[решето][слава робатам]Ботнет из домашних раутеров

Интересно, древнее ядро прошивке Олега продвержено?

Может они неправильно определили адреса, с которых DDoS шёл? :)

Может, это заказная статья?

http://www.dronebl.org/blog/8

Vulnerable devices

* any linux mipsel routing device that has the router administration interface or sshd or telnetd in a DMZ, which has weak username/passwords (including openwrt/dd-wrt devices).

То есть уязвимы все роутеры и модемы, где брутфорсятся пароли. Других не нашли.

Оператор ботнета утверждает, что захватил 80 000 устройств.

Врят ли, если пароль стандартный и ssh смотрить в инет, то любой может прицепиться по ssh под рутом и делать всё что хочет...

Дальше хорошо:

To disinfect, simply powercycle your device and take appropriate action to lock it down, including the latest firmware updates, and using a secure password.

То есть достаточно просто перезагрузить?

>То есть достаточно просто перезагрузить?

перезагрузить, обновить прошивку, поменять пароль, само ничего не исправится

>перезагрузить, обновить прошивку, поменять пароль, само ничего не исправится

просто поменять пароль недостаточно?

Ч.Т.Д.
Вантузойды в Линуксе остаются вантузойдами.
Пока не форсируеш им безопасность, будут голым задом везде соваться.
И находить себе приключения на него, что характерно.

так это, вроде же доступ к домашним роутерам извне запрещен? как он их ломал то?

у меня 80 и 22 порты закрыты изначально. 80 порт проброшен(DNAT) на httpd.

Долбятся разными сканерами, периодически вылавливаю в логах похожее.

189.76.241.13 - - [17/Mar/2009:12:52:03 +0300] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 327 "-" "-"

89.30.125.110 - - [16/Mar/2009:13:38:17 +0300] "GET /roundcube/bin/html2text.php HTTP/1.1" 404 310 "-" "-"

85.12.47.166 - - [08/Mar/2009:06:45:45 +0300] "GET /user/soapCaller.bs HTTP/1.1" 404 312 "-" "Morfeus Fucking Scanner"

а, прочитал статью. даже и не знал, что бывает кто-то хуже длинков, даже у тех доступ из инета запрещен. как страшно жить

>так это, вроде же доступ к домашним роутерам извне запрещен? как он их ломал то?

Да сходите уже по ссылке, ЁКЛМН!

>the web interface and an SSH port were directly accessible from the internet, access didn't even require a password.

ssh и http были открыты извне и не требовали пороля.

ssh смотрит в инет ЕМНИП только у асусов

Вроде да. У моих знакомых АДСЛ-щиков, у большинства как раз асусы...

> раутеров

КЛБ

А где, собсно, сам список девайсов с данными прошивками или хотя бы список совместимых девайсов, на которых эти прошивки могут быть установлены? Самого главного не написано >:(

>просто поменять пароль недостаточно?

Это вопрос не ко мне, многое может зависеть от функциональности прошивки, т.е. можно ли вообще отключить видимость модема из инета и пр. Так что преуменьшать угрозу не стоит.

Нужно просто поставить перед раутером PIX

> можно ли вообще отключить видимость модема из инета
ЕМНИП везде можно, только у асусов включено по умолчанию

да, точно! давайте каждому юзеру домой по пиксу ставить.

безопасный лнукс, это тот, который выключен.

тогда выходит, что безопасная винда это та, которая записана на dvd-r болванку и спрятана в сейф

> тогда выходит, что безопасная винда это та, которая записана на dvd-r болванку и спрятана в сейф

вот это как раз небезопасная винда. с вероятностью 100% это пиратка, соотв. теоретически но могут быть проблемы.

безопасная винда это та, которой нет.

// wbr

об американском произношении не слышал?

> безопасный лнукс, это тот, который выключен.

Эти слова были сказаны задолго до линукса, так что метабаян.

> Оператор ботнета утверждает, что захватил 80 000 устройств.

> Оператор ботнета

> Оператор

Да не оператор он, он просто обнаружил его.

я пра мааасковское только слышал

а по американски они разве не рутер говорят? вообще без о/а :D

>ssh и http были открыты извне и не требовали пороля.
да это ж как же так, хоспати. И куда только медвед смотрит! вай вай.

это ж всё равно что нагнутсья в гей-бане))

в сев. америке преимущественно раутер, на островах рутер