WiFi routery v ČR zasáhl virus

AbcLinuxu:/ Blogy / viry / WiFi routery v ČR zasáhl virus

Štítky: firmware, hesla

WiFi routery v ČR zasáhl virus

19.12.2011 18:01 | Přečteno: 2902×

Na netu se objevil popis hrozného, prý původem českého viru, který si jako terč vybral bezdrátové routery. Virus využívá slabé místo firmware bezdrátového zařízení.

Úplně sem se lekl a okamžitě sem downgradoval na verzi firmvaru, která není popsanou potvorou postižitelná.

Virus prý totiž:
- odchytává přihlašovací cookies do zařízení a odesílá je buhvíkam
- naslouchá síťovému provozu a identifikuje hesla na portu 80 a odesílá je buhvíkam
- způsobuje náhodné restarty zařízení (možná přečerpáním paměti).

Jestli to někdo nevymazal, tak v diskuzi pod článkem je jméno a příjmení, ip adresa a poštovní adresa nějakého člověka, i když pochybuji, že ty údaje jsou pravé.

Tady je to všechno popsáno.

Hodnocení: 33 %

špatné • dobré

Tiskni Sdílej:

Komentáře

Nástroje: Začni sledovat (1) ? , Tisk

Vložit další komentář

19.12.2011 18:09 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Odpovědět | Sbalit | Link | Blokovat | Admin

Taky jsem se lekl a router jsem okamžitě rozšlapal... :-D

I♥DRX * www.KERNELULTRAS.org

19.12.2011 20:41 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Tyhlety aféry každého jenom otravují. Já bych ty routery zakázala.

19.12.2011 21:40 Migi | skóre: 59 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

čmucham čmucham poruchu osobnosti, volejte Jílka.

20.12.2011 09:35 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Amígo, tohle nebude určitě následkem leknutí, přiznej se! :-)

)))

Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.

19.12.2011 20:25 loki
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Odpovědět | Sbalit | Link | Blokovat | Admin

Mel jsem pocit, ze ten virus patrne napadal zarizeni skrz nejakou diru v ovladacim rozhrani. Takze by melo stacit prehodit port, na kterem nasloucha webovy server zarizeni a melo by to byt celkem zabezpeceno. Jinak samozrejme to ochranit firewallem a povolit si webove rozhrani pouze z trusted ip adres. Ale jina verze fw (i kdyz downgrade) je urcite take reseni.

19.12.2011 21:07 Sten
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Odpovědět | Sbalit | Link | Blokovat | Admin

Mě přijde, že hlavní důvod šířen je špatná bezpečnostní politika. Proč je vůbec webové rozhraní dostupné z vnějšího rozhraní?

Ještě tyhle hloupé chytré krabičky nepoužívám :-)

19.12.2011 22:21 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Hloupé je nemít na routeru systém s automatickymi aktualizacemi a mít tam tak debilní ovládací rozhraní přes web s rootovskými právy... (stejně by mělo ssh stačit všem ;)

multicult.fm | monokultura je zlo | welcome refugees!

19.12.2011 22:25 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Nejsou, nebo většinou nejsou – ten vir se tam dostane z vnitřní sítě. A pokud je to nějaká větší síť, tak se snadno rozšíří na všechna zařízení (z jejich pohledu je to stále vnitřní síť).

Ono by nebylo od věci používat standardní HTTP autentizaci* a nenechat tuhle práci na nějakém aplikačním programátorovi, který lepil hezké GUI a přitom udělal chybu…

*) nebo nějaký robustní a osvědčený framework, ale ten se zase do tak malého zařízení nevejde

P.S. už vyšel upgrade firmwaru :-)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

20.12.2011 00:11 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Ono by nebylo od věci používat standardní HTTP autentizaci

Takhle to dělaj krabičky od TP-Link, ty jsou imho z těhle "chytrých" domácích krabiček ještě relativně nejrozumnější...

SPD vůbec není proruská

19.12.2011 21:42 Migi | skóre: 59 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Odpovědět | Sbalit | Link | Blokovat | Admin

proč ten bulvární nadpis? Co třeba Wifi routery Ubiqity .....

19.12.2011 23:08 bbc
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Proč ten bulvární nadpis u zprávičky Pidgin IM client 2.10.1 - všichni uživatelé by měli aktualizovat

Co když někteří už mají aktualizováno? To jako mají aktualizovat znova?

19.12.2011 23:34 Migi | skóre: 59 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

tenhle argument je nesmysl, ti co už aktualizovali jsou podmnožinou všech co měli aktualizovat. Ale routery od cisca, tplinku atd asi těžko budou podmnožinou routerů ubiquity.

19.12.2011 23:51 Kvakor
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Navíc to není virus, ale červ.

20.12.2011 11:42 xxx
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Ve skutečnosti je to backdoor.

20.12.2011 11:55 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Ve skutečnosti je to sebereplikujicí cookie stealer.

blog.rfox.eu | DREAMLAND

20.12.2011 11:29 randy | skóre: 21 | Hviezdoslavov
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

To tiez neplati. Mam doma smerovac Ubiquiti RouterStation Pro a bezi na nom OpenWRT a nie AirOS, ktory ma problem.

20.12.2011 10:53 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Odpovědět | Sbalit | Link | Blokovat | Admin

Jak už jsem psal na soom:

Zajímavé, ale už jen to že se o něm píše ukazuje že jde o docela lamerskou záležitost.

Když se koukneš na ty zdrojáky, je tam natvrdo napsaná IP, na kterou se to odesílá. Blbější chybu v botnetu snad nejde udělat (na druhou stranu, tohle je spíš cookie stealer, ale i tak to šlo udělat lépe). Není tam žádná obfuskace, žádná snaha trochu zkomplikovat život těm co se na to budou snažit přijít.

Další vtipná věc je, že autor to zabalil ve vlastním systému, takže v taru uvízlo jeho username:

$ tar tvf skynet.tgz
drwxr-xr-x jakub/jakub 0 2011-11-19 14:08 .skynet/
-rwxr-xr-x jakub/jakub 1093 2011-11-19 14:08 .skynet/post_file
-rwxr-xr-x jakub/jakub 1460 2011-11-19 13:09 .skynet/scan
-rw-r--r-- jakub/jakub 226 2011-11-19 01:07 .skynet/post
-rw-r--r-- jakub/jakub 227 2011-11-19 13:10 .skynet/post_rep
-rw-r--r-- jakub/jakub 58 2011-11-19 13:10 .skynet/get_rep
-rwxr-xr-x jakub/jakub 1100 2011-11-19 13:04 .skynet/post_file_rep
-rwxr-xr-x jakub/jakub 473 2011-11-18 11:17 .skynet/rc.poststart
-rw-r--r-- jakub/jakub 21 2011-11-17 23:22 .skynet/head
-rwxr-xr-x jakub/jakub 184 2011-11-19 13:13 .skynet/install
-rw-r--r-- jakub/jakub 57 2011-11-19 13:10 .skynet/get
-rwxr-xr-x jakub/jakub 96 2011-11-19 10:36 .skynet/send
-rwxr-xr-x jakub/jakub 926 2011-11-19 12:26 .skynet/sendcook

Z výše uvedeného je vidět, že to fungovalo asi 2 týdny, než na to přišel autor článku na rootu a začal to řešit.

Vzhledem k tomu že autor teď bude čelit trestnému oznámení, je to docela parádní ukázka toho jak se to dělat nemá.

Na druhou stranu - něco je lepší než nic, takže autor má mé sympatie za snahu.

blog.rfox.eu | DREAMLAND

20.12.2011 12:59 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Třeba je to datum/userid fake ;-)

multicult.fm | monokultura je zlo | welcome refugees!

20.12.2011 13:12 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Možné to je, ale imho je to spíš známka lameřiny :)

Osobně bych to zabalil v live distribuci, popřípadě na cizím počítači (to se hodí hlavně v případě binárek, protože kompilátory tam nacpou spoustu ne zrovna tvůrcům malwaru přejících informací).

blog.rfox.eu | DREAMLAND

20.12.2011 13:46 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Možné to je, ale imho je to spíš známka lameřiny :)

To právě ne – mohla by to být snaha odvést pozornost.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

20.12.2011 15:28 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Vezmu-li na to Occamovu břitvu, sázel bych spíš na tu lameřinu ;-)

Ale samozřejmě možné je cokoliv :-)

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

20.12.2011 17:08 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Špatně jsem si to přečetl – viděl jsem v tom „i to je známka lameřiny“ – což mi právě nesedělo… Nechat tam falešné (náhodné) stopy je ještě lepší, než žádné stopy.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

20.12.2011 17:00 Martin Kratochvíl
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Jen pro info, netrvalo mi to čtrnáct dní, ale dva dny než jsem pochopil co se děje, udělal čistící a záplatovací skript na skyneta (airos.deny += /.gif] a další dva dny pro sestavení opravného firmware a jeho distribuci (ten jsem měl k dispozici pro naší sít již 23.11) Pak se chvíli nic nedělo, z ubnt žádná reakce na mail s hlášením (podrobným), a tak jsem nabídl root.cz že jim o tom napíšu článek a to taky týden trvalo.

20.12.2011 17:43 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Aha, vida. Takže se to nepozorovaně šířilo jen dva dny? Nebo v tom TARu není datum packu původního source, ale předchozí infekce?

blog.rfox.eu | DREAMLAND

20.12.2011 18:01 Martin Kratochvíl
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus

Nikoliv nepozorovaně. Ale šířilo.

Založit nové vlákno • Nahoru