straus Posted February 11, 2020 Posted February 11, 2020 "Опять пришёл страус и вылил ведро оптимизма." В.И.Ленин Я DVR делю на два класса - к которым доступ извне идёт по порту 37776/37777, и к которым по порту 9000. Сейчас будет речь про вторые. Стоял себе мирно DVR, работал, жопой через NAT был выставлен в интернет, на NAT проброшены были только два порта - 80 и 9000. Через месяца три работы DVR вдруг стал сам открывать на выход 2 сессии. После перезагрузки он их открывал опять. После пристрела этих адресов на файрволе стал открывать 7 сессий на другие адреса. Вот на эти сети: 47.250.0.0 - 47.254.255.255 47.88.0.0 - 47.91.95.255 94.177.185.0 - 94.177.185.255 158.255.0.0 - 158.255.7.255 119.28.0.0 - 119.29.255.255 106.52.0.0 - 106.54.255.255 На все адреса удалённый порт был 8001 или 8002. В принципе он мог на какой-то свой сервер постучаться для p2p (адреса Alibaba под это подходят), но некоторые сети несколько странные. В общем пока не знаю, что это, возможно потроянили. Прибил на файрволе эти сети - пока тихо. Ну и пришлось вход на DVR сделать только с определённых адресов. А, ещё была интересная особенность - с того момента, как он стал так себя вести, стало невозможно по сети просматривать в реальном времени, а возможность просмотра записи осталась. Вот так вот... Вставить ник Quote
sdy_moscow Posted February 11, 2020 Posted February 11, 2020 А перешить не пробовал? Вставить ник Quote
straus Posted February 11, 2020 Author Posted February 11, 2020 Пока нет. Ибо нечем - прошивки нет, буду запрашивать производителя. Вставить ник Quote
sdy_moscow Posted February 11, 2020 Posted February 11, 2020 @straus Я бы с этого начал. А доступ в таком раскладе придется прятать за ВПН. Вставить ник Quote
Saab95 Posted February 11, 2020 Posted February 11, 2020 Ага, вообще сначала на регистраторе экономят, потом на доступе. Потом перешивать - окирпичить. Кроме ВПН с условием, что на регистраторе нет доступа в интернет - и схем быть не может. Особенно если регистратор китайский. Вставить ник Quote
jffulcrum Posted February 11, 2020 Posted February 11, 2020 https://krebsonsecurity.com/tag/dahua/ Цитата A core part of the problem is the peer-to-peer (P2P) communications component called “XMEye” that ships with all Xiongmai devices and automatically connects them to a cloud network run by Xiongmai. The P2P feature is designed so that consumers can access their DVRs or security cameras remotely anywhere in the world and without having to configure anything. Вставить ник Quote
straus Posted February 11, 2020 Author Posted February 11, 2020 2 часа назад, Saab95 сказал: Потом перешивать - окирпичить Ну допустим повезло окирпичить. Это что, фатально? Бутлоадер сохранился, подключаешь терминал и вперёд за орденами. (Даже если как-то умудрился прибить бутлоадер - берёшь JTAG и прошиваешь с нуля.) 2 часа назад, Saab95 сказал: Кроме ВПН с условием, что на регистраторе нет доступа в интернет - и схем быть не может. Ну почему же? Если на регистратор заходишь с одних и тех же адресов - можно в правилах файрвола в роутере прописать. Вставить ник Quote
Saab95 Posted February 11, 2020 Posted February 11, 2020 1 час назад, straus сказал: (Даже если как-то умудрился прибить бутлоадер - берёшь JTAG и прошиваешь с нуля.) Это все очень сложно и требует специфических знаний и навыков, которыми обычно редко кто обладает. 1 час назад, straus сказал: Ну почему же? Если на регистратор заходишь с одних и тех же адресов - можно в правилах файрвола в роутере прописать. Часто бывает так, что доступ делают что бы заходить на него со смартфона, а у него адреса всегда будут разные. Ну и ясно дело, надо обладать некоторыми навыками для настройки, не каждый пользователь простого регистратора это умеет. Вставить ник Quote
straus Posted February 11, 2020 Author Posted February 11, 2020 10 минут назад, Saab95 сказал: Часто бывает так, что доступ делают что бы заходить на него со смартфона, а у него адреса всегда будут разные. Ну и ясно дело, надо обладать некоторыми навыками для настройки, не каждый пользователь простого регистратора это умеет. Да. (Но тут палка о двух концах: если он не может сам настроить файрвол в простейшем роутере, то полноценный сервер ему точно противопоказан.) Вставить ник Quote
SOFTOLAB Posted February 11, 2020 Posted February 11, 2020 От любителей высунуть попу RDP на ружу, новая сага, дырявый DVR наружу, в кино на этой неделе. Вставить ник Quote
straus Posted February 11, 2020 Author Posted February 11, 2020 3 минуты назад, SOFTOLAB сказал: От любителей высунуть попу RDP на ружу, новая сага, дырявый DVR наружу, в кино на этой неделе. Ну имея 14 разных продуктов француженка может приготовить до 40 разных блюд. А вот что она приготовит, имея только 3 продукта - масло, картошка и сковородка? К чему я? Да к тому, что очень часто из оборудования есть только регистратор и какой-нибудь "домашний" роутер. И вариантов всего три: выставлять жопой в интернет; выставлять с ограничением доступа (насколько позволит "домашний" роутер); не выставлять вообще. Каждый решает для себя сам. Или ты много видел в домах (или мелких офисах) оборудования вроде Cisco, Enterasys, Juniper? Поднять VPN? Отлично, нет возражений. На чём? Вставить ник Quote
Saab95 Posted February 12, 2020 Posted February 12, 2020 Поднять можно на том же микротике, самые дешевые модели не дороже тплинка. Проблема от лени - купить камеры подешевле, купить регистратор подешевле, потом что бы он еще через облако бесплатно соединялся и пользоваться в любом месте. Понятно, что покупательная способность у всех разная, но ведь глупо покупать машину, если зимой не найдется денег на зимнюю резину - велика вероятность аварии. Так же и с регистратором. Вставить ник Quote
straus Posted February 12, 2020 Author Posted February 12, 2020 6 часов назад, Saab95 сказал: Поднять можно на том же микротике Ой нет, спасибо. Мне хватило эпопеи по срочной замене нескольких десятков этих "изделий" на другое оборудование. Микротики ещё дырявее, чем регистраторы. Причём прибалты не хотят (или не могут) дыры заткнуть уже более полугода. Вот ты по микротикам спец, скажи: это правда, что софт там писал русский, и его таки выжили оттуда, и сейчас другие программеры пытаются что-то делать? Вставить ник Quote
Saab95 Posted February 12, 2020 Posted February 12, 2020 Вообще софт пишет десяток программистов. Там и русские есть, и латвийцы, и представители других стран. Дыры были всего в нескольких версиях прошивок, при чем работали они при разрешении доступа в IP-Service. Попадались на них те администраторы, которые подключались извне по белому IP с любого адреса. У кого был доступ через VPN, или созданы списки ограничений с определенных IP, никогда на взломы не попадался. Так же проблемы имели те, кто включил автообновление прошивок - путем подмены ДНС и прочего. Поэтому проблема сильно преувеличена. В последних прошивках все закрыто. Вставить ник Quote
naves Posted February 12, 2020 Posted February 12, 2020 Открытый порт управления на весь интернет, жди взлома. Попадались все на это, даже эльфийская циска, не говоря уже о всяких китайских роутерах и камерах, которые в 80% случаях бездумно копируют SDK производителя SoC. причем киска эпично закрывала одну дыру два раза https://www.opennet.ru/opennews/art.shtml?num=50404 Вставить ник Quote
SOFTOLAB Posted February 13, 2020 Posted February 13, 2020 On 2/12/2020 at 6:48 PM, straus said: Ой нет, спасибо. Мне хватило эпопеи по срочной замене нескольких десятков этих "изделий" на другое оборудование. Микротики ещё дырявее, чем регистраторы. Причём прибалты не хотят (или не могут) дыры заткнуть уже более полугода. Вот ты по микротикам спец, скажи: это правда, что софт там писал русский, и его таки выжили оттуда, и сейчас другие программеры пытаются что-то делать? Как писал выше Антон, все зависит от рук, у меня вон уже 3 года китайцы ломать пытаются, и брутфорсят, и дыры тика использовать пытаются, но все тщетно, потому что настроены нормально. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.