LINUX.ORG.RU

Взламывали ли ваш роутер на OpenWrt / LEDE?

 , , ,


0

4

Если да, то как вы об этом узнали, удалось ли понять где была дыра, через которую интрудер взнасиловал ваши врата извне в?

На 99% я уверен, что это случилось и с моим роутером на BARRIER BREAKER (Bleeding Edge, r37008), т.к. некоторое время назад у меня начались проблемы с DNS, а вчера я обнаружил в рутовой директории компьютера за натом файл, который никаким образом появиться там не мог, кроме внешнего взнасилования. Не обновлял наверное где-то с начала-середины 2015 года, во-первых обновлений прошивок не выходило, а система обновления пакетов сломалась сама собою, где-то изменили какие-то ссылки, нужно было вручную это всё фиксить, на что я забил.

Но доказать я этого пока-что не могу, есть маленькая вероятность, что это в гентушном стейдже за 20-е числа прошлого месяца, с которого я поднимал систему, был вирус. И очень большая вероятность, что ломанули через какую-то или все сразу 12 видеокамер, которые смотрят в сеть через свои китайские идентефикаторы и доступны через нат и т.п.

Со snort и rkhunter пока разбираюсь.

★★

Последнее исправление: Bruce_Lee (всего исправлений: 1)

на единственном роутере с белым айпишником у меня открыты порты только для впн и нестандартный порт для ssh туннелей. нет, не взламывали.

vvviperrr ★★★★★
()
Ответ на: комментарий от vaddd

если вы пишете школобред на лорчике, это ещё не значит, что у вас паранойя. просто токсикоз.

mos ★★☆☆☆
()

Не обновлял наверное где-то с начала-середины 2015 года, во-первых обновлений прошивок не выходило, а система обновления пакетов сломалась сама собою, где-то изменили какие-то ссылки, нужно было вручную это всё фиксить, на что я забил.

не использую OpenWrt / LEDE в пользу микротиков.
по этому не представляю себе ситуацию описанную выше.

system-root ★★★★★
()

Мой - нет. На работе, да, было. Но прошивка дефолтная.

Deleted
()
Ответ на: комментарий от mos

Ну, в общем да, до паранойи тоже нужно дорасти

vaddd ★☆
()

нет.

Хотя сейчас OpenWRT наружу не смотрит.

slapin ★★★★★
()

Ломали, тоже на каком-то Barrier Breaker'е из гита. Узнал, когда счётчик трафика в ЛК у провайдера начал показывать слишком большие цифры. Посмотрел открытые порты через netstat, сделал роутеру ребут - вирус пропал сам по себе, т.к прописать его во флешку горе-разрабы поленились.

Вообще, уязвимостей в OpenWRT было найдено предостаточно за последние годы. А в обычных стоковых роутерах их вообще тонны. Хорошо ещё если у провайдера NAT и нет «локальной сети» между клиентами, но и в таком случае, нет никаких гарантий, что роутер не взломает из вашей домашней сети какой-нибудь вирус.

DawnCaster ★★
()

Что за файл и почему он в корне? Что за хакеры такие небрежные пошли...

А ТС вообще легитимный владелец своего аккаунта? А то мало ли, вдруг действительно пароли по рукам разошлись.

anonymous
()
Ответ на: комментарий от bvn13

У меня 16 камер смотрели в интернет, а прошивка роутера не обновлялась пару лет. Сегодня обнаружилась подозрительная активность с левых ip на некоторых некритичных gmail ящиках, на которые правда заходили только с виндовых машин.

То, что чпокнули — сомнений нет никаких, поставил сейчас Mikrotik hEX PoE Lite + Groove A-52HPn, настраиваю отдельную сеть для камер и всего китайского треша, которого достаточно.

Bruce_Lee ★★
() автор топика
Ответ на: комментарий от Bruce_Lee

Виндовых машин? Тю. А ты еще паришься с микротиками...

Система безопасна настолько, насколько безопасно ее самое слабое звено.

anonymous
()
Ответ на: комментарий от Bruce_Lee

Так даже если роутер сломали, не объясняет, откуда a.out
На генте той тоже какие сетевые сервисы были, и она тоже с середины 2015 без обновлений?

TheAnonymous ★★★★★
()
Ответ на: комментарий от TheAnonymous

Кроме ssh были открыты все сервисы, которые открыты в генте из коробки, нет, гента свежая только накаченная со стейджа за 20-е числа прошлого месяца.

Я не знаю откуда взялся этот файл, я вижу последствия и мне этого хватило, чтобы бздонуть, так что я удолил тот диск и компильну по новой, когда настрою безопасный участок сети для всего китайского треша с хозяйства.

Bruce_Lee ★★
() автор топика
Ответ на: комментарий от Bruce_Lee

«гента из коробки» - это stage3, даже ядра нет
Про ссш интереснее, так в auth.log что-то было?

TheAnonymous ★★★★★
()
Ответ на: комментарий от Bruce_Lee

Плохой из тебя криминалист. Надо было хотя бы снять дамп перед «удолением». Я уверен, что следов должно было остаться немерено. Вряд ли они пользовались шредом, если так небрежно раскидываются файлами по корню :)

А теория про встроенный вирус в gentoo - просто класс. Главное, что в винду никто ничего не встроил :)

anonymous
()
Ответ на: комментарий от mos

OpenWrt Attitude Adjustment 12.09 | Load: 0.00 0.06 0.14

Здравствуйте. Не нашел как создать свою тему. начал работать в новой компании. У них нет никаких пограничных маршрутизаторов кроме tp-link-а, вот с такой прошивкой: OpenWrt Attitude Adjustment 12.09 | Load: 0.00 0.06 0.14 Благо бывший админ оставил все пароли. Зашел в настройки глянуть. что там и как. Через веб-акцесс. Нашел настройки порт-форвардинга и решил отредактировать пару записей. Но при нажатии кнопки Edit, браузер долго думает (пробовал разные браузеры) и затем выдаёт вот такую запись.

The CGI process did not produce any response Как решить эту проблему, я не могу внести никаких изменений.

Спасибо.

Victor_VM
()

Ну как ломали, OpenWRT имел багу, раздавал DNS наружу, чем пользовались нехорошие личности. Причём явно указанные настройки так не делать не работали, дело было лет 5 назад. Закончилось тем, что каким-то хаком закрыл эту дырку и снова стало хорошо.

Никаких багрепортов никуда не писал, так что даже хз поправили эту багу или нет, но надеюсь что поправили :-) Но в целом об OpenWRT сложилось крайне плохое впечатление.

ASM ★★
()
Последнее исправление: ASM (всего исправлений: 1)
Ответ на: комментарий от DawnCaster

нет никаких гарантий, что роутер не взломает из вашей домашней сети какой-нибудь вирус.

каким образом в домашней сети из никсовых машин может быть «вирус»?

Iron_Bug ★★★★★
()
Ответ на: комментарий от Iron_Bug

каким образом в домашней сети из никсовых машин может быть «вирус»?

Смартфон на ведроиде, например. Венда в виртуальной машине. Или какой-нибудь «гостевой» комп\ноут на венде подключающийся к сети на время.

Ну и фраза по поводу взлома из локальной сети относится больше к типовому использованию домашних роутеров. Даже если взять посетителей данного форума, вероятность что у них в локальной сети будет хоть одна вендовая машина - достаточно высока.

DawnCaster ★★
()
Последнее исправление: DawnCaster (всего исправлений: 1)

Нет. айпи серый, соседей нет

admucher ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.