LINUX.ORG.RU

Ботнет Чака Норриса атаковал Linux-роутеры и модемы

 ,


0

0

Чешские исследователи обнаружили появление в сети нового ботнета, распространение которого осуществляется через Linux-роутеры и DSL-модемы.

Об инциденте сообщил Ян Выкопал (Jan Vykopal), возглавляющий отделение сетевой безопасности в институте информационных технологий Университета им. Масарика (Брно, Чехия). Ботнет окрестили «ботнетом Чака Норриса», поскольку в распространяемом исходном коде содержится комментарий на итальянском языке, который переводится как «во имя Чака Норриса».

Новый ботнет распространяется через Linux-устройства с архитектурой MIPS, владельцы которых не позаботились о том, чтобы установить сложную комбинацию из имени пользователя и пароля на управление (панель администрирования доступна через веб-интерфейс). Помимо роутеров и DSL-модемов ботнет заражает и спутниковые ТВ-ресиверы. Сообщается, что география ботнета уже весьма широка: зараженные устройства найдены и в Южной Америке, и в Европе, и в Азии.

Сам бот помещается в оперативную память и начинает сканировать сеть на наличие других уязвимых устройств. Его управление осуществляется через IRC. Чтобы избавиться от бота, достаточно просто перезагрузить устройство.

Оригинал статьи(англ)

>>> Русский перевод на nixp.ru

> Чтобы избавиться от бота, достаточно просто перезагрузить устройство.

видать недописали авторы.. там же емнип можно модифицировать прошивку из кода.

isden ★★★★★
()
Ответ на: комментарий от isden

нельзя. Ром можно стереть только снаружи. Вирус может только во флеш прописаться. Впрочем, учитывая частоту перезагрузок роутеров, которая стремится к 0, ботнет может процветать.

JFreeM ★★★☆
()

Так нечестно. Они читкод использовали, чтобы Linux поломать. Теперь пусть попробуют поломать Linux без ЧакНорриса.

amd
()

> панель администрирования доступна через веб-интерфейс

так оно же обычно закрыто с внешнего интерфейса.

dmiceman ★★★★★
()

> владельцы которых не позаботились о том, чтобы установить сложную комбинацию из имени пользователя и пароля на управление (панель администрирования доступна через веб-интерфейс).

s/.../производители которых вывешивают по дефолту роутер в мир с admin/admin.

anton_jugatsu ★★★★
()
Ответ на: комментарий от dmiceman

>так оно же обычно закрыто с внешнего интерфейса.
Далеко не везде

xorik ★★★★★
()

> поскольку в распространяемом исходном коде содержится комментарий на итальянском языке, который переводится как «во имя Чака Норриса»

где можно глянуть этот загадочный исходный код, поверхстное гугление не дало результатов.

anton_jugatsu ★★★★
()

А сами исходники ботнета под GPL?

Kosyak ★★★★
()
Ответ на: комментарий от melkor217

>Вот они - вирусы под линукс. Основная уязвимость - беспечность пользователей.

под win как бы аналогично

cuki ★★★★
()
Ответ на: комментарий от cuki

тока в винде, чтобы не быть беспечным, нужно осилить программы типа антивируса и персонального фаервола, а не просто придерживаться «правильных» методов работы. ну, или отключить интернет. и не втыкать флешки и сидюки.

boo32
()

а что нам теперь делать? сдаваться?

jura12
()
Ответ на: комментарий от anonymous

>OH SHI-- /me полез закрывать доступ к веб-интерфейсу из WAN

Не, ну не ламер? Вот из-за таких и вирусы.

Pavval ★★★★★
()

Бугага, у меня уже давно всё профорвардено внутрь локалки, так что роутер виден только изнутри.

AITap ★★★★★
()

>Ян Выкопал

Потомственные нектоманты атакуэ

ptah_alexs ★★★★★
()
Ответ на: комментарий от kklausd

Да... неудачно ребята тогда понтанулись :)

helios ★★★★★
()
Ответ на: комментарий от anonymous

[quote]Портирование FreeBSD в первую очередь на маршрутизатор D-Link DIR-320.

Почти весь труд может быть перенесен на DIR-330. В будующем на большую часть маршрутизаторов D-Link на базе процессоров MIPS, а затем вполне реально и на ARM (есть положительные наработки для NAS DNS-323).

Цель данного проекта получить рабочий DIR-320 с FreeBSD работающий из флэша (4М).

Устройство: MIPS CPU 6ports switch (6-ой подключен к процессору) WiFi

В данный момент получена работоспособная файловая система, сжатая LZMA, в размере 2.1Мб, рабочее ядро (ограниченое размером 3М в распакованом виде, т.к. CFE грузится на 3-м метре ОЗУ) в запакованом виде такое ядро занимает 800К. Но требуется поддержка KLD, еще не закончена. Работа с Wi-Fi еще впереди.[/quote]

anonymous
()

а эти девайсы что по дефолту светят свои вебморды в инет? тогда ССЗБ. это все равно что входную дверь крартиры оставить открытой уходя, а прийдя удивляться проправшим вещам. производители наверняка знают, что юзеры ленивы и их пох на какой-то там пароль, на какой-то там коробке(роутере). юзерам главное чтоб скайпы и вконтакты работали:)
ведна кстати раньше тоже не прекрывала свои сервисы из инета. такое раздолбайство закончилось массовым гулянием червей по инету. а в 2002 или 2003 весь инет лежал около часа из-за какого-то mssql червя:) очевидно, писатели firmware не хотят учиться на чужих ошибках...

Cosmicman ★★
()

Чак Норрис настолько крут, что атакует и Linux-роутеры, и модемы.

Robotron
()

>>Об инциденте сообщил Ян Выкопал (Jan Vykopal)

Закопайте!(с) ЛОР

Молодец, выкопал. А теперь пусть производители чешут репу, выпускают новые проши и закапывают.

prishel_potrollit
()

Неправильный ботнет. С год назад или около того был правильный, который через ssh садился, и перезагрузка не помогала, только перепрошивка или ручное вычищение.

pekmop1024 ★★★★★
()
Ответ на: комментарий от Cosmicman

>>производители наверняка знают, что юзеры ленивы и их пох на какой-то там пароль, на какой-то там коробке(роутере). юзерам главное чтоб скайпы и вконтакты работали:)

Запретили бы настройку модема, если пароль с логином дефолтные. Куда бы хомячки делись бы? Ну и по дефолту доступ из wan закрыть.

prishel_potrollit
()
Ответ на: комментарий от prishel_potrollit

>>Об инциденте сообщил Ян Выкопал (Jan Vykopal)

Закопайте!(с) ЛОР


Ололо.

А если у меня доступ к роутеровой вебморде открыт только по локалке (по дефолту так было), то получается, ботнет мне не страшен? Или надо таки пойти поменять админ/админ? (:

pevzi ★★★★★
()
Ответ на: комментарий от pevzi

Меняй. Можно склеить его с обычной вирягой, которая будет заражать комп пользователя и уже из него по лану ломать модем. Ип модема и порты тоже по дефолту.

prishel_potrollit
()

>владельцы которых не позаботились о том, чтобы установить сложную комбинацию из имени пользователя и пароля на управление

да... тут особо нечего сказать (%

hired777
()

От линукса в этих вирусов только то, что код работает под линукс, а взломать они так и не осилили тупой перебор паролей. Зато все ленты пестрят сообщениями о вирусах под линукс в роутерах.

mobile
()

У меня DSL модем на линуксе. Если я сниму с него электропитание, а потом опять включу, то это и будет перезагрузка модема ? Или надо делать перепрошивку? Просто у меня в последнее время инет стал пропадать регулярно на 1-2 сек., менял ОС, проблема не исчезла, на подозрении модем ну и провайдер

XoxoTyH
()

Новость высер, УГ полное, ни примеров кода, ни самого вируса, просто у кого-то подвис роутер, он вспукнул, и подумал что это вирус, и побежал гадить в бложик:

«ATENTION!!!111 Обнаружен вирус под линАкс, он очень опасен, пук-пук-пук пук-пук-пук, пук-пук-пук пук-пук-пук, заражает роутеры и ТВ-рессиверы под управлением линАкс, пук-пук-пук пук-пук-пук пук-пук-пук.»

P.S. Новость в толксы, ТС зобанить на неделю, чтобы не тащил в рот на ЛОР все подрят.

e000xf000h
()
Ответ на: комментарий от e000xf000h

Проще самому написать такой вирус и попробовать запустить на своем роутере.

Guest_now
()

а ведь там в инструкции то написано же русским языком:«меняйте пароль!!11»

RedPossum ★★★★★
()
Ответ на: А-а-а... от impfp

Что за чушь! зачем тогда логин и пароль нужен? Меня всегда удивляли американцы которые составляют пароли из трех разных слов с числами. Потом понял.

VitS
()
Ответ на: комментарий от anonymous

Зачем? Да и не поможет. Уязвимость заключается в простом пароле, который подбирается одинаково вне зависимости от ОС.

frost_ii ★★★★★
()
Ответ на: А-а-а... от impfp

> Я так и знал, что «linux суперзащищен» только на нетбуках посетителей ЛОРа...

А что в новости чего-то линуксовое взломали? Подбор паролей не взлом.

mobile
()
Ответ на: комментарий от melkor217

> Вот они - вирусы под линукс. Основная уязвимость - беспечность пользователей.

Как и под вендой.
Достаточно отключить автораны с флешек и не сидеть под админом.

Fredrik
()
Ответ на: комментарий от anonymous

>Портирование FreeBSD в первую очередь на маршрутизатор D-Link DIR-320.

Быдлоподелки на рутерах не нужны.

anonymous
()
Ответ на: комментарий от Robotron

>в виде ботнетов имени Брюса Ли

Не, Брюс Ли был по сценарию против Чака Норриса. Так что, Брюс будет на нашей стороне в виде нового дистрибутива для роутеров — BruceLinux :)

Zubok ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.