"Összehangoltan támad a router-botnet"

 ( Anonymous | 2009. március 24., kedd - 20:36 )

"Szabadon terjedő fertőzés sújtja a gyengén védett útválasztó eszközöket. Szabadon terjedő fertőzés sújtja a gyengén védett útválasztó eszközöket. A DroneBL webhely üzemeltetői nemrég kiadott közleményükben azt állítják, hogy szervereiket mintegy két hete rendszeresen támadja egy botnet hálózat, amely nem a szokásos feltört munkaállomás számítógépekből, hanem fertőzött router eszközökből áll. A DroneBL adatai szerint a Psyb0t/ELF nevű hálózatban található zombik főleg az otthoni és kisirodai felhasználásra készült, Linux alapú routerek közül kerülnek ki."

"Ha egyszer bejutott, a féreg letörli a /var/tmp/udhcpc.env fájlt és saját fertőzött példányával váltja fel azt, majd letiltja az eszközhöz történő távoli web, Telnet és SSH hozzáférést.

(Ezt a lépést feltehetően a mentesítés megnehezítésére találta ki a férget készítő DRS álnevű hacker, az ötlet azonban nem tűnik életszerűnek. A bejelentkezni nem tudó, lefagyásnak vélt állapottal szembesülő felhasználók ugyanis gyakran az eszköz tápegységének kihúzásával és visszadugásával próbálnak segíteni a helyzeten - aminek kedvező mellékhatása, hogy ilyenkor a kártevő is törlődik a memóriából. Végleges, valóban biztonságos megoldást azonban csak egy erős jelszó beállítása és az eszköz firmware frissítése jelenthet.)"

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

haha, valamelyik topicban de kaptam a linuxos botnetek pedzegeteseert pedig :)

--
When in doubt, use brute force.

Kicsit zavaros nekem. Most akkor van valami valós sebezhetőség, hogy a "valóban biztonságos megoldást [...] az eszköz firmware frissítése jelenthet" vagy csak hanyagságról van szó, és elég "egy erős jelszó beállítása".

Nem mindegy.

(Mindamellett persze, hogy ha van új firmware-re, akkor ált. ajánlott váltani. De nem mindegy, hogy _kell_ azonnal frissíteni, vagy az csak opcionális.)

Akit érdekel itt a blogbejegyzés. Lehet, hogy éppen támadják őket, mert jelenleg nem érhető el...

--
trey @ gépház

Amikor beküldtem a hírt, még tök jól ment, s mint forrást is megjelöltem.
...biztos olvassák a HUP-ot a támadók :)

gondolom az erősen segít a terjesésben, ha a router gyári jelszava van beállítva...

meg ha nem van letiltva a routeren a httpd indulása@boot :P

vagy csak az ezereves, patcheletlen linuxkernel

--
When in doubt, use brute force.

Es melyik ezereves kernelbuggal gondolod ezt kivitelezhetonek (>=2.4, remote root, ipv4-en)?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

amit elfelejtettek publikalni?

jahogy nem csak publikalt bugok vannak?

erdekes dolgok ezek
--
.

Aha, nyilvan erre gondolt R. amikor ezt irta:

vagy csak az ezereves, patcheletlen linuxkernel

arra gondolt h 1000 eves kernelben tobb bug lehet mint az ujabb kernelekben -lehet, mert ugye nem biztos-

es a patcheletlen-t ugy erthette h semmilyen szekjuriti patch nem volt raapplikalva

de nyilvan ezt linux trollkent nehez ertelmezned
--
.

azt nem ertjuk itt paran, hogy ha nem publikalt a bug, akkor az ellen a patcheles mennyire ved?
snq- vagy ki magyarazta el legutobb, hogy ugyse nezi senki a forrast, szoval akkor miert javitottak volna kozben a nem publikalt bugot? vagy megis nezik azert a forrast es reportaljak a bugokat?

na csak probalok segiteni megerteni a hozzaszolast amire epp valaszoltal

- Use the Source Luke ! -

arra gondoltam, hogy olyan halando embert en meg nem lattam aki routert upgradelt volna (nah jo, akkor nem kernel, hanem az egesz software stack-re igaz)

--
When in doubt, use brute force.

Hat nem tudom, en szoktam. Mar ha van update. Meg pl. a Fon azt hiszem automatikusan updatel, igaz az nem Linux.

:DDDDDDDDDDDDDDDDDd

hanem mi?

--
.

Jogos, az OpenWRT is Linux, ezt elfelejtettem..... na mindegy, szoval ugy remlik az automatikusan updatel.

Szerk: felteve, hogy jol emlekszem, hogy OpenWRT. :)

en azt ertettem es azzal nem is vitatkoztam (inkabb eax-ot kell keresni ebben a kerdesben), drastik kezdett el ossze-vissza beszelni 0 dayekrol, meg fene tudja meg mirol.

- Use the Source Luke ! -

fajdalmas folyamat ez:

patchek amik segithetnek nem ismert bugok eseten:

http://www.grsecurity.net/features.php
http://pax.grsecurity.net/

--
.

"fajdalmas folyamat ez:"

Az bizony.

"http://www.grsecurity.net/features.php"

Remote kernel bugok ellen? Nem nyert.

"http://pax.grsecurity.net/"

ARM/MIPS-en? Nem nyert.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

:(
--
.

Teljesen eletszeru, hogy egy 2.4-tol meglevo, 0day remote kernel buggal jozsika szappantartojanak fognak eloszor nekiesni.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Nem kik, hanem scriptek, botok, maga a "vírus", stb.:

Your device is a mipsel (MIPS running in little-endian mode, this is what the worm is compiled for) device.
Your device also has telnet, SSH or web-based interfaces available to the WAN, and
Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.

Évek óta próbálgatják a nyitott portokat, ha szoktál logot olvasni. Nekiesnek a subneteknek, percek alatt találnak valamit....

Amikor meg van a port, végigpróbálgatja a default jelszavakat, meg a rövideket. Ha MIPS-es a kütyü, akkor feltelepül. Ennyi.

((BTW: OFF: A debian alapú disztrók EXEC-es /temp könyvtárral telepíthetök, frissíthetök. LOL :DD /OFF /BTW))

Van ugyanilyen x86-ra, ezer éve. Semmi extra, csak a "célközönség" új.

---
Repeat after me: I Will Use Google Before Asking Stupid Questions...

Nem mondod.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Elolvastad a linkelt blogbejegyzést?
"Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable."
"uses multiple strategies for exploitation, including bruteforce username and password combinations
harvests usernames and passwords through deep packet inspection
can scan for exploitable phpMyAdmin and MySQL servers"
Gyári/Gyenge jelszóval próbálkozik, vagy a webfelületet alátámasztó démont moleszterálja.
Normális ember _NEM_ nem engedi ki WANra a webinterfészt.
Semmi köze a linux kernelhez.

"A DroneBL adatai szerint a Psyb0t/ELF nevű hálózatban található zombik főleg az otthoni és kisirodai felhasználásra készült, Linux alapú routerek közül kerülnek ki."

ez mennyire szűkíti le a kört? (semennyire)


No rainbow, no sugar

miazhogy linux alapú?
A nem-ugrik-a-garancia típusú tehetsz-rá-linuxot router, vagy az ugrik-a-gari-ha-linuxot-teszel-rá is annak számít?

Van egyáltalán nem linux alapú soho router?

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

Eleg sok, ugyanis VxWorks szinte egyeduralkodo.

---
pontscho / fresh!mindworkz

ahaha, jogos.

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

Ja, a VxDoesntWorks... Amitöl leállnak a müholdak meg a marsjárók ;)
---
Repeat after me: I Will Use Google Before Asking Stupid Questions...

Es ez azon valtoztat, hogy...?

---
pontscho / fresh!mindworkz

Na igen, tajgetosz pozitiv emberek kezeben barmilyen operacios rendszer torheto. Ha root/root-tal belehet lepni, az aztan iszonyat nagy tores.
(Amugy nem nagyon ertem, hogy miert nem raknak bele az ilyen routerekbe egy olyan wizard-ot ami csak strong passwordot enged, es a wifi-t is csak titkositas utan engedi bekapcsolni.

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)

És akkor hogy csinálsz hotspotot?

Ezzel?

Vagy bármilyen access pointtal, ami nem router.

Ave, Saabi.

"Szabadon terjedő fertőzés [...]" Akkor ez most szabadszoftver? :o

Írják, hogy kutat mysql és phpmyadmin "erőforrások" után, mert azok is tudják fogadni a fertőzést.
Na ezt most hogy kell érteni?!

-

Nem fertozni akarja oket, hanem feltorni:)
--
UBUNTU 8.10 Rock's!
Type cat /vmlinuz > /dev/audio to hear the Voice of God.

Nem értem, hogy az ötlet miért nem életszerű... miért vélné bárki lefagyásnak az állapotot, ha a router routol?

Én pl. hónapok óta nem próbáltam meg belépni a routeremre. Mondjuk nem linux fut rajta (illetve valószínűleg de, ilyen beágyazott féle), de nincs hozzá pl. ssh meg telnet. Meg egyáltalán, filerendszert se látni.

Szóval csak azt akarom mondani, hogy ha a routerem érintett, akkor simán ott lehet rajta a kártevő úgy, hogy nem is veszem észre. Ha be akarok lépni, akkor nem sikerül, reboot, és működik a cucc újra, semmi nyomát nem látom, hogy fertőzés volt, hogy bármit védekeznem kellene.
Aztán holnap megfertőzhet (feltörhet) újra, megint lehetek a botnetben hónapokig.

Nem?

A /var/tmp/udhcpc.env egyébként mi lenne?

G

Az udhcpc egy kis méretű dhcp kliens beágyazott rendszerekhez. Az "env" kiterjesztés nekem a környezeti beállításokra enged következtetni, gyanítom ez lehet a "konfig"-fájl.

Egy idoben volt itt egyeseknek azaz alap otlete, h a gyari jelszoval rendelkezo routerekre sajat openwrt disztribuciot tolt fel a szarul parameterezett torheto v. nyitott wifi halon keresztul... nem tudom meddig jutott az elkepzeles, de a fenti fazon tovabb fejlesztette :)

---
pontscho / fresh!mindworkz

Ajaj, nálam a /var könyvtár alatt nincs tmp! Most mi lesz?
A wan oldalon nem elérhető semmi, kivéve icmp.
A jelszót pwgen csinálta :)

Az egész jelenség megfelel a mai marketingnek. Csak egy perc és tudod használni, vedd csak meg! A felhasználókba bele verik, hogy nem kell szakember Ő tud windows (rendszergazda jelszó nélkül) és routert (admin/admin) telepíteni.

Egy nagyon jó barátom is csak akkor volt hajlandó megengedni, hogy beállítsam (nálam minden jól működik mondta és nem fizet egy sört!) a routerét és gépét, amikor nyomtattam a tintasugaras prt-jére egy fekete oldalt fehér nagysa felirattal. :)

Felvilágosítás kellene, de ez ellenkezik a marketing célokkal :(

Nalam ezert van kulccsal vedett ssh, jelszot el sem fogad a router. Semmilyet.
--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Az feltünt, hogy ezen az oldalon kívül: www.dronebl.org/blog/8 semmiféle hír elemzés egyéb nincs erről az akár fontosnak is tűnő dologról. Más felől meg ha az XY gyártó GPL licencelt programot, technológiát használ, kutya kötelessége (a licenc sértést elkerülendő), azt nyilvánosságra hozni. Szóval olyan nagy számban nem hemzsegnek az ilyen routerek. Arról nem is beszélve, hogy egy egyébként monolitikus kernelbe hogy töltök be bármit, egy chroot-ban futó alkalmazással, hogy támadom meg a kernelt?

----
Nyicc-egy-csört?

> egy egyébként monolitikus kernelbe hogy töltök be bármit
google://"silvio cesare runtime kernel patching" - (függetlenül attól, hogy a linux kernel monolitikus, de ennek ellenére létezik modulbetöltés - és a fenti cikk azt írja le, hogy ez még akkor is megoldható, ha ezt a funkciót letiltod)

A legtöbb linuxos 10/100-as router 2004 korabeli buildeket használ, Winbond pl. A frissítés is ebböl készül, némi funkciójavítással. A /tmp és a /var/ +x, futtatható.... Nem lehet gond feltörni, csak eddig nem mentek rá.
Persze kell hozzá a felhasználó, aki kinyitogatja a portokat.
---
Repeat after me: I Will Use Google Before Asking Stupid Questions...