Проблема началась неделю назад. Из очевидных симптомов - на ряде устройств NTE-RG-1402G-W в сети были сброшены настройки на заводские. Настройки были восстановлены и решили, что проблема устранена.
Однако вчера зафиксировали, что с устройств NTE-RG-1402G-W в нашей сети была осуществлена DDoS атака.
Учитывая эту статью - https://xakep.ru/2016/12/08/annie-3-mln-bots/ пришли к выводу, что возможно в ПО устройств был включен вредоносный код. Каким образом можно это проверить? Устранит ли проблему перепрошивка всех устройств. Каким образом можно оперативно это осуществить на большом количестве устройств?
О деактивации форума Eltex
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.
Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.
Взлом NTE-RG-1402G-W
-
Александр Д
- Сообщения: 1109
- Зарегистрирован: 14 июн 2011 10:11
- Reputation: 2
- Откуда: Элтекс
- Контактная информация:
Re: Взлом NTE-RG-1402G-W
Определить можно посмотрев нет ли не лишних процессов через команду ps, либо наличие не корректных файлов.
В большинстве случаев помогает избавится просто перегрузка, в таком случае очистятся временные папки. Чтобы сто процентов избавится достаточно сбросить устройство к заводским настройкам.
Чтобы избежать подобного в будущем рекомендуем прежде всего изменять пароли доступа до устройств и закрывать доступ при помощи firewall.
В большинстве случаев помогает избавится просто перегрузка, в таком случае очистятся временные папки. Чтобы сто процентов избавится достаточно сбросить устройство к заводским настройкам.
Чтобы избежать подобного в будущем рекомендуем прежде всего изменять пароли доступа до устройств и закрывать доступ при помощи firewall.
Александр Диркс / Элтекс / Сервисный центр ШПД /
Re: Взлом NTE-RG-1402G-W
Взломали пароли пользователя user, возможно абоненты использовали слабые пароли. Какие порты кроме стандартных вы предлагаете закрыть? В статье говорится про TR-069, каким образом его можно отключить на устройствах?
Перезагрузка устройств 100% не помогает, можно ли быть уверенным, что поможет перепрошивка?
Как посмотреть
Могу прислать весь список файлов.
Вот список процессов на зараженном устройстве:
Перезагрузка устройств 100% не помогает, можно ли быть уверенным, что поможет перепрошивка?
Как посмотреть
наличие не корректных файлов
Могу прислать весь список файлов.
Вот список процессов на зараженном устройстве:
Код: Выделить всё
> ps
PID USER VSZ STAT COMMAND
1 admin 1564 S init
2 admin 0 SW< [kthreadd]
3 admin 0 SW< [migration/0]
4 admin 0 SW [sirq-high/0]
5 admin 0 SW [sirq-timer/0]
6 admin 0 SW [sirq-net-tx/0]
7 admin 0 SW [sirq-net-rx/0]
8 admin 0 SW [sirq-block/0]
9 admin 0 SW [sirq-tasklet/0]
10 admin 0 SW [sirq-sched/0]
11 admin 0 SW [sirq-hrtimer/0]
12 admin 0 SW [sirq-rcu/0]
13 admin 0 SW< [migration/1]
14 admin 0 SW [sirq-high/1]
15 admin 0 SW [sirq-timer/1]
16 admin 0 SW [sirq-net-tx/1]
17 admin 0 SW [sirq-net-rx/1]
18 admin 0 SW [sirq-block/1]
19 admin 0 SW [sirq-tasklet/1]
20 admin 0 SW [sirq-sched/1]
21 admin 0 SW [sirq-hrtimer/1]
22 admin 0 SW [sirq-rcu/1]
23 admin 0 SW< [events/0]
24 admin 0 SW< [events/1]
25 admin 0 SW< [khelper]
28 admin 0 SW< [async/mgr]
78 admin 0 SW< [kblockd/0]
79 admin 0 SW< [kblockd/1]
88 admin 0 SW< [khubd]
105 admin 0 SW< [skbFreeTask]
106 admin 0 SW< [bpm]
122 admin 0 SW [pdflush]
123 admin 0 SW [pdflush]
124 admin 0 SWN [kswapd0]
126 admin 0 SW< [crypto/0]
127 admin 0 SW< [crypto/1]
184 admin 0 SW< [mtdblockd]
218 admin 0 SW< [linkwatch]
225 admin 0 SWN [jffs2_gcd_mtd2]
226 admin 1584 S -/bin/sh
255 admin 0 SW [kpAliveWatchdog]
292 admin 0 SW [bcmsw]
293 admin 0 SW [bcmsw_timer]
412 admin 1812 S /bin/lighttpd -f /etc/lighttpd/lighttpd.conf
413 admin 3908 S smd
414 admin 5428 S ssk
428 admin 1568 S dnsproxy
432 admin 1424 S dhcpd
448 admin 4816 S mcpd
481 admin 5512 S wlmngr -m 0
497 admin 1324 S /bin/wlevt
571 admin 5336 S swmdk
572 admin 6488 S eponapp -m 0
582 admin 1040 S bftpd -d
595 admin 5336 S swmdk
596 admin 5336 S swmdk
994 admin 1232 S dhcpc -f -i epon0.6 -d Eltex[Device:NTE-RG-1402G-W:r
998 admin 1232 S dhcpc -f -i epon0.1
1040 admin 1180 S /bin/eapd
1044 admin 1532 S /bin/nas
1048 admin 1252 S /bin/acsd
1134 admin 6488 S eponapp -m 0
1135 admin 6488 S eponapp -m 0
1136 admin 6488 S eponapp -m 0
1137 admin 6488 S eponapp -m 0
1138 admin 6488 S eponapp -m 0
9486 admin 4916 S telnetd -m 0
15983 admin 4916 S telnetd -m 0
16070 admin 4916 S telnetd -m 0
16102 admin 4916 S telnetd -m 0
16213 admin 4916 S telnetd -m 0
16317 admin 4916 S telnetd -m 0
19471 admin 4916 S telnetd -m 0
20202 admin 4916 S telnetd -m 0
20214 admin 4916 S telnetd -m 0
20215 admin 4916 S telnetd -m 0
20216 admin 5020 R sshd -m 0
20217 admin 4916 S telnetd -m 0
20253 admin 4432 S upnp -m 0 -L br0 -W epon0.1 -W2 epon0
20259 admin 4916 S telnetd -m 0
20260 admin 4916 S telnetd -m 0
20261 admin 5020 R sshd -m 0
20262 admin 1560 S sh -c ps
20263 admin 1564 R ps
> swversion
3.14.2.68
>
-
Александр Д
- Сообщения: 1109
- Зарегистрирован: 14 июн 2011 10:11
- Reputation: 2
- Откуда: Элтекс
- Контактная информация:
Re: Взлом NTE-RG-1402G-W
Имелось ввиду закрыть доступ до ONT из внешней сети, что WAN адрес не был доступен из вне.
В данный момент судя по ps не видно, чтобы были запущены какие-нибудь не свойственные онт процессы.
Для того, чтобы TR-69 работал данный сервис должен быть настроен и на интерфейсах должны быть ip адреса, т.е. если вы на OLT не настроили рулы и правила для этого сервиса, то у вас там ничего и не работает.
Почему вы считает что заходили под user?
В данный момент судя по ps не видно, чтобы были запущены какие-нибудь не свойственные онт процессы.
Для того, чтобы TR-69 работал данный сервис должен быть настроен и на интерфейсах должны быть ip адреса, т.е. если вы на OLT не настроили рулы и правила для этого сервиса, то у вас там ничего и не работает.
Почему вы считает что заходили под user?
Александр Диркс / Элтекс / Сервисный центр ШПД /
Re: Взлом NTE-RG-1402G-W
Имелось ввиду закрыть доступ до ONT из внешней сети, что WAN адрес не был доступен из вне.
У нас белые IP-адреса. Полностью закрыть не получится, только ряд портов. Web, ssh и telnet - этих портов достаточно или возможны какие-то еще уязвимости? Подскажите для чего на устройстве запущен ftp?
Почему вы считает что заходили под user?
Это лишь предположение. На учетную запись user абоненты сами ставят пароли, возможно слишком слабые.
-
Александр Д
- Сообщения: 1109
- Зарегистрирован: 14 июн 2011 10:11
- Reputation: 2
- Откуда: Элтекс
- Контактная информация:
Re: Взлом NTE-RG-1402G-W
Даже если у Вас белый адреса и вы делает IPoE (либо pppoe ) соединение если у вас включен firewall доступа из вне на устройство не будет.
В терминал можно подключать usb флэшки, для доступа по ftp к ним используется этот сервер.
В терминал можно подключать usb флэшки, для доступа по ftp к ним используется этот сервер.
Александр Диркс / Элтекс / Сервисный центр ШПД /
Re: Взлом NTE-RG-1402G-W
Александр Д писал(а):Имелось ввиду закрыть доступ до ONT из внешней сети, что WAN адрес не был доступен из вне.
В данный момент судя по ps не видно, чтобы были запущены какие-нибудь не свойственные онт процессы.
sshd разве запускается по умолчанию? И кол-во telnetd выглядит великоватым.
Александр Д писал(а):Имелось ввиду закрыть доступ до ONT из внешней сети, что WAN адрес не был доступен из вне.
Для того, чтобы TR-69 работал данный сервис должен быть настроен и на интерфейсах должны быть ip адреса, т.е. если вы на OLT не настроили рулы и правила для этого сервиса, то у вас там ничего и не работает.
Долго писал, но в итоге решил отправить Александру в личку. tl;dr: есть нюансы
Re: Взлом NTE-RG-1402G-W
На чем терминируете юзверей? IPoE или PPPoE используется как технология?
-
Александр Д
- Сообщения: 1109
- Зарегистрирован: 14 июн 2011 10:11
- Reputation: 2
- Откуда: Элтекс
- Контактная информация:
Re: Взлом NTE-RG-1402G-W
Вообще telnet сессий много, можно посмотреть, что в них происходит включив дебаг:
> loglevel set telnetd Debug
> logdest set telnetd Telnet
new log dest set.
> save
config saved.
> reboot
Далее при подключении в телнет будет сыпаться дебаг по всем сессиям.
> loglevel set telnetd Debug
> logdest set telnetd Telnet
new log dest set.
> save
config saved.
> reboot
Далее при подключении в телнет будет сыпаться дебаг по всем сессиям.
Александр Диркс / Элтекс / Сервисный центр ШПД /
Вернуться в «Оборудование PON»
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 80 гостей