mboost-dp1
Linksys
Det er firmaet DroneBL, der står bag opdagelsen af ormen psyb0t, som går efter routere baseret på Linux Mipsel.
Var jo bare et spørgsmål om tid før Linux-fanbois pral om ingen vira på/til Linux blev manet i jorden.
Folk der ikke fatter god password-politik er egentlig selv ude om det. God, sex, admin, power og secret er nok ikke de bedste at bruge.
mireigi (1) skrev:Var jo bare et spørgsmål om tid før Linux-fanbois pral om ingen vira på/til Linux blev manet i jorden.
Folk der ikke fatter god password-politik er egentlig selv ude om det. God, sex, admin, power og secret er nok ikke de bedste at bruge.
Det er da egentig ret godt gået at modsige sig selv på så kort et indlæg ;-)
Først skyder du efter linux og så medgiver du at det nok mest er fordi folk ikke fatter god password politik.
#1
Det er jo ikke en virus. Routeren bliver ikke inficeret af en virus. Den bliver udsat for et bruteforce attack, hvorefter den giver admin rettigheder (root), og der kan derefter installeres whatever.
#4
De fleste routere, specielt dem der kan kører linux, har en hard reset tast, der flasher den til original firmware. Så at gendanne dem er ikke noget problem.
Det er jo ikke en virus. Routeren bliver ikke inficeret af en virus. Den bliver udsat for et bruteforce attack, hvorefter den giver admin rettigheder (root), og der kan derefter installeres whatever.
#4
De fleste routere, specielt dem der kan kører linux, har en hard reset tast, der flasher den til original firmware. Så at gendanne dem er ikke noget problem.
Måske er jeg ikke for klog, men er der ikke en modsætning i artiklen.
Altså routeren virker dårligt, og brugeren bliver opmærksom på problemet
Jamen, den virker jo ikke...
Inficerede routere bliver efterfølgende konfigureret så de ikke tillader adgang via ssh, telnet eller web, således ejeren har svært ved at tilgå den.
Altså routeren virker dårligt, og brugeren bliver opmærksom på problemet
Problemet med infektionerne er at de er meget svære at opdage, da de færreste brugere tjekker deres router sålænge den fungerer.
Jamen, den virker jo ikke...
BluepaiN (4) skrev:Omend, så er routerer jo forholdsvis billige i dag.
Ville jo være langt værre, hvis man havde fået et rootkit ind som man ikke kunne fjerne, på ens dyrt købte gamer pc til 20 kilo bananer. Man kan jo altid købe noget nyt, hvis man ikke er tech-savy.
Så rootkit på gamer pc er umulige at fjerne?
Hvad med en reinstall? Det sletter vist de fleste vira ;-)
#7: Routeren virker fint, den kan bare ikke længere konfigureres.
Hvor tit logger du ind i din Router?
Og hvor tit logger Hr. og Fru. Danmark ind i deres router, hvis de overhovedet ved de har en?
Hvor tit logger du ind i din Router?
Og hvor tit logger Hr. og Fru. Danmark ind i deres router, hvis de overhovedet ved de har en?
Hald (11) skrev:min router ryger snart ud, den er så ustabil at man skulle tro den kørte windows..
Sorry to tell you bro', men uden den kommer du sgu nok ikke så langt. Er du i øvrigt sikker på at det ikke er din ISP der fejler noget, og ikke routeren?
x-site (13) skrev:#12 Men behøver ikke selv have en Router for at komme på nettet, det er nok at ens ISP har en.
Det kommer lidt an på hvor meget udstyr du vil koble på forbindelsen, og hvor mange IP'er din ISP vil dele ud.
Typisk uddeler ISP'en 1-3 IP'er, hvilket begrænser dig til 1-3 enheder lokalt, hvorfor mange vælger at sætte en router på, der giver mulighed for (praktisk talt) uendeligt antal enheder lokalt.
Jeg har svært ved at se det påvirke ydelsen, hverken for ny eller gammel pc.
#14 Det er rigtigt men i mit eksempel, basere jeg på det nummer 12 sagde med at man skal have en Router for at kunne komme på nettet, hvilket er forkert, men ja det er en fordel at have en specielt, hvis man har flere PC'er, og ens ISP kun tildeler 1-2 IP'er.
Mht. til ydelsen er det noget jeg erfaret, for en del år siden, hvor ADSL 256 Kbit/s var vildt, og Netsend var aktiveret pr default i windows XP, tror at det var AMD Duron 800 eller 1500 der var i maskinen samt 256 MB RAM, men med tilføjelsen af en Router sank CPU aktiveteten med omkring 10% +- 5% (kan dog godt være at jeg husker en smule forkert), men på computere i dag er det ikke rigtigt noget man lægger mærke til, der taler vi nok snare 0.1% eller mindre. og uden firewall på PC'en skal, vist også nævnes.
#16 Så vidt jeg læser nyheden så er det kun, hvis der kan logges ind på den via nettet, men kan ikke udelukke at den kan komme fra en inficeret pc på lokalnetværket.
Mht. til ydelsen er det noget jeg erfaret, for en del år siden, hvor ADSL 256 Kbit/s var vildt, og Netsend var aktiveret pr default i windows XP, tror at det var AMD Duron 800 eller 1500 der var i maskinen samt 256 MB RAM, men med tilføjelsen af en Router sank CPU aktiveteten med omkring 10% +- 5% (kan dog godt være at jeg husker en smule forkert), men på computere i dag er det ikke rigtigt noget man lægger mærke til, der taler vi nok snare 0.1% eller mindre. og uden firewall på PC'en skal, vist også nævnes.
#16 Så vidt jeg læser nyheden så er det kun, hvis der kan logges ind på den via nettet, men kan ikke udelukke at den kan komme fra en inficeret pc på lokalnetværket.
Lad mig se.... 192.168.10.1 .... jo, virker stadig ;-)
Men som sagt.... Brug stærke passwords og slå kun det til man bruger. Administrerer man via http, så slå dog telnet osv. fra.
En router er jo netop ikke anderledes end en PC. Linux og Windows er begge udsatte og jeg vil (lidt a'la #1) skide på folk der påstår at Linux er superhellig, mens windows er noget lort. Det er forskellige OS'er, granted.... MEN.... Windows benyttes på MANGE flere maskiner idag end Linux, hvilket også gør Windows til primært mål for virus og malware... that's a fact.... Men jeg tror bare #1 langede ud efter "De Religiøse" (fuldt ud forståeligt) og ikke efter folk der rent faktisk har en informeret viden om begge systemer og ikke bare skal "spille karl c00l"... Så forstår ikke flamebait-rating til #1, da det jo bare viser hvem der tilhører den gruppe og at han ramte plet?
Men jeg er da lidt stolt.... Min mor (65 år) bruger Ubuntu.... og hun er glad for det, når ikke lige det skaber flere problemer end det løser somme tider... hehe.... men hva'... det er jo det samme med Windows en gang imellem.... Det hedder En Computer ;-)
Men lidt skal man vel prale.... hvor mange har lige en pensionist-mor der bruger Linux? ;-)
Men som sagt.... Brug stærke passwords og slå kun det til man bruger. Administrerer man via http, så slå dog telnet osv. fra.
En router er jo netop ikke anderledes end en PC. Linux og Windows er begge udsatte og jeg vil (lidt a'la #1) skide på folk der påstår at Linux er superhellig, mens windows er noget lort. Det er forskellige OS'er, granted.... MEN.... Windows benyttes på MANGE flere maskiner idag end Linux, hvilket også gør Windows til primært mål for virus og malware... that's a fact.... Men jeg tror bare #1 langede ud efter "De Religiøse" (fuldt ud forståeligt) og ikke efter folk der rent faktisk har en informeret viden om begge systemer og ikke bare skal "spille karl c00l"... Så forstår ikke flamebait-rating til #1, da det jo bare viser hvem der tilhører den gruppe og at han ramte plet?
Men jeg er da lidt stolt.... Min mor (65 år) bruger Ubuntu.... og hun er glad for det, når ikke lige det skaber flere problemer end det løser somme tider... hehe.... men hva'... det er jo det samme med Windows en gang imellem.... Det hedder En Computer ;-)
Men lidt skal man vel prale.... hvor mange har lige en pensionist-mor der bruger Linux? ;-)
Softy (20) skrev:
Men jeg er da lidt stolt.... Min mor (65 år) bruger Ubuntu.... og hun er glad for det, når ikke lige det skaber flere problemer end det løser somme tider... hehe.... men hva'... det er jo det samme med Windows en gang imellem.... Det hedder En Computer ;-)
Men lidt skal man vel prale.... hvor mange har lige en pensionist-mor der bruger Linux? ;-)
Hehe, nej jeg må jævnligt tage turen ud til min mor for at hjælpe hende med Windows-relaterede problemer, (ikke fordi der ikke finde Linux relaterede). Jeg prøver at overtale hende til at købe en Mac, der er (efter min erfaring) en god del mindre vedligeholdelse...
#19
God idé. Hvis deres router ikke kørte et linux baseret system før, så skynd dig endelig at installer et, så det kan infektes...
#20
Pointen er at han langer ud efter noget totalt irrelevant. Han er den første poster, der var ingen der havde sagt noget som helst endnu.
Og det viser samtidig hans uvidenhed, da den ikke bliver "ramt" af en virus. Som jeg sagde tidligere, det er et bruteforce attack, og er i teorien komplet ligegyldigt hvilken OS den kører, men i det her tilfælde er den skræddersyet til at kører en serie kommandoer på et linux baseret system. At det overhoved er en nyhed værdig, er KUN fordi det er Linux den targetter. Hvis det havde været et hvilket som helst andet OS, havde vi ikke hørt noget. CIOS (Cisco IOS) er lige så sårbar, som det Linux drevede er. Hvis der var en der vel og mærke lavede en orm der targetede netop de systemer.
Men under alle omstændigheder, er det egentlig irrelevant, da budskabet i det her er du ikke skal lade din router står åben for internettet. Det er i meget få tilfælde, det kan bruges til noget. Linux eller ej.
Så som en anden sagde før mig: Hvis du kofigurer via web (lokalt), luk alt andet. Bloker alt indkommende fra internettets IP, til routerens lokal IP. Der er INGEN ting derude der har brug for at få adgang til din router. udover din ISP, men det er super sjælendt, og så kan man lige lukke dem ind når man snakker med dem.
God idé. Hvis deres router ikke kørte et linux baseret system før, så skynd dig endelig at installer et, så det kan infektes...
#20
Pointen er at han langer ud efter noget totalt irrelevant. Han er den første poster, der var ingen der havde sagt noget som helst endnu.
Og det viser samtidig hans uvidenhed, da den ikke bliver "ramt" af en virus. Som jeg sagde tidligere, det er et bruteforce attack, og er i teorien komplet ligegyldigt hvilken OS den kører, men i det her tilfælde er den skræddersyet til at kører en serie kommandoer på et linux baseret system. At det overhoved er en nyhed værdig, er KUN fordi det er Linux den targetter. Hvis det havde været et hvilket som helst andet OS, havde vi ikke hørt noget. CIOS (Cisco IOS) er lige så sårbar, som det Linux drevede er. Hvis der var en der vel og mærke lavede en orm der targetede netop de systemer.
Men under alle omstændigheder, er det egentlig irrelevant, da budskabet i det her er du ikke skal lade din router står åben for internettet. Det er i meget få tilfælde, det kan bruges til noget. Linux eller ej.
Så som en anden sagde før mig: Hvis du kofigurer via web (lokalt), luk alt andet. Bloker alt indkommende fra internettets IP, til routerens lokal IP. Der er INGEN ting derude der har brug for at få adgang til din router. udover din ISP, men det er super sjælendt, og så kan man lige lukke dem ind når man snakker med dem.
http://www.adam.com.au/bogaurd/PSYB0T.pdf skrev:It appears that Netcomm NB5 ADSL modems are not the only devices affected by this bot.
Modems with similar hardware configurations (unknown brands) from Italy, Brazil, Ecuador, Russia, Ukraine, Turkey, Peru, Malaysia,
Columbia, India and Egypt (and likely more countries) also seem to be affected, and are spreading the bot.
Det er altså ikke mange modems/routers der har denne fejl
http://www.adam.com.au/bogaurd/PSYB0T.pdf skrev:Several revisions of the NB5 modem shipped with a flaw which meant that the web configuration interface
was visible from the WAN side, accepting connections and allowing users to administer the modem using the
default username and password of 'admin' from outside the LAN. Furthermore, some of these modems
suffered from another flaw, meaning that by default, authentication was not enabled for the web interface –
meaning no username or password was required.
Dette er altså kun muligt fordi man ved en fejl har gjort det muligt at forbinde sig til interface på modem/router fra WAN siden.
Hvordan kan nogen lave sådan en fejl på et modem/router !!
Bah, så kan folk bare have nogle ordenlige passwords og/eller lade være med at sætte deres router op således den kan administreres fra hele verden. Hvis man skal have den slags services åbnet ud mod internettet, så lav i det mindste nogle filter regler der sørger for at det kun er fra de steder man vanligt forbinder sig fra som har adgang til de porte.
Det kunne også være en ide at vælge en ikke standard port. Det betyder i det mindste at diverse bots ikke bare skal søge på f.eks port 22.
Endeligt kunne det være en godt ide at man ikke tillader at ens servere og routere ikke får lov til at gå på nettet. Det sætter jeg altid op, til stor irritation for diverse udviklere, men det første som diverse expoits ofte gør er at hente mere software på nettet. Så hvis serveren ikke kan gå på nettet og man kun kan tilgå den på de porte man vil have så er man nået lidt af vejen.
Jeg ved godt at i hvertfald en dansk ISP havde noget sat op så man bare kunne komme ind på andre folks routere og bruteforce dem fordi admin port var åben for omverdenen.
Men i øvrigt så har der været flere sjove orme og ting til Linux og en rigtig god en til FreeBSD med Apache(iirc). Der er også rigtig mange sjove rootkits til Linux
Men i modsætning til Windows så er den måde folk kommer ind på som regel baseret på 2 ting. Den første er at de finder et hul i noget folk har lagt på(f.eks. noget website der har huller i softwaren) og derefter at folk er så dumme at køre deres webserver med administrator rettigheder eller de ikke har opdateret serveren og der er et hul som tillader at ikke root brugere kan eksekvere kommandoer med root rettigheder.
Jeg syntes de sikkerheds problemer jeg oftest har set er at alm bruger kan køre kommandoer som root rettigheder(men det kræver jo at de er kommet på maskinen først)
Det kunne også være en ide at vælge en ikke standard port. Det betyder i det mindste at diverse bots ikke bare skal søge på f.eks port 22.
Endeligt kunne det være en godt ide at man ikke tillader at ens servere og routere ikke får lov til at gå på nettet. Det sætter jeg altid op, til stor irritation for diverse udviklere, men det første som diverse expoits ofte gør er at hente mere software på nettet. Så hvis serveren ikke kan gå på nettet og man kun kan tilgå den på de porte man vil have så er man nået lidt af vejen.
Jeg ved godt at i hvertfald en dansk ISP havde noget sat op så man bare kunne komme ind på andre folks routere og bruteforce dem fordi admin port var åben for omverdenen.
Men i øvrigt så har der været flere sjove orme og ting til Linux og en rigtig god en til FreeBSD med Apache(iirc). Der er også rigtig mange sjove rootkits til Linux
Men i modsætning til Windows så er den måde folk kommer ind på som regel baseret på 2 ting. Den første er at de finder et hul i noget folk har lagt på(f.eks. noget website der har huller i softwaren) og derefter at folk er så dumme at køre deres webserver med administrator rettigheder eller de ikke har opdateret serveren og der er et hul som tillader at ikke root brugere kan eksekvere kommandoer med root rettigheder.
Jeg syntes de sikkerheds problemer jeg oftest har set er at alm bruger kan køre kommandoer som root rettigheder(men det kræver jo at de er kommet på maskinen først)
Jeg ved ikke om jeg skal grine eller græde.. det er skidt folk ikke kan lade være, det er vel en lsags hærværk de udfører, på den anden side kan jeg godt se det klassiske hacker argument; at alle disse orme og vira er den største drivkraft i øgelsen af vores online sikkerhed meeeen...
og selvom det selvfølgelig er "rigtigt" at man er mindre udsat for vira osv. når man kører linux eller lig. sp er det et dårligt argument når man vil overbevise windows brugere. for hvis alle windows brugerene (eller bare 10-20%) gik over til linux, så sku vi nok se vira/malware/orme rettet mod linux systemer.
@20: fuck du har en über cool bedste:) thumbsup herfra.
og selvom det selvfølgelig er "rigtigt" at man er mindre udsat for vira osv. når man kører linux eller lig. sp er det et dårligt argument når man vil overbevise windows brugere. for hvis alle windows brugerene (eller bare 10-20%) gik over til linux, så sku vi nok se vira/malware/orme rettet mod linux systemer.
@20: fuck du har en über cool bedste:) thumbsup herfra.
#20
Din mor er jo en n00b! :D Min mor bruger FreeBSD! Dejligt konfigureret med OpenSSH så man kan... beklagelig fejl naturligvis... lukke ned for computeren når man ikke gider... æhm, jeg mener... når samtalen er færdig! :)
Men lidt skal man vel prale.... hvor mange har lige en pensionist-mor der bruger Linux? ;-)
Din mor er jo en n00b! :D Min mor bruger FreeBSD! Dejligt konfigureret med OpenSSH så man kan... beklagelig fejl naturligvis... lukke ned for computeren når man ikke gider... æhm, jeg mener... når samtalen er færdig! :)
#34
Fejlen her har ikke noget med Linux at gøre men den måde folkende bag Netcomm NB5 modem har valgt at implimentere den.
Kender ingen dansk udbyder der bruger dette modem så hvis du bruger standard modemet fra din udbyder så er chancen for at du er ramt af dette meget lille.
Det er ikke et linux problem men Netcomm og nogle få "noname" mærker der har lavet en kæmpe fejl ved at lade WAN indgang stå åbent som standard enda helt uden password i nogle tilfælde.
Fejlen her har ikke noget med Linux at gøre men den måde folkende bag Netcomm NB5 modem har valgt at implimentere den.
Kender ingen dansk udbyder der bruger dette modem så hvis du bruger standard modemet fra din udbyder så er chancen for at du er ramt af dette meget lille.
Det er ikke et linux problem men Netcomm og nogle få "noname" mærker der har lavet en kæmpe fejl ved at lade WAN indgang stå åbent som standard enda helt uden password i nogle tilfælde.
Bladtman242 (30) skrev:Jeg ved ikke om jeg skal grine eller græde.. det er skidt folk ikke kan lade være, det er vel en lsags hærværk de udfører, på den anden side kan jeg godt se det klassiske hacker argument; at alle disse orme og vira er den største drivkraft i øgelsen af vores online sikkerhed meeeen...
Heh... Hvis der ikke var hackere, ville vi slet ikke have BRUG for sikkerhed, så godt hacker-argument! Eller... ;P
Hvad kom først - hønen eller ægget?
TuxDK (5) skrev:#1
Det er jo ikke en virus. Routeren bliver ikke inficeret af en virus. Den bliver udsat for et bruteforce attack, hvorefter den giver admin rettigheder (root), og der kan derefter installeres whatever.
#4
De fleste routere, specielt dem der kan kører linux, har en hard reset tast, der flasher den til original firmware. Så at gendanne dem er ikke noget problem.
Venligst oplys mig om, hvad der gør dette styk software der a) får adgang til en computer(Router i dette tilfælde) og derefter b) Bruger den uhensigtsmæssigt og/eller bliver brugt for at få adgang til andre computere, forskelligt fra en virus.
T_A (37) skrev:#34
Fejlen her har ikke noget med Linux at gøre men den måde folkende bag Netcomm NB5 modem har valgt at implimentere den.
Kender ingen dansk udbyder der bruger dette modem så hvis du bruger standard modemet fra din udbyder så er chancen for at du er ramt af dette meget lille.
Det er ikke et linux problem men Netcomm og nogle få "noname" mærker der har lavet en kæmpe fejl ved at lade WAN indgang stå åbent som standard enda helt uden password i nogle tilfælde.
Det er ganske simpelt ikke sandt.
Version 17 of the malware contains “shellcode for 30 different linksys models, and 10 netgear models, as well as several kinds of cable and dsl modems (15 different shellcodes)”
http://www.irc-junkie.org/2009-03-22/psyb0t-a-stea...
Justin (43) skrev:Sådan en har Zyxel ikke :(
nu kan du jo heller ikke lige sammenligne zyxel med cisco ;), der er jo en verden til forskel mellem de 2 mærker (her tænker jeg ikke på linksyscisco, men den ægte cisco vare:P)
Hey gutter..
Hvis I skal have en god (faktisk meget god) og ultrastabil router/firewall - så hent PFSENSE - baseret på BSD kernen.
Jeg har en kammerat (min mentor, faktisk) som har installeret 2 x pfsense (failover, hvis den ene maskine ryger), og den styrer AL trafik mellem to lokationer hvor de er langt over 70 personer, som sender ultra meget trafik mellem hinanden, kørende på en bunke VPN'er, og den er ikke gået ned på noget tidspunkt.
Jeg kan varmt anbefale den, og jeg har den selv installeret på mit gear. Og jeg kigger jævnligt til den, bare for at se al den trafik den har opsnappet (den kan vise alt hvad man har lavet hvornår og på hvilken ip adresse, og hvilken port og hvilken protokol der er brugt.. det er helt vildt, og gratis..)
Hvis I skal have en god (faktisk meget god) og ultrastabil router/firewall - så hent PFSENSE - baseret på BSD kernen.
Jeg har en kammerat (min mentor, faktisk) som har installeret 2 x pfsense (failover, hvis den ene maskine ryger), og den styrer AL trafik mellem to lokationer hvor de er langt over 70 personer, som sender ultra meget trafik mellem hinanden, kørende på en bunke VPN'er, og den er ikke gået ned på noget tidspunkt.
Jeg kan varmt anbefale den, og jeg har den selv installeret på mit gear. Og jeg kigger jævnligt til den, bare for at se al den trafik den har opsnappet (den kan vise alt hvad man har lavet hvornår og på hvilken ip adresse, og hvilken port og hvilken protokol der er brugt.. det er helt vildt, og gratis..)
Jeg mener nu bestemt linux vil være mindre udsat for virus/malware end windows selvom begge var lige populære, det er nemt for folk at komme og sige at den eneste grund til at linuxmaskiner ikke er ligeså udsatte som windowsmaskiner er pga. windows's popularitet! Det er bestemt en faktor man skal tage med i vurderingen, men jeg mener også at en mindst ligeså vigtig faktor er at en successfuld virus på linux skal kodes til at passe til rigtig mange forskellige linuxdistributioner med mange forskellige sikkerhedsniveauer og forskellige stier til programmer, forskelle i kernen osv. Hvor man i modsætning med windows har den samme (eller en lille håndfuld) forskellige kerner der skal kodes til.
Selvfølgelig kan det samme problem opstå for linux i og med at nogle distributioner er mere populære end andre (Ubuntu/Fedora).
Ontopic:
I dette tilfælde er der igen tale om et produkt med en specifik version af firmwaren der er udsat for en bruteforcing, og en bot der omkonfigurerer routeren. Hullet her ville kunne lappes med en firmware opdatering der inførte en strengere passwordpolitik og (alt efter om botten snakker med routeren på dens webadministrationsside eller via telnet/ssh) en ændring af kommandoer/menuer.
Synes det er sjovt der bliver lagt vægt på at routeren kører et linuxbaseret system, langt de fleste Enduser routerprodukter på markedet kører en modificeret version af et linux/unix, og ville på ingen måde være berørt af den her bug/virus.
Selvfølgelig kan det samme problem opstå for linux i og med at nogle distributioner er mere populære end andre (Ubuntu/Fedora).
Ontopic:
I dette tilfælde er der igen tale om et produkt med en specifik version af firmwaren der er udsat for en bruteforcing, og en bot der omkonfigurerer routeren. Hullet her ville kunne lappes med en firmware opdatering der inførte en strengere passwordpolitik og (alt efter om botten snakker med routeren på dens webadministrationsside eller via telnet/ssh) en ændring af kommandoer/menuer.
Synes det er sjovt der bliver lagt vægt på at routeren kører et linuxbaseret system, langt de fleste Enduser routerprodukter på markedet kører en modificeret version af et linux/unix, og ville på ingen måde være berørt af den her bug/virus.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund