Napadený modem - primární DNS server změněn na 192.99.14.108

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod kozuch82 15. 5. 2014 18:04

Zdravím,

tak mi kompromitovali modem přes nějaký exploit asi, zmenili DNS server na 192.99.14.108 přesně jak píšou na Lupě.cz. Jednalo se o Edimax AR-7084gB modem/router (nastavené slabé uživatelské heslo a vypnuta administrace z WANu) s původním firmwarem 2.9.5.0(RUE0.C2A)3.5.18.0 cca z roku 2007/2008. Zatím jsem modem vyměnil za záložní Siemens CL-040-I, ale ten je jen dočasný. U Edimaxu jsem updatoval firmware na 2.11.38.0 - otázka, zda to bude stačit.

Předpokládám, že se to stalo více lidem u různých jiných modemů. Jak to řešíte? Kupujete rovnou nový modem nebo zkušíte po update firmwaru vrátit původní zpátky. Ohledně nového zařízení - je to jedno, co koupím, hlavně, když to bude mít co nejnovější firmware, nebo má někdo tip na modem, který je hodně "neprůstřelný" na WANu? Nový modem by měl mít taky silný ethernetový porty, aby zvládal cca 60m kabel - což ten Edimax dával, ale Siemens to nedává, musel jsem před něj zapojit switch.
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod Bari007 15. 5. 2014 18:18

Reset do továrních nastavení, aktualizace na nejnovější firmware a pro jistotu znovu reset do továrních nastavení. Tím je odstraněn problém, který v modemu byl, rozhodně není potřeba kvůli tomu kupovat nový modem/router.

Samozřejmostí je pak pravidelná aktualizace firmware a používat silná hesla pro WiFi i administraci (každé heslo jiné!) a nepovolovat administraci z WAN.

Pokud trváš na nákupu nového modemu, konzultuj to poskytovatelem internetu. Nejvhodnější jsou pak zařízení přímo od poskytovatele.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod vladimir 15. 5. 2014 18:20

Koukám, nějak se nám to rozmáhá.

Pokud míníš něco kupovat, možná by nebyl špatný nápad koupit si Mikrotika a modem přepnout do režimu bridge.

Co jsem četl v poradně, stalo se to i s netriviálním heslem do webové administrace (speciálně jsem se ptal, jestli bylo netriviální i před útokem a prý ano), tedy je otázka, jestli ten malware nepoužívá nějaký skener klávesnice nebo skener síťového provozu nebo prohledávač uložených hesel v browserech, aby se k těm heslům dostal (pokud ve firmware neobjevili nějaká zadní vrátka, ale vzhledem k různorodosti napadených modelů se mi to nezdá).

Edit: jak TP-LINK TD-W8901G z poradny, tak Edimax z tohoto dotazu používají stejnou čipovou sadu Trenchip + Ralink, takže by to přece jenom teoreticky mohla být nějaká chyba referenčního firmwaru.

Pro zajímavost: máš na tom modemu veřejnou IP-adresu? (pokud ano, útok mohl být provedený přes díru ve firmwaru z internetu)
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod soban 16. 5. 2014 09:05

Nemůže jí o nějaký bordel v PC který pak přes lan se normálně na www modemu dostane?

Osobně bych nahrál nejnovější FW a DNS v modemu nenechal na auto od ISP ale zadal tam přímo DNS tvého ISP.

Protože ještě mohla být nějaká šance že tam přes ISP a jeho DHCP server se nastavil v modemu jiný DNS server a pak útočník podvrhoval stránky.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod kozuch82 16. 5. 2014 09:18

Používám ADSL přípojení od T-Mobile (bývalé Radiokomunikace) - ano s veřejnou adresou, takže na WAN modemu se dá dostat z netu počítám (samozřejmě administrace z WAN je zakázaná, ale paušálně modem je dostupný i internetu - nevím, zda tam jsou otevřené nějaké porty).

Ohledně napadení v ČR, vypadá to, že útočníci získali ty správne IP range pro ADSL v ČR - zas tolik jich asi není. A ano, mám pochybnost, že útok byl přes díru ve firewallu, protože vlastně jak jinak by to mělo jít, když je vše zakázáno? Ano, ještě to může být z vnitřní sítě přes zavirované PC, ale v síti nevím o žádných virech...

Takže pokud ta díra ve FW nebyla tím upgradem Edimaxu co jsem udělal opravena (vzhledem k tomu, že ten update je z roku 2010 tak je to velká neznámá), asi bude modem dál zranitelný... právě proto jsem se ptal, zda to řešíte nákupem nového HW, který snad nemá (tolik?) děravý FW...

Modem do bridge na Mikrotik (případně jiný kvalitní router) - to zní dobře, přemýšlím jen, jestli to opravdu pomůže? Snad ano, když by pak vlastně z modemu se stal pouze "hloupý" konvertor z tel. linky do Ethernetu? Nikdy jsem to takhle nezapojoval... Edimax bridge asi podporuje. Takže pokud tomu dobře rozumím, na modemu nastavím Bridge a Mikrotik normálně zapojím do LANu na modemu a zapnu na něm PPPoE nebo tak něco?
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 16. 5. 2014 10:27

Ano, přesně, PPPoE by bylo na Mikrotiku, tím pádem by byla i ta veřejná IP na Mikrotiku, tedy případné útoky na veřejnou adresu by bušily do Mikrotika a to by měla být z hlediska zabezpečení vyšší třída.

Tys někde vyčetl, že jde o útoky výhradně na ADSL-modemy?

Možná obdobný útok z roku 2012 z Brazílie na modemy s nějakým čipem od Broadcom, chyba byla v ovladači čipu: http://www.securelist.com/en/blog/20819 ... DSL_modems
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod soban 16. 5. 2014 11:02

Jinak mám taky modem od O2 comtrend a žádné napadení jsem nezaznamenal a administraci mám z internetu povolenou (přes IPv6) modem nemá veřejnou IPv4.

PS. Tak jsem přístup z internetu zakázal - už ho nepotřebuji mám to už odladěné.

Takže z internetu je povolené pouze NTP a PING.
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Bari007 17. 5. 2014 07:52

NTP z internetu? Tvůj modem poskytuje NTP do internetu? To bych rozhodně zakázal, NTP servery se dají velmi snadno zneužívat k DoS (DDoS) útokům.

A ping (obecně ICMP echo request) bych také zakázal.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Spejle 17. 5. 2014 08:05

Z ryze studijních a soukromých účelů bych chtěl ten soft napadajicí routry prozkoumat.
Nemate nekdo?
Dekuji
S.
Spejle
Junior

Odeslat příspěvekod Bari007 17. 5. 2014 09:19

Sleduj web http://csirt.cz/ a http://www.nic.cz/. Mají k dispozici napadený modem a budou dávat nějaký report, tak tam třeba něco zjistíš.

Jinak takový záškodnický software ze zřejmých důvodů jeho autoři nikde na internetu nezveřejňují, takže bys k principu fungování musel jít přes reverzní inženýrství stejně jako český CSIRT.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Spejle 17. 5. 2014 09:49

Díky.
Zdroják jsem ani nečekal. Zprávu jsem napsal tak, abych nebyl mylne hodnocen.
Mam zde starsi tp -link a zajima mne, kdyz si vir spustim v domaci siti - zda router odola nebo ne.
Hlavne mne zajima zda jde skutecne o chybu nekde v kodu nebo dojde k přehrání celého firmwaru.

Mozna, ze nastavena cesta automaticke aktualizace SW a FW po internetu bude přehodnocena.
A nebude vhodne, aby kazda lednice mela sve IP.
Omlouvam se za trochu filozofie.
S.
Spejle
Junior

Odeslat příspěvekod Bari007 17. 5. 2014 09:50

Sleduj výše uvedený stránky a tam by ses měl časem dozvědět, jak dané nákaza funguje a jak se proti ní bránit.
Bari007
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Spejle 17. 5. 2014 09:54

OK
Spejle
Junior

Odeslat příspěvekod kozuch82 17. 5. 2014 12:24

Z polských stránek Eximaxu (viz Specifikace) jsem zjistil, že v napadeném modemu je následující chipset:

CPU: Trendchip TC3162P2
Front End: Trendchip TC3085 (webové admin rozhraní)

Nicméně v mezičase jsem zjistil, že na modemu asi defaultně není zakázána administrace z WANu (v pondělí vyzkouším, zda to je pravda - defaultně není nastavený Access Control Listing a nevím, jak se přístup na WAN bez jeho nastavení chová) ani zapnutý Firewall - což oboje je na pováženou... Takže jsem možná administraci z WANu měl povolenou. Ještě upřesním.
Naposledy upravil kozuch82 dne 18. 5. 2014 10:01, celkově upraveno 1
kozuch82
Junior
Uživatelský avatar

Odeslat příspěvekod MgX 17. 5. 2014 14:29

kozuch82 jestli můžeš, tak to, prosím, pak doplň. Zda a co jsi měl v této oblasti povoleno/zakázáno.

Dík
S pozdravem MgX
MgX
Junior
Uživatelský avatar

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků