yKpon Опубликовано 4 марта, 2020 · Жалоба коллеги, доброго дня! обнаружили лавинообразный пиковый трафик от абонентов и как выяснилось ддосят онушки этой модели https://www.kdds.ru/shop/oborudovanie-pon/onu/abonentskiy-terminal-c-wifi-fd600-111gw-hr630 https://gyazo.com/9b21c6a6a459f3527685374b2030ffc4 вот список адресов собрал за 1,5 часа 119.167.181.134 185.71.64.0/24 36.42.73.196 103.125.86.240 47.75.1.248 205.198.7.0/24 src порты рандомные около 20 штук, dst тоже разный всегда, в том числе и 80 ддос происходит одновременно ото всех онушек, я так понимаю троян в прошивке? есть ли решение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 4 марта, 2020 · Жалоба Может всё же абонентские устройства, подключенные за этими онушками? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 4 марта, 2020 · Жалоба 1 минуту назад, passer сказал: Может всё же абонентские устройства, подключенные за этими онушками? тогда был бы трафик и с других ону, обычных простых не настраиваемых, но этого нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 4 марта, 2020 · Жалоба Ддосят все включенные онушки этой модели? На них реальник был? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 4 марта, 2020 · Жалоба @passer ддосят не их, а они нет, они за натом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 4 марта, 2020 (изменено) · Жалоба 10 минут назад, yKpon сказал: ддоят не их, а они Это я понял. Вы не ответили - все они такие общественно активные? Просто мои абоненты, проявившие себя на такой ниве, чаще всего имели в наличии китайский видеорегистратор (DVR) с реальником или парой-тройкой проброшенных на такой DVR портов. Исключать эксплоит не приходится, но сделать стат выборку, сколько установлено, сколько включенных и сколько ддосят перед наездом на вендора однозначно стоит, по-моему. Изменено 4 марта, 2020 пользователем passer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 4 марта, 2020 · Жалоба 7 минут назад, passer сказал: перед наездом на вендора однозначно стоит, по-моему. попозже на узле для теста поставлю такую же, отпишусь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 4 марта, 2020 · Жалоба Самый простой вариант - включить ONU у заранее провереного клиента (или даже в оффисе) с чистой виндой, и ону совсем без клиентов, но настроеную. Вариант трояна в прошивке, особенно в нонейм-onu из китая вполне может иметь место. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 4 марта, 2020 · Жалоба 2 часа назад, yKpon сказал: выяснилось ддосят онушки как её могут дУдосить если для хомяка она работает на канальном уровне? или вы управление тоже запихнули в access? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 4 марта, 2020 · Жалоба Онушки с вафлей сплошь HGU, т.е. функционал ната, роутинга и вафли по-меньшей мере реализован. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 4 марта, 2020 · Жалоба А ее нельзя мониторить? Ну т.е. снимать выход и вход? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 4 марта, 2020 · Жалоба Не все онушки позволяют по snmp c olt получать статистику с ethernet (а в данном случае еще и с вафли) порта онушки. Словом, проще поступить как предложил @[anp/hsw] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 4 марта, 2020 · Жалоба я уточню, DDOS-ят сами онушки внешние ресурсы причём в списке один из ресурсов это Stormwall в Сколково ip 185.71.64.150 и так, поставил из коробки новую ону, ведёт себя тихо на фоне ддосящих, оставлю её включенной, выдал ей внешний ip, есть подозрение что она проявит себя не сразу после перезагрузки ону абонента ддос прекращается, неизвестно на какое время лично подключал одного абонента, клиенты только по wifi, lan порт 100% не задействован, зашёл по удалёнке, отключил wifi, ддос продолжается, так что даю 90% что эксплоит в прошивке Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 5 марта, 2020 · Жалоба 6 часов назад, yKpon сказал: так что даю 90% что эксплоит в прошивке Если продавец вам откажет в выдаче прошивки без эксплоита, то можете написать мне в лс или в телегу, возможно можно будет выпилить его из прошивки и перепрошить onu (если хоть какая-то прошивка для них у вас есть). Я этим как раз занимаюсь на платой основе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 5 марта, 2020 · Жалоба обнаружил что эти ону с периодичностью несколько секунд одновременно делают запрос на 190.115.18.238 tcp port 422, делаю предположение, что это эксплоит получает задания, закрыл по ip на узле в 0:20 и вроде всё утихло =)) графики pon портов на olt, графики инверсные in/out местами поменяно https://gyazo.com/8b1b03d1b129058bbb51a42e9e4cc95c Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 5 марта, 2020 · Жалоба Очевидно, что айпишник может быть и не один. Что при этом говорит производитель устройств/продавец? Удалось с ними связаться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 5 марта, 2020 · Жалоба Эксплойт в прошивке, а троян в ОЗУ. Как перезагрузил ONU - трояна нет, пока её опять не найдут... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 5 марта, 2020 (изменено) · Жалоба 5 часов назад, yKpon сказал: ону с периодичностью несколько секунд одновременно делают запрос на 190.115.18.238 tcp port 422 Особенно прикольно что ip принадлежит некой DDOS-GUARD CORP. , Belize. Изменено 5 марта, 2020 пользователем passer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Xfactor3000 Опубликовано 10 марта, 2020 · Жалоба А это такие "весёлые" ону вы брали на KDDS или напрямую у c-data? А обновление на более новую прошивку не решает проблемы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 марта, 2020 · Жалоба Сейчас все дешевые онушки с троянами, надо же как-то потом отбивать затраты. Дорогие онушки крупных производителей в таком не замечены. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdmitrich Опубликовано 27 марта, 2020 · Жалоба В 04.03.2020 в 17:31, yKpon сказал: коллеги, доброго дня! обнаружили лавинообразный пиковый трафик от абонентов и как выяснилось ддосят онушки этой модели https://www.kdds.ru/shop/oborudovanie-pon/onu/abonentskiy-terminal-c-wifi-fd600-111gw-hr630 https://gyazo.com/9b21c6a6a459f3527685374b2030ffc4 вот список адресов собрал за 1,5 часа 119.167.181.134 185.71.64.0/24 36.42.73.196 103.125.86.240 47.75.1.248 205.198.7.0/24 src порты рандомные около 20 штук, dst тоже разный всегда, в том числе и 80 ддос происходит одновременно ото всех онушек, я так понимаю троян в прошивке? есть ли решение? Смените пароль в onu, со стандартного на какой нибудь другой, все сразу станет норм !! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 27 марта, 2020 · Жалоба 2 часа назад, rdmitrich сказал: Смените пароль в onu, со стандартного на какой нибудь другой, все сразу станет норм !! Онушки за нат - как повлияет смена пароля? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdmitrich Опубликовано 27 марта, 2020 · Жалоба 3 минуты назад, SyJet сказал: Онушки за нат - как повлияет смена пароля? вы исключаете вирус на ПК абонента ? Как показала практика, экономят абсолютно на всем.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 27 марта, 2020 · Жалоба Только что, rdmitrich сказал: вы исключаете вирус на ПК абонента ? Как показала практика, экономят абсолютно на всем.... Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdmitrich Опубликовано 27 марта, 2020 · Жалоба 3 минуты назад, VolanD666 сказал: Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный у нас такая проблема была, все решилось заменой стандартного пароля, ну и прошивку смените, у нас сейчас 2.1.12 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...