Расшифровка файла конфигурации роутера TP-LINK. Что это? Бэкдор?

3

5

Есть тут кулхацкеры? Интересует одна штуковина...

Есть сохраненная резервная копия файла конфигурации TP-LINK WR841ND - config.bin. Возникла идея влезть внутрь и посмотреть, что из себя представляет этот файл. Возникла она по аналогии с D-LINK'овским tar.gz архивом конфигурации, в котором все просто и понятно: архив, а внутри конфиги.

Надыбал в инете питоновский скрипт, который якобы может что-то дешифровать из файла config.bin. Ладно, думаю, интереса ради запущу. Запустил, на выходе - читаемый config.bin.txt. В принципе скрипт с задачей справился: расшифровало пароль Wi-Fi, логин и пароль для входа в админку, MAC-адреса и куча прочей полезной и не очень информации.

Но насторожила одна запись:

wan_dhcpplus_defsvr 1 218.29.0.227

Запустил whois и обнаружил, что это China Unicom Henan province network, Beijing, 100140, P.R.China и т.д.

Сижу теперь и думаю, что это за айпишник и что он делает в резервной копии конфигурации роутера? Гугл по запросу «China Unicom Henan» выдает много интересного, включая жалобы на атаки хакеров из этой сети, лол :D

Собственно, сам скрипт для расшифровки:

from Crypto.Cipher import DES
from hashlib import md5

key = '\x47\x8D\xA5\x0B\xF9\xE3\xD2\xCF'
crypto = DES.new( key, DES.MODE_ECB )

data = open('config.bin', 'rb').read()
data_decrypted = crypto.decrypt( data ).rstrip('\0')
assert data_decrypted[:16] == md5(data_decrypted[16:]).digest()
open('config.bin.txt', 'wb').write(data_decrypted[16:])

Ссылка

←	Плагин Managesieve RoundCube не считывает файл с правилами фильтрации

ШГ?

→

замени на свой (подконтрольный) ip и посмотри что прилетает. +сравни результаты сканирования. или заверни/подмени трафик к странной сети

вероятность что кусок_бекдора/вход_ботнета забит в файл конфигурации крайне мала. 99% что это результат рас@#$дяйства друзей с поднебесной. Быстро-быстро быдлокодили прошивку и ошмётки от отладки остались в конфиге.

в любом случае хрень подозрительная и подлежит замене на 127.172.17.12 :-)

MKuznetsov ★★★★★
(16.05.15 01:02:27 MSK)

Ответ на: комментарий от MKuznetsov 16.05.15 01:02:27 MSK

замени на свой (подконтрольный) ip

В смысле? Этот айпишник нигде не фигурирует в админке, только в расшифрованном резервном конфиге.

быдлокодили прошивку и ошмётки от отладки остались в конфиге

А, ну тогда хрен с ним. Вероятно оно так и есть. Я не особо парюсь по этому поводу, просто стало интересно :)

Gonzo ★★★★★
(16.05.15 01:10:45 MSK) автор топика

Ответ на: комментарий от Gonzo 16.05.15 01:10:45 MSK

Этот айпишник нигде не фигурирует в админке, только в расшифрованном резервном конфиге.

Можно ведь поменять его в бекапе конфига и залить потом его на роутер. Только нужен будет скрипт, который из config.bin.txt сделает обратно config.bin, но если есть уже расшифровывающий скрипт, то можно и зашифровывающий нафигачить.

gentoo_root ★★★★★
(16.05.15 01:30:08 MSK)

Такой большой, а китайские прошивки юзаешь. Как бы, китайцы наличие бекдоров особо и не скрывают. Ставь OpenWrt, и всё у тебя будет хорошо.

anonymous
(16.05.15 02:03:02 MSK)

Ответ на: комментарий от Gonzo 16.05.15 01:10:45 MSK

замени на свой (подконтрольный) ip
В смысле?

выставь свой ип, залей конфиг в прошивку и начинай снифить и анализировать трафик который приходит с роутера.

snaf ★★★★★
(16.05.15 09:45:01 MSK)

Ответ на: комментарий от snaf 16.05.15 09:45:01 MSK

Ясно. Посмотрим на досуге, что из этого получится.

Gonzo ★★★★★
(16.05.15 11:30:11 MSK) автор топика

Ссылка

Расшифровка файла конфигурации роутера TP-LINK

Не могли бы Вы мне помочь расшифровать мой файл конфигурации роутера, или объяснить как это сделать?

YShaman
(24.05.15 14:04:36 MSK)

Ответ на: Расшифровка файла конфигурации роутера TP-LINK от YShaman 24.05.15 14:04:36 MSK

Не этот ник выбрал. Ответ на твой вопрос лежит в ОП-посте.

Deleted
(24.05.15 14:09:10 MSK)

Ответ на: комментарий от gentoo_root 16.05.15 01:30:08 MSK

а можно же через редактор hex?

mystery ★★
(24.05.15 14:19:52 MSK)

Ответ на: комментарий от mystery 24.05.15 14:19:52 MSK

а можно же через редактор hex?

Тут данные DES'ом шифруются и MD5 добавляется для проверки целостности, не думаю, что на бумажке это считать и менять чиселки в hex-редакторе проще, чем написать простой скрипт :D

gentoo_root ★★★★★
(24.05.15 19:12:06 MSK)

Ссылка

Если это бэкдор, то записывать его в бакапы просто глупо

at ★★
(24.05.15 20:04:01 MSK)

Ответ на: комментарий от at 24.05.15 20:04:01 MSK

записывать его в бакапы просто глупо

Что именно записывать? :D

Речь о том, что где-то скорее всего в прошивке TP-LINK прописан китайский айпишник, а при резервном сохранении файла конфигурации роутера этот айпишник вдруг стал видим. Только и всего. Выше уже сказали, что в прошивке мог просто остаться отладочный «мусор».

Gonzo ★★★★★
(24.05.15 20:20:27 MSK) автор топика

Ответ на: Расшифровка файла конфигурации роутера TP-LINK от YShaman 24.05.15 14:04:36 MSK

Не могли бы Вы мне помочь расшифровать мой файл конфигурации роутера

Я не расшифровываю ничего :) В моем посте все написано.

Gonzo ★★★★★
(24.05.15 20:22:25 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 16.05.15 02:03:02 MSK

Ставь OpenWrt, и всё у тебя будет хорошо.

Давай ты мне openwrt на archer c9 v1 поставишь)

devl547 ★★★★★
(24.05.15 20:24:44 MSK)

Ответ на: комментарий от devl547 24.05.15 20:24:44 MSK

Анонимус такой анонимус :)

Gonzo ★★★★★
(24.05.15 20:29:15 MSK) автор топика

Ответ на: комментарий от Gonzo 24.05.15 20:20:27 MSK

Что то подобное уже было. В роутере хранились дефолтные адреса ntp, dns (на случай если пользователь их не ввёл или они не получены другим образом). Не думаю, что это именно бэкдор, хотя ХЗ

at ★★
(24.05.15 20:30:24 MSK)

Ссылка

Ответ на: комментарий от devl547 24.05.15 20:24:44 MSK

ССЗБы должны страдать? )

anonymous
(24.05.15 20:47:35 MSK)

Ссылка

Ответ на: комментарий от devl547 24.05.15 20:24:44 MSK

Купил говно на броадкоме, а анонимус отдувайся? Нет уж, страдай.

anonymous
(24.05.15 21:07:28 MSK)

Ссылка

У меня TL-MR3020 в config.bin.txt такая же фигня

wan_dhcpplus_defsvr 1 218.29.0.227
wan_dhcpplus_defsvr 2 218.29.0.227
wan_dhcpplus_defsvr 3 218.29.0.227
wan_dhcpplus_defsvr 4 218.29.0.227

И этот 218.29.0.227 очень подозрительный

Nmap scan report for 218.29.0.227
Host is up.
All 1000 scanned ports on 218.29.0.227 are filtered

cli ★
(24.05.15 21:52:58 MSK)

Ответ на: комментарий от Gonzo 24.05.15 20:29:15 MSK

Из того, что ещё у меня на руках:
Archer C7 v1 - не пашет пятигигагерцовый диапазон, нет дров на mini-pcie карту.
Asus ac66u - sirq сжирают всё процессорное время и не дают даже 30 mbps прокачать против честной сотни на стоке или asuswrt-merlin.

Опенсорс такой опенсорс, wrt54gl и 54mbps хватит всем) А ещё DLNA не нужно.

devl547 ★★★★★
(24.05.15 22:33:58 MSK)
Последнее исправление: devl547 24.05.15 22:34:32 MSK (всего исправлений: 1)

Ответ на: комментарий от devl547 24.05.15 22:33:58 MSK

Asus ac66u

О_о вот уж не подумал бы... А мне его недавно так расхваливали, я даже чуть не купил :)

Gonzo ★★★★★
(24.05.15 23:03:37 MSK) автор топика

Ответ на: комментарий от cli 24.05.15 21:52:58 MSK

Вообще китайцы заманали. Стоит поднять SSH-сервер, как в логах немерено их сразу.

Gonzo ★★★★★
(24.05.15 23:06:23 MSK) автор топика
Последнее исправление: Gonzo 24.05.15 23:06:54 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Gonzo 24.05.15 23:03:37 MSK

На стоковой прошивке или моде от мерлина он работает просто отлично.
openwrt/dd-wrt сильно грузят проц sirq по непонятной причине, видимо какая-то бага в ядре. Про проблему знают, но пока не пофиксили.
есть ещё advanced tomato (как по мне - просто офигенная прошивка по юзабельности), но на ней какой-то косяк с подключением на 5GHz, сеть видна, но не соединяет.

devl547 ★★★★★
(25.05.15 09:43:57 MSK)

Ответ на: комментарий от Deleted 24.05.15 14:09:10 MSK

Ник

Почему не тот ник - я же не программист и не it инженер, а просто Шаман :) Вот по шаманил и всё таки решил задачу. Даже готов с Вами поделится - http://soft.mydiv.net/win/download-RouterPassView.html

YShaman
(25.05.15 12:21:33 MSK)

Ответ на: комментарий от devl547 25.05.15 09:43:57 MSK

О, а можно подробнее плиз? На TP-LINK можно поставить advanced tomato? И ткни носом в «прошивку от мерлина». Где глянуть?

Gonzo ★★★★★
(25.05.15 13:10:38 MSK) автор топика
Последнее исправление: Gonzo 25.05.15 13:10:49 MSK (всего исправлений: 1)

Ответ на: комментарий от Gonzo 25.05.15 13:10:38 MSK

На TP-LINK можно поставить advanced tomato?

По сути - обычная shibby, только гуй поприличней.

прошивку от мерлина

https://github.com/RMerl/asuswrt-merlin
http://asuswrt.lostrealm.ca/

devl547 ★★★★★
(25.05.15 13:13:47 MSK)

Ответ на: комментарий от devl547 25.05.15 13:13:47 MSK

Стоп, ты имел в виду под Asus или таки Tp-Link? :)

Gonzo ★★★★★
(25.05.15 13:14:25 MSK) автор топика

Ответ на: Ник от YShaman 25.05.15 12:21:33 MSK

я же не программист и не it инженер, а просто Шаман :

Сейчас Шома придёт и расскажет, кто тут настоящий.

devl547 ★★★★★
(25.05.15 13:14:54 MSK)

Ссылка

Ответ на: комментарий от Gonzo 25.05.15 13:14:25 MSK

Так ты разговор про ac66u завёл)

А с Archer C7 ещё смешнее - ревизия той платы, которая стоит в v1, не поддерживается ath10k.

devl547 ★★★★★
(25.05.15 13:16:16 MSK)

Ответ на: комментарий от devl547 25.05.15 13:16:16 MSK

Сорри, туплю :)

ревизия той платы, которая стоит в v1, не поддерживается ath10k

А я смотрю, со многими роутерами обязательно какие-то траблы... Ревизии, чипы и т.д. Полюбэ какие-то issues есть.

Gonzo ★★★★★
(25.05.15 13:17:43 MSK) автор топика
Последнее исправление: Gonzo 25.05.15 13:17:53 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Плагин Managesieve RoundCube не считывает файл с правилами фильтрации

General

ШГ?

→

Расшифровка файла конфигурации роутера TP-LINK

Ник

Похожие темы