https://217.65.3.21/openforum/vsluhforumID3/64138.html Чешские исследователи в области безопасность компьютерных систем сообщили (http://seclists.org/fulldisclosure/2010/Feb/387) об обнаружении нового сетевого червя, получившего название "Чак Норрис" и состоящего их незащищенных надлежащим образом мини-маршрутизаторов, DSL-модемов и спутниковых TV-ресиверов, работающих на базе прошивок, основанных на Linux. Как правило инфицирование маршрутизаторов происходит из-за выставления администратором ненадежного пароля, подбираемого путем несложного перебора типовых вариантов, или сохранения пароля, заданного по умолчанию. Также заражение может происходить через эксплуатацию обнаруженной в январе уязвимости (http://www.opennet.ru/opennews/art.shtml?num=24986) в маршрутизаторах D-Link.<br><br><br><br>Разбор вредоносного кода, загружаемого после проникновения на маршрутизатор, показал, что подобные маршрутизаторы объединены единый ботнет и поддерживают выполнение команд по участию в совершении DDoS-атак или проведению атак по подбору паролей. На устройства...<br><br>URL: http://seclist https://217.65.3.21/openforum/vsluhforumID3/64138.html#95 Sun, 28 Feb 2010 13:46:43 GMT &gt;не видел еще мини-маршрутизаторов, у которых HTTP порт в WAN торчал по <br>&gt;дефолту. Там вообще все закрыто снаружи, если никакой злобный буратина не <br>&gt;включил. У меня логин на раутере 'root:hui', заходите люди добрые. =) <br>&gt;<br><br>По отчетам denyhost на моем домашнем сервере, именно такого рода сочетания пробиваются в первую очередь. Так что настоятельно рекомендую вам проверить свои логи по трафику.<br> https://217.65.3.21/openforum/vsluhforumID3/64138.html#94 Sun, 28 Feb 2010 13:42:42 GMT Такое есть по-крайней мере в P660RT-EE от Zyxel, железка не работает пока не будет сменен пароль, но к сожалению сложность не учитывается, кроме длины пароля.<br> https://217.65.3.21/openforum/vsluhforumID3/64138.html#93 Thu, 25 Feb 2010 16:27:21 GMT Судя по спаму в аську с предложением скачать себя любимую (а точнее, банального троянца на жабе) - уже запустили и не вчера. Ну а те кто купились - спамят остальным. В итоге это псевдосамоходное кроссплатформенное троянское ПО уже несколько подзабодало, пришлось включить в кутиме антиспамного бота.<br> https://217.65.3.21/openforum/vsluhforumID3/64138.html#92 Thu, 25 Feb 2010 13:14:08 GMT В общем резюмируюя всё сказанное: "На вкус и цвет все карандаши разные/одинаковые(по вкусу)".<br> https://217.65.3.21/openforum/vsluhforumID3/64138.html#91 Thu, 25 Feb 2010 09:17:54 GMT запретить доступ к настройке маршрутизатора извне тоже не панацея от слабых паролей. за маршрутизатором тоже можно трояна поймать, например через дыру в браузере, а он уже благополучно поселиться в самом маршрутизаторе если пароль на нем слабый будет<br> https://217.65.3.21/openforum/vsluhforumID3/64138.html#90 Wed, 24 Feb 2010 19:09:54 GMT &gt;Недавно купил DIR-300. Подефолту капча на странице авторизации. <br><br>Т.е. если вдруг мини-шелбокс придется по душе живому хацкеру, он в своем праве его порутать чтоли? oO<br><br> https://217.65.3.21/openforum/vsluhforumID3/64138.html#89 Wed, 24 Feb 2010 18:51:42 GMT &gt;криворукие пользователи (пароль придумать не могут) сами виноваты <br><br>Для начала, виноваты производители раскладывающие грабли в дефолтах. Что еще за виндозный подход "не всех троянов вычистил - сам дурак!". А какого хрена телнет или вэбфэйс с стандартным паролем по дефолту наружу висит, пардон?! Давайте лучше стодолларовые бумажки пачками на улице без присмотра хранить. Узнаем много нового о человеческой природе и тяге к халяве :)<br> https://217.65.3.21/openforum/vsluhforumID3/64138.html#88 Wed, 24 Feb 2010 18:49:24 GMT А если бы и админился, толку было бы фиг. Думаете кто-то станет писать шеллкод специально для той самопальной системы которая там воткнута? А зачем хаксорам этот крап?<br> https://217.65.3.21/openforum/vsluhforumID3/64138.html#87 Wed, 24 Feb 2010 18:48:01 GMT &gt;Можно подробное руководство, как диагностировать и решить проблему? <br><br>1) Взять в руки сканер портов. <br>2) Посканить WAN железки.<br>3) Представить себе "а что если я хакер который хочет туда вломиться?" и попробовать это сделать :). Памятуя о дефолтных настройках и активно их юзая. Если получилось - опаньки. Ищем где отключить западлостроение или как сменить пароль. <br><br>Наиболее очевидные пути вламывания:<br>1) Web-face.<br>2) Телнет<br>3) SSH<br><br>Для начала нормальные производители не должны бы ничего из этого по дефолту без явного хотения юзера вывешивать в WAN вообще. Так, на всякий. А если все-таки вывешивают, тогда должны заботиться о том чтобы юзер поменял пароль или же чтобы дефолтный пароль был рандомный, например. Иначе вот так вот на халяву будут иметь. Это не столько дыра в прошивке сколько откровенно слабые дефолты.<br>