть на ro разделе причём
>там же должна быть сжатая копия того что распаковывается на rw.В OpenWRT сделано так: есть база в RO squash и есть юзерские изменения в JFFS2. Если доигрались, можно загрузиться без JFFS2 с дефолтными настройками и потом замаунтив оный исправить свои ляпы или перелить фирмваре например, etc :).Плюс подхода - можно версии пакетов обновлять без перешивания. Минус - обновления жрут место 2 раза - в squash и jffs. В общем на мое имхо забавная технология, имеет и плюсы и минусы. Я для себя вижу больше плюсов чем минусов. Если в какомнить OpenSSL накопается дыра например - я будучи за тридевять земель предпочту сменить пакет с ней чем все фирмваре переливать. Как-то менее стремненько. Да, еще есть и версия которая целиком вся в JFFS2 но там отсутствует failsafe режим и оно пухлее (squash жмет лучше). Мне так не нравится.
>Вся оптварь - добро пожаловать на внешний накопитель.
Мне не нравится идея что у меня скажем отвалится опенвпн, прокся или там построение графиков траффа если я отцеплю внешний диск. Кому нравится - он в своем праве.
>Да да. Давайте о винде не будем?
Давайте. Но давайте все-таки заметим что малварь и так себя хорошо чувствует без записывемых партиций. А вот мне например нормалная ФС жизню упрощает. Итого - для кого фирмваре делается? Для меня или для троянцев?! Или почему в итоге пролетает пользователь а не троянцы? Они удовольствовались tmp а вот юзеру при нужде что-то поменять приходится сношаться с пересборкой образа или костыльными ФС. Что как-то геморройно шибко (и не понятно что не даст трояну сохранить ФС, собственно).
>А то обоснуем не нужность LPR тем что в виндах оно толком не работает =)
Лучше хреново чем совсем никак, имхо :)
>Дык смотрел правда DD-WRT
Ну да, не в лотерею а в карты, не выиграл а проиграл :)
>покупать себе девайс на броадкоме чтобы посмотреть OpenWRT желания не возникало.
Броадком достаточно распостранен в природе, тот же 500GP например есть у кучи знакомого народа. Да и OpenWRT поддерживает кучу разных железяк - неужто ничего подходящего под руку не попалось? Мне кажется логичным судить о прощивке и ее безопасности посмотрев ее хоть краем глаза и сканером портов :)
>Как-то у мну и так склад девайсов которые Аорп шлёт под разработку чтобы ещё
>что-то покупать =))) И так скоро солить буду.У меня тоже есть несколько девайсов, правда, мне Акорп ничего не шлет :).Но на лайт версию склада в принципе тянет наверное :)
>Я почему-то считал что OpenWRT по структуре и общим принципам схожи с
>DD-WRT. Нет? Если нет тады сорри отзываю от ребят из OpenWRT свою какашку.Насколько я знаю - у них общие корни (т.е. изначально это были как бы прошивки от роутеров серии WRT). Но дальше каждый эфолюционировал по своему. Ну и в итоге есть обезьяны, а есть человеки. Есть OpenWRT а есть DD-WRT. И еще куча всяких есть. При том у авторов каждых из низ свои goals, свои видения как правильно и так далее.
>Ну вот DD-WRT (возможно и конкретная сборка) таки гадит.
За OpenWRT сие не замечено.
>может есть способ лучше?
Не, для портирования это не годится. Для кроссплатформенного эксплойта - может быть.
Например что-то типа http://www.groar.org/expl/intermediate/spanning.html
Идея проста как топор - надо чтобы инструкции "хидера" не мешали остальным процам и были вызовом нужного куска кода на "своем" CPU :).Если поизгаляться, можно подогнать "хидер" так что один и тот же блок сможет отстреляться на совершенно разных CPU, перебросив выполнение на "свой" блок кода. На практике сие поюзать геморно и требует работающий мозг, так что это больше just for fun имхо. Просто кто-то хотел показать что теоретически можно задетектить совершенно разные по архитектуре процы прямо в момент выполнения, весьма своеобразным методом :)>Врятли. На бумаге оно всегда очень красиво.
Да, это больше PoC :)
>Я образно =))) Вообще считаю web на роутере происами марсиан,
У OpenWRT до недавних пор не было официального вэбфейса. Только в 9й версии появился. Посему до сих пор не вопрос встретить опенврту без вебморды, даже 9-ю. Кому надо - ставит пакетики с мордой. Кому не надо - не засирает себе ФС :). Это к вопросу зачем надо пакетизацию и RWшную ФС.
>но в силу того что в последние время приходиться пилить прошивки для "населения"
>то приходиться держать морду.Ну, знаете, мне вот как-то удобнее типовые правила айпитаблесу в морде вводить введя нужные значения в поля. Меньше риск лопухнуться где-то. Графики загруженности опять же в морде удобнее смотреть. Ну и так далее.
>Но от нормального инита с нормальной логикой на rwfs я не уйду.
Ваше право. Я и не настаивал на этом и даже согласен что сие имеет право на жизнь. У совсем дубовых юзеров для которых это просто коробочка :). Вот опенврта - это дистр для тех кто хочет получить от коробочки несколько больше чем это. И там имхо вполне уместные инженерные решения с RW фс и прочая. Тем кому нужна опенврта - трах с извращениями в ФС не нужен. Но срать в дефолтах и им не хорошо. Поэтому по дефолту конечно есть ssh доступ но - только из LAN. Что разумно, хорошо и правильно.
>Да ну? А как например добавить подсеть в таблицу маршрутизации из командировки
>на камчатке =)Я бы будучи в командировке на камчатке ничего бы не трогал если работает. А то потом вообще не достучишься. Да и если у юзера такая нужда возникает - думаю что он пароль нормальный ставит :)
>Приехать специально чтобы добавить одну чтроку в конфиг?
Понимаете, кому надо - да, разрешит себе ssh на внешку. Сменив пароль и прочая. А вот по дефолту его вывешивать в WAN домашним хомячкам которые от этого слова шарахаются и спасибо если вообще допрут пароль сменить и SSID с default - это уже попросту вредительство. По сути призводитель при этом клепает дармовые микро-шелбоксы, а вовсе не... :)
>как-то билеты москва-камчатка-омск сегодня дороги =)
Да, особенно "прикольно" все это настраивать без нормальной ФС как раз... :P.
>>Ну и как там поиметь криворукого юзера?
>Ничего не понял, причём тут вдруг нарисовался вдруг влючить wifi...А они для пущей секурити по дефолту вайфай не включают. Так что когда вы впервые застартили девайс - доступ к нему только проводом с стороны LAN. И усе. Неудобные для хаксоров дефолты, имхо.
>Кстати а кто мешает с виндовым трояном говноюзеру передать и нужный шелкод для
>его маршрутизатораНаверное ничего, но, строго говоря, если уже есть ресурсы огромного и мощного писюка - зачем много бодаться еще и с сломом коробочек? А если параною развивать - так троян может пароль к вебморде заснифать. HTTPS то в морде мало кто юзает, да еще и телнеты всякие. Спасать юзера от всех возможных вариантов поимения имхо нереально, надо перекрыть наиболее очевидные и опасные, которые просто автоматизировать. Как вот эти сканы.
>Ну я незнаю где вы тут увидели чёрный пиар, просто моя оценка
>ситуации причём поверхностная и не притендующая на 100% верность.Ну, мне кажется что вам трудно быть 100% нейтральным по отношению к другим продуктам. В принципе могу понять - свой то продукт для себя всяко лучше :)
>хочется услышать и другие мнения в т.ч. опровержения.
Ну, услышали :).
>Ну в моих прошивках всё ровно тоже. А не хватает встроенных возможностей
>- берите сырцы и пилите.OpenWRT откровенно ориентировано на модифицируемость без геморроя. Тут вам и read-write ФС, сделанная по уму, с неубиваемой основой и юзерскими довесками (не хочу ничего сказать, но после нее на костыли как в олеге и т.п. - не охота), и пакетная система, и более-менее человеческие средства для пересборки образов в виде как надо именно мне. Этакая болванка-конструктор из которой желающие могут сделать без чрезмерного геморроя то что им надо. Все-равно производитель все не предусмотрит. А что, мне опенвпн или мелкий проксь для полутора юзеров держать на писюке чтоли? Так у писюка может кулер накрыться и упсом его на пару суток фиг подопрешь (такая упса будет стоить дороже писюка). Пусть сетевая железка сетевыми сервисами и заведует :). Некоторые инженерные решения спорны или имеют свои минусы. Некоторые неоптимальны. Да. Всегда есть tradeoff-ы. Есть набор плюсов, за которые воздается набором минусов.
>>Также мне не нравятся архаичные 2.4 ядра, немодифицируемая ФС,
>2.4 остались в 8186 устройствах 5ти летней давности. Немодифицируемая фс это тоже
>вы сами придумали. Раздел где лежат консиги вполне себе модифицируется.Дело в том что для себя я не рассматриваю это как коробочку с фиксированным набором функций. Я рассматриваю это как сетевой компьютер на который следует максимально сбагрить сетевые сервисы. Который можно не выключать и который всегда доступен, который просто подпереть бесперебойным питанием на значительное время и прочая. Да, разумеется это не нужно простым юзерам. Зато мне - нужно.
>И на встроенную флэш нефиг тянуть оптварь. Хочется ставить софт - бери
>юсб девайс и тыкай туда оптварь гигами.Знаете в чем проблема? По лично моей классификации есть очень разное по степени критичности оптваре. И если без торентокачалки я как-то переживу еще, если юсб-диск отвалится или его отцепят, пропадет контакт, etc, то вот без какогонить опенвпна или проксика - будет очень некомфортно и по сути mission железяки будет failed. Просто потому что я потом из какой-нибудь жопы мира не смогу попасть в свою сеть. Не смогу получить мой надежный туннель с сжатием и шифрованием.
>А со встроенного флэша девайс должен взлетать по кнопочке резет из любой позы. И как-то
>rw fs к этому при крахе не располагают.У OpenWRT "рекомендуемая" схема - достаточно грамотно сделана. Есть некая база в squashfs и есть довесок в JFFS. По дефолту - старт с сквоша, в жффс - ничего. По мере обновления или доустановки пакетов, правки конфигов и прочая - дописывается в жффс. При нормальной загрузке ФС объединяются, и у юзера текущий вид ФС. Но есть и режим аварийной загрузки - когда жффс не монтируется. Тогда юзер оказывается в неубиваемой базе из сквоша с дефолтными настройками и дальше его дело что там делать. Может перелить фирмваре и угробить свои потуги в jffs. Может замаунтить jffs2 в сторонку и попытаться откатить неудачные изменения. И т.п.. В принципе может прокатить даже для тупых, но для продвинутых юзеров такая схема дает больше шансов на рекавери и позволяет продвинутое рекавери когда оно надо.
>>горбатые тулсы для сборки и прочая.
>Эть какие горбатые тулзы? gcc + пара скриптов? =)Ну, у опенврты их скрипты позволяют запихнуть в readonly "базу" в squash именно те пакеты которые нужны лично мне без чрезмерного траха. Так что если я для себя решил что OpenVPN это критичный системный сервис а не какое-то там оптваре которое можно на юсб диск, я в своем праве сделать его условно-неубиваемым вообще. У остальных сие действо получается как-то геморройнее. Да и пересобирать ФС на каждый пук - не очень прикольно на мое имхо.
>>точно никто не сломает :)
>Ну а не логично разве? =) Но ведь есть принцип разумной достаточности.Вот-вот :). И собственно сам по себе опенврт с дефолтами - довольно неудобная штука для хакеров на мое имхо. Во всяком случае не вижу там столь откровенно халявных методов влезания типа того что описано в этой статье. Да, троян, конечно там заработает (а почему нет?). Вот только загнать его в дефолтную опенврт не слишком то просто будет. Придется юзеру самому свой девайс в ботнет джойнить если уж так хочется приобщиться :)
>Ну относительно таки да =)
Ну, наверное местами излишне повозмущался :)
В общем резюмируюя всё сказанное: "На вкус и цвет все карандаши разные/одинаковые(по вкусу)".
Можно подробное руководство, как диагностировать и решить проблему?
Прошлая решалась просто закрытием порта, если он открыт миру, либо смена пароля с admin на более сложный.
Обнаруживался червь при помощи телнета и файлик с определённым зазванием был.
Всё просто и понятно.
А как теперь?
перепрошивкой 100% поможет,
надолго ли :)
Можно подробнее - где лежат исправленные прошивки и как лучше перепрошивать?
У меня у самого ZyXEL, но я помогаю многим друзьям в компьютерном плане.
издеваетесь? что значит "исправленные" прошивки?
они и так все правильные. просто у них дефолтные настройки уж очень хаксор-фрэндли.
измените эти настройки и всё.
а если есть подозрение, что бот уже там, то просто перезалейте прошивку и потом уже измените настройки/пароли/явки.
зы:
если у вас не заперта дверь и надпись на ней "не_заперто", то это не значит, что железо - очень мягкий металл.
лучше всего написать патч-скрипт для фирмвари:
1. разбираем фирмварь на составляющие: хедер, чексумма, основной кусок
2. монтируем основной кусок как файл-имидж
3. проводим патч
4. демонтируем
5. собираем фирмарьпосле автопатча можно делать апдейт системы.
>Можно подробное руководство, как диагностировать и решить проблему?1) Взять в руки сканер портов.
2) Посканить WAN железки.
3) Представить себе "а что если я хакер который хочет туда вломиться?" и попробовать это сделать :). Памятуя о дефолтных настройках и активно их юзая. Если получилось - опаньки. Ищем где отключить западлостроение или как сменить пароль.Наиболее очевидные пути вламывания:
1) Web-face.
2) Телнет
3) SSHДля начала нормальные производители не должны бы ничего из этого по дефолту без явного хотения юзера вывешивать в WAN вообще. Так, на всякий. А если все-таки вывешивают, тогда должны заботиться о том чтобы юзер поменял пароль или же чтобы дефолтный пароль был рандомный, например. Иначе вот так вот на халяву будут иметь. Это не столько дыра в прошивке сколько откровенно слабые дефолты.
Недавно купил DIR-300. Подефолту капча на странице авторизации.
Те же спецы, что сломали длинки, еще в прошлом году показали, что эту капчу малварь может автоматизированно вводить вообще она на нее пчихать хотела.
>Недавно купил DIR-300. Подефолту капча на странице авторизации.Т.е. если вдруг мини-шелбокс придется по душе живому хацкеру, он в своем праве его порутать чтоли? oO
DIR-655 - по умолчанию снаружи не админится.
А если бы и админился, толку было бы фиг. Думаете кто-то станет писать шеллкод специально для той самопальной системы которая там воткнута? А зачем хаксорам этот крап?
Ждем ботнетов из рекламных табло.
Я живу нахожусь в Чехии 8 лет и особого внимания среди специалистов эта новость не получила, судя по обсуждениям на разных форумах, это был простой брутфорс к админкам. И на архитектуре MIPS совершенно не зависит. Новость слишком преувеличена а раздута
>Я живу нахожусь в Чехии 8 лет и особого внимания среди специалистов
>эта новость не получила, судя по обсуждениям на разных форумах, это
>был простой брутфорс к админкам. И на архитектуре MIPS совершенно не
>зависит. Новость слишком преувеличена а раздутаБиарник червя собран под MIPS и работает только в Linux, поэтому данный конкретный ботнет очень даже зависит от MIPS и Linux. Когда запустят в свободное плавание самораспространяющегося универсального червя, тогда и будем говорить про другие платформы.
Судя по спаму в аську с предложением скачать себя любимую (а точнее, банального троянца на жабе) - уже запустили и не вчера. Ну а те кто купились - спамят остальным. В итоге это псевдосамоходное кроссплатформенное троянское ПО уже несколько подзабодало, пришлось включить в кутиме антиспамного бота.