чет как-то поздно, американцы отрапортовали что пофиксили (умеют фиксить) эту заразу и вроде распространение заблокировали, в твиттере читал, попадется ссылка, кину.
codex 24.05.2018 15:55 пишет: Как же они ее пофиксят
В ответ на: ФБР заблокувало мережу з 500 тисяч WiFi-роутерів, зламаних хакерською групою Fancy Bear, яку пов'язують з Російською Федерацією. Ці роутери були заражені шкідливою програмою VPN Filter. Про це повідомляє УНН з посиланням на The Daily Beast.
Читать западные новости, в переводе на наших сайтах - себя не уважать. Во-первых не Wi-Fi роутеры, а просто роутеры. Во-вторых, ФБР не девайсы заблокировало, а центральный сервер. Но это не значит, что не надо свой роутер проверить https://arstechnica.com/information-tech...d-with-malware/
codex 24.05.2018 16:24 пишет: Читать западные новости, в переводе на наших сайтах - себя не уважать. ФБР не идевайсы заблокировало, а центральный сервер. Но это не значит, что не надо свой роутер проверить https://arstechnica.com/information-tech...d-with-malware/
там 500 000 и написано, у этих нету, а у других было что роутер просто перезапустить необходимо.
Andrew82 24.05.2018 19:24 пишет: Все прочитал но так и не понял схему проникновения. Иожет кто-то на пальцах обьяснить?
Конкретно у микротиков была дыра в webfig до версии 6.38.5, потом ее закрыли, в последней прошивке закрыли дыру в smb протоколе, а на пальцах бот ищет окрытый или фильтрованный порт 8291, если находит идут попытки взлома через 80 или 443 webfig в надежде на старую прошивку с уязвимостью или брутфорс по учетке admin. Зы, на форуме микротика читал срач по поводу некоего пакета с доступном на рв к корневой файловой и примеры скринов с листом файловой структуры зараженного девайса, саппорт как обычно мороз включил на полную.
В домашних сетях такого нарыть можно , пароли от wi-fi мегасложные и крутые а банальный админ\админ торчит в ван порте
А кто подскажет как просмотреть файловую систему микротика, линуксовые команды не помогают, конкретно хочу проверить «/var/run/vpnfilterw», «var/run/tor», «var/run/torrc», «var/run/tord»
и еще вопрос если обновлю прошивку, но не обнулю до дефолтных настроек ? дыра "закроется" ? Роутер очень далеко и задефолтиться не очень вариант...
никак, это закрыто, я написал выше про хак пакет который дает доступ к корню, но есть он только у избранных. Микротик божится что при обновлении прошивки до актуальной все будет ок, насколько оно будет ок в реалиях посмотрим. Да и, выше 6.41 новые тараканы с бриджами, поэтому снять бэкап обязательно. Дефолтить не страшно, сливаешь бэкап настроек, прошиваешь, дефолтишь и заливаешь бэкап обратно, для полной уверенности можно прошить через нетинсталл потом залить бэкап
теперь там кроме прочего есть (памойму их кругом как грязи) TL-WR741ND TL-WR841N
де-то в хозяйстве нашелся киевстаровский TL-WR741ND(KS) с древней прошивкой, которая штатно не апгрейдится.
1) кто-то знает, как проверить здоровье? 2) имеет ли смысл как-то извращаться с перепрошивкой, при условии, что он по-прежнему подключен к киевстару?
зы аппарат ни разу не был в сети с дефолтными паролями
UPD Цитата: "Для Киевстара были выпущены специальные брендированные роутеры, которые также включают специальную прошивку с поддержкой TR-069" Т.е. добавляет вопросов с уязвимостью TR-069
Andrew82 24.05.2018 19:24 пишет: Все прочитал но так и не понял схему проникновения. Иожет кто-то на пальцах обьяснить?
Конкретно у микротиков была дыра в webfig до версии 6.38.5, потом ее закрыли, в последней прошивке закрыли дыру в smb протоколе, а на пальцах бот ищет окрытый или фильтрованный порт 8291, если находит идут попытки взлома через 80 или 443 webfig в надежде на старую прошивку с уязвимостью или брутфорс по учетке admin. Зы, на форуме микротика читал срач по поводу некоего пакета с доступном на рв к корневой файловой и примеры скринов с листом файловой структуры зараженного девайса, саппорт как обычно мороз включил на полную.
В домашних сетях такого нарыть можно , пароли от wi-fi мегасложные и крутые а банальный админ\админ торчит в ван порте
Та на один подопечный Микротик ломятся на 8291 упорно уже месяца три. После первой волны борьбы с злодеями количество попыток за сутки уменьшилось в десятки раз. Но дробятся до сих пор. Ещё долбятся в беспарольный вайфай, изолированный от всего кроме интернета.
1) кто-то знает, как проверить здоровье? 2) имеет ли смысл как-то извращаться с перепрошивкой
Отвечаю сам (касается всех): 1) Проверить [скорее всего] нельзя (т.е. простыми доступными методами нельзя вычислить) 2) Необходимо перепрошить на последнюю заводскую [или стороннюю] прошивку. Т.е. перейти на прошивку, в которой исправлены уязвимости (если таковая версия имеется). Т.е. избавиться от уязвимостей, и заодно прибить экземпляр этого самого VPNFilter, если он там сидел у вас. Общая рекомендация - запретить управление снаружи.
Продублирую тут обновленный список устройств, которые подвержены и могут быть заражены - (new) означает, что этого не было в старом списке: