1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Как мне домашний маршрутизатор взломали

Тема в разделе "Интернет", создана пользователем alexmyt, 1 мар 2016.

  1. alexmyt

    alexmyt Старожил Команда форума

    Неприятная история случилась со мной пару дней назад. В браузерах домашнего компьютера внезапно полезла pop-up реклама: на сайтах выпрыгивали окошки с предложением купить разную лабуду, по клику на нормальные с виду ссылки открывались фоновый окна с казино, ну и тому подобные вещи происходили, свойственные эдварным вирусенкам.

    Комп был проверен cureit'ом и adwcleaner'ом с нулевым результатом. Антивируса у меня нет в принципе, но домашние как-то так приучены что никакая зараза на комп не попадает, поэтому результат проверки не удивил бы, если бы не реклама, невесть откуда взявшаяся.

    Беглый просмотр кода открываемых страниц показал в хвосте каждой наличие скриптов с теми самыми окошками. Первая мысль была что вирусы на сайтах, но т.к. сайтов было много, они были разными (включая Хабр) - мысль эта надолго в голове не задержалась. Другой тревожный признак - сертификат Гугла внезапно стал недействительным.

    По счастливой случайности (действительно случайности) заметил что в DNS маршрутизатора прописан левый адрес. Обычно у меня там живут адреса гуглловского ДНС, а несколько месяцев назад, когда у гугла были проблемы, прописывал туда адрес ДНС от Яндекса. Теперь же в примари-сервере была прописана неведомая хрень, вторым адресом - родной гугловский.

    Такое могло произойти только если на железку зашли снаружи и прописали нужный ДНС-сервер. Пароль на железке, надо сказать, нетривиальный, следовательно злодеи воспользовались дыркой в прошивке. В последнее время стало появляться много сведений о том что у разных вендоров на девайсах есть потайные ходы, через которые можно без труда зайти с админскими правами...

    Действия злодеев вполне понятны и доступны для школьников старших классов: поднимаем сервер с ДНС и прокси, при проксировании добавляем к страницам свой код - это в лучшем для жертвы случае. Остается тыкаться по пулу адресов интернет- провайдеров и при удачном случае втыкать на устройства пользователей свой ДНС.

    Собственно, рассказываю это на тот случай если кто-то столкнется с похожей проблемой. Если бы не случайность то я бы, наверное, еще долго думал над тем что и где я подцепил и как от этого избавиться. Более того, злодеи могли не только подсовывать баннеры, но и собирать пин-коды кредиток, например.

    Как превентивную меру против таких злоумышленников можно посоветовать не открывать доступ к модему снаружи (если вам это не нужно в принципе, как мне). Пароль на железке должен быть чуть сложнее чем четыре единицы или дефолтный 'admin'. Если знаете что такое "обновление прошивки" и где взять более свежую чем ваша - есть смысл обновиться.
     
    Access404, leon3 и kottol нравится это.
  2. val

    val Активный пользователь

    самый страшный вирус сидит перед компьютером
     
  3. val

    val Активный пользователь

    Комп был проверен cureit'ом и adwcleaner'ом с нулевым результатом. Антивируса у меня нет в принципе, но домашние как-то так приучены что никакая зараза на комп не попадает, поэтому результат проверки не удивил бы, если бы не реклама, невесть откуда взявшаяся. а это и не является вирусом...........
     
  4. Building-Office

    Building-Office Активный пользователь

    Такими делами знимаются роботы, сканируют засвеченные апишники и сканируют подключение после чего оределяют модем и вносят изменение. Такие дела ставятся на поток. Наверняка вся байда работает на не слабом vds круглосуточно. Избавиться действительно не реально не зная, что это в модеме.
     
    leon3 нравится это.
  5. I.V.

    I.V. Старожил

    Можно ли в модем внести изменения если там логин и пароль не "admin" и пароль-логин не вскрываются?
     
  6. Кот Борзилио

    Кот Борзилио Активный пользователь

    Ты поставил пароль и забыл какой? Ну Штирлиц! :)
    Конечно можно. Можно похерить его вместе со всеми настройками, только тебе это на кой? К админу залезли потому как у него айпишник белый и статический и доступ в модем открыт. У тебя же не так?
     
  7. alexmyt

    alexmyt Старожил Команда форума

    В некоторые можно. В некоторых модемах есть "черные ходы" сделанные создателями специально, в некоторых есть уязвимости программного обеспечения, которые могут найти и воспользоваться недобросовестные люди. Вот, например, про д-линки. Попадалось мне что-то и про TP-Link, и про хуавэи... В общем-то, уязвимости находят даже в Цисках, так что ни кто не застрахован. Просто в некоторых модемах и маршрутизаторах получить доступ к админке "не просто, а очень просто."

    Тут нужно понимать две вещи.

    Во-первых, не всякий человек, нашедший дыру в безопасности устройства, спешит обнародовать свои сведения. Зачем, если информацию можно продать или воспользоваться самому? Представьте сотню тысяч устройств, хакнутых так же как мой Upvel, в которых пользователи случано тыкнут по рекламе и принесут злодею каждый по 1 доллару. Неплохо? А если не подсовывать рекламу, а собирать пароли? Или номера кредиток? В общем возможностей эксплуатации такой дыры очень много, и часто будет лучше если об уязвимости узнает как можно меньше народа.

    Во-вторых, даже если информация появилась в свободном доступе - много ли пользователей прочитает пресс-релиз и быстро обновит прошивку или сменит себе модем? Думаю что нет. Уязвимость, даже обнародованная, может эксплуатироваться годами.

    Статический ИП тут совсем ни при чем (хотя, что характерно - бяка пришла почти сразу после того как я отказался от статического ИП :)).
    Да и закрытие доступа снаружи тоже не дает гарантий. Но в качестве превентивной меры есть смысл прикрыть.
     
    Access404 нравится это.
  8. Кот Борзилио

    Кот Борзилио Активный пользователь

    Не болтайте ерундой! Вероятность, что будут ломиться в стоящую на одном месте дверь дома гораздо выше, чем взлом двери ходящего по случайному расписанию поезда.
    Ну сказать это, значит ничего не сказать. Абсолютную гарантию даст только отключенное питание. Я говорю о снижении вероятности взлома, а не об исключении такой возможности в принципе. И открытый снаружи доступ - это дверь (пусть и запертая), а отсутствие доступа это стена. Да, и стену можно сломать, но вероятность того, что вор будет ломать стену намного ниже, чем вскрытие готовой двери.
     
  9. alexmyt

    alexmyt Старожил Команда форума

    Повторю: мой маршрутизатор сломали когда я ушел со статического ИП на динамический.
    И потом, простоя логика: чем дешевле устройство тем скорее у него будет дырка; дешевые устройства стоят у домашних пользователей; домашние пользователи в подавляющей массе сидят на динамических ИП. То есть я бы сказал что сканировать пул динамических адресов даже выгоднее чем сканировать пул статических. Если вообще есть возможность их различить.

    Так что нет никакой разницы какой у тебя адрес - динамический или статический. Злодеи наверняка просто перебирают все известные адреса провайдеров и при возможности применяет эксполойты. Для такой работы не нужно быть слишком умным программером или владеть мощным сервером - задача, как я уже сказал в первом посте, вполне по силам школьникам старших классов.

    Вероятность взлома железки с закрытым доступом снаружи конечно ниже - как минимум нельзя будет подобрать пароль к админке или воспользоваться учетной записью, вшитой производителем для несанкционированного доступа. Это, конечно, нужно рекомендовать делать всем кому не нужен доступ к домашней сети извне.
    Нужно только иметь в виду что это не панацея, особенно если у вас недорогой модем/маршрутизатор. Как видно из ссылки, которую я привел в предыдущем посте, иногда ларчик открывается тупо по сигнатуре браузера - это все равно как если бы девайс смотрел в интернет совсем без пароля.
     
  10. efu

    efu Старожил

    Меняйте заводские пароли! Я как-то поленился поменять пароль на IP-АТС - не прошло и года, как подключился злодей и наделал звонков ненужных!
     
    alexmyt нравится это.
  11. Building-Office

    Building-Office Активный пользователь

    Как правило многие не меняют заводской пароль открыв внешний доступ к модему.
     
  12. homo

    homo Завсегдатай

    Алексей! Вероятно, у тебя был выключен firewall и не был скрыт SSID ? И включи пожалуйста фильтр mac-адресов, лады?
     
  13. Кот Борзилио

    Кот Борзилио Активный пользователь

    Ты уверен? Понимаю, неприятно признавать, что сам лопухнулся, что скорее всего
    Может залезли туда уже давно (скорее всего), просто никаких видимых действий пока не было. А подошёл срок и получи рекламу.
    Я когда-то очень давно сам от нечего делать тупо набирал в браузере ip адреса, которые от моего отличались только последним числом и смотрел что получится. За час наткнулся на пару десятков роутеров, из которых три штуки были с дефолтным паролем. А дальше всё элементрано - включил DMZ и подставлял в него адреса начиная с 192.168.1.2 В одном случае нашёл комп на пятом адресе и вуаля, вот они все его папки с документами (ЕМНИП это был какой-то комп магазин в Новоаннинске).
    Так что и заводские "дыры" в 99% случаев не нужны. Народ сам оставляет ворота открытыми.
     
  14. DmitriyPl

    DmitriyPl Старожил Команда форума

    Ой, вы вспомните начало xDSL в Урюпинске.
    Когда спокойно можно было ходить в СЭС, Налоговую, может куда еще.

    Леша, у тебя Upvel? жуть.
     
  15. alexmyt

    alexmyt Старожил Команда форума

    Конечно нет. Правильнее говорить что я заметил взлом после перехода на динамический ИП.

    Можно долго гадать на кофейной гуще давно ли или недавно был изменен DNS. Могу сказать что сам менял эти адреса не больше чем 3 месяца назад (то ли в самом конце года, то ли в самом начале), а до этого маршрутизатор работал без изменений с августа 2014 года, со статическим ИП. Следовательно взлом случился в этом году. И я не вижу никаких причин для того чтобы взломать мой маршрутизатор и ждать несколько месяцев перед тем как начать показывать рекламу. И реклама полезла вскоре после перехода на динамический ИП.
    Но "... а может это дворник был?"

    Файрвол был выключен. А если бы был включен то я не понимаю как он мог бы помочь - все равно коннект на 80 порт разрешен для всех, мне это нужно. А IDS/IPS на железках такого уровня все равно не бывает. И потом, я ОЧЕНЬ сомневаюсь в том что подломили меня брутфорсом пароля, следовательно файрвол тут вряд ли имеет значение.
    SSID тут вообще не в тему, беспроводная связь на маршрутизаторе у меня отключена. Да и вероятность того что кто-то подошел к дому и взломал сеть через вай-фай, чтобы потом взломать маршрутизатор, чтобы потом крутить мне рекламу - из области фантастики.

    И какие адреса нужно фильтровать? Если ты не понял - я говорю о железке, взломанной через проводной интернет.
     
  16. alexmyt

    alexmyt Старожил Команда форума

    Я тебе больше скажу - у меня уже второй Upvel :) Отличная железка за небольшие деньги, как мне кажется.
     
  17. DmitriyPl

    DmitriyPl Старожил Команда форума

    У меня обратное мнение об этом железе.

    В семье 6 разнообразных тплинков. доволен.
     
  18. homo

    homo Завсегдатай

    MAD и alexmyt нравится это.
  19. DmitriyPl

    DmitriyPl Старожил Команда форума

    Я сказал бы что это его фото.
     
  20. alexmyt

    alexmyt Старожил Команда форума

    Да, тоже попадалась на глаза эта заметка, только на гиктаймсе. Забыл разместить. Спасибо.
     

Similar Threads
  1. caboomcha
    Ответов:
    0
    Просмотров:
    2.684
  2. AK-74
    Ответов:
    3
    Просмотров:
    7.936
  3. alexmyt
    Ответов:
    12
    Просмотров:
    5.186
  4. Rezak700
    Ответов:
    16
    Просмотров:
    1.696
  5. CrazyLab
    Ответов:
    0
    Просмотров:
    751
Загрузка...
Загрузка...