Diman_xxxx Опубликовано 11 декабря, 2013 · Жалоба Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin, был подменен DNS на 176.104.nnn.39 (точно не помню) По смене паролей конечно было сказано подключальщикам заранее, но получилось как всегда) Это вирус или кривые руки вендора ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 11 декабря, 2013 · Жалоба Техническая поддержка сегодня сообщила о таком-же. Клиенты в один из наших офисов приволокли в течении дня два роутера с аналогичной проблемой. На обоих адреса DNS-серверов подменены на 176.102.38.39 176.102.38.70. Логин/пароль были установлены дефолтные. Цель вот в чём: #host vk.com 176.102.38.70 Using domain server: Name: 176.102.38.70 Address: 176.102.38.70#53 Aliases: vk.com has address 176.102.38.39 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 11 декабря, 2013 · Жалоба Если проблема массовая, то можно просто поднять dns-ы 176.102.38.39 и 176.102.38.70 у себя в сети Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fenrir Опубликовано 11 декабря, 2013 · Жалоба Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 12 декабря, 2013 · Жалоба Да у нас такиеже 176.102.38.39 176.102.38.70 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 декабря, 2013 · Жалоба Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте? А какая тут может быть оф.информация? Если есть доступ через wan порт и логин/пароль admin/admin, то nmap+curl + пару часов кодинга и все дела Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 12 декабря, 2013 · Жалоба по умолчанию удаленный доступ на роутерах не включен... мы включаем его нашим абонентам, но на сторого определенный айпишник нашего сервера подозреваю, что некоторые "админы" делали просто доступ для всех... вот и страдают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 12 декабря, 2013 · Жалоба по умолчанию удаленный доступ на роутерах не включен... мы включаем его нашим абонентам, но на сторого определенный айпишник нашего сервера подозреваю, что некоторые "админы" делали просто доступ для всех... вот и страдают. Незнаю как у вас, но у нас модемы в руках держут только подключальщики, и настраивают тоже. Про пароли они забывают, а Вы говорите про исключение ip:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fenrir Опубликовано 12 декабря, 2013 · Жалоба Кстати не только ADSL, сегодня принесли перенастроить DIR-300, симптомы: торренты грузятся, страницы не открываются. Проверили и нашли эти днсы да и поменяли на свои. Были сохранены настройки в том числе и под предыдущего провайдера, и чет подумали что это остатки его конфига. А вон оно как получается... Кстати никто не в курсе, есть какая нибудь официальная информация об этом инциденте? А какая тут может быть оф.информация? Если есть доступ через wan порт и логин/пароль admin/admin, то nmap+curl + пару часов кодинга и все дела Хммм, возможно я не так понял, была открыта админка наружу что ли? Странно тогда почему акцент сделан именно на длинки, в такой ситуации уязвим любой роутер Я почему то думал нашли какую то багу с доступом, вроде таких: http://www.securitylab.ru/vulnerability/437251.php http://www.securitylab.ru/vulnerability/446143.php Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 12 декабря, 2013 · Жалоба Хммм, возможно я не так понял, была открыта админка наружу что ли? Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 декабря, 2013 · Жалоба Для 2500 с не самыми новыми прошивками точно есть способ входа без пароля, лично проверял. Вот, записи нашёл: 192.168.1.1/password.cgi edit in notepad - посмотреть пароль в редакторе :) fw < 1.54 Всякие скрытости: http://192.168.1.1/enginfo.cmd http://192.168.1.1/engdebug.cmd Если проблема массовая, то можно просто поднять dns-ы 176.102.38.39 и 176.102.38.70 у себя в сети Их могут раз в неделю менять, те это не окончательное решение проблемы. Лучше сразу начать фильтровать 80 порт и снимать фильтрацию через ЛК. Либо самим просканить и где мыльницы тем включить, остальных не трогать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 12 декабря, 2013 · Жалоба Лучше сразу начать фильтровать 80 порт и снимать фильтрацию через ЛК. Либо самим просканить и где мыльницы тем включить, остальных не трогать. Прошивки 1.0.47 H4 А какой логин/пароль у них на telnet? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 декабря, 2013 · Жалоба Без понятия. См выше, там для вебморды хак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fenrir Опубликовано 16 декабря, 2013 · Жалоба Хммм, возможно я не так понял, была открыта админка наружу что ли? Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin И все равно я не вижу связи между дефолтными аутентификационными данными, и открытым наружу доступом к админке. Вы думаете что отключение удаленного менеджмента закрывает доступ и к бэкдорам коих в длинке найдено немало? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 16 декабря, 2013 · Жалоба Хммм, возможно я не так понял, была открыта админка наружу что ли? Вчера на сотне ADSL модемов d-link dsl-2500 (видимо которые были в сети) с белыми ip и стандартной учеткой admin admin И все равно я не вижу связи между дефолтными аутентификационными данными, и открытым наружу доступом к админке. Вы думаете что отключение удаленного менеджмента закрывает доступ и к бэкдорам коих в длинке найдено немало? я тоже не могу утверждать что проблема из-зи открытого доступа. Пока поменяли все пароли на свои, посмотритм, повторится или нет - тоже однозначно не скажешь ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 декабря, 2013 · Жалоба Выше вам инструкция как узнать ваши пароли имея доступ по 80 порту :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 16 декабря, 2013 · Жалоба Выше вам инструкция как узнать ваши пароли имея доступ по 80 порту :) Закрыть на бордере всем из вне доступ на 80 порт ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 декабря, 2013 · Жалоба По хорошему - всем у кого там вебморда торчит от длинка. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 19 декабря, 2013 · Жалоба Меня тоже смутило, что на 615-ом по-умолчанию тоже не включен удалённый доступ. Это я к тому, что может зараза ломится и не снаружи вовосе ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 19 декабря, 2013 · Жалоба да запросто. где то было как атаковать домашний роутер через буразер юзера, там что то типа сразу урлы в скрытом ифрейме открывались с нужными параметрами, подобно тому как тут некоторые через curl автоматизирует конфиг девайсов у которых только вебморда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 20 декабря, 2013 · Жалоба Да, это понятно. Я на это и намекал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 23 декабря, 2013 · Жалоба очередная волна вирусни, кладет в настройки сетевухи (win7/win8, на других еще не попадалось) адреса днс 37.10.116.148 и 8.8.8.8 альтернативным. ну и есесно днсы ведут куда не надо >nslookup vk.com 37.10.116.148 ╤хЁтхЁ: UnKnown Address: 37.10.116.148 ╚ь : vk.com Address: 31.214.222.34 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 23 декабря, 2013 · Жалоба darkagent, такая вирусня достаточно распространена, обычно HijackThis'ом чистится на ура) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...