"Összehangoltan támad a router-botnet"

Titkosítás, biztonság, privát szféra

"Szabadon terjedő fertőzés sújtja a gyengén védett útválasztó eszközöket. Szabadon terjedő fertőzés sújtja a gyengén védett útválasztó eszközöket. A DroneBL webhely üzemeltetői nemrég kiadott közleményükben azt állítják, hogy szervereiket mintegy két hete rendszeresen támadja egy botnet hálózat, amely nem a szokásos feltört munkaállomás számítógépekből, hanem fertőzött router eszközökből áll. A DroneBL adatai szerint a Psyb0t/ELF nevű hálózatban található zombik főleg az otthoni és kisirodai felhasználásra készült, Linux alapú routerek közül kerülnek ki."

"Ha egyszer bejutott, a féreg letörli a /var/tmp/udhcpc.env fájlt és saját fertőzött példányával váltja fel azt, majd letiltja az eszközhöz történő távoli web, Telnet és SSH hozzáférést.

(Ezt a lépést feltehetően a mentesítés megnehezítésére találta ki a férget készítő DRS álnevű hacker, az ötlet azonban nem tűnik életszerűnek. A bejelentkezni nem tudó, lefagyásnak vélt állapottal szembesülő felhasználók ugyanis gyakran az eszköz tápegységének kihúzásával és visszadugásával próbálnak segíteni a helyzeten - aminek kedvező mellékhatása, hogy ilyenkor a kártevő is törlődik a memóriából. Végleges, valóban biztonságos megoldást azonban csak egy erős jelszó beállítása és az eszköz firmware frissítése jelenthet.)"

A részletek itt olvashatók.

( Replaced | 2009. 03. 24., k – 19:40 )

haha, valamelyik topicban de kaptam a linuxos botnetek pedzegeteseert pedig :)

--
When in doubt, use brute force.

( trey | 2009. 03. 24., k – 19:42 )

Kicsit zavaros nekem. Most akkor van valami valós sebezhetőség, hogy a "valóban biztonságos megoldást [...] az eszköz firmware frissítése jelenthet" vagy csak hanyagságról van szó, és elég "egy erős jelszó beállítása".

Nem mindegy.

(Mindamellett persze, hogy ha van új firmware-re, akkor ált. ajánlott váltani. De nem mindegy, hogy _kell_ azonnal frissíteni, vagy az csak opcionális.)

Akit érdekel itt a blogbejegyzés. Lehet, hogy éppen támadják őket, mert jelenleg nem érhető el...

--
trey @ gépház

( KomiZ | 2009. 03. 24., k – 19:58 )

gondolom az erősen segít a terjesésben, ha a router gyári jelszava van beállítva...

azt nem ertjuk itt paran, hogy ha nem publikalt a bug, akkor az ellen a patcheles mennyire ved?
snq- vagy ki magyarazta el legutobb, hogy ugyse nezi senki a forrast, szoval akkor miert javitottak volna kozben a nem publikalt bugot? vagy megis nezik azert a forrast es reportaljak a bugokat?

na csak probalok segiteni megerteni a hozzaszolast amire epp valaszoltal

- Use the Source Luke ! -

Nem kik, hanem scriptek, botok, maga a "vírus", stb.:

Your device is a mipsel (MIPS running in little-endian mode, this is what the worm is compiled for) device.
Your device also has telnet, SSH or web-based interfaces available to the WAN, and
Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.

Évek óta próbálgatják a nyitott portokat, ha szoktál logot olvasni. Nekiesnek a subneteknek, percek alatt találnak valamit....

Amikor meg van a port, végigpróbálgatja a default jelszavakat, meg a rövideket. Ha MIPS-es a kütyü, akkor feltelepül. Ennyi.

((BTW: OFF: A debian alapú disztrók EXEC-es /temp könyvtárral telepíthetök, frissíthetök. LOL :DD /OFF /BTW))

Van ugyanilyen x86-ra, ezer éve. Semmi extra, csak a "célközönség" új.

---
Repeat after me: I Will Use Google Before Asking Stupid Questions...

Elolvastad a linkelt blogbejegyzést?
"Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable."
"uses multiple strategies for exploitation, including bruteforce username and password combinations
harvests usernames and passwords through deep packet inspection
can scan for exploitable phpMyAdmin and MySQL servers"
Gyári/Gyenge jelszóval próbálkozik, vagy a webfelületet alátámasztó démont moleszterálja.
Normális ember _NEM_ nem engedi ki WANra a webinterfészt.
Semmi köze a linux kernelhez.

( tomsolo | 2009. 03. 24., k – 20:12 )

"A DroneBL adatai szerint a Psyb0t/ELF nevű hálózatban található zombik főleg az otthoni és kisirodai felhasználásra készült, Linux alapú routerek közül kerülnek ki."

ez mennyire szűkíti le a kört? (semennyire)

No rainbow, no sugar

( maniac | 2009. 03. 24., k – 23:59 )

Na igen, tajgetosz pozitiv emberek kezeben barmilyen operacios rendszer torheto. Ha root/root-tal belehet lepni, az aztan iszonyat nagy tores.
(Amugy nem nagyon ertem, hogy miert nem raknak bele az ilyen routerekbe egy olyan wizard-ot ami csak strong passwordot enged, es a wifi-t is csak titkositas utan engedi bekapcsolni.

-------------------------------
“The 0 in Raid 0 stands for how many files you’re going to get back if something goes wrong” :)

( funtom | 2009. 03. 25., sze – 00:05 )

"Szabadon terjedő fertőzés [...]" Akkor ez most szabadszoftver? :o

( psc | 2009. 03. 25., sze – 00:06 )

Írják, hogy kutat mysql és phpmyadmin "erőforrások" után, mert azok is tudják fogadni a fertőzést.
Na ezt most hogy kell érteni?!

( gee v | 2009. 03. 25., sze – 03:17 )

Nem értem, hogy az ötlet miért nem életszerű... miért vélné bárki lefagyásnak az állapotot, ha a router routol?

Én pl. hónapok óta nem próbáltam meg belépni a routeremre. Mondjuk nem linux fut rajta (illetve valószínűleg de, ilyen beágyazott féle), de nincs hozzá pl. ssh meg telnet. Meg egyáltalán, filerendszert se látni.

Szóval csak azt akarom mondani, hogy ha a routerem érintett, akkor simán ott lehet rajta a kártevő úgy, hogy nem is veszem észre. Ha be akarok lépni, akkor nem sikerül, reboot, és működik a cucc újra, semmi nyomát nem látom, hogy fertőzés volt, hogy bármit védekeznem kellene.
Aztán holnap megfertőzhet (feltörhet) újra, megint lehetek a botnetben hónapokig.

Nem?

A /var/tmp/udhcpc.env egyébként mi lenne?

G

( Pontscho | 2009. 03. 25., sze – 08:41 )

Egy idoben volt itt egyeseknek azaz alap otlete, h a gyari jelszoval rendelkezo routerekre sajat openwrt disztribuciot tolt fel a szarul parameterezett torheto v. nyitott wifi halon keresztul... nem tudom meddig jutott az elkepzeles, de a fenti fazon tovabb fejlesztette :)

---
pontscho / fresh!mindworkz

( nagysa v | 2009. 03. 25., sze – 08:44 )

Ajaj, nálam a /var könyvtár alatt nincs tmp! Most mi lesz?
A wan oldalon nem elérhető semmi, kivéve icmp.
A jelszót pwgen csinálta :)

Az egész jelenség megfelel a mai marketingnek. Csak egy perc és tudod használni, vedd csak meg! A felhasználókba bele verik, hogy nem kell szakember Ő tud windows (rendszergazda jelszó nélkül) és routert (admin/admin) telepíteni.

Egy nagyon jó barátom is csak akkor volt hajlandó megengedni, hogy beállítsam (nálam minden jól működik mondta és nem fizet egy sört!) a routerét és gépét, amikor nyomtattam a tintasugaras prt-jére egy fekete oldalt fehér nagysa felirattal. :)

Felvilágosítás kellene, de ez ellenkezik a marketing célokkal :(

( hrgy84 | 2009. 03. 25., sze – 10:07 )

Nalam ezert van kulccsal vedett ssh, jelszot el sem fogad a router. Semmilyet.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( Kayapo | 2009. 03. 25., sze – 20:25 )

Az feltünt, hogy ezen az oldalon kívül: www.dronebl.org/blog/8 semmiféle hír elemzés egyéb nincs erről az akár fontosnak is tűnő dologról. Más felől meg ha az XY gyártó GPL licencelt programot, technológiát használ, kutya kötelessége (a licenc sértést elkerülendő), azt nyilvánosságra hozni. Szóval olyan nagy számban nem hemzsegnek az ilyen routerek. Arról nem is beszélve, hogy egy egyébként monolitikus kernelbe hogy töltök be bármit, egy chroot-ban futó alkalmazással, hogy támadom meg a kernelt?

----
Nyicc-egy-csört?

> egy egyébként monolitikus kernelbe hogy töltök be bármit
google://"silvio cesare runtime kernel patching" - (függetlenül attól, hogy a linux kernel monolitikus, de ennek ellenére létezik modulbetöltés - és a fenti cikk azt írja le, hogy ez még akkor is megoldható, ha ezt a funkciót letiltod)

A legtöbb linuxos 10/100-as router 2004 korabeli buildeket használ, Winbond pl. A frissítés is ebböl készül, némi funkciójavítással. A /tmp és a /var/ +x, futtatható.... Nem lehet gond feltörni, csak eddig nem mentek rá.
Persze kell hozzá a felhasználó, aki kinyitogatja a portokat.
---
Repeat after me: I Will Use Google Before Asking Stupid Questions...