Перейти к содержимому
Калькуляторы

Ну и в стороне - думайте для нечто как fastnetmon - он помомжет оноруживать и своевременно отсорорянть из Л2/3 (как вход так и исход).

Изменено пользователем h3ll1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 27.03.2020 в 11:25, VolanD666 сказал:

Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный

Сейчас волна таких вирусов - ломают любые абонентские роутеры изнутри, ведь оттуда доступ в админку не закрыт.

Клиенты жалуются что плохо работает интернет, смотришь поток трафик от него - все идет в впн туннеле на некий адрес с медленной скоростью, явно ломают что бы трафик себе увести.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

апну

 

победить так и не удалось, FD600-111GW-HR630 организовали ботнет, DDOS-ят различные ресурсы, сканируют сети упирая в полку на апстрим своего тарифа, может у кого есть для них прошивка с заплаткой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 27.03.2020 в 11:30, rdmitrich сказал:

у нас такая проблема была, все решилось заменой стандартного пароля, ну и прошивку смените, у нас сейчас 2.1.12

речь о FD600-111GW-HR630?

прошивкой не поделитесь? =)

 

пароли на admin и adminisp меняем, не помогает

f628b582693a1a22f915dc5895eaa54d.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, yKpon сказал:

речь о FD600-111GW-HR630?

прошивкой не поделитесь? =)

 

пароли на admin и adminisp меняем, не помогает

f628b582693a1a22f915dc5895eaa54d.png

 

FD511GW-EGX-R_ER_HGU_V2.1.12_190909_X000.tar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, rdmitrich сказал:

FD511GW-EGX-R_ER_HGU_V2.1.12_190909_X000.tar

на FD600-111GW-HR630 встанет? не окирпичится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, yKpon сказал:

на FD600-111GW-HR630 встанет? не окирпичится?

нет, все нормально встает

 

3 минуты назад, yKpon сказал:

на FD600-111GW-HR630 встанет? не окирпичится?

image.thumb.png.02d21e3cd2efbd66d75034a6680f87e0.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@rdmitrich @rdmitrich 

В 09.06.2020 в 18:22, rdmitrich сказал:

нет, все нормально встает

всех обновил, и не помогло! приехали другие ONU с такой же веб мордой, и всё равно с уязвимостью

bee054a640aa312dbc5e0a173c67b75c.png

и вот чем занимаются

5d6b2769e4bdbac2671c2c0ca6215fde.png

потом выборочно начинают ддос, я повторюсь, это не вирусы за пределами ону, это сами ону, они ведут так себе синхронно

 

заметил на них на всех открыт tcp 7547, гугол сказал надо закрывать, залоченые байты копятся, значит кто-то ломится на них

 

у абонентов внешние адреса, дефолтный пароль заменён

 

 

потом вот так =)))

dd006a21cac8b28ad9a7416517d69d8d.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто онушки надо ставить на базе коммутатора, а не роутера, тогда их просто взломать невозможно. А абонентские роутеры уже можно и поменять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сильно сомневаюсь что эти ону никто не покупает, и что если покупают, то проблем нет =))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

наверно все решили что проблема решена, но нет! решение одно, сидеть отслеживать запросы на какие ip исходящие запросы с заданиями для атаки и блокировать их

обновление прошивки что выше дали не помогло никак

 

сейчас:

0be50ec5f5761dbf72aa236bd3103842.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

https://fibertool.ru/catalog/active/gateray_1/gr_ep_onu1_1w/ внешне чуть другой, но внутри тот же самый девайс

 

вот начали 500 мегабит генерить каждая!

 

97e37e3c298238b45ee25e91a25acb31.png

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, yKpon сказал:

https://fibertool.ru/catalog/active/gateray_1/gr_ep_onu1_1w/ внешне чуть другой, но внутри тот же самый девайс

 

вот начали 500 мегабит генерить каждая!

 

97e37e3c298238b45ee25e91a25acb31.png

 

Уберите абонентов за NAT и перезагрузите onu. Вы точно поменяли стандартные админские и юзерские пароли ???

Изменено пользователем rdmitrich

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, yKpon сказал:

вот начали 500 мегабит генерить каждая!

У вас же уже есть прошивка для них. Найдите человека, который ее перепакует и вырежет вам этот ботнет оттуда. При наличии файла прошивки сделать это не так уж сложно.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, [anp/hsw] сказал:

У вас же уже есть прошивка для них. Найдите человека, который ее перепакует и вырежет вам этот ботнет оттуда. При наличии файла прошивки сделать это не так уж сложно.

 

Вы ранее писали, что можете помочь на платной основе, если это актуально сообщите в ЛС, файл прошивки есть выше в сообщениях

 

3 часа назад, rdmitrich сказал:

Уберите абонентов за NAT и перезагрузите onu. Вы точно поменяли стандартные админские и юзерские пароли ???

да, пароль на admin и adminisp заменен, со вчерашнего дня пробую меняю 80 порт на другой

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в общем есть подвижки, очевидно уязвимость на 80 порту, закрыл порт, онушка замолчала

 

обнаружил скрытую учётную запись дающую не только админские права, но и некие скрытые настройки, которые не доступны для adminisp http://192.168.101.1/bd/hide.asp

логин: e8c

пароль: e8c

 

скрытый доступ с внешки очевиден

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так надо все закрывать. Обычно абонентам всем закрыт доступ на 80, 8080 порты и на ДНС. Большинству вообще низкие порты не нужны, а вот ломают через них абонентские роутеры регулярно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

во как! =))

  PID USER       VSZ STAT COMMAND
    1 adminisp   920 S    init
    2 adminisp     0 SW<  [kthreadd]
    3 adminisp     0 SWN  [ksoftirqd/0]
    4 adminisp     0 SW<  [events/0]
    5 adminisp     0 SW<  [khelper]
    8 adminisp     0 SW<  [async/mgr]
   57 adminisp     0 SW<  [kblockd/0]
   73 adminisp     0 SW   [netlog]
   78 adminisp     0 SW   [pdflush]
   79 adminisp     0 SW   [pdflush]
   80 adminisp     0 SW<  [kswapd0]
   82 adminisp     0 SW<  [crypto/0]
  116 adminisp     0 SW<  [RG_CB_WQ]
  124 adminisp     0 SW<  [mtdblockd]
  203 adminisp     0 SWN  [jffs2_gcd_mtd3]
  220 adminisp  2872 S    configd
  320 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
  396 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
  397 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
  409 adminisp     0 DW<  [led_swBlink]
  410 adminisp  2536 S    /bin/pondetect
  423 adminisp  2688 S    bin/laser_force_on_detect
  483 adminisp  3040 S    /bin/spppd
  493 adminisp  5976 S    /bin/boa
  828 adminisp  5936 S    /bin/cwmpClient
  829 adminisp  1088 S    /bin/upnpmd_cp
  830 adminisp  2644 S    /bin/udhcpd -S /var/udhcpd/udhcpd.conf
  840 adminisp  1088 S    /bin/upnpmd_cp
  841 adminisp  1088 S    /bin/upnpmd_cp
  842 adminisp  1088 S    /bin/upnpmd_cp
  843 adminisp  1088 S    /bin/upnpmd_cp
  848 adminisp  1088 S    /bin/upnpmd_cp
  850 adminisp  1088 S    /bin/upnpmd_cp
  852 adminisp  1088 S    /bin/upnpmd_cp
  856 adminisp  2696 S    /bin/login -p
  857 adminisp   620 S    /bin/inetd
  858 adminisp  2592 S    /bin/systemd
  876 adminisp  1088 S    /bin/upnpmd_cp
  877 adminisp  1088 S    /bin/upnpmd_cp
  894 adminisp  5936 S    /bin/cwmpClient
  895 adminisp  5936 S    /bin/cwmpClient
  896 adminisp  5936 S    /bin/cwmpClient
  916 adminisp  5936 S    /bin/cwmpClient
  917 adminisp  5936 S    /bin/cwmpClient
  999 adminisp  2556 S N  /bin/smbd --option=server string=Realtek Samba Server
 1000 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1001 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1002 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1003 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1012 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1013 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1419 adminisp   620 S    /bin/vsntp -s clock.fmt.he.net -s clock.nyc.he.net -i
 1869 adminisp   648 S    /bin/igmpproxy -c 1 -d br0 -u ppp0 -D
 2632 adminisp  3044 S    /bin/wscd -start -c /var/wscd.conf -w wlan0 -fi /var/
 2640 adminisp   636 S    /bin/iwcontrol wlan0
 2641 adminisp   644 S    /bin/mini_upnpd -wsc /tmp/wscd_config &
 2666 adminisp   136 S    ./bot.gdlvzjyaderxflq3gtk00
 2719 adminisp   168 S    /dev/watchdog ont
 2720 adminisp   168 S    /dev/watchdog ont
 2754 adminisp  2716 S    /bin/dnsmasq -C /var/dnsmasq.conf -r /var/resolv.conf
 2760 adminisp   236 R    /dev/watchdog ont
 2761 adminisp   168 S    /dev/watchdog ont
 2813 adminisp   656 S    /bin/telnetd
 2814 adminisp   924 R    /bin/sh
 2816 adminisp   920 R    ps

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2666, классный процесс. Оценил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, snvoronkov сказал:

2666, классный процесс. Оценил.

про него и речь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.