LINUX.ORG.RU

Ботнет атакует: червь для Linux-based роутеров

 ,


0

0

В сети появился новый червь «psyb0t», отличительными особенностями которого являются:

  • это — первый ботнетовый червь, поражающий роутеры и DSL-модемы;
  • содержит шеллкод для многих устройств на базе mipsel;
  • не нацелен на ПК или серверы;
  • использует множество техник, включая брутфорсовый подбор username:password;
  • собирает пароли, передаваемые по сети;
  • может сканировать сеть на предмет уязвимых серверов с phpMyAdmin и MySQL.

Уязвимы Linux-устройства на базе mipsel, с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.

>>> Подробности



Проверено: Shaman007 ()

То есть это нечто, что брутфорсом пытается вломится в админку роутера и начать там свирепствовать? :fear:

Gorthauer ★★★★★
()

дайте водки. очень страшно.

олсо множество техник сводится таки к брутфорсу если я все правильно понял?

vostrik ★★★☆
()
Ответ на: комментарий от narayan

> А смысл у сего действа имеется

Ботнет для DDoS

sin_a ★★★★★
()
Ответ на: комментарий от abraziv_whiskey

> Как узнать о том, что твой роутер взломан?

Снаружи по ssh можешь подключиться, пароль по умолчанию?

sin_a ★★★★★
()
Ответ на: комментарий от abraziv_whiskey

>Как узнать о том, что твой роутер взломан? Логи почитать.

GNU-ch
()

>с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.

почему бы и не взять то, что и так открыто предлагают...

stave ★★★★★
()
Ответ на: комментарий от sin_a

>> Как узнать о том, что твой роутер взломан?

> Снаружи по ssh можешь подключиться, пароль по умолчанию?

А не подключишься.

Оно делает

# iptables -A INPUT -p tcp --dport 23 -j DROP

# iptables -A INPUT -p tcp --dport 22 -j DROP

# iptables -A INPUT -p tcp --dport 80 -j DROP

И вообще, хоть кто-нибудь по ссылкам ходит?

trapezoid
() автор топика

Хмм... по ссылке на источник сейчас ЛОР-эффект.

Freiheits-Sender ★★
()

От, ить, блин!!! Теперь и железки без присмотру не оставить!!!

Интересно: когда UTP-вирусы появятся?

Pronin ★★★★
()
Ответ на: комментарий от trapezoid

> И вообще, хоть кто-нибудь по ссылкам ходит?

В толксах есть версия для Ъ

sin_a ★★★★★
()

Видел 1 роутер без пароля, парочку со стандартным (все длинк). Так что и брутфорсить не нужно.

f00fc7c8
()

а если у меня админка из WAN не доступна?

Osmos ★★
()
Ответ на: комментарий от vadiml

> Если у кого на роутере login/pass == admin/admin, то они ССЗБ

Бесконечно много плюсую! Первым делом в нормальных роутерах предлагают сменить пароль с дефолтного и потом зайти новым. Если уж даже этого не делают!!!

Lumi ★★★★★
()
Ответ на: комментарий от chocholl

> всем кто еще верит в неуязвимость линукса, копить денги на человеческое железо.

Думаешь дорогое железо защищено от багов в головах пользователей, которые ставят пароль qwerty89 (чтобы не забыть) и тыкают все галочки (чтобы лучше работало)?

Deleted
()

Ну? И кто вешает web морду на WAN? Кто не ставит нормальные пароли и логины с задержками от брутфорса? ССЗБ. Опасность данного явления преувеличена...

I-Love-Microsoft ★★★★★
()

На тех же d-link есть по крайней ещё пара учёток с небезопасными паролями, которые никто не предлагает менять.

timur_dav ☆☆☆☆☆
()

олололо, пока он будет брутфорсить мой роутер он раз 10 упадет :) Ибо торренты сжирают большую часть ресурсов, да и во вне SSH прикрыт ...

кстати, как оно определит роутер я или нет ?

phasma ★☆
()

Жаль что от этого в конечном итоге страдаем мы - админы. из-за того что на наши сервера направляют DDoS,кучи спама и прочие прелести современного интернета

Cosmicman ★★
()
Ответ на: комментарий от f00fc7c8

>Видел 1 роутер без пароля, парочку со стандартным (все длинк). Так что и брутфорсить не нужно.

а что, если не D-Link, то пароль сразу станет нестандартным?

scaldov ★★
()
Ответ на: комментарий от Pronin

>Интересно: когда UTP-вирусы появятся?

Скоро появится живущий в клавах. Он будет досить юзера по еб^W лицу пока он не поделится wmz.

daemontux
()
Ответ на: комментарий от Deleted

статью то почитай, там не о багах в головах пользователей, а о дырах в этих тазиках.

chocholl ★★
()

в принципе доступ к таким вещам должен быть по умолчанию закрыт извне. тогда пароль не принципиален будет. и хорошо бы в настройках таймаут можно было задать между вводами паролями. минут в пять достаточно. вот тогда брутфорс пойдет лесом.

gaux ★★
()
Ответ на: комментарий от daemontux

>>Интересно: когда UTP-вирусы появятся? >Скоро появится живущий в клавах. Он будет досить юзера по еб^W лицу пока он не поделится wmz.

Клавиатура - вещь интимная, там крошки живут, туда никто посторонних не пускает, а вот кабели - это да-а! Там мно-го чего бегает! Одних "паразитных токов" сколько!

Впрочем, видел я клавиатуру с BIOS-ом и тачпадиком, там и вправду можно EPROM "подправить" ;)

О! Кстати - та же Тёмина "максимальная", которая с экранчиками для кнопок! Управляется с компа - чем не "пристанище уставших сетевых бродяг"?

Pronin ★★★★
()

А нафег вообще включать доступ к админке из WAN ? Пару портов пробросить пока отдыхаешь на природе?

reliktt
()

Как же давно я не был на ЛОРе. Кто-нибудь может в двух словах объяснить, почему:

Первое:

нельзя подобрать идентификационные данные методом "брутфорс" (или по словарю: Admin:Admin) к роутеру, в котором нет Linux?

Второе:

серверы, на которых установлены PHPMyAdmin и MySQL по-умолчанию считаются уязвимыми?

Третье:

он собирает только пароли передаваемые по сети, и как он отличает, которые из них слабые?

Четвертое:

этот "червь" не трогает ПК и серверы, что служит отличием половой принадлежности?

valich ★★★
()
Ответ на: комментарий от Cosmicman

> Жаль что от этого в конечном итоге страдаем мы - админы. из-за того что на наши сервера направляют DDoS,кучи спама и прочие прелести современного интернета

В том числе и за это тебе платят деньги.

f00fc7c8
()

камгады, геальных пгичин для беспокойства нет, вигус не погажает x86 агхитектугу, а дсл и linux-based гоутегы в меньшинстве, плюс только законченный идиот будет ставить пгостые паголи ( или дома)

andreas90
()
Ответ на: комментарий от andreas90

>камгады, геальных пгичин для беспокойства нет, вигус не погажает x86 агхитектугу, а дсл и linux-based гоутегы в меньшинстве, плюс только законченный идиот будет ставить пгостые паголи ( или дома)

К логопеду

daemontux
()

мухахаха)) вот усраться!!))) по ссылке с большой задержкой пришел ответ -

> Network Bluepill - stealth router-based botnet has been DDoSing dronebl for the last couple of weeks

Походу лор-эффект им не пережить!)))

ei-grad ★★★★★
()
Ответ на: комментарий от ei-grad

мне понравился коммент одного мадяра. ;) Tamas Feher from Hungary said on Mar-24-2009 09:35:16 GMT:

Sounds like bullshit. If it was actually DDoS-ing DrobeBL, why didn\'t you go straight to the FBI and ICANN and ask to shut down the \"dweb.webhop.net\" address which spreads the home-router worm? Why is the wormsite still alive this very minute? Мадяр пишет как мэйнияк, вот и я пойду проверю, ФБР не свалило ли ещё хост... =)))

none@none-laptop:~$ ping dweb.webhop.net PING dweb.webhop.net (207.36.209.192) 56(84) bytes of data. 64 bytes from 207-36-209-192.ptr.primarydns.com (207.36.209.192): icmp_seq=1 ttl=110 time=225 ms 64 bytes from 207-36-209-192.ptr.primarydns.com (207.36.209.192): icmp_seq=2 ttl=110 time=219 ms 64 bytes from 207-36-209-192.ptr.primarydns.com (207.36.209.192): icmp_seq=3 ttl=110 time=216 ms 64 bytes from 207-36-209-192.ptr.primarydns.com (207.36.209.192): icmp_seq=4 ttl=110 time=214 ms

--- dweb.webhop.net ping statistics --- 5 packets transmitted, 4 received, 20% packet loss, time 4101ms rtt min/avg/max/mdev = 214.128/218.978/225.598/4.362 ms

krasnorutsky
()
Ответ на: комментарий от andreas90

пару слов от себя: Если вы - "домашний администратор", и вам лично безразлична судьба вашего домашнего роутера - подумайте о тысячах ваших коллег, которым прийдётся отражать DDOS-атаки той бот-сети, в которую может "влиться" ваше сетевое оборудование!

Pronin ★★★★
()
Ответ на: комментарий от andreas90

для крутых перцев - у меня в dlinke кроме admin/admin есть еще user/user и support/support. причем у последнего менять пароль можно только через ssh - в вебе недоступно

zyoung
()
Ответ на: комментарий от f00fc7c8

> Видел 1 роутер без пароля, парочку со стандартным (все длинк). Так что и брутфорсить не нужно.

И у них админка была специально выставлена наружу, на всемирное обозрение?

shahid ★★★★★
()
Ответ на: комментарий от valich

> нельзя подобрать идентификационные данные методом "брутфорс" (или по словарю: Admin:Admin) к роутеру, в котором нет Linux?
Можно, но он же перехватывает пакеты, выуживает оттуда новые пароли. Надо знать что за платформа. Чем можно пакетики почитать. Чем порты заблокировать.

> он собирает только пароли передаваемые по сети, и как он отличает, которые из них слабые?

А зачем ему отличать слабые? o_O
Типа червь-джентельмен? Собирает только слабые пароли?

> этот "червь" не трогает ПК и серверы, что служит отличием половой принадлежности?

Наверное он не определяет половую принадлежность. Сработает эксплоит -- замечательно. Не сработает, ну и фиг с ним

afunix
()

Несерьезно. Слабый пароль на ssh - это так же как perl однострочник от root запустить.

skwish ★★
()
Ответ на: комментарий от reliktt

> А нафег вообще включать доступ к админке из WAN ? Пару портов пробросить пока отдыхаешь на природе?

А почему бы нет? Если есть возможность предоставлять сервис и делать это безопасно (поставить нормальный пароль), то зачем от него отказываться?

skwish ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.