Jump to content

achtung

Diman_xxxx
 Share

Recommended Posts

Diman_xxxx

Diman_xxxx

Posted
Posted

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin,

был подменен DNS на 176.104.nnn.39 (точно не помню)

По смене паролей конечно было сказано подключальщикам заранее, но получилось как всегда)

Это вирус или кривые руки вендора ?

g3fox

g3fox

Posted
Posted

Техническая поддержка сегодня сообщила о таком-же. Клиенты в один из наших офисов приволокли в течении дня два роутера с аналогичной проблемой.

На обоих адреса DNS-серверов подменены на 176.102.38.39 176.102.38.70. Логин/пароль были установлены дефолтные.

 

Цель вот в чём:

#host vk.com 176.102.38.70
Using domain server:
Name: 176.102.38.70
Address: 176.102.38.70#53
Aliases:

vk.com has address 176.102.38.39

Fenrir

Fenrir

Posted
Posted

Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте?

s.lobanov

s.lobanov

Posted
Posted

Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте?

А какая тут может быть оф.информация? Если есть доступ через wan порт и логин/пароль admin/admin, то nmap+curl + пару часов кодинга и все дела

mcdemon

mcdemon

Posted
Posted

по умолчанию удаленный доступ на роутерах не включен...

мы включаем его нашим абонентам, но на сторого определенный айпишник нашего сервера

подозреваю, что некоторые "админы" делали просто доступ для всех... вот и страдают.

Diman_xxxx

Diman_xxxx

Posted
  • Author
Posted

по умолчанию удаленный доступ на роутерах не включен...

мы включаем его нашим абонентам, но на сторого определенный айпишник нашего сервера

подозреваю, что некоторые "админы" делали просто доступ для всех... вот и страдают.

Незнаю как у вас, но у нас модемы в руках держут только подключальщики, и настраивают тоже. Про пароли они забывают, а Вы говорите про исключение ip:)

Fenrir

Fenrir

Posted
Posted

Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте?

А какая тут может быть оф.информация? Если есть доступ через wan порт и логин/пароль admin/admin, то nmap+curl + пару часов кодинга и все дела

 

Хммм, возможно я не так понял, была открыта админка наружу что ли? Странно тогда почему акцент сделан именно на длинки, в такой ситуации уязвим любой роутер Я почему то думал нашли какую то багу с доступом, вроде таких:

http://www.securitylab.ru/vulnerability/437251.php

http://www.securitylab.ru/vulnerability/446143.php

s.lobanov

s.lobanov

Posted
Posted

Хммм, возможно я не так понял, была открыта админка наружу что ли?

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin

Ivan_83

Ivan_83

Posted
Posted

Для 2500 с не самыми новыми прошивками точно есть способ входа без пароля, лично проверял.

Вот, записи нашёл:

192.168.1.1/password.cgi

edit in notepad - посмотреть пароль в редакторе :)

fw < 1.54

Всякие скрытости:

http://192.168.1.1/enginfo.cmd

http://192.168.1.1/engdebug.cmd

 

Если проблема массовая, то можно просто поднять dns-ы 176.102.38.39 и 176.102.38.70 у себя в сети

Их могут раз в неделю менять, те это не окончательное решение проблемы.

Лучше сразу начать фильтровать 80 порт и снимать фильтрацию через ЛК. Либо самим просканить и где мыльницы тем включить, остальных не трогать.

Diman_xxxx

Diman_xxxx

Posted
  • Author
Posted

Лучше сразу начать фильтровать 80 порт и снимать фильтрацию через ЛК. Либо самим просканить и где мыльницы тем включить, остальных не трогать.

 

Прошивки 1.0.47 H4

 

А какой логин/пароль у них на telnet?

Fenrir

Fenrir

Posted
Posted

Хммм, возможно я не так понял, была открыта админка наружу что ли?

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin

И все равно я не вижу связи между дефолтными аутентификационными данными, и открытым наружу доступом к админке. Вы думаете что отключение удаленного менеджмента закрывает доступ и к бэкдорам коих в длинке найдено немало?

Diman_xxxx

Diman_xxxx

Posted
  • Author
Posted

Хммм, возможно я не так понял, была открыта админка наружу что ли?

Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin

И все равно я не вижу связи между дефолтными аутентификационными данными, и открытым наружу доступом к админке. Вы думаете что отключение удаленного менеджмента закрывает доступ и к бэкдорам коих в длинке найдено немало?

я тоже не могу утверждать что проблема из-зи открытого доступа.

Пока поменяли все пароли на свои, посмотритм, повторится или нет - тоже однозначно не скажешь )

g3fox

g3fox

Posted
Posted

Меня тоже смутило, что на 615-ом по-умолчанию тоже не включен удалённый доступ. Это я к тому, что может зараза ломится и не снаружи вовосе ?

Ivan_83

Ivan_83

Posted
Posted

да запросто.

где то было как атаковать домашний роутер через буразер юзера, там что то типа сразу урлы в скрытом ифрейме открывались с нужными параметрами, подобно тому как тут некоторые через curl автоматизирует конфиг девайсов у которых только вебморда.

darkagent

darkagent

Posted
Posted

очередная волна вирусни, кладет в настройки сетевухи (win7/win8, на других еще не попадалось) адреса днс 37.10.116.148 и 8.8.8.8 альтернативным.

ну и есесно днсы ведут куда не надо

>nslookup vk.com 37.10.116.148

╤хЁтхЁ: UnKnown

Address: 37.10.116.148

 

╚ь : vk.com

Address: 31.214.222.34

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.