Jump to content
Калькуляторы

DDOS-ят абонентские ONU

Ну и в стороне - думайте для нечто как fastnetmon - он помомжет оноруживать и своевременно отсорорянть из Л2/3 (как вход так и исход).

Edited by h3ll1

Share this post


Link to post
Share on other sites
В 27.03.2020 в 11:25, VolanD666 сказал:

Т.е. вирус на ПК клиента начал искать по сети ОНУ и пытаться сломать их... Маловероятно канеш. Но с другой стороны, пароль не должен быть дефолтный

Сейчас волна таких вирусов - ломают любые абонентские роутеры изнутри, ведь оттуда доступ в админку не закрыт.

Клиенты жалуются что плохо работает интернет, смотришь поток трафик от него - все идет в впн туннеле на некий адрес с медленной скоростью, явно ломают что бы трафик себе увести.

Share this post


Link to post
Share on other sites

апну

 

победить так и не удалось, FD600-111GW-HR630 организовали ботнет, DDOS-ят различные ресурсы, сканируют сети упирая в полку на апстрим своего тарифа, может у кого есть для них прошивка с заплаткой?

Share this post


Link to post
Share on other sites
В 27.03.2020 в 11:30, rdmitrich сказал:

у нас такая проблема была, все решилось заменой стандартного пароля, ну и прошивку смените, у нас сейчас 2.1.12

речь о FD600-111GW-HR630?

прошивкой не поделитесь? =)

 

пароли на admin и adminisp меняем, не помогает

f628b582693a1a22f915dc5895eaa54d.png

Share this post


Link to post
Share on other sites
5 минут назад, rdmitrich сказал:

FD511GW-EGX-R_ER_HGU_V2.1.12_190909_X000.tar

на FD600-111GW-HR630 встанет? не окирпичится?

Share this post


Link to post
Share on other sites
1 минуту назад, yKpon сказал:

на FD600-111GW-HR630 встанет? не окирпичится?

нет, все нормально встает

 

3 минуты назад, yKpon сказал:

на FD600-111GW-HR630 встанет? не окирпичится?

image.thumb.png.02d21e3cd2efbd66d75034a6680f87e0.png

Share this post


Link to post
Share on other sites

@rdmitrich @rdmitrich 

В 09.06.2020 в 18:22, rdmitrich сказал:

нет, все нормально встает

всех обновил, и не помогло! приехали другие ONU с такой же веб мордой, и всё равно с уязвимостью

bee054a640aa312dbc5e0a173c67b75c.png

и вот чем занимаются

5d6b2769e4bdbac2671c2c0ca6215fde.png

потом выборочно начинают ддос, я повторюсь, это не вирусы за пределами ону, это сами ону, они ведут так себе синхронно

 

заметил на них на всех открыт tcp 7547, гугол сказал надо закрывать, залоченые байты копятся, значит кто-то ломится на них

 

у абонентов внешние адреса, дефолтный пароль заменён

 

 

потом вот так =)))

dd006a21cac8b28ad9a7416517d69d8d.png

Share this post


Link to post
Share on other sites

Просто онушки надо ставить на базе коммутатора, а не роутера, тогда их просто взломать невозможно. А абонентские роутеры уже можно и поменять.

Share this post


Link to post
Share on other sites

сильно сомневаюсь что эти ону никто не покупает, и что если покупают, то проблем нет =))

Share this post


Link to post
Share on other sites

наверно все решили что проблема решена, но нет! решение одно, сидеть отслеживать запросы на какие ip исходящие запросы с заданиями для атаки и блокировать их

обновление прошивки что выше дали не помогло никак

 

сейчас:

0be50ec5f5761dbf72aa236bd3103842.png

Share this post


Link to post
Share on other sites
11 часов назад, yKpon сказал:

https://fibertool.ru/catalog/active/gateray_1/gr_ep_onu1_1w/ внешне чуть другой, но внутри тот же самый девайс

 

вот начали 500 мегабит генерить каждая!

 

97e37e3c298238b45ee25e91a25acb31.png

 

Уберите абонентов за NAT и перезагрузите onu. Вы точно поменяли стандартные админские и юзерские пароли ???

Edited by rdmitrich

Share this post


Link to post
Share on other sites
14 часов назад, yKpon сказал:

вот начали 500 мегабит генерить каждая!

У вас же уже есть прошивка для них. Найдите человека, который ее перепакует и вырежет вам этот ботнет оттуда. При наличии файла прошивки сделать это не так уж сложно.

 

Share this post


Link to post
Share on other sites
1 час назад, [anp/hsw] сказал:

У вас же уже есть прошивка для них. Найдите человека, который ее перепакует и вырежет вам этот ботнет оттуда. При наличии файла прошивки сделать это не так уж сложно.

 

Вы ранее писали, что можете помочь на платной основе, если это актуально сообщите в ЛС, файл прошивки есть выше в сообщениях

 

3 часа назад, rdmitrich сказал:

Уберите абонентов за NAT и перезагрузите onu. Вы точно поменяли стандартные админские и юзерские пароли ???

да, пароль на admin и adminisp заменен, со вчерашнего дня пробую меняю 80 порт на другой

Share this post


Link to post
Share on other sites

в общем есть подвижки, очевидно уязвимость на 80 порту, закрыл порт, онушка замолчала

 

обнаружил скрытую учётную запись дающую не только админские права, но и некие скрытые настройки, которые не доступны для adminisp http://192.168.101.1/bd/hide.asp

логин: e8c

пароль: e8c

 

скрытый доступ с внешки очевиден

Share this post


Link to post
Share on other sites

Так надо все закрывать. Обычно абонентам всем закрыт доступ на 80, 8080 порты и на ДНС. Большинству вообще низкие порты не нужны, а вот ломают через них абонентские роутеры регулярно.

Share this post


Link to post
Share on other sites

во как! =))

  PID USER       VSZ STAT COMMAND
    1 adminisp   920 S    init
    2 adminisp     0 SW<  [kthreadd]
    3 adminisp     0 SWN  [ksoftirqd/0]
    4 adminisp     0 SW<  [events/0]
    5 adminisp     0 SW<  [khelper]
    8 adminisp     0 SW<  [async/mgr]
   57 adminisp     0 SW<  [kblockd/0]
   73 adminisp     0 SW   [netlog]
   78 adminisp     0 SW   [pdflush]
   79 adminisp     0 SW   [pdflush]
   80 adminisp     0 SW<  [kswapd0]
   82 adminisp     0 SW<  [crypto/0]
  116 adminisp     0 SW<  [RG_CB_WQ]
  124 adminisp     0 SW<  [mtdblockd]
  203 adminisp     0 SWN  [jffs2_gcd_mtd3]
  220 adminisp  2872 S    configd
  320 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
  396 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
  397 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
  409 adminisp     0 DW<  [led_swBlink]
  410 adminisp  2536 S    /bin/pondetect
  423 adminisp  2688 S    bin/laser_force_on_detect
  483 adminisp  3040 S    /bin/spppd
  493 adminisp  5976 S    /bin/boa
  828 adminisp  5936 S    /bin/cwmpClient
  829 adminisp  1088 S    /bin/upnpmd_cp
  830 adminisp  2644 S    /bin/udhcpd -S /var/udhcpd/udhcpd.conf
  840 adminisp  1088 S    /bin/upnpmd_cp
  841 adminisp  1088 S    /bin/upnpmd_cp
  842 adminisp  1088 S    /bin/upnpmd_cp
  843 adminisp  1088 S    /bin/upnpmd_cp
  848 adminisp  1088 S    /bin/upnpmd_cp
  850 adminisp  1088 S    /bin/upnpmd_cp
  852 adminisp  1088 S    /bin/upnpmd_cp
  856 adminisp  2696 S    /bin/login -p
  857 adminisp   620 S    /bin/inetd
  858 adminisp  2592 S    /bin/systemd
  876 adminisp  1088 S    /bin/upnpmd_cp
  877 adminisp  1088 S    /bin/upnpmd_cp
  894 adminisp  5936 S    /bin/cwmpClient
  895 adminisp  5936 S    /bin/cwmpClient
  896 adminisp  5936 S    /bin/cwmpClient
  916 adminisp  5936 S    /bin/cwmpClient
  917 adminisp  5936 S    /bin/cwmpClient
  999 adminisp  2556 S N  /bin/smbd --option=server string=Realtek Samba Server
 1000 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1001 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1002 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1003 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1012 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1013 adminisp  3716 S    eponoamd -mac 0 e067b391bcf6
 1419 adminisp   620 S    /bin/vsntp -s clock.fmt.he.net -s clock.nyc.he.net -i
 1869 adminisp   648 S    /bin/igmpproxy -c 1 -d br0 -u ppp0 -D
 2632 adminisp  3044 S    /bin/wscd -start -c /var/wscd.conf -w wlan0 -fi /var/
 2640 adminisp   636 S    /bin/iwcontrol wlan0
 2641 adminisp   644 S    /bin/mini_upnpd -wsc /tmp/wscd_config &
 2666 adminisp   136 S    ./bot.gdlvzjyaderxflq3gtk00
 2719 adminisp   168 S    /dev/watchdog ont
 2720 adminisp   168 S    /dev/watchdog ont
 2754 adminisp  2716 S    /bin/dnsmasq -C /var/dnsmasq.conf -r /var/resolv.conf
 2760 adminisp   236 R    /dev/watchdog ont
 2761 adminisp   168 S    /dev/watchdog ont
 2813 adminisp   656 S    /bin/telnetd
 2814 adminisp   924 R    /bin/sh
 2816 adminisp   920 R    ps

 

Share this post


Link to post
Share on other sites
5 минут назад, snvoronkov сказал:

2666, классный процесс. Оценил.

про него и речь

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this