Элтекс

производство оборудования для телекоммуникаций
http://forum.eltex-co.ru/

Взлом NTE-RG-1402G-W

http://forum.eltex-co.ru/viewtopic.php?f=6&t=6881

Страница 1 из 1

Взлом NTE-RG-1402G-W

Добавлено: 19 дек 2016 14:19
alex-xxi
Проблема началась неделю назад. Из очевидных симптомов - на ряде устройств NTE-RG-1402G-W в сети были сброшены настройки на заводские. Настройки были восстановлены и решили, что проблема устранена.
Однако вчера зафиксировали, что с устройств NTE-RG-1402G-W в нашей сети была осуществлена DDoS атака.
Учитывая эту статью - https://xakep.ru/2016/12/08/annie-3-mln-bots/ пришли к выводу, что возможно в ПО устройств был включен вредоносный код. Каким образом можно это проверить? Устранит ли проблему перепрошивка всех устройств. Каким образом можно оперативно это осуществить на большом количестве устройств?

Re: Взлом NTE-RG-1402G-W

Добавлено: 20 дек 2016 08:26
Александр Д
Определить можно посмотрев нет ли не лишних процессов через команду ps, либо наличие не корректных файлов.
В большинстве случаев помогает избавится просто перегрузка, в таком случае очистятся временные папки. Чтобы сто процентов избавится достаточно сбросить устройство к заводским настройкам.
Чтобы избежать подобного в будущем рекомендуем прежде всего изменять пароли доступа до устройств и закрывать доступ при помощи firewall.

Re: Взлом NTE-RG-1402G-W

Добавлено: 20 дек 2016 13:28
alex-xxi
Взломали пароли пользователя user, возможно абоненты использовали слабые пароли. Какие порты кроме стандартных вы предлагаете закрыть? В статье говорится про TR-069, каким образом его можно отключить на устройствах?
Перезагрузка устройств 100% не помогает, можно ли быть уверенным, что поможет перепрошивка?
Как посмотреть
наличие не корректных файлов

Могу прислать весь список файлов.
Вот список процессов на зараженном устройстве:

Код: Выделить всё

 > ps
  PID USER       VSZ STAT COMMAND
    1 admin     1564 S    init
    2 admin        0 SW<  [kthreadd]
    3 admin        0 SW<  [migration/0]
    4 admin        0 SW   [sirq-high/0]
    5 admin        0 SW   [sirq-timer/0]
    6 admin        0 SW   [sirq-net-tx/0]
    7 admin        0 SW   [sirq-net-rx/0]
    8 admin        0 SW   [sirq-block/0]
    9 admin        0 SW   [sirq-tasklet/0]
   10 admin        0 SW   [sirq-sched/0]
   11 admin        0 SW   [sirq-hrtimer/0]
   12 admin        0 SW   [sirq-rcu/0]
   13 admin        0 SW<  [migration/1]
   14 admin        0 SW   [sirq-high/1]
   15 admin        0 SW   [sirq-timer/1]
   16 admin        0 SW   [sirq-net-tx/1]
   17 admin        0 SW   [sirq-net-rx/1]
   18 admin        0 SW   [sirq-block/1]
   19 admin        0 SW   [sirq-tasklet/1]
   20 admin        0 SW   [sirq-sched/1]
   21 admin        0 SW   [sirq-hrtimer/1]
   22 admin        0 SW   [sirq-rcu/1]
   23 admin        0 SW<  [events/0]
   24 admin        0 SW<  [events/1]
   25 admin        0 SW<  [khelper]
   28 admin        0 SW<  [async/mgr]
   78 admin        0 SW<  [kblockd/0]
   79 admin        0 SW<  [kblockd/1]
   88 admin        0 SW<  [khubd]
  105 admin        0 SW<  [skbFreeTask]
  106 admin        0 SW<  [bpm]
  122 admin        0 SW   [pdflush]
  123 admin        0 SW   [pdflush]
  124 admin        0 SWN  [kswapd0]
  126 admin        0 SW<  [crypto/0]
  127 admin        0 SW<  [crypto/1]
  184 admin        0 SW<  [mtdblockd]
  218 admin        0 SW<  [linkwatch]
  225 admin        0 SWN  [jffs2_gcd_mtd2]
  226 admin     1584 S    -/bin/sh
  255 admin        0 SW   [kpAliveWatchdog]
  292 admin        0 SW   [bcmsw]
  293 admin        0 SW   [bcmsw_timer]
  412 admin     1812 S    /bin/lighttpd -f /etc/lighttpd/lighttpd.conf
  413 admin     3908 S    smd
  414 admin     5428 S    ssk
  428 admin     1568 S    dnsproxy
  432 admin     1424 S    dhcpd
  448 admin     4816 S    mcpd
  481 admin     5512 S    wlmngr -m 0
  497 admin     1324 S    /bin/wlevt
  571 admin     5336 S    swmdk
  572 admin     6488 S    eponapp -m 0
  582 admin     1040 S    bftpd -d
  595 admin     5336 S    swmdk
  596 admin     5336 S    swmdk
  994 admin     1232 S    dhcpc -f -i epon0.6 -d Eltex[Device:NTE-RG-1402G-W:r
  998 admin     1232 S    dhcpc -f -i epon0.1
 1040 admin     1180 S    /bin/eapd
 1044 admin     1532 S    /bin/nas
 1048 admin     1252 S    /bin/acsd
 1134 admin     6488 S    eponapp -m 0
 1135 admin     6488 S    eponapp -m 0
 1136 admin     6488 S    eponapp -m 0
 1137 admin     6488 S    eponapp -m 0
 1138 admin     6488 S    eponapp -m 0
 9486 admin     4916 S    telnetd -m 0
15983 admin     4916 S    telnetd -m 0
16070 admin     4916 S    telnetd -m 0
16102 admin     4916 S    telnetd -m 0
16213 admin     4916 S    telnetd -m 0
16317 admin     4916 S    telnetd -m 0
19471 admin     4916 S    telnetd -m 0
20202 admin     4916 S    telnetd -m 0
20214 admin     4916 S    telnetd -m 0
20215 admin     4916 S    telnetd -m 0
20216 admin     5020 R    sshd -m 0
20217 admin     4916 S    telnetd -m 0
20253 admin     4432 S    upnp -m 0 -L br0 -W epon0.1 -W2 epon0
20259 admin     4916 S    telnetd -m 0
20260 admin     4916 S    telnetd -m 0
20261 admin     5020 R    sshd -m 0
20262 admin     1560 S    sh -c ps
20263 admin     1564 R    ps
 > swversion
3.14.2.68
 >

Re: Взлом NTE-RG-1402G-W

Добавлено: 20 дек 2016 15:51
Александр Д
Имелось ввиду закрыть доступ до ONT из внешней сети, что WAN адрес не был доступен из вне.
В данный момент судя по ps не видно, чтобы были запущены какие-нибудь не свойственные онт процессы.

Для того, чтобы TR-69 работал данный сервис должен быть настроен и на интерфейсах должны быть ip адреса, т.е. если вы на OLT не настроили рулы и правила для этого сервиса, то у вас там ничего и не работает.

Почему вы считает что заходили под user?

Re: Взлом NTE-RG-1402G-W

Добавлено: 20 дек 2016 16:28
alex-xxi
Имелось ввиду закрыть доступ до ONT из внешней сети, что WAN адрес не был доступен из вне.

У нас белые IP-адреса. Полностью закрыть не получится, только ряд портов. Web, ssh и telnet - этих портов достаточно или возможны какие-то еще уязвимости? Подскажите для чего на устройстве запущен ftp?
Почему вы считает что заходили под user?

Это лишь предположение. На учетную запись user абоненты сами ставят пароли, возможно слишком слабые.

Re: Взлом NTE-RG-1402G-W

Добавлено: 20 дек 2016 16:53
Александр Д
Даже если у Вас белый адреса и вы делает IPoE (либо pppoe ) соединение если у вас включен firewall доступа из вне на устройство не будет.

В терминал можно подключать usb флэшки, для доступа по ftp к ним используется этот сервер.

Re: Взлом NTE-RG-1402G-W

Добавлено: 22 дек 2016 20:28
stfunoob
Александр Д писал(а):Имелось ввиду закрыть доступ до ONT из внешней сети, что WAN адрес не был доступен из вне.
В данный момент судя по ps не видно, чтобы были запущены какие-нибудь не свойственные онт процессы.


sshd разве запускается по умолчанию? И кол-во telnetd выглядит великоватым.

Александр Д писал(а):Имелось ввиду закрыть доступ до ONT из внешней сети, что WAN адрес не был доступен из вне.
Для того, чтобы TR-69 работал данный сервис должен быть настроен и на интерфейсах должны быть ip адреса, т.е. если вы на OLT не настроили рулы и правила для этого сервиса, то у вас там ничего и не работает.

Долго писал, но в итоге решил отправить Александру в личку. tl;dr: есть нюансы

Re: Взлом NTE-RG-1402G-W

Добавлено: 22 дек 2016 23:35
Trider
На чем терминируете юзверей? IPoE или PPPoE используется как технология?

Re: Взлом NTE-RG-1402G-W

Добавлено: 23 дек 2016 16:48
Александр Д
Вообще telnet сессий много, можно посмотреть, что в них происходит включив дебаг:

> loglevel set telnetd Debug
> logdest set telnetd Telnet
new log dest set.
> save
config saved.
> reboot

Далее при подключении в телнет будет сыпаться дебаг по всем сессиям.
Часовой пояс: UTC+07:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/