Portál AbcLinuxu, 21. května 2025 13:58

WiFi routery v ČR zasáhl virus

19.12.2011 18:01 | Přečteno: 2894×

Na netu se objevil popis hrozného, prý původem českého viru, který si jako terč vybral bezdrátové routery. Virus využívá slabé místo firmware bezdrátového zařízení.


Úplně sem se lekl a okamžitě sem downgradoval na verzi firmvaru, která není popsanou potvorou postižitelná.


Virus prý totiž:
- odchytává přihlašovací cookies do zařízení a odesílá je buhvíkam
- naslouchá síťovému provozu a identifikuje hesla na portu 80 a odesílá je buhvíkam
- způsobuje náhodné restarty zařízení (možná přečerpáním paměti).

Jestli to někdo nevymazal, tak v diskuzi pod článkem je jméno a příjmení, ip adresa a poštovní adresa nějakého člověka, i když pochybuji, že ty údaje jsou pravé.

Tady je to všechno popsáno.        

Hodnocení: 33 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

=^..^= AmigaPower® avatar 19.12.2011 18:09 =^..^= AmigaPower® | skóre: 30 | blog: BLB | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Odpovědět | Sbalit | Link | Blokovat | Admin
Taky jsem se lekl a router jsem okamžitě rozšlapal... :-D
I♥DRX * www.KERNELULTRAS.org
xvasek avatar 19.12.2011 20:41 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Tyhlety aféry každého jenom otravují. Já bych ty routery zakázala.
Migi avatar 19.12.2011 21:40 Migi | skóre: 59 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
čmucham čmucham poruchu osobnosti, volejte Jílka.
Dalibor Smolík avatar 20.12.2011 09:35 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Amígo, tohle nebude určitě následkem leknutí, přiznej se! :-))))
Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.
19.12.2011 20:25 loki
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Odpovědět | Sbalit | Link | Blokovat | Admin
Mel jsem pocit, ze ten virus patrne napadal zarizeni skrz nejakou diru v ovladacim rozhrani. Takze by melo stacit prehodit port, na kterem nasloucha webovy server zarizeni a melo by to byt celkem zabezpeceno. Jinak samozrejme to ochranit firewallem a povolit si webove rozhrani pouze z trusted ip adres. Ale jina verze fw (i kdyz downgrade) je urcite take reseni.
19.12.2011 21:07 Sten
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Odpovědět | Sbalit | Link | Blokovat | Admin
Mě přijde, že hlavní důvod šířen je špatná bezpečnostní politika. Proč je vůbec webové rozhraní dostupné z vnějšího rozhraní?

Ještě tyhle hloupé chytré krabičky nepoužívám :-)
Petr Tomášek avatar 19.12.2011 22:21 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Hloupé je nemít na routeru systém s automatickymi aktualizacemi a mít tam tak debilní ovládací rozhraní přes web s rootovskými právy... (stejně by mělo ssh stačit všem ;)
multicult.fm | monokultura je zlo | welcome refugees!
xkucf03 avatar 19.12.2011 22:25 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Nejsou, nebo většinou nejsou – ten vir se tam dostane z vnitřní sítě. A pokud je to nějaká větší síť, tak se snadno rozšíří na všechna zařízení (z jejich pohledu je to stále vnitřní síť).

Ono by nebylo od věci používat standardní HTTP autentizaci* a nenechat tuhle práci na nějakém aplikačním programátorovi, který lepil hezké GUI a přitom udělal chybu…

*) nebo nějaký robustní a osvědčený framework, ale ten se zase do tak malého zařízení nevejde

P.S. už vyšel upgrade firmwaru :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
20.12.2011 00:11 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Ono by nebylo od věci používat standardní HTTP autentizaci
Takhle to dělaj krabičky od TP-Link, ty jsou imho z těhle "chytrých" domácích krabiček ještě relativně nejrozumnější...
SPD vůbec není proruská
Migi avatar 19.12.2011 21:42 Migi | skóre: 59 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Odpovědět | Sbalit | Link | Blokovat | Admin
proč ten bulvární nadpis? Co třeba Wifi routery Ubiqity .....
19.12.2011 23:08 bbc
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Proč ten bulvární nadpis u zprávičky Pidgin IM client 2.10.1 - všichni uživatelé by měli aktualizovat

Co když někteří už mají aktualizováno? To jako mají aktualizovat znova?
Migi avatar 19.12.2011 23:34 Migi | skóre: 59 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
tenhle argument je nesmysl, ti co už aktualizovali jsou podmnožinou všech co měli aktualizovat. Ale routery od cisca, tplinku atd asi těžko budou podmnožinou routerů ubiquity.
19.12.2011 23:51 Kvakor
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Navíc to není virus, ale červ.
20.12.2011 11:42 xxx
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Ve skutečnosti je to backdoor.
Bystroushaak avatar 20.12.2011 11:55 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Ve skutečnosti je to sebereplikujicí cookie stealer.
blog.rfox.eu
randy avatar 20.12.2011 11:29 randy | skóre: 21 | Hviezdoslavov
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
To tiez neplati. Mam doma smerovac Ubiquiti RouterStation Pro a bezi na nom OpenWRT a nie AirOS, ktory ma problem.
R>
Bystroushaak avatar 20.12.2011 10:53 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Odpovědět | Sbalit | Link | Blokovat | Admin
Jak už jsem psal na soom:

Zajímavé, ale už jen to že se o něm píše ukazuje že jde o docela lamerskou záležitost.

Když se koukneš na ty zdrojáky, je tam natvrdo napsaná IP, na kterou se to odesílá. Blbější chybu v botnetu snad nejde udělat (na druhou stranu, tohle je spíš cookie stealer, ale i tak to šlo udělat lépe). Není tam žádná obfuskace, žádná snaha trochu zkomplikovat život těm co se na to budou snažit přijít.

Další vtipná věc je, že autor to zabalil ve vlastním systému, takže v taru uvízlo jeho username: 

$ tar tvf skynet.tgz
drwxr-xr-x jakub/jakub 0 2011-11-19 14:08 .skynet/
-rwxr-xr-x jakub/jakub 1093 2011-11-19 14:08 .skynet/post_file
-rwxr-xr-x jakub/jakub 1460 2011-11-19 13:09 .skynet/scan
-rw-r--r-- jakub/jakub 226 2011-11-19 01:07 .skynet/post
-rw-r--r-- jakub/jakub 227 2011-11-19 13:10 .skynet/post_rep
-rw-r--r-- jakub/jakub 58 2011-11-19 13:10 .skynet/get_rep
-rwxr-xr-x jakub/jakub 1100 2011-11-19 13:04 .skynet/post_file_rep
-rwxr-xr-x jakub/jakub 473 2011-11-18 11:17 .skynet/rc.poststart
-rw-r--r-- jakub/jakub 21 2011-11-17 23:22 .skynet/head
-rwxr-xr-x jakub/jakub 184 2011-11-19 13:13 .skynet/install
-rw-r--r-- jakub/jakub 57 2011-11-19 13:10 .skynet/get
-rwxr-xr-x jakub/jakub 96 2011-11-19 10:36 .skynet/send
-rwxr-xr-x jakub/jakub 926 2011-11-19 12:26 .skynet/sendcook
Z výše uvedeného je vidět, že to fungovalo asi 2 týdny, než na to přišel autor článku na rootu a začal to řešit.

Vzhledem k tomu že autor teď bude čelit trestnému oznámení, je to docela parádní ukázka toho jak se to dělat nemá.

Na druhou stranu - něco je lepší než nic, takže autor má mé sympatie za snahu.
blog.rfox.eu
Petr Tomášek avatar 20.12.2011 12:59 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Třeba je to datum/userid fake ;-)
multicult.fm | monokultura je zlo | welcome refugees!
Bystroushaak avatar 20.12.2011 13:12 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Možné to je, ale imho je to spíš známka lameřiny :)

Osobně bych to zabalil v live distribuci, popřípadě na cizím počítači (to se hodí hlavně v případě binárek, protože kompilátory tam nacpou spoustu ne zrovna tvůrcům malwaru přejících informací).
blog.rfox.eu
xkucf03 avatar 20.12.2011 13:46 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Možné to je, ale imho je to spíš známka lameřiny :)
To právě ne – mohla by to být snaha odvést pozornost.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
20.12.2011 15:28 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Vezmu-li na to Occamovu břitvu, sázel bych spíš na tu lameřinu ;-)

Ale samozřejmě možné je cokoliv :-)
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
xkucf03 avatar 20.12.2011 17:08 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Špatně jsem si to přečetl – viděl jsem v tom „i to je známka lameřiny“ – což mi právě nesedělo… Nechat tam falešné (náhodné) stopy je ještě lepší, než žádné stopy.
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
20.12.2011 17:00 Martin Kratochvíl
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Jen pro info, netrvalo mi to čtrnáct dní, ale dva dny než jsem pochopil co se děje, udělal čistící a záplatovací skript na skyneta (airos.deny += /.gif] a další dva dny pro sestavení opravného firmware a jeho distribuci (ten jsem měl k dispozici pro naší sít již 23.11) Pak se chvíli nic nedělo, z ubnt žádná reakce na mail s hlášením (podrobným), a tak jsem nabídl root.cz že jim o tom napíšu článek a to taky týden trvalo.
Bystroushaak avatar 20.12.2011 17:43 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Aha, vida. Takže se to nepozorovaně šířilo jen dva dny? Nebo v tom TARu není datum packu původního source, ale předchozí infekce?
blog.rfox.eu
20.12.2011 18:01 Martin Kratochvíl
Rozbalit Rozbalit vše Re: WiFi routery v ČR zasáhl virus
Nikoliv nepozorovaně. Ale šířilo.

Založit nové vláknoNahoru

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.