mboost-dp1

Linksys

Ny orm angriber routere

- Via The Register - , redigeret af Net_Srak

Normalt er det computere, der bliver ramt af virus, orme, trojanere og anden malware, men nu er der for første gang registreret en orm, som går efter routere.

Det er firmaet DroneBL, der står bag opdagelsen af ormen psyb0t, som går efter routere baseret på Linux Mipsel. For at trænge ind i routeren går den efter at gætte adgangskoden, hvorfor svage adgangskoder er routerens akilleshæl.

Inficerede routere bliver efterfølgende konfigureret, så de ikke tillader adgang via ssh, telnet eller web, således at ejerne har svært ved at tilgå dem.

Ifølge DroneBL er op mod 100.000 routere verden over inficeret af ormen og bliver brugt i et botnet. Problemet med infektionerne er, at de er meget svære at opdage, da de færreste brugere tjekker deres routere, sålænge de fungerer.

DroneBL skrev:
This technique is one to be extremely concerned about because most end users will not know their network has been hacked, or that their router is exploited.





Gå til bund
Gravatar #1 - mireigi
24. mar. 2009 12:05
Det er firmaet DroneBL, der står bag opdagelsen af ormen psyb0t, som går efter routere baseret på Linux Mipsel.


Var jo bare et spørgsmål om tid før Linux-fanbois pral om ingen vira på/til Linux blev manet i jorden.

Folk der ikke fatter god password-politik er egentlig selv ude om det. God, sex, admin, power og secret er nok ikke de bedste at bruge.
Gravatar #2 - Barnabas
24. mar. 2009 12:09
mireigi (1) skrev:
Var jo bare et spørgsmål om tid før Linux-fanbois pral om ingen vira på/til Linux blev manet i jorden.

Folk der ikke fatter god password-politik er egentlig selv ude om det. God, sex, admin, power og secret er nok ikke de bedste at bruge.


Det er da egentig ret godt gået at modsige sig selv på så kort et indlæg ;-)

Først skyder du efter linux og så medgiver du at det nok mest er fordi folk ikke fatter god password politik.

Gravatar #3 - Xirg
24. mar. 2009 12:09
#2 hehe jeg sad og tænkte det samme
Gravatar #4 - BluepaiN
24. mar. 2009 12:14
Omend, så er routerer jo forholdsvis billige i dag.
Ville jo være langt værre, hvis man havde fået et rootkit ind som man ikke kunne fjerne, på ens dyrt købte gamer pc til 20 kilo bananer. Man kan jo altid købe noget nyt, hvis man ikke er tech-savy.
Gravatar #5 - TuxDK
24. mar. 2009 12:14
#1

Det er jo ikke en virus. Routeren bliver ikke inficeret af en virus. Den bliver udsat for et bruteforce attack, hvorefter den giver admin rettigheder (root), og der kan derefter installeres whatever.

#4
De fleste routere, specielt dem der kan kører linux, har en hard reset tast, der flasher den til original firmware. Så at gendanne dem er ikke noget problem.
Gravatar #6 - Zhasha
24. mar. 2009 12:15
Hvordan fanger man så sådan en fætter? (altså hvor kommer infektionen fra)
Gravatar #7 - jonasbh
24. mar. 2009 12:17
Måske er jeg ikke for klog, men er der ikke en modsætning i artiklen.

Inficerede routere bliver efterfølgende konfigureret så de ikke tillader adgang via ssh, telnet eller web, således ejeren har svært ved at tilgå den.


Altså routeren virker dårligt, og brugeren bliver opmærksom på problemet

Problemet med infektionerne er at de er meget svære at opdage, da de færreste brugere tjekker deres router sålænge den fungerer.


Jamen, den virker jo ikke...
Gravatar #8 - angelenglen
24. mar. 2009 12:17
BluepaiN (4) skrev:
Omend, så er routerer jo forholdsvis billige i dag.
Ville jo være langt værre, hvis man havde fået et rootkit ind som man ikke kunne fjerne, på ens dyrt købte gamer pc til 20 kilo bananer. Man kan jo altid købe noget nyt, hvis man ikke er tech-savy.

Så rootkit på gamer pc er umulige at fjerne?
Hvad med en reinstall? Det sletter vist de fleste vira ;-)
Gravatar #9 - Niversen
24. mar. 2009 12:18
#7 der menes tilgang til routeren ikke til nettet...
Gravatar #10 - angelenglen
24. mar. 2009 12:19
#7: Routeren virker fint, den kan bare ikke længere konfigureres.
Hvor tit logger du ind i din Router?
Og hvor tit logger Hr. og Fru. Danmark ind i deres router, hvis de overhovedet ved de har en?
Gravatar #11 - Hald
24. mar. 2009 12:25
min router ryger snart ud, den er så ustabil at man skulle tro den kørte windows..

Om den så bliver erstattet af en NetGear eller en Apple må tiden vise.
Gravatar #12 - RKJ
24. mar. 2009 12:26
Hald (11) skrev:
min router ryger snart ud, den er så ustabil at man skulle tro den kørte windows..


Sorry to tell you bro', men uden den kommer du sgu nok ikke så langt. Er du i øvrigt sikker på at det ikke er din ISP der fejler noget, og ikke routeren?
Gravatar #13 - x-site
24. mar. 2009 12:31
#12 Men behøver ikke selv have en Router for at komme på nettet, det er nok at ens ISP har en.

Dog kan det give en ekstra form for beskyttelse, ved at "skjule" hjemme PC'erne, samt vil der faktisk på ældre PC'er være en mærkbar forbedring i ydelsen.
Gravatar #14 - angelenglen
24. mar. 2009 12:33
x-site (13) skrev:
#12 Men behøver ikke selv have en Router for at komme på nettet, det er nok at ens ISP har en.


Det kommer lidt an på hvor meget udstyr du vil koble på forbindelsen, og hvor mange IP'er din ISP vil dele ud.
Typisk uddeler ISP'en 1-3 IP'er, hvilket begrænser dig til 1-3 enheder lokalt, hvorfor mange vælger at sætte en router på, der giver mulighed for (praktisk talt) uendeligt antal enheder lokalt.

Jeg har svært ved at se det påvirke ydelsen, hverken for ny eller gammel pc.
Gravatar #15 - loddo
24. mar. 2009 12:37
suk.. så sidder man der og tuder over hvor elendigt windows er, og så render der talented hackers rundt og gør livet endnu værre.. hvorfor kunne de ikke bare klippe deres hår, få et arbejde og være med til at løfte i flok?.. sux..
Gravatar #16 - 12V
24. mar. 2009 12:38
Dette gælder vidst kun hvis man har enabled at routeren kan konfigureres via nettet, ikke?
Gravatar #17 - Hubert
24. mar. 2009 12:43
12V (16) skrev:
Dette gælder vidst kun hvis man har enabled at routeren kan konfigureres via nettet, ikke?


Jo. Hvis man vil se det der bliver hentet ned kan det findes her:
hxxp://dweb.webhop.net/.bb/udhcpc.env
Gravatar #18 - x-site
24. mar. 2009 12:52
#14 Det er rigtigt men i mit eksempel, basere jeg på det nummer 12 sagde med at man skal have en Router for at kunne komme på nettet, hvilket er forkert, men ja det er en fordel at have en specielt, hvis man har flere PC'er, og ens ISP kun tildeler 1-2 IP'er.


Mht. til ydelsen er det noget jeg erfaret, for en del år siden, hvor ADSL 256 Kbit/s var vildt, og Netsend var aktiveret pr default i windows XP, tror at det var AMD Duron 800 eller 1500 der var i maskinen samt 256 MB RAM, men med tilføjelsen af en Router sank CPU aktiveteten med omkring 10% +- 5% (kan dog godt være at jeg husker en smule forkert), men på computere i dag er det ikke rigtigt noget man lægger mærke til, der taler vi nok snare 0.1% eller mindre. og uden firewall på PC'en skal, vist også nævnes.


#16 Så vidt jeg læser nyheden så er det kun, hvis der kan logges ind på den via nettet, men kan ikke udelukke at den kan komme fra en inficeret pc på lokalnetværket.
Gravatar #19 - mech0z
24. mar. 2009 12:58
Tror hellere lige jeg må hjem til de gamle og smide DDWRT og et ordenligt pass på deres router :)
Gravatar #20 - Softy
24. mar. 2009 13:01
Lad mig se.... 192.168.10.1 .... jo, virker stadig ;-)

Men som sagt.... Brug stærke passwords og slå kun det til man bruger. Administrerer man via http, så slå dog telnet osv. fra.
En router er jo netop ikke anderledes end en PC. Linux og Windows er begge udsatte og jeg vil (lidt a'la #1) skide på folk der påstår at Linux er superhellig, mens windows er noget lort. Det er forskellige OS'er, granted.... MEN.... Windows benyttes på MANGE flere maskiner idag end Linux, hvilket også gør Windows til primært mål for virus og malware... that's a fact.... Men jeg tror bare #1 langede ud efter "De Religiøse" (fuldt ud forståeligt) og ikke efter folk der rent faktisk har en informeret viden om begge systemer og ikke bare skal "spille karl c00l"... Så forstår ikke flamebait-rating til #1, da det jo bare viser hvem der tilhører den gruppe og at han ramte plet?

Men jeg er da lidt stolt.... Min mor (65 år) bruger Ubuntu.... og hun er glad for det, når ikke lige det skaber flere problemer end det løser somme tider... hehe.... men hva'... det er jo det samme med Windows en gang imellem.... Det hedder En Computer ;-)
Men lidt skal man vel prale.... hvor mange har lige en pensionist-mor der bruger Linux? ;-)
Gravatar #21 - Hubert
24. mar. 2009 13:08
mech0z (19) skrev:
Tror hellere lige jeg må hjem til de gamle og smide DDWRT og et ordenligt pass på deres router :)


Hvad skulle det så hjælpe?
Gravatar #22 - ostelarsen
24. mar. 2009 13:10
Softy (20) skrev:

Men jeg er da lidt stolt.... Min mor (65 år) bruger Ubuntu.... og hun er glad for det, når ikke lige det skaber flere problemer end det løser somme tider... hehe.... men hva'... det er jo det samme med Windows en gang imellem.... Det hedder En Computer ;-)
Men lidt skal man vel prale.... hvor mange har lige en pensionist-mor der bruger Linux? ;-)


Hehe, nej jeg må jævnligt tage turen ud til min mor for at hjælpe hende med Windows-relaterede problemer, (ikke fordi der ikke finde Linux relaterede). Jeg prøver at overtale hende til at købe en Mac, der er (efter min erfaring) en god del mindre vedligeholdelse...
Gravatar #23 - yardman
24. mar. 2009 13:23
det kunne være at man skulle for ændret "_admin" til noget andet! :-)
Gravatar #24 - TuxDK
24. mar. 2009 13:24
#19

God idé. Hvis deres router ikke kørte et linux baseret system før, så skynd dig endelig at installer et, så det kan infektes...

#20

Pointen er at han langer ud efter noget totalt irrelevant. Han er den første poster, der var ingen der havde sagt noget som helst endnu.
Og det viser samtidig hans uvidenhed, da den ikke bliver "ramt" af en virus. Som jeg sagde tidligere, det er et bruteforce attack, og er i teorien komplet ligegyldigt hvilken OS den kører, men i det her tilfælde er den skræddersyet til at kører en serie kommandoer på et linux baseret system. At det overhoved er en nyhed værdig, er KUN fordi det er Linux den targetter. Hvis det havde været et hvilket som helst andet OS, havde vi ikke hørt noget. CIOS (Cisco IOS) er lige så sårbar, som det Linux drevede er. Hvis der var en der vel og mærke lavede en orm der targetede netop de systemer.
Men under alle omstændigheder, er det egentlig irrelevant, da budskabet i det her er du ikke skal lade din router står åben for internettet. Det er i meget få tilfælde, det kan bruges til noget. Linux eller ej.

Så som en anden sagde før mig: Hvis du kofigurer via web (lokalt), luk alt andet. Bloker alt indkommende fra internettets IP, til routerens lokal IP. Der er INGEN ting derude der har brug for at få adgang til din router. udover din ISP, men det er super sjælendt, og så kan man lige lukke dem ind når man snakker med dem.
Gravatar #25 - x-site
24. mar. 2009 13:35
#24 Min ISP skal bare holde fingerne væk fra min Router, men igen min er så også sat op til kun at acceptere forbindelse via Konsol porten, elsker Cisco udstyr ^^
Gravatar #26 - ty
24. mar. 2009 13:39
TuxDK (5) skrev:
#1

Det er jo ikke en virus. Routeren bliver ikke inficeret af en virus.

Den uploader ny firmware til routeren, så jo den bliver inficeret af noget slemt. Så det er routeren i sig selv, der bliver en del af bot-nettet.
Gravatar #27 - T_A
24. mar. 2009 13:42


http://www.adam.com.au/bogaurd/PSYB0T.pdf skrev:
It appears that Netcomm NB5 ADSL modems are not the only devices affected by this bot.
Modems with similar hardware configurations (unknown brands) from Italy, Brazil, Ecuador, Russia, Ukraine, Turkey, Peru, Malaysia,
Columbia, India and Egypt (and likely more countries) also seem to be affected, and are spreading the bot.


Det er altså ikke mange modems/routers der har denne fejl


http://www.adam.com.au/bogaurd/PSYB0T.pdf skrev:
Several revisions of the NB5 modem shipped with a flaw which meant that the web configuration interface
was visible from the WAN side, accepting connections and allowing users to administer the modem using the
default username and password of 'admin' from outside the LAN. Furthermore, some of these modems
suffered from another flaw, meaning that by default, authentication was not enabled for the web interface –
meaning no username or password was required.


Dette er altså kun muligt fordi man ved en fejl har gjort det muligt at forbinde sig til interface på modem/router fra WAN siden.
Hvordan kan nogen lave sådan en fejl på et modem/router !!
Gravatar #28 - mech0z
24. mar. 2009 13:48
#21 Måske at den ikke blive hacket?
Gravatar #29 - Trogdor
24. mar. 2009 14:17
Bah, så kan folk bare have nogle ordenlige passwords og/eller lade være med at sætte deres router op således den kan administreres fra hele verden. Hvis man skal have den slags services åbnet ud mod internettet, så lav i det mindste nogle filter regler der sørger for at det kun er fra de steder man vanligt forbinder sig fra som har adgang til de porte.

Det kunne også være en ide at vælge en ikke standard port. Det betyder i det mindste at diverse bots ikke bare skal søge på f.eks port 22.

Endeligt kunne det være en godt ide at man ikke tillader at ens servere og routere ikke får lov til at gå på nettet. Det sætter jeg altid op, til stor irritation for diverse udviklere, men det første som diverse expoits ofte gør er at hente mere software på nettet. Så hvis serveren ikke kan gå på nettet og man kun kan tilgå den på de porte man vil have så er man nået lidt af vejen.


Jeg ved godt at i hvertfald en dansk ISP havde noget sat op så man bare kunne komme ind på andre folks routere og bruteforce dem fordi admin port var åben for omverdenen.

Men i øvrigt så har der været flere sjove orme og ting til Linux og en rigtig god en til FreeBSD med Apache(iirc). Der er også rigtig mange sjove rootkits til Linux

Men i modsætning til Windows så er den måde folk kommer ind på som regel baseret på 2 ting. Den første er at de finder et hul i noget folk har lagt på(f.eks. noget website der har huller i softwaren) og derefter at folk er så dumme at køre deres webserver med administrator rettigheder eller de ikke har opdateret serveren og der er et hul som tillader at ikke root brugere kan eksekvere kommandoer med root rettigheder.

Jeg syntes de sikkerheds problemer jeg oftest har set er at alm bruger kan køre kommandoer som root rettigheder(men det kræver jo at de er kommet på maskinen først)

Gravatar #30 - arrogant
24. mar. 2009 14:27
mireigi (1) skrev:
Folk der ikke fatter god password-politik er egentlig selv ude om det. God, sex, admin, power og secret er nok ikke de bedste at bruge.


Så mit password sexpowergod er ikke skide godt?
Gravatar #31 - Bladtman242
24. mar. 2009 14:27
Jeg ved ikke om jeg skal grine eller græde.. det er skidt folk ikke kan lade være, det er vel en lsags hærværk de udfører, på den anden side kan jeg godt se det klassiske hacker argument; at alle disse orme og vira er den største drivkraft i øgelsen af vores online sikkerhed meeeen...

og selvom det selvfølgelig er "rigtigt" at man er mindre udsat for vira osv. når man kører linux eller lig. sp er det et dårligt argument når man vil overbevise windows brugere. for hvis alle windows brugerene (eller bare 10-20%) gik over til linux, så sku vi nok se vira/malware/orme rettet mod linux systemer.


@20: fuck du har en über cool bedste:) thumbsup herfra.
Gravatar #32 - inckie
24. mar. 2009 14:31
#31 du mangler secert!
Gravatar #33 - arrogant
24. mar. 2009 14:38
#32 kun dit sex liv som er secret.
Gravatar #34 - zymes
24. mar. 2009 14:45
Hvordan finder man ud af, om sin router er baseret på Linux Mipsel?
Gravatar #35 - Odyssey
24. mar. 2009 14:54
#11: Ja udskift den til en netgear, så er du i hvertfald sikker på at den er ligeså stabil som Windows ME
Gravatar #36 - squad2nd
24. mar. 2009 15:01
#20
Men lidt skal man vel prale.... hvor mange har lige en pensionist-mor der bruger Linux? ;-)


Din mor er jo en n00b! :D Min mor bruger FreeBSD! Dejligt konfigureret med OpenSSH så man kan... beklagelig fejl naturligvis... lukke ned for computeren når man ikke gider... æhm, jeg mener... når samtalen er færdig! :)
Gravatar #37 - T_A
24. mar. 2009 15:22
#34

Fejlen her har ikke noget med Linux at gøre men den måde folkende bag Netcomm NB5 modem har valgt at implimentere den.

Kender ingen dansk udbyder der bruger dette modem så hvis du bruger standard modemet fra din udbyder så er chancen for at du er ramt af dette meget lille.


Det er ikke et linux problem men Netcomm og nogle få "noname" mærker der har lavet en kæmpe fejl ved at lade WAN indgang stå åbent som standard enda helt uden password i nogle tilfælde.
Gravatar #38 - NeedNoName
24. mar. 2009 15:57
Bladtman242 (30) skrev:
Jeg ved ikke om jeg skal grine eller græde.. det er skidt folk ikke kan lade være, det er vel en lsags hærværk de udfører, på den anden side kan jeg godt se det klassiske hacker argument; at alle disse orme og vira er den største drivkraft i øgelsen af vores online sikkerhed meeeen...


Heh... Hvis der ikke var hackere, ville vi slet ikke have BRUG for sikkerhed, så godt hacker-argument! Eller... ;P

Hvad kom først - hønen eller ægget?
Gravatar #39 - IceDane
24. mar. 2009 17:13
TuxDK (5) skrev:
#1

Det er jo ikke en virus. Routeren bliver ikke inficeret af en virus. Den bliver udsat for et bruteforce attack, hvorefter den giver admin rettigheder (root), og der kan derefter installeres whatever.

#4
De fleste routere, specielt dem der kan kører linux, har en hard reset tast, der flasher den til original firmware. Så at gendanne dem er ikke noget problem.


Venligst oplys mig om, hvad der gør dette styk software der a) får adgang til en computer(Router i dette tilfælde) og derefter b) Bruger den uhensigtsmæssigt og/eller bliver brugt for at få adgang til andre computere, forskelligt fra en virus.

Gravatar #40 - Morfar_Toast
24. mar. 2009 18:00
Hvad gør man så hvis man slet ikke har nogen kode til sin router?
Gravatar #41 - Coney
24. mar. 2009 18:55
#40 sætter sig ned og tænker lidt over hvor totalt elendigt et forhold til sikkerhed man egentlig har:S
Gravatar #42 - Hubert
24. mar. 2009 19:12
T_A (37) skrev:
#34

Fejlen her har ikke noget med Linux at gøre men den måde folkende bag Netcomm NB5 modem har valgt at implimentere den.

Kender ingen dansk udbyder der bruger dette modem så hvis du bruger standard modemet fra din udbyder så er chancen for at du er ramt af dette meget lille.


Det er ikke et linux problem men Netcomm og nogle få "noname" mærker der har lavet en kæmpe fejl ved at lade WAN indgang stå åbent som standard enda helt uden password i nogle tilfælde.


Det er ganske simpelt ikke sandt.

Version 17 of the malware contains “shellcode for 30 different linksys models, and 10 netgear models, as well as several kinds of cable and dsl modems (15 different shellcodes)”

http://www.irc-junkie.org/2009-03-22/psyb0t-a-stea...
Gravatar #43 - Justin
24. mar. 2009 19:43
x-site (25) skrev:
#24min er så også sat op til kun at acceptere forbindelse via Konsol porten, elsker Cisco udstyr ^^


Sådan en har Zyxel ikke :(
Gravatar #44 - dgs
24. mar. 2009 19:56
Justin (43) skrev:
Sådan en har Zyxel ikke :(


nu kan du jo heller ikke lige sammenligne zyxel med cisco ;), der er jo en verden til forskel mellem de 2 mærker (her tænker jeg ikke på linksyscisco, men den ægte cisco vare:P)
Gravatar #45 - mcgreed
24. mar. 2009 20:28
Er der nogen der mellem alt OS-war-hate herinde som kan fortælle hvorledes folk kan finde ud af om de er blevet ramt?
Gravatar #46 - Zombie Steve Jobs
24. mar. 2009 20:30
#45 Se om du kan få fat i din router er mit gæt.
Gravatar #47 - Corfix
24. mar. 2009 23:45
NeedNoName (38) skrev:
Hvad kom først - hønen eller ægget?


Ægget self.

/On Topic

Ja nok drejer det sig om nemme passwords, men det er sku nogle ret krative folk som som lave de botnets må man sige.
Gravatar #48 - fastwrite1
25. mar. 2009 01:02
Hey gutter..

Hvis I skal have en god (faktisk meget god) og ultrastabil router/firewall - så hent PFSENSE - baseret på BSD kernen.

Jeg har en kammerat (min mentor, faktisk) som har installeret 2 x pfsense (failover, hvis den ene maskine ryger), og den styrer AL trafik mellem to lokationer hvor de er langt over 70 personer, som sender ultra meget trafik mellem hinanden, kørende på en bunke VPN'er, og den er ikke gået ned på noget tidspunkt.

Jeg kan varmt anbefale den, og jeg har den selv installeret på mit gear. Og jeg kigger jævnligt til den, bare for at se al den trafik den har opsnappet (den kan vise alt hvad man har lavet hvornår og på hvilken ip adresse, og hvilken port og hvilken protokol der er brugt.. det er helt vildt, og gratis..)

Gravatar #49 - thethufir
25. mar. 2009 07:19
Jeg mener nu bestemt linux vil være mindre udsat for virus/malware end windows selvom begge var lige populære, det er nemt for folk at komme og sige at den eneste grund til at linuxmaskiner ikke er ligeså udsatte som windowsmaskiner er pga. windows's popularitet! Det er bestemt en faktor man skal tage med i vurderingen, men jeg mener også at en mindst ligeså vigtig faktor er at en successfuld virus på linux skal kodes til at passe til rigtig mange forskellige linuxdistributioner med mange forskellige sikkerhedsniveauer og forskellige stier til programmer, forskelle i kernen osv. Hvor man i modsætning med windows har den samme (eller en lille håndfuld) forskellige kerner der skal kodes til.

Selvfølgelig kan det samme problem opstå for linux i og med at nogle distributioner er mere populære end andre (Ubuntu/Fedora).

Ontopic:
I dette tilfælde er der igen tale om et produkt med en specifik version af firmwaren der er udsat for en bruteforcing, og en bot der omkonfigurerer routeren. Hullet her ville kunne lappes med en firmware opdatering der inførte en strengere passwordpolitik og (alt efter om botten snakker med routeren på dens webadministrationsside eller via telnet/ssh) en ændring af kommandoer/menuer.

Synes det er sjovt der bliver lagt vægt på at routeren kører et linuxbaseret system, langt de fleste Enduser routerprodukter på markedet kører en modificeret version af et linux/unix, og ville på ingen måde være berørt af den her bug/virus.
Gravatar #50 - drenriza
25. mar. 2009 09:02
Det så nu jeg er glad for mit super router-password på 48 tegn/bogstaver/tal :p
gemt væk på en usb
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login