sinpain Posted August 24, 2016 добрый день народ! Недавно заметили что в последнее время на базовых станция стали появляться клиенты со следующими Device name^ 1. HACKED-ROUTER- 2. HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD Кто с таким сталкивался? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted August 24, 2016 Тот кто прошивку не обновляет до актуальной версии. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted August 24, 2016 Тот кто прошивку не обновляет до актуальной версии. Пароль по умолчанию не меняет ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nimbo Posted August 24, 2016 "ой, молодцыыыы" ^_^ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Yuraner Posted August 24, 2016 со следующими Device name Бывают и полезные "вирусы", противолентяйные.))) Или скриптовый вирус, или какой-то "особо одарённый извращенец" ручками "хакает" весь этот зоопарк. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sinpain Posted August 25, 2016 1. Прошивки все последние, обновляем их постоянно! 2. Пароли конечно же меняем. Еще глупые вопросы будут? Работаем с этим оборудованием уже 6 лет. Кто что может сказать по теме?! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
_INF_ Posted August 25, 2016 1. Прошивки все последние, обновляем их постоянно! 2. Пароли конечно же меняем. Еще глупые вопросы будут? Работаем с этим оборудованием уже 6 лет. Кто что может сказать по теме?! http://community.ubnt.com/t5/airMAX-Updates-Blog/Important-Security-Notice-and-airOS-5-6-5-Release/ba-p/1565949 не за что Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sinpain Posted August 25, 2016 _INF_ Спасибо за инфу. Но зайти на "зараженные" передатчики неполучилось, перепробовал все пароли и логины, дохлый номер! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Yuraner Posted August 26, 2016 Но зайти на "зараженные" передатчики неполучилось, перепробовал все пароли и логины, дохлый номер! Так Вам зайти надо на них? Только прошивкой из инженерного режима(запуск с зажатым резетом) с полным сбросом всего конфига. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Engineer09 Posted August 27, 2016 А если на антеннах убрать адреса ДНС серверов, чтобы в инет их не пускать, вероятность заражения не снизится? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PLZ2 Posted August 27, 2016 внешний выход в инет уберите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 27, 2016 Если у вас есть пограничный роутер, то на нем можно закрыть входящие подключения на адреса оборудования (например закрыть порты ДНС, закрыть 80 порты, ssh и прочие, если у вас антенны работают роутерами для абонентов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sinpain Posted August 29, 2016 (edited) Чтобы упростить обьясню ситуацию. Передатчики настроены как роутер, это необходимость а не хотелки. Дальше у клиентов стоят свичи (управляемые и неуправляемы) либы подключены сервера. Повторюсь, передатчики настроенны как роутер и имеют белый IP. На передатчиках c "серыми" IP таких проблем нет! Пробовали некоторые передатчики сбрасывали и настраивали снова, проблема решалась, но вот вопрос на долго ли это? Да и ездить к сотне абонентов чтоб просто перенастроить железку тоже желания мало. Возможно есть какое-то решение для удаленного восстановления оборудования?! На самом деле Интеренет у клиентов работает но вот эта надпись и то что на передатчик нельзя зайти удаленно очень напрягает! Edited August 29, 2016 by sinpain Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 29, 2016 На самом деле Интеренет у клиентов работает но вот эта надпись и то что на передатчик нельзя зайти удаленно очень напрягает! Активность по этому оборудованию посмотрите, с него спам и всякий мусор рассылают периодически. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted August 29, 2016 Повторюсь, передатчики настроены как роутер и имеют белый IP.Не делайте так.Для абонентов, которым нужны белые ипы, лучше киньте вланы и настройте их устройства мостами. Или перекройте доступ к портам 22/80/443 железок на пограничном роутере. В общем, при любом раскладе, оборудование должно быть недоступно из интернета. И только после этого перешивайте и настраивайте заново. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sinpain Posted August 29, 2016 Повторюсь, передатчики настроены как роутер и имеют белый IP.Не делайте так.Для абонентов, которым нужны белые ипы, лучше киньте вланы и настройте их устройства мостами. Или перекройте доступ к портам 22/80/443 железок на пограничном роутере. В общем, при любом раскладе, оборудование должно быть недоступно из интернета. И только после этого перешивайте и настраивайте заново. Ну схемы эти понятны. В том то и дело у клиента стоиит неуправляемый свич а компов в сети 5 шть + терминал для пластиковых карт, роутер пр иобретать отдельно они не хотят, типа передатчик же раздает IP и интернет, "нафига нам брать еще что-то", "это развод на деньги" и т.д. и т.п. Это один из примеров. Вот поэтому и нужно найти решение что это за вирь и как с ним бороться. Вирь Skynet уже как то был но от него решение же нашли производители ubnt в новых версиях прошивок он уже нестрашен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted August 29, 2016 В том то и дело у клиента стоиит неуправляемый свич а компов в сети 5 шть + терминал для пластиковых карт, роутер пр иобретать отдельно они не хотятУ меня полно таких клиентов.Даже более того, я сам рекомендую клиенту ставить неуправляемый свич - он не виснет от торрентов, его невозможно взломать, клиент сам может его подключить, не дёргая нас для настройки, и т.д. Повторюсь - делаете vlan-на-клиента. На каждом клиентском устройстве настраиваете снятие тега с этого влана: В итоге все устройства висят на серых адресах, а маршрутизация на клиентов идёт с моего центрального роутера. Какие бы дырки не нашли, риск заражения практически отсутствует. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
z.matsaberidze Posted September 6, 2016 добрый день.. Вирус: HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD SSH Server port 22 открыт Кто-нибудь знает User Name и password ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PLZ2 Posted September 7, 2016 (edited) Может Mother***er Edited September 8, 2016 by PLZ2 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
z.matsaberidze Posted September 7, 2016 Это не Червь Mother***er, соответственно пароль не подходит.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sinpain Posted October 5, 2016 Ну так что есть инфа как подключаться удаленно на эти взломанные передатчики? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dmitriyq Posted December 13, 2016 добрый день народ! Недавно заметили что в последнее время на базовых станция стали появляться клиенты со следующими Device name^ 1. HACKED-ROUTER- 2. HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD Кто с таким сталкивался? Сегодня столкнулся с такой проблемой. M5 400 Зайти на клиента смог, но изменилась сеть куча настроек да и установлена она была как точка. Залил бэкап. Работает. Зайти на точку я не смог. Для справки адрес администратора 192.168.10.1. Подключиться смог, но зайти в вэб морду не смог, адрес не видит. По ssh не пустил, пароль не верный. Самое интересное резетнуть быстро не получилось. Вывод: 1. Имя точки haked- router-. 2. Вэб интерфейс запрещен. 3. Пароли к точке изменены. 4. Убрана галка физической перезагрузки. Дыры: 1. Стандартный пароль ubnt. 2. С любой сети можно зайти на точку. Пароли вай фай 12345678. 3. Разрешение подключаться не только с ubnt. Но пароль между точками 10 значный с цифрами - взлом равен 0! Кто мог сломать точки? В сети мозгов клиентов мозгов не хватит. Между точками не возможно. Со стороны провайдера ??? Или через вирус на пк? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted December 14, 2016 Кто мог сломать точки? Как можно влан управления с клиентами делить ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
