Ботнет атакует: червь для Linux-based роутеров

>А нафег вообще включать доступ к админке из WAN ? Пару портов пробросить пока отдыхаешь на природе?

Справедливости ради, иногда бывает надо. Но редко.

> Sounds like bullshit. If it was actually DDoS-ing DrobeBL, why didn\'t you go straight to the FBI and ICANN and ask to shut down the \"dweb.webhop.net\" address which spreads the home-router worm? Why is the wormsite still alive this very minute?

Сегодня этот вирус ещё нормально скачивался :)

AFAIR, на всех этих прошивках есть инженерный логин/пароль с рутовым доступом. Сайт не помню, где клепали альтернативную прошивку без бекдоров для этого мипсоговна, что-то вроде routertech.org

бугагага

Прошивка dd-wrt подвержена или нет?

ужоснах

А самое забавное, что все эти линуксовые поделки не умеют автоапдейтится, хороший будет ботнет, годный.

Ну после всеобщего "технического" логина на кисках, это так мелочи :)))

Правда вотпрос - а с чего вдруг порт управления смотрит в инет???? Может он идет в комплекте с виндовым трояном и ломается из локалки?

Да, кстати. Попробуйте залогиниться к себе на веб c логинопаролем isp/isp - у меня на asus "что-то там" работает :P

> Первое:нельзя подобрать идентификационные данные методом "брутфорс" (или по словарю: Admin:Admin) к роутеру, в котором нет Linux?

Да, практически нельзя :), почти все домашние роутеры идут на Linux, ему трудно отыскать дрыгие :)))))

> Третье: он собирает только пароли передаваемые по сети, и как он отличает, которые из них слабые?

те которые он собирает - без разницы :)))

> Четвертое: этот "червь" не трогает ПК и серверы, что служит отличием половой принадлежности?

он ELF-mips32 :)))

> нельзя подобрать идентификационные данные методом "брутфорс" (или по словарю: Admin:Admin) к роутеру, в котором нет Linux?

Linux ABI нужно для запуска кода вируса.

> серверы, на которых установлены PHPMyAdmin и MySQL по-умолчанию считаются уязвимыми?

Они перманентно уязвимы. Докажите обратное.

> он собирает только пароли передаваемые по сети, и как он отличает, которые из них слабые?

Если червь подбирает ключики брутфорсом, то совершенно ясно, что работа идёт со словарём (который может накапливаться).

> этот "червь" не трогает ПК и серверы, что служит отличием половой принадлежности?

brandelf и MIPS architecture.

> Babylon-5

fixed

> Видел 1 роутер без пароля, парочку со стандартным (все длинк)

длинк, по дефолту, наружу голой жо^H^H^H^H^H^H^H^H ssh/telnet и вебмордой не светит.

>>А нафег вообще включать доступ к админке из WAN ? Пару портов пробросить пока отдыхаешь на природе?

>Справедливости ради, иногда бывает надо. Но редко.

Ну ssh-то достаточно, с нормальной авторизацией..

>Да, кстати. Попробуйте залогиниться к себе на веб c логинопаролем isp/isp - у меня на asus "что-то там" работает :P

У меня с олеговской прошивкой нет.

Тоже мне червяг. Пароль потолще, и ограничение по IP да и все.

Очередной червь под линукс принципа ССЗБ. Небойсь словарь брутфорса состоит из одной комбинации логин/пароль: 'admin'/'admin'

>длинк, по дефолту, наружу голой жо^H^H^H^H^H^H^H^H ssh/telnet и вебмордой не светит.

А у меня светил вебмордой. Пока доступ только с нескольких айпи не сделал.

>нельзя подобрать идентификационные данные методом "брутфорс" к роутеру, в котором нет Linux?

Нельзя. Нельзя обижать слабых и беззащитных.

а еще можно взламывать погодные станции и устанавливать на них netsukuku, а так же высвечивать тамошними проекционными дисплеями неприличные слова на потолок.

Раз уж пошла такая пляска, скажите кто знает, какое ПО в модемах/роутерах "Интеркросс"?

> AFAIR, на всех этих прошивках есть инженерный логин/пароль с рутовым доступом.

Хм.. Посмотрел /etc/shadow и /etc/passwd - один пользователь (root), один пароль. По всей видимости хеш этого пароля совпадает с моим.

Кажись, слишком велика эта параноя с бекдором.

> Раз уж пошла такая пляска, скажите кто знает, какое ПО в модемах/роутерах "Интеркросс"?

Если это синяя дурно пахнущая дешевым пластиком коробочка - то Linux, причем на ядре 2.6. Про их софт мало что могу сказать.

спаведливости ради стоит сказать что на д-линках админка в инет жопой не торчит

>И кто вешает web морду на WAN?

ASUS

ни на 300g ни на 500w нет вебморды по умолчанию на WAN так что как-то не верится

Самое печальное в этой ситуации то, что в итоге на слуху оказывается лишь что некий "червь захватывает роутеры с ОС Линукс". А подробности зачастую опускаются.

Мой домашний роутер использует прошивку Tomato. Нравится то, что разработчик предоставляет мощный (ни единого глюка мною пока не было найдено) веб-интерфейс (кстати минималистичный и на аяксе) и возможность настроить все самому через консоль. Стандартная линксисовская прошивка использует лишь 50% функционала всего роутера.

Открыт наружу только SSH порт роутера поверх домашнего сервера, находящегося в DMZ.

Все кастомизируется как и в любом другом линукс дистрибутиве, только вместо OpenSSH используется Dropbear.

Хотел настроить port knocking, но ограничился на сложном пароле, запрете логина рута и несколькими надстройками SSH сервера.

У асусовских адсл-мопедов неоднократно видел админку торчачую наружу

> Стандартная линксисовская прошивка использует лишь 50% функционала всего роутера.

Какой у вас линксис?

> Мой домашний роутер использует прошивку Tomato

Где можно найти? И стоит ли менять дефолтную прошивку в WRT54GC?

А ты после покупки пароль менял?

> Где можно найти?

http://www.google.com/search?hl=en&client=firefox-a&rls=org.mozilla%3...

первая сцылка

> И стоит ли менять дефолтную прошивку в WRT54GC

вобще то всегда. Но о GC я впервые слышу. На всякий случай почитай про особенности установки *wrt прошивок на него.

Как хорошо, что пароль сменил. Приду домой - еще и настройки проверю. :)

>Уязвимы Linux-устройства на базе mipsel, с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.

ну так не интересно - может им в web-интерфейсе рутовый пароль выложить и назвать потом ЭТО червем.

WRT54GL. Сейчас можно управлять даже лампочками, только ездить самостоятельно не умеет.

http://polarcloud.com/tomato/

>Если это синяя дурно пахнущая дешевым пластиком коробочка

Мм, нет, ничем не пахнет. Но синяя, да.

>то Linux, причем на ядре 2.6. Про их софт мало что могу сказать.

Спасибо, это я и хотел услышать.

WRT54GL. Сейчас можно управлять даже лампочками, только ездить самостоятельно не умеет.

http://polarcloud.com/tomato/

На сайте написаны поддерживаемые модели, если что.

Ура!! Наконец-то и для линукса хоть что-то написали! :)

Не для линукса, а для криворуконастроенных роутеров.

вот интересно, а если червь будет проходить через виндовые дырки в IE и RPC и будет кидать elf тушку в роутер, который торчит в локалку со стандартными паролями - Linux тоже будет виноват?

> Самое печальное в этой ситуации то, что в итоге на слуху оказывается лишь что некий "червь захватывает роутеры с ОС Линукс". А подробности зачастую опускаются.

Касперский по заказу Microsoft написали примитивного(а они еще что-то могут?) червя и теперь на каждом углу будут орать "Смотрите, ваш Linux небезопасен!"

Мне вот интересно, что будет с сетями, когда понаставят роутеров с Windows на борту. Вроде такие сделали уже. :)

>Хм.. Посмотрел /etc/shadow и /etc/passwd - один пользователь (root), один пароль. По всей видимости хеш этого пароля совпадает с моим.

>Кажись, слишком велика эта параноя с бекдором.

Хах. Не все так просто, вот интересный скрин телнета к моему роутеру:

http://img155.imageshack.us/img155/2287/routerdsl2500.png

Пароли я ессно всем этим аккаунтам давно поменял. Странно то, что user доступна половина настроек, он даже может стырить логин и пароль (о да, если открыть изменение настроек PPPoE, то там будет какбы закрытый звездочками пароль, но если просмотреть исходник страницы - там будет пароль в открытом виде) и залить прошивку. Хэши по понятным причинам замылены. Админка из внешки, конечно же, недоступна (ибо нефиг).

>вот интересно, а если червь будет проходить через виндовые дырки в IE и RPC и будет кидать elf тушку в роутер, который торчит в локалку со стандартными паролями - Linux тоже будет виноват?

>Касперский по заказу Microsoft написали примитивного(а они еще что-то могут?) червя и теперь на каждом углу будут орать "Смотрите, ваш Linux небезопасен!"

>Мне вот интересно, что будет с сетями, когда понаставят роутеров с Windows на борту. Вроде такие сделали уже. :)

Как же толсто и стереотипно... Покажи мне эксплоит, который валит сразу пачками по пицот штук виндовые серверы. Ну или давай, похачь IE8. Кстати, если роутер бриджем работает (т.е. прямой доступ ко всем открытым на машине портам), то, опять же, ССЗБ. Чтобы похачить через RPC, нужно предварительно порт пробросить. Расскажи мне еще про Kido, который пачками винды валит))))))

Последнее время iptables начал отлавливать попытки соединнеия с ssh

пробоваал зайти браузером на эти адреса, отзываются D-link роутеры,логин пароль admin admin, какой тут нафиг брутфорс

Все с адресов нашего провайдера.

По моему наружу начинает смотреть после настройки по инструции от провайдера, а там про смену пароля ничего не написано,

У меня наружу не смотрит, проверял :), использую PPPOE

Наружу смотрит, только если это явно разрешит в Tools -> Access Control -> Services.

> в принципе доступ к таким вещам должен быть по умолчанию закрыт извне. тогда пароль не принципиален будет. и хорошо бы в настройках таймаут можно было задать между вводами паролями. минут в пять достаточно.

telnetd еще понятно, а ssh то зачем. а временные баны давать, при определенных количествах неудачных попыток - решения тоже есть. Ну и вход по ключу тоже решает.

>/me закинулся попкорном и приготовился холливарить на стоплинуксе :)

И когда же Стоплинукс станет другом ЛОРа? :)

Кто-то хотел узнать про вирусы на winроутерах. Вот пожалуйста - трояны в банкоматах: http://www.lenta.ru/news/2009/03/25/virus/

> /me закинулся попкорном и приготовился холливарить на стоплинуксе :)

меня падажжи, я пиго захвачу )

меня больше интересует, как он получает шелл. Единственный метод - это залить свою "прошивку", которая включит telnet. Но ведь каждая модель имеет свой формат скриптов в прошивках. Причем многие из них закрыты.

BCM96338 ADSL Router (none) login: admin Password:

BusyBox v1.00 (2005.04.12-18:11+0000) Built-in shell (msh) Enter 'help' for a list of built-in commands.

# echo /usr/bin/ftp* /usr/bin/ftpget # ftpget --help BusyBox v1.00 (2005.04.12-18:11+0000) multi-call binary

Usage: ftpget [options] remote-host local-file remote-file

Получается что в мой модемчик по дефолту встроена данная тулза.