LINUX.ORG.RU

Ботнет атакует: червь для Linux-based роутеров

 ,


0

0

В сети появился новый червь «psyb0t», отличительными особенностями которого являются:

  • это — первый ботнетовый червь, поражающий роутеры и DSL-модемы;
  • содержит шеллкод для многих устройств на базе mipsel;
  • не нацелен на ПК или серверы;
  • использует множество техник, включая брутфорсовый подбор username:password;
  • собирает пароли, передаваемые по сети;
  • может сканировать сеть на предмет уязвимых серверов с phpMyAdmin и MySQL.

Уязвимы Linux-устройства на базе mipsel, с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.

>>> Подробности



Проверено: Shaman007 ()
Ответ на: комментарий от reliktt

>А нафег вообще включать доступ к админке из WAN ? Пару портов пробросить пока отдыхаешь на природе?

Справедливости ради, иногда бывает надо. Но редко.

ist76 ★★★★★
()
Ответ на: комментарий от krasnorutsky

> Sounds like bullshit. If it was actually DDoS-ing DrobeBL, why didn\'t you go straight to the FBI and ICANN and ask to shut down the \"dweb.webhop.net\" address which spreads the home-router worm? Why is the wormsite still alive this very minute?

Сегодня этот вирус ещё нормально скачивался :)

question4 ★★★★★
()

AFAIR, на всех этих прошивках есть инженерный логин/пароль с рутовым доступом. Сайт не помню, где клепали альтернативную прошивку без бекдоров для этого мипсоговна, что-то вроде routertech.org

nikolayd
()

Прошивка dd-wrt подвержена или нет?

Barlog_M
()

А самое забавное, что все эти линуксовые поделки не умеют автоапдейтится, хороший будет ботнет, годный.

nikolayd
()

Ну после всеобщего "технического" логина на кисках, это так мелочи :)))

Правда вотпрос - а с чего вдруг порт управления смотрит в инет???? Может он идет в комплекте с виндовым трояном и ломается из локалки?

fi ★★★
()

Да, кстати. Попробуйте залогиниться к себе на веб c логинопаролем isp/isp - у меня на asus "что-то там" работает :P

nikolayd
()
Ответ на: комментарий от valich

> Первое:нельзя подобрать идентификационные данные методом "брутфорс" (или по словарю: Admin:Admin) к роутеру, в котором нет Linux?

Да, практически нельзя :), почти все домашние роутеры идут на Linux, ему трудно отыскать дрыгие :)))))

> Третье: он собирает только пароли передаваемые по сети, и как он отличает, которые из них слабые?

те которые он собирает - без разницы :)))

> Четвертое: этот "червь" не трогает ПК и серверы, что служит отличием половой принадлежности?

он ELF-mips32 :)))

fi ★★★
()
Ответ на: комментарий от valich

> нельзя подобрать идентификационные данные методом "брутфорс" (или по словарю: Admin:Admin) к роутеру, в котором нет Linux?

Linux ABI нужно для запуска кода вируса.

> серверы, на которых установлены PHPMyAdmin и MySQL по-умолчанию считаются уязвимыми?


Они перманентно уязвимы. Докажите обратное.

> он собирает только пароли передаваемые по сети, и как он отличает, которые из них слабые?


Если червь подбирает ключики брутфорсом, то совершенно ясно, что работа идёт со словарём (который может накапливаться).

> этот "червь" не трогает ПК и серверы, что служит отличием половой принадлежности?


brandelf и MIPS architecture.

iZEN ★★★★★
()
Ответ на: комментарий от f00fc7c8

> Видел 1 роутер без пароля, парочку со стандартным (все длинк)

длинк, по дефолту, наружу голой жо^H^H^H^H^H^H^H^H ssh/telnet и вебмордой не светит.

isden ★★★★★
()
Ответ на: комментарий от ist76

>>А нафег вообще включать доступ к админке из WAN ? Пару портов пробросить пока отдыхаешь на природе?

>Справедливости ради, иногда бывает надо. Но редко.


Ну ssh-то достаточно, с нормальной авторизацией..

madcore ★★★★★
()
Ответ на: комментарий от nikolayd

>Да, кстати. Попробуйте залогиниться к себе на веб c логинопаролем isp/isp - у меня на asus "что-то там" работает :P

У меня с олеговской прошивкой нет.

madcore ★★★★★
()

Тоже мне червяг. Пароль потолще, и ограничение по IP да и все.

Очередной червь под линукс принципа ССЗБ. Небойсь словарь брутфорса состоит из одной комбинации логин/пароль: 'admin'/'admin'

Siado ★★★★★
()
Ответ на: комментарий от isden

>длинк, по дефолту, наружу голой жо^H^H^H^H^H^H^H^H ssh/telnet и вебмордой не светит.

А у меня светил вебмордой. Пока доступ только с нескольких айпи не сделал.

Siado ★★★★★
()
Ответ на: комментарий от valich

>нельзя подобрать идентификационные данные методом "брутфорс" к роутеру, в котором нет Linux?

Нельзя. Нельзя обижать слабых и беззащитных.

S_wine
()

а еще можно взламывать погодные станции и устанавливать на них netsukuku, а так же высвечивать тамошними проекционными дисплеями неприличные слова на потолок.

vasaka ★★★
()

Раз уж пошла такая пляска, скажите кто знает, какое ПО в модемах/роутерах "Интеркросс"?

Demon37 ★★★★
()
Ответ на: комментарий от nikolayd

> AFAIR, на всех этих прошивках есть инженерный логин/пароль с рутовым доступом.

Хм.. Посмотрел /etc/shadow и /etc/passwd - один пользователь (root), один пароль. По всей видимости хеш этого пароля совпадает с моим.

Кажись, слишком велика эта параноя с бекдором.

skwish ★★
()
Ответ на: комментарий от Demon37

> Раз уж пошла такая пляска, скажите кто знает, какое ПО в модемах/роутерах "Интеркросс"?

Если это синяя дурно пахнущая дешевым пластиком коробочка - то Linux, причем на ядре 2.6. Про их софт мало что могу сказать.

skwish ★★
()

Самое печальное в этой ситуации то, что в итоге на слуху оказывается лишь что некий "червь захватывает роутеры с ОС Линукс". А подробности зачастую опускаются.

Мой домашний роутер использует прошивку Tomato. Нравится то, что разработчик предоставляет мощный (ни единого глюка мною пока не было найдено) веб-интерфейс (кстати минималистичный и на аяксе) и возможность настроить все самому через консоль. Стандартная линксисовская прошивка использует лишь 50% функционала всего роутера.

Открыт наружу только SSH порт роутера поверх домашнего сервера, находящегося в DMZ.

Все кастомизируется как и в любом другом линукс дистрибутиве, только вместо OpenSSH используется Dropbear.

Хотел настроить port knocking, но ограничился на сложном пароле, запрете логина рута и несколькими надстройками SSH сервера.

edigaryev ★★★★★
()
Ответ на: комментарий от v12aml

У асусовских адсл-мопедов неоднократно видел админку торчачую наружу

DNA_Seq ★★☆☆☆
()
Ответ на: комментарий от edigaryev

> Стандартная линксисовская прошивка использует лишь 50% функционала всего роутера.

Какой у вас линксис?

> Мой домашний роутер использует прошивку Tomato


Где можно найти? И стоит ли менять дефолтную прошивку в WRT54GC?

angel_eyes
()
Ответ на: комментарий от angel_eyes

> Где можно найти?

http://www.google.com/search?hl=en&client=firefox-a&rls=org.mozilla%3...

первая сцылка

> И стоит ли менять дефолтную прошивку в WRT54GC


вобще то всегда. Но о GC я впервые слышу. На всякий случай почитай про особенности установки *wrt прошивок на него.

firsttimeuser ★★★★★
()

Как хорошо, что пароль сменил. Приду домой - еще и настройки проверю. :)

Jayrome ★★★★★
()

>Уязвимы Linux-устройства на базе mipsel, с открытым web-интерфейсом, telnetd или sshd в DMZ, со слабыми паролями.

ну так не интересно - может им в web-интерфейсе рутовый пароль выложить и назвать потом ЭТО червем.

TheMixa ★★★
()
Ответ на: комментарий от skwish

>Если это синяя дурно пахнущая дешевым пластиком коробочка

Мм, нет, ничем не пахнет. Но синяя, да.

>то Linux, причем на ядре 2.6. Про их софт мало что могу сказать.

Спасибо, это я и хотел услышать.

Demon37 ★★★★
()
Ответ на: комментарий от angel_eyes

На сайте написаны поддерживаемые модели, если что.

edigaryev ★★★★★
()

вот интересно, а если червь будет проходить через виндовые дырки в IE и RPC и будет кидать elf тушку в роутер, который торчит в локалку со стандартными паролями - Linux тоже будет виноват?

ozzman
()
Ответ на: комментарий от edigaryev

> Самое печальное в этой ситуации то, что в итоге на слуху оказывается лишь что некий "червь захватывает роутеры с ОС Линукс". А подробности зачастую опускаются.

Касперский по заказу Microsoft написали примитивного(а они еще что-то могут?) червя и теперь на каждом углу будут орать "Смотрите, ваш Linux небезопасен!"

Мне вот интересно, что будет с сетями, когда понаставят роутеров с Windows на борту. Вроде такие сделали уже. :)

ozzman
()
Ответ на: комментарий от skwish

>Хм.. Посмотрел /etc/shadow и /etc/passwd - один пользователь (root), один пароль. По всей видимости хеш этого пароля совпадает с моим.

>Кажись, слишком велика эта параноя с бекдором.

Хах. Не все так просто, вот интересный скрин телнета к моему роутеру:

http://img155.imageshack.us/img155/2287/routerdsl2500.png

Пароли я ессно всем этим аккаунтам давно поменял. Странно то, что user доступна половина настроек, он даже может стырить логин и пароль (о да, если открыть изменение настроек PPPoE, то там будет какбы закрытый звездочками пароль, но если просмотреть исходник страницы - там будет пароль в открытом виде) и залить прошивку. Хэши по понятным причинам замылены. Админка из внешки, конечно же, недоступна (ибо нефиг).

AckerMAN
()
Ответ на: комментарий от ozzman

>вот интересно, а если червь будет проходить через виндовые дырки в IE и RPC и будет кидать elf тушку в роутер, который торчит в локалку со стандартными паролями - Linux тоже будет виноват?

>Касперский по заказу Microsoft написали примитивного(а они еще что-то могут?) червя и теперь на каждом углу будут орать "Смотрите, ваш Linux небезопасен!"

>Мне вот интересно, что будет с сетями, когда понаставят роутеров с Windows на борту. Вроде такие сделали уже. :)

Как же толсто и стереотипно... Покажи мне эксплоит, который валит сразу пачками по пицот штук виндовые серверы. Ну или давай, похачь IE8. Кстати, если роутер бриджем работает (т.е. прямой доступ ко всем открытым на машине портам), то, опять же, ССЗБ. Чтобы похачить через RPC, нужно предварительно порт пробросить. Расскажи мне еще про Kido, который пачками винды валит))))))

AckerMAN
()
Ответ на: комментарий от edigaryev

Последнее время iptables начал отлавливать попытки соединнеия с ssh

пробоваал зайти браузером на эти адреса, отзываются D-link роутеры,логин пароль admin admin, какой тут нафиг брутфорс

Все с адресов нашего провайдера.

По моему наружу начинает смотреть после настройки по инструции от провайдера, а там про смену пароля ничего не написано,

У меня наружу не смотрит, проверял :), использую PPPOE

tesla
()
Ответ на: комментарий от tesla

Наружу смотрит, только если это явно разрешит в Tools -> Access Control -> Services.

AckerMAN
()
Ответ на: комментарий от gaux

> в принципе доступ к таким вещам должен быть по умолчанию закрыт извне. тогда пароль не принципиален будет. и хорошо бы в настройках таймаут можно было задать между вводами паролями. минут в пять достаточно.

telnetd еще понятно, а ssh то зачем. а временные баны давать, при определенных количествах неудачных попыток - решения тоже есть. Ну и вход по ключу тоже решает.

h4tr3d ★★★★★
()
Ответ на: комментарий от Xroft

>/me закинулся попкорном и приготовился холливарить на стоплинуксе :)

И когда же Стоплинукс станет другом ЛОРа? :)

Hellor
()
Ответ на: комментарий от Xroft

> /me закинулся попкорном и приготовился холливарить на стоплинуксе :)

меня падажжи, я пиго захвачу )

QUANTUM
()

меня больше интересует, как он получает шелл. Единственный метод - это залить свою "прошивку", которая включит telnet. Но ведь каждая модель имеет свой формат скриптов в прошивках. Причем многие из них закрыты.

dikiy ★★☆☆☆
()
Ответ на: комментарий от dikiy

BCM96338 ADSL Router (none) login: admin Password:

BusyBox v1.00 (2005.04.12-18:11+0000) Built-in shell (msh) Enter 'help' for a list of built-in commands.

# echo /usr/bin/ftp* /usr/bin/ftpget # ftpget --help BusyBox v1.00 (2005.04.12-18:11+0000) multi-call binary

Usage: ftpget [options] remote-host local-file remote-file

Получается что в мой модемчик по дефолту встроена данная тулза.

AckerMAN
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.