straus Опубликовано 11 февраля, 2020 · Жалоба "Опять пришёл страус и вылил ведро оптимизма." В.И.Ленин Я DVR делю на два класса - к которым доступ извне идёт по порту 37776/37777, и к которым по порту 9000. Сейчас будет речь про вторые. Стоял себе мирно DVR, работал, жопой через NAT был выставлен в интернет, на NAT проброшены были только два порта - 80 и 9000. Через месяца три работы DVR вдруг стал сам открывать на выход 2 сессии. После перезагрузки он их открывал опять. После пристрела этих адресов на файрволе стал открывать 7 сессий на другие адреса. Вот на эти сети: 47.250.0.0 - 47.254.255.255 47.88.0.0 - 47.91.95.255 94.177.185.0 - 94.177.185.255 158.255.0.0 - 158.255.7.255 119.28.0.0 - 119.29.255.255 106.52.0.0 - 106.54.255.255 На все адреса удалённый порт был 8001 или 8002. В принципе он мог на какой-то свой сервер постучаться для p2p (адреса Alibaba под это подходят), но некоторые сети несколько странные. В общем пока не знаю, что это, возможно потроянили. Прибил на файрволе эти сети - пока тихо. Ну и пришлось вход на DVR сделать только с определённых адресов. А, ещё была интересная особенность - с того момента, как он стал так себя вести, стало невозможно по сети просматривать в реальном времени, а возможность просмотра записи осталась. Вот так вот... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 11 февраля, 2020 · Жалоба А перешить не пробовал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 11 февраля, 2020 · Жалоба Пока нет. Ибо нечем - прошивки нет, буду запрашивать производителя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 11 февраля, 2020 · Жалоба @straus Я бы с этого начал. А доступ в таком раскладе придется прятать за ВПН. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 февраля, 2020 · Жалоба Ага, вообще сначала на регистраторе экономят, потом на доступе. Потом перешивать - окирпичить. Кроме ВПН с условием, что на регистраторе нет доступа в интернет - и схем быть не может. Особенно если регистратор китайский. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 11 февраля, 2020 · Жалоба https://krebsonsecurity.com/tag/dahua/ Цитата A core part of the problem is the peer-to-peer (P2P) communications component called “XMEye” that ships with all Xiongmai devices and automatically connects them to a cloud network run by Xiongmai. The P2P feature is designed so that consumers can access their DVRs or security cameras remotely anywhere in the world and without having to configure anything. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 11 февраля, 2020 · Жалоба 2 часа назад, Saab95 сказал: Потом перешивать - окирпичить Ну допустим повезло окирпичить. Это что, фатально? Бутлоадер сохранился, подключаешь терминал и вперёд за орденами. (Даже если как-то умудрился прибить бутлоадер - берёшь JTAG и прошиваешь с нуля.) 2 часа назад, Saab95 сказал: Кроме ВПН с условием, что на регистраторе нет доступа в интернет - и схем быть не может. Ну почему же? Если на регистратор заходишь с одних и тех же адресов - можно в правилах файрвола в роутере прописать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 февраля, 2020 · Жалоба 1 час назад, straus сказал: (Даже если как-то умудрился прибить бутлоадер - берёшь JTAG и прошиваешь с нуля.) Это все очень сложно и требует специфических знаний и навыков, которыми обычно редко кто обладает. 1 час назад, straus сказал: Ну почему же? Если на регистратор заходишь с одних и тех же адресов - можно в правилах файрвола в роутере прописать. Часто бывает так, что доступ делают что бы заходить на него со смартфона, а у него адреса всегда будут разные. Ну и ясно дело, надо обладать некоторыми навыками для настройки, не каждый пользователь простого регистратора это умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 11 февраля, 2020 · Жалоба 10 минут назад, Saab95 сказал: Часто бывает так, что доступ делают что бы заходить на него со смартфона, а у него адреса всегда будут разные. Ну и ясно дело, надо обладать некоторыми навыками для настройки, не каждый пользователь простого регистратора это умеет. Да. (Но тут палка о двух концах: если он не может сам настроить файрвол в простейшем роутере, то полноценный сервер ему точно противопоказан.) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 11 февраля, 2020 · Жалоба От любителей высунуть попу RDP на ружу, новая сага, дырявый DVR наружу, в кино на этой неделе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 11 февраля, 2020 · Жалоба 3 минуты назад, SOFTOLAB сказал: От любителей высунуть попу RDP на ружу, новая сага, дырявый DVR наружу, в кино на этой неделе. Ну имея 14 разных продуктов француженка может приготовить до 40 разных блюд. А вот что она приготовит, имея только 3 продукта - масло, картошка и сковородка? К чему я? Да к тому, что очень часто из оборудования есть только регистратор и какой-нибудь "домашний" роутер. И вариантов всего три: выставлять жопой в интернет; выставлять с ограничением доступа (насколько позволит "домашний" роутер); не выставлять вообще. Каждый решает для себя сам. Или ты много видел в домах (или мелких офисах) оборудования вроде Cisco, Enterasys, Juniper? Поднять VPN? Отлично, нет возражений. На чём? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 февраля, 2020 · Жалоба Поднять можно на том же микротике, самые дешевые модели не дороже тплинка. Проблема от лени - купить камеры подешевле, купить регистратор подешевле, потом что бы он еще через облако бесплатно соединялся и пользоваться в любом месте. Понятно, что покупательная способность у всех разная, но ведь глупо покупать машину, если зимой не найдется денег на зимнюю резину - велика вероятность аварии. Так же и с регистратором. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 12 февраля, 2020 · Жалоба 6 часов назад, Saab95 сказал: Поднять можно на том же микротике Ой нет, спасибо. Мне хватило эпопеи по срочной замене нескольких десятков этих "изделий" на другое оборудование. Микротики ещё дырявее, чем регистраторы. Причём прибалты не хотят (или не могут) дыры заткнуть уже более полугода. Вот ты по микротикам спец, скажи: это правда, что софт там писал русский, и его таки выжили оттуда, и сейчас другие программеры пытаются что-то делать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 февраля, 2020 · Жалоба Вообще софт пишет десяток программистов. Там и русские есть, и латвийцы, и представители других стран. Дыры были всего в нескольких версиях прошивок, при чем работали они при разрешении доступа в IP-Service. Попадались на них те администраторы, которые подключались извне по белому IP с любого адреса. У кого был доступ через VPN, или созданы списки ограничений с определенных IP, никогда на взломы не попадался. Так же проблемы имели те, кто включил автообновление прошивок - путем подмены ДНС и прочего. Поэтому проблема сильно преувеличена. В последних прошивках все закрыто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
naves Опубликовано 12 февраля, 2020 · Жалоба Открытый порт управления на весь интернет, жди взлома. Попадались все на это, даже эльфийская циска, не говоря уже о всяких китайских роутерах и камерах, которые в 80% случаях бездумно копируют SDK производителя SoC. причем киска эпично закрывала одну дыру два раза https://www.opennet.ru/opennews/art.shtml?num=50404 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 13 февраля, 2020 · Жалоба On 2/12/2020 at 6:48 PM, straus said: Ой нет, спасибо. Мне хватило эпопеи по срочной замене нескольких десятков этих "изделий" на другое оборудование. Микротики ещё дырявее, чем регистраторы. Причём прибалты не хотят (или не могут) дыры заткнуть уже более полугода. Вот ты по микротикам спец, скажи: это правда, что софт там писал русский, и его таки выжили оттуда, и сейчас другие программеры пытаются что-то делать? Как писал выше Антон, все зависит от рук, у меня вон уже 3 года китайцы ломать пытаются, и брутфорсят, и дыры тика использовать пытаются, но все тщетно, потому что настроены нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...