LINUX.ORG.RU

Ботнет атакует: червь для Linux-based роутеров

 ,


0

0

В сети появился новый червь «psyb0t», отличительными особенностями которого являются:

  • это — первый ботнетовый червь, поражающий роутеры и DSL-модемы;
  • содержит шеллкод для многих устройств на базе mipsel;
  • не нацелен на ПК или серверы;
  • использует множество техник, включая брутфорсовый подбор username:password;
  • собирает пароли, передаваемые по сети;
  • может сканировать сеть на предмет уязвимых серверов с phpMyAdmin и MySQL.

Уязвимы Linux-устройства на базе mipsel, с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.

>>> Подробности

Re: Ботнет атакует: червь для Linux-based роутеров

какстрашножить...
btw, в толксах уже обсудили.

isden ★★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

Началось...

Pythagoras ★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

То есть это нечто, что брутфорсом пытается вломится в админку роутера и начать там свирепствовать? :fear:

Gorthauer ★★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

Какой кошмар. А смысл у сего действа имеется или это так: "Ха! Ха! Я атакую роутеры!"?

narayan ()

Re: Ботнет атакует: червь для Linux-based роутеров

дайте водки. очень страшно.

олсо множество техник сводится таки к брутфорсу если я все правильно понял?

vostrik ★★★☆ ()

Re: Ботнет атакует: червь для Linux-based роутеров

всем кто еще верит в неуязвимость линукса, копить денги на человеческое железо.

chocholl ★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

>с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.

почему бы и не взять то, что и так открыто предлагают...

stave ★★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

>> Как узнать о том, что твой роутер взломан?

> Снаружи по ssh можешь подключиться, пароль по умолчанию?

А не подключишься.

Оно делает

# iptables -A INPUT -p tcp --dport 23 -j DROP

# iptables -A INPUT -p tcp --dport 22 -j DROP

# iptables -A INPUT -p tcp --dport 80 -j DROP

И вообще, хоть кто-нибудь по ссылкам ходит?

trapezoid ()

Re: Ботнет атакует: червь для Linux-based роутеров

Хмм... по ссылке на источник сейчас ЛОР-эффект.

Freiheits-Sender ★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

От, ить, блин!!! Теперь и железки без присмотру не оставить!!!

Интересно: когда UTP-вирусы появятся?

Pronin ★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

Видел 1 роутер без пароля, парочку со стандартным (все длинк). Так что и брутфорсить не нужно.

f00fc7c8 ()

Re: Ботнет атакует: червь для Linux-based роутеров

а если у меня админка из WAN не доступна?

Osmos ★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

Если у кого на роутере login/pass == admin/admin, то они ССЗБ

vadiml ★★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

> Если у кого на роутере login/pass == admin/admin, то они ССЗБ

Бесконечно много плюсую! Первым делом в нормальных роутерах предлагают сменить пароль с дефолтного и потом зайти новым. Если уж даже этого не делают!!!

Lumi ★★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

> всем кто еще верит в неуязвимость линукса, копить денги на человеческое железо.

Думаешь дорогое железо защищено от багов в головах пользователей, которые ставят пароль qwerty89 (чтобы не забыть) и тыкают все галочки (чтобы лучше работало)?

mironov_ivan ★★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

Ну? И кто вешает web морду на WAN? Кто не ставит нормальные пароли и логины с задержками от брутфорса? ССЗБ. Опасность данного явления преувеличена...

I-Love-Microsoft ★★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

На тех же d-link есть по крайней ещё пара учёток с небезопасными паролями, которые никто не предлагает менять.

timur_dav ☆☆☆☆☆ ()

Re: Ботнет атакует: червь для Linux-based роутеров

олололо, пока он будет брутфорсить мой роутер он раз 10 упадет :) Ибо торренты сжирают большую часть ресурсов, да и во вне SSH прикрыт ...

кстати, как оно определит роутер я или нет ?

phasma ★☆ ()

Re: Ботнет атакует: червь для Linux-based роутеров

Жаль что от этого в конечном итоге страдаем мы - админы. из-за того что на наши сервера направляют DDoS,кучи спама и прочие прелести современного интернета

Cosmicman ★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

>Видел 1 роутер без пароля, парочку со стандартным (все длинк). Так что и брутфорсить не нужно.

а что, если не D-Link, то пароль сразу станет нестандартным?

scaldov ★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

дожили :(

splinter ★★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

в принципе доступ к таким вещам должен быть по умолчанию закрыт извне. тогда пароль не принципиален будет. и хорошо бы в настройках таймаут можно было задать между вводами паролями. минут в пять достаточно. вот тогда брутфорс пойдет лесом.

gaux ★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

>>Интересно: когда UTP-вирусы появятся? >Скоро появится живущий в клавах. Он будет досить юзера по еб^W лицу пока он не поделится wmz.

Клавиатура - вещь интимная, там крошки живут, туда никто посторонних не пускает, а вот кабели - это да-а! Там мно-го чего бегает! Одних "паразитных токов" сколько!

Впрочем, видел я клавиатуру с BIOS-ом и тачпадиком, там и вправду можно EPROM "подправить" ;)

О! Кстати - та же Тёмина "максимальная", которая с экранчиками для кнопок! Управляется с компа - чем не "пристанище уставших сетевых бродяг"?

Pronin ★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

А нафег вообще включать доступ к админке из WAN ? Пару портов пробросить пока отдыхаешь на природе?

reliktt ()

Re: Ботнет атакует: червь для Idiot-based роутеров

Как же давно я не был на ЛОРе. Кто-нибудь может в двух словах объяснить, почему:

Первое:

нельзя подобрать идентификационные данные методом "брутфорс" (или по словарю: Admin:Admin) к роутеру, в котором нет Linux?

Второе:

серверы, на которых установлены PHPMyAdmin и MySQL по-умолчанию считаются уязвимыми?

Третье:

он собирает только пароли передаваемые по сети, и как он отличает, которые из них слабые?

Четвертое:

этот "червь" не трогает ПК и серверы, что служит отличием половой принадлежности?

valich ★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

> Жаль что от этого в конечном итоге страдаем мы - админы. из-за того что на наши сервера направляют DDoS,кучи спама и прочие прелести современного интернета

В том числе и за это тебе платят деньги.

f00fc7c8 ()

Re: Ботнет атакует: червь для Linux-based роутеров

камгады, геальных пгичин для беспокойства нет, вигус не погажает x86 агхитектугу, а дсл и linux-based гоутегы в меньшинстве, плюс только законченный идиот будет ставить пгостые паголи ( или дома)

andreas90 ()

Re: Ботнет атакует: червь для Linux-based роутеров

>камгады, геальных пгичин для беспокойства нет, вигус не погажает x86 агхитектугу, а дсл и linux-based гоутегы в меньшинстве, плюс только законченный идиот будет ставить пгостые паголи ( или дома)

К логопеду

daemontux ()

Re: Ботнет атакует: червь для Linux-based роутеров

мухахаха)) вот усраться!!))) по ссылке с большой задержкой пришел ответ -

> Network Bluepill - stealth router-based botnet has been DDoSing dronebl for the last couple of weeks

Походу лор-эффект им не пережить!)))

ei-grad ★★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

мне понравился коммент одного мадяра. ;) Tamas Feher from Hungary said on Mar-24-2009 09:35:16 GMT:

Sounds like bullshit. If it was actually DDoS-ing DrobeBL, why didn\'t you go straight to the FBI and ICANN and ask to shut down the \"dweb.webhop.net\" address which spreads the home-router worm? Why is the wormsite still alive this very minute? Мадяр пишет как мэйнияк, вот и я пойду проверю, ФБР не свалило ли ещё хост... =)))

none@none-laptop:~$ ping dweb.webhop.net PING dweb.webhop.net (207.36.209.192) 56(84) bytes of data. 64 bytes from 207-36-209-192.ptr.primarydns.com (207.36.209.192): icmp_seq=1 ttl=110 time=225 ms 64 bytes from 207-36-209-192.ptr.primarydns.com (207.36.209.192): icmp_seq=2 ttl=110 time=219 ms 64 bytes from 207-36-209-192.ptr.primarydns.com (207.36.209.192): icmp_seq=3 ttl=110 time=216 ms 64 bytes from 207-36-209-192.ptr.primarydns.com (207.36.209.192): icmp_seq=4 ttl=110 time=214 ms

--- dweb.webhop.net ping statistics --- 5 packets transmitted, 4 received, 20% packet loss, time 4101ms rtt min/avg/max/mdev = 214.128/218.978/225.598/4.362 ms

krasnorutsky ()

Re: Ботнет атакует: червь для Linux-based роутеров

пару слов от себя: Если вы - "домашний администратор", и вам лично безразлична судьба вашего домашнего роутера - подумайте о тысячах ваших коллег, которым прийдётся отражать DDOS-атаки той бот-сети, в которую может "влиться" ваше сетевое оборудование!

Pronin ★★★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

для крутых перцев - у меня в dlinke кроме admin/admin есть еще user/user и support/support. причем у последнего менять пароль можно только через ssh - в вебе недоступно

zyoung ()

Re: Ботнет атакует: червь для Linux-based роутеров

> Видел 1 роутер без пароля, парочку со стандартным (все длинк). Так что и брутфорсить не нужно.

И у них админка была специально выставлена наружу, на всемирное обозрение?

shahid ★★★★★ ()

Re: Ботнет атакует: червь для Idiot-based роутеров

> нельзя подобрать идентификационные данные методом "брутфорс" (или по словарю: Admin:Admin) к роутеру, в котором нет Linux?
Можно, но он же перехватывает пакеты, выуживает оттуда новые пароли. Надо знать что за платформа. Чем можно пакетики почитать. Чем порты заблокировать.

> он собирает только пароли передаваемые по сети, и как он отличает, которые из них слабые?

А зачем ему отличать слабые? o_O
Типа червь-джентельмен? Собирает только слабые пароли?

> этот "червь" не трогает ПК и серверы, что служит отличием половой принадлежности?

Наверное он не определяет половую принадлежность. Сработает эксплоит -- замечательно. Не сработает, ну и фиг с ним

afunix ()

Re: Ботнет атакует: червь для Linux-based роутеров

Несерьезно. Слабый пароль на ssh - это так же как perl однострочник от root запустить.

skwish ★★ ()

Re: Ботнет атакует: червь для Linux-based роутеров

> А нафег вообще включать доступ к админке из WAN ? Пару портов пробросить пока отдыхаешь на природе?

А почему бы нет? Если есть возможность предоставлять сервис и делать это безопасно (поставить нормальный пароль), то зачем от него отказываться?

skwish ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.