yKpon Posted March 4, 2020 Posted March 4, 2020 коллеги, доброго дня! обнаружили лавинообразный пиковый трафик от абонентов и как выяснилось ддосят онушки этой модели https://www.kdds.ru/shop/oborudovanie-pon/onu/abonentskiy-terminal-c-wifi-fd600-111gw-hr630 https://gyazo.com/9b21c6a6a459f3527685374b2030ffc4 вот список адресов собрал за 1,5 часа 119.167.181.134 185.71.64.0/24 36.42.73.196 103.125.86.240 47.75.1.248 205.198.7.0/24 src порты рандомные около 20 штук, dst тоже разный всегда, в том числе и 80 ддос происходит одновременно ото всех онушек, я так понимаю троян в прошивке? есть ли решение? Вставить ник Quote
passer Posted March 4, 2020 Posted March 4, 2020 Может всё же абонентские устройства, подключенные за этими онушками? Вставить ник Quote
yKpon Posted March 4, 2020 Author Posted March 4, 2020 1 минуту назад, passer сказал: Может всё же абонентские устройства, подключенные за этими онушками? тогда был бы трафик и с других ону, обычных простых не настраиваемых, но этого нет Вставить ник Quote
passer Posted March 4, 2020 Posted March 4, 2020 Ддосят все включенные онушки этой модели? На них реальник был? Вставить ник Quote
yKpon Posted March 4, 2020 Author Posted March 4, 2020 @passer ддосят не их, а они нет, они за натом Вставить ник Quote
passer Posted March 4, 2020 Posted March 4, 2020 (edited) 10 минут назад, yKpon сказал: ддоят не их, а они Это я понял. Вы не ответили - все они такие общественно активные? Просто мои абоненты, проявившие себя на такой ниве, чаще всего имели в наличии китайский видеорегистратор (DVR) с реальником или парой-тройкой проброшенных на такой DVR портов. Исключать эксплоит не приходится, но сделать стат выборку, сколько установлено, сколько включенных и сколько ддосят перед наездом на вендора однозначно стоит, по-моему. Edited March 4, 2020 by passer Вставить ник Quote
yKpon Posted March 4, 2020 Author Posted March 4, 2020 7 минут назад, passer сказал: перед наездом на вендора однозначно стоит, по-моему. попозже на узле для теста поставлю такую же, отпишусь Вставить ник Quote
[anp/hsw] Posted March 4, 2020 Posted March 4, 2020 Самый простой вариант - включить ONU у заранее провереного клиента (или даже в оффисе) с чистой виндой, и ону совсем без клиентов, но настроеную. Вариант трояна в прошивке, особенно в нонейм-onu из китая вполне может иметь место. Вставить ник Quote
RN3DCX Posted March 4, 2020 Posted March 4, 2020 2 часа назад, yKpon сказал: выяснилось ддосят онушки как её могут дУдосить если для хомяка она работает на канальном уровне? или вы управление тоже запихнули в access? Вставить ник Quote
passer Posted March 4, 2020 Posted March 4, 2020 Онушки с вафлей сплошь HGU, т.е. функционал ната, роутинга и вафли по-меньшей мере реализован. Вставить ник Quote
VolanD666 Posted March 4, 2020 Posted March 4, 2020 А ее нельзя мониторить? Ну т.е. снимать выход и вход? Вставить ник Quote
passer Posted March 4, 2020 Posted March 4, 2020 Не все онушки позволяют по snmp c olt получать статистику с ethernet (а в данном случае еще и с вафли) порта онушки. Словом, проще поступить как предложил @[anp/hsw] Вставить ник Quote
yKpon Posted March 4, 2020 Author Posted March 4, 2020 я уточню, DDOS-ят сами онушки внешние ресурсы причём в списке один из ресурсов это Stormwall в Сколково ip 185.71.64.150 и так, поставил из коробки новую ону, ведёт себя тихо на фоне ддосящих, оставлю её включенной, выдал ей внешний ip, есть подозрение что она проявит себя не сразу после перезагрузки ону абонента ддос прекращается, неизвестно на какое время лично подключал одного абонента, клиенты только по wifi, lan порт 100% не задействован, зашёл по удалёнке, отключил wifi, ддос продолжается, так что даю 90% что эксплоит в прошивке Вставить ник Quote
[anp/hsw] Posted March 5, 2020 Posted March 5, 2020 6 часов назад, yKpon сказал: так что даю 90% что эксплоит в прошивке Если продавец вам откажет в выдаче прошивки без эксплоита, то можете написать мне в лс или в телегу, возможно можно будет выпилить его из прошивки и перепрошить onu (если хоть какая-то прошивка для них у вас есть). Я этим как раз занимаюсь на платой основе. Вставить ник Quote
yKpon Posted March 5, 2020 Author Posted March 5, 2020 обнаружил что эти ону с периодичностью несколько секунд одновременно делают запрос на 190.115.18.238 tcp port 422, делаю предположение, что это эксплоит получает задания, закрыл по ip на узле в 0:20 и вроде всё утихло =)) графики pon портов на olt, графики инверсные in/out местами поменяно https://gyazo.com/8b1b03d1b129058bbb51a42e9e4cc95c Вставить ник Quote
[anp/hsw] Posted March 5, 2020 Posted March 5, 2020 Очевидно, что айпишник может быть и не один. Что при этом говорит производитель устройств/продавец? Удалось с ними связаться? Вставить ник Quote
UglyAdmin Posted March 5, 2020 Posted March 5, 2020 Эксплойт в прошивке, а троян в ОЗУ. Как перезагрузил ONU - трояна нет, пока её опять не найдут... Вставить ник Quote
passer Posted March 5, 2020 Posted March 5, 2020 (edited) 5 часов назад, yKpon сказал: ону с периодичностью несколько секунд одновременно делают запрос на 190.115.18.238 tcp port 422 Особенно прикольно что ip принадлежит некой DDOS-GUARD CORP. , Belize. Edited March 5, 2020 by passer Вставить ник Quote
Xfactor3000 Posted March 10, 2020 Posted March 10, 2020 А это такие "весёлые" ону вы брали на KDDS или напрямую у c-data? А обновление на более новую прошивку не решает проблемы? Вставить ник Quote
Saab95 Posted March 26, 2020 Posted March 26, 2020 Сейчас все дешевые онушки с троянами, надо же как-то потом отбивать затраты. Дорогие онушки крупных производителей в таком не замечены. Вставить ник Quote
rdmitrich Posted March 27, 2020 Posted March 27, 2020 В 04.03.2020 в 17:31, yKpon сказал: коллеги, доброго дня! обнаружили лавинообразный пиковый трафик от абонентов и как выяснилось ддосят онушки этой модели https://www.kdds.ru/shop/oborudovanie-pon/onu/abonentskiy-terminal-c-wifi-fd600-111gw-hr630 https://gyazo.com/9b21c6a6a459f3527685374b2030ffc4 вот список адресов собрал за 1,5 часа 119.167.181.134 185.71.64.0/24 36.42.73.196 103.125.86.240 47.75.1.248 205.198.7.0/24 src порты рандомные около 20 штук, dst тоже разный всегда, в том числе и 80 ддос происходит одновременно ото всех онушек, я так понимаю троян в прошивке? есть ли решение? Смените пароль в onu, со стандартного на какой нибудь другой, все сразу станет норм !! Вставить ник Quote
SyJet Posted March 27, 2020 Posted March 27, 2020 2 часа назад, rdmitrich сказал: Смените пароль в onu, со стандартного на какой нибудь другой, все сразу станет норм !! Онушки за нат - как повлияет смена пароля? Вставить ник Quote
rdmitrich Posted March 27, 2020 Posted March 27, 2020 3 минуты назад, SyJet сказал: Онушки за нат - как повлияет смена пароля? вы исключаете вирус на ПК абонента ? Как показала практика, экономят абсолютно на всем.... Вставить ник Quote
VolanD666 Posted March 27, 2020 Posted March 27, 2020 Только что, rdmitrich сказал: вы исключаете вирус на ПК абонента ? Как показала практика, экономят абсолютно на всем.... Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный Вставить ник Quote
rdmitrich Posted March 27, 2020 Posted March 27, 2020 3 минуты назад, VolanD666 сказал: Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный у нас такая проблема была, все решилось заменой стандартного пароля, ну и прошивку смените, у нас сейчас 2.1.12 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.