- Роутер зомбі або як зберегти свій домашній роутер від вірусів. 1. Загальна інформація. Відразу...
- Шляхи зараження.
- Як домашньому користувачеві дізнатися, чи заражений його роутер?
- Головне питання - як налаштувати домашній роутер безпечним чином?
- І взагалі
Роутер зомбі або як зберегти свій домашній роутер від вірусів.
1. Загальна інформація.
Відразу до справи - перевірте свій роутер прямо зараз - ОНЛАЙН ПЕРЕВІРКА ДЛЯ роутер .
2. Шляхи зараження роутера.
3. Як дізнатися, що роутер вже заражений.
4. Як "вилікувати" роутер і захистити на майбутнє?
Безпека Wi-Fi
Шановні читачі. З метою економії Вашого часу. Відразу про головне. ВСЕ нижчевикладене допомагає при наявності троянів або вірусів на компі на 5-7 днів. Під час цього періоду йдуть скани з інтернету, зате ПІСЛЯ злому настає підозріла тиша - сканів немає - їх уже не пропускає в ПК заражений роутер, він приймає команди та виконує їх. Це позначається на швидкості інтернету - вона падає.
Якщо ваш роутер вже заражений, то крадіжка FTP, поштових та інших паролів справа найближчого часу.
Уже в 2009р. хтось DroneBL повідомив світові про (початку?) епідемії вірусів які вражають роутери. Його новина з'явилася після атаки на сайт, адміністратори цього сайту виявили, що це принципово новий вид серед Ddos атак. Атака була проведена зараженими роутерами. Так що тепер, "сімейство" зомбі-копьютеров, знайшло поповнення - зомбі-роутери. Була виявлена ботнет-мережу, яка складалася з домашніх заражених роутерів! Назвали цю мережу «psyb0t». Так офіційно почалася епідемія вірусів роутера.
Злом відбувається шляхом сканування портів роутера і захоплення контролю над ним. На жаль, в інеті плодяться статті як саме ту або іншу модель роутера зламати найпростіше. Зате саме там можна дізнатися як же захиститися від цієї біди. Після встановлення контролю над роутером починався шпигунство за вмістом проходить трафіку. Крадіжка паролів. Приєднання до загальної шкідливої діяльності ботнет мережі в світовому інеті. Сканування портів домашнього ПК, а ось тут зупинюся детальніше. Автору вдалося відстежити, що наявність мережевого підключення до зламали роутера призводить до таких проблем. При перевстановлення файрволла в системі "нізвідки" з'являються віруси. При спробі виконати установку Дебіан або Убунту з одночасним завантаженням оновлень в процесі установки ці системи встановлювалися некоректно. А саме
- Запуск встановленого Firestarter неможливий - відбувається запуск адміністративної функції і все. тобто, щось запускається з адмін привілеями, але що невідомо. Firestarter просто не запускається.
- При наявності інет підключення НЕ запускається Deadbeef, при відключенні роутера він тут же включається.
- Частина додатків, що вимагають адмін привілеїв запускаються без запиту пароля, інші не запускаються зовсім.
- Після написання цієї статті ці пункти стали менш виражені. Тобто проблеми будуть, але ВИГЛЯДАТИМЕ вони будуть по-іншому.
Повторна установка НА ЦЕЙ же комп'ютер, С ТОГО Ж інсталяційного диска, при вимкненому роутере відбувалася успішно. Система (перевірено на Убунту) працювала як годинник. Це не дивно, адже першими виявилися вразливими роутери з операційною системою Linux Mipsel. Звичайно, шкода що походить від зомбі роутера, "різноманітніше" чим я помітив і описав тут, але чим на даний момент багаті, тим і ділимося ...
До речі, якщо заражена система використовувалася для запису DVD дисків (я так зберігаю музику) то логічно припустити, що диски теж заражені. Тоді переустановку системи треба доповнювати чищенням від вірусів. Детальніше... І взагалі, користуйтеся хорошим антивірусом ...
Встановлена Вінда (при відключенні зараженому роутере) "вижила", але Agnitum Outpost Firewall Pro з перших же хвилин після установки, виявив скани портів. Тобто роутер атакує порт (и).
Мал. Сканування моїх портів з інтернету і, нарешті, з зараженого роутера.
Як видно на малюнку, 27.04.2017 в 23:51:16 і сталося сканування вже з зомбі роутера. До цього йшли скани від Kaspersky Security Network - 130.117.190.207 (фаерволл їх не "любить", але це норма при встановленому Касперськом) і незрозуміло звідки. І 27.04.12 був виконаний скидання налаштувань роутера до заводських (Huawei HG530). З тих пір відбуваються лише від Kaspersky Security Network - 130.117.190.207 і ARP_UNWANTED_REPLY - автор включив ARP фільтрацію. Тому спроби роутера зайвий раз "поговорити" з ПК (це нормальна активність роутера - але зараз Agnitum пропускає лише ті ARP відповіді, які приходять у відповідь на запит мого ПК), а також спроби деяких особистостей перехопити трафік за допомогою підробленого ARP відповіді блокуються фаєрволлом. Якщо хто то перехопить таким чином мій трафік і буде пропускати його через свій комп'ютер, то я буду в ролі офісного співробітника, котрий має інтернетом, в той час як системний адміністратор цього підприємства бачить всі мої дії, складаючи детальний звіт для начальника. Скільки листів (кому, про що) написано, скільки базікав в асьці. Зрозуміло паролі від пошти і т.д. теж можуть викрасти.
Підсумок - з того моменту, як я резетнул свій роутер і зробив те, що опишу нижче, немає атак з інету. "Стрілець" ліквідовано, роутер чистий і виконує ТІЛЬКИ то, для чого створений. Але троян на ПК теж повинен бути вилучений, інакше вже він буде наводити хакерів на ваш IP.
Ті, хто виготовляють мережеве обладнання, яке не пропонують заходів захисту. В інструкціях до роутера є опис, як ввести логін і пароль доступу до провайдера, але немає і слова, що пароль адміна за замовчуванням в роутері можна залишати! Крім того, роутери обов'язково мають елементи дистанційного керування, які часто включені. Виробники антивірусного софту мовчать. Мимоволі виникає питання, кому це вигідно.
Шляхи зараження.
Краще один раз побачити. Для чого пропоную гіф анімацію, зі схематичним розбором ситуації. Якщо її не видно, то заважає Адблок або щось подібне - виключьте його на цій сторінці.
Їх два. Перший - через WAN, він же інтернет. Тобто хакери знаходять Ваш IP, наприклад, коли Ви качаєте або роздаєте файли за допомогою торрент протоколу (про це в кінці статті) і скануючи Ваш IP знаходять слабкі місця в захисті роутера. Але це рідше. Як закрити ці ворота читаємо в цій статті далі.
Або ж, на нашому ПК є троян. І ось він то і наводить хакерів на наш динамічний (!) IP. Знаючи цю адресу вони вже методично "довбають" роутер. Читаємо про троянах в другому шляху зараження.
Другий - через LAN, тобто з Вашого ПК. Якщо на Вашому ПК троян, то хакери матимуть можливість підбирати пароль до роутера, прямо з вашого ПК. Тому цей пароль треба іноді міняти. А ось як бути з тим, що заражений комп'ютер буде намагатися зламати роутер з боку, з якої не передбачений захист? Для початку треба усвідомити, що чистий роутер при зараженому ПК протримається недовго. Звичайний брутфорс (підбір пароля методом перебору) зламає його за тиждень, а то і швидше. Так що, якщо чистити роутер доводиться часто, пора подумати про повної чищенні від вірусів.
А тепер момент. Звідки на ПК вірус / троян? Перераховую основні причини і в дужках шляхи вирішення. Варіанти такі:
1 - встановлена спочатку крякнути винда ( користуйтеся чистими установочними дисками );
2 - чисту вінду крекнули після установки (або терпите і встановлювати заново її щомісяця або купіть вінду);
3 - крякнутий софт (користуйтеся безкоштовними програмами або купуйте платний);
4 - вірус у вас в особистих файлах (виженете все особисті файли через чистку, як я описав в чищенні системи від вірусів );
5 - система заражена вже під час використання через флешку, інтернет, хрін знає як (захист - інтернет вивчаємо по-безпечного , Про флешки тут читайте , Про останній пункт промовчу).
6 - а у вас антивірус встановлений ? Це захист від вірусів, особливо, коли він вміє лікувати активне зараження системи.
Як домашньому користувачеві дізнатися, чи заражений його роутер?
1. Ви не можете увійти в панель управління. Або ще гірше - входите, але маєте обмеження і не можете змінити пароль адміна.
2. Ви змінили пароль, але увійти з ним вже не змогли - пароль змінено на невідомий вам у вас "під носом".
3. Як ми вже побачили, Agnitum Firewall (і інший фаерволл Esset, Ubuntu firewall), налаштований як видно на малюнку нижче, бачить, що сканує адресу 192.168.1.1 - у мене це і є мережеву адресу роутера, набравши ці цифри в рядку браузера я потраплю в свій панель управління своїм роутером.
Мал. Налаштування фаєрволла. Такі настройки дозволяють бачити сканування навіть одного порту - останнім часом хакери стали обережніше і не сканують відразу багато портів.
І цю адресу (тобто мій роутер) сканував мій ПК! Тут доречно порівняти з такою ситуацією. Ваш мобільник це засіб зв'язку, але коли він заражений (останнім часом мобілки все частіше використовують ОС, а де є операційна система - там можуть з'явитися віруси), то може стати засобом шпигунства за Вами.
3. Які ще ознаки можуть супроводжувати проблеми з роутером, я описав вище (зараження ПК при перевстановлення фаєрволла, установці Windows зі включеним роутером, проблеми з мережевими інсталяторами Лінукс).
Головне питання - як налаштувати домашній роутер безпечним чином?
Для початку необхідно розуміти, що для чистоти роутера потрібна чистота операційної системи. Необхідно встановлювати чисту OS Windows , потрібно очистити ПК (точніше особисті файли) від вірусів . Інакше троян на вашому ПК буде ламати ваш пароль на роутер брутфорсом. І доведеться щодня смикатися - вже підібрали чи ще ні? (Уже шпигують за ВСІМ трафіком проходять через роутер або тільки за частиною - що "підгляне" троян з компа, з урахуванням заважає йому антивіруса ...). "Сидячи" в роутері він зможе бачити всі, що проходить через роутер.
Починаю так, як ніби Ваш роутер ще не налаштований або заражений. викачуємо Puppy Linux live cd Slacko 5.3.3 і записуємо на болванку. Його робочий стіл буде вигдядеть так . Якщо Ви будете налаштовувати роутер із зараженою вінди, то пароль до нього тут же буде відомий хакерам. Завантажуємося з Puppy Linux live cd. Тепер ніякі віруси на жорсткі диску не зможуть шпигувати за тим, який пароль Ви задасте для адміна в роутері. (Але якщо вінда заразна - почнуть підбирати його відразу після завантаження OS Windows!)
- При вже наявному зараженні робимо резет Вашого роутера (як саме, читайте в інструкції до свого роутера). КОНТРОЛЬ - резетнутий роутер приймає Вас з заводським логіном і паролем і не дає виходу в інтернет. Поправка - Укртелеком зробив фінт і тепер відразу після резета роутер має доступ в інет. Це треба враховувати. Якщо Ви резетнулі, а вийти в інет виходить, то можливо настройки не скинуті. Доведеться тиснути на чарівну кнопку знову і знову. Іноді необхідно робити резет кілька разів поспіль! Відключаючи від телефонного дроту і від харчування. Huawei HG530 я так "вилікував", а ось мій старий Glitel GT-318RI так і залишився заражений вірусом для роутера - не допомагає ні скидання, ні заміна прошивки - як тільки він з'єднується з інтернетом, з'являються скани з адреси 192.168.1.1 ... хоча були часи, коли таких же сканів не було ...
- Завантажуємося з Puppy Linux live cd. Запускаємо браузер в цьому Лінукс. Для цього клацаємо на іконку з написом browse. УВАГА!!! Якщо виявилося, що інтернет доступний, то резет не виконано !!! Повторити і ЗНОВУ завантажити з Puppy Linux live cd !!!! Заражений роутер знаходиться під управлінням Лінукс вірусу, який, втім і в винде себе непогано почуває. Чи не налаштовуйте роутер з-під того Лінукса, який застав ще не резетнутий роутер.
Заходимо в управлінні роутером - набираємо 192.168.1.1 в браузері (перевірте за інструкцією - у деяких моделей цифри відрізняються). Якщо роутер не вдається знайти, налаштуйте підключення до мережі. Натисніть на ярлик connect - п'ятий праворуч від browse і там зазвичай все інтуїтивно просто. Головне вказати eth0 і Auto DHCP. Видаліть в роутері непотрібну обліковий запис користувача (на одному сайті я прочитав дослівно так "Ви не повірите, але на багатьох роутерах є незапароленая запис користувача і адміновская з паролем за замовчуванням". Виявляється, захопити контроль над таким роутером, це для хакерів як цукерку з'їсти .). Ми залишаємо ТІЛЬКИ запис admin. Міняємо її пароль на інший, наприклад як то так 234AbCdOpRs654 - увімкніть англ. розкладку, але вводите російську фразу, натискаючи приголосні (або кожну другу букву) разом з Shift. НІКОЛИ не запам'ятовуйте пароль до адміністративної облікового запису в Вашому браузері. Регулярно (раз на місяць, ну квартал) міняйте цей пароль щоб запобігти злому роутера. ЗНОВУ УВАГА! Якщо після зміни пароля адміністратора вхід в роутер не вдається, то в роутері все ще є зловредів !!! Знову робимо резет роутера (УПС! Забув - іноді його краще робити відключити вихід в телефонну мережу від роутера). Знову перезавантаження з Puppy Linux live cd. Це важливо, щоб з роутером контактувала "свіжа" операційна система. Таке можливо при завантаженні з Puppy Linux live cd - жорсткий диск не використовується, а DVD / CD диск чистий від вірусів.
Після зміни пароля переходимо до ACL - віддаленого управління.
3. На вкладці ACL
Як бачимо ACL - Enabled включений
ACL Rule Index - номер створюваного правила.
Active - діє правило чи ні - Yes означає що правило працює. Включаємо доступ для WEB додатків з інтерфейсу LAN. Так ми свій домашній роутер, будемо контролювати ТІЛЬКИ через LAN за допомогою браузера - куди і підключений домашній ПК. IP 192.168.1.2-192.168.1.3 і тиснемо Submit.
Application - Web додаток яке буде допущена до керування. Це звичайний браузер.
Interface - LAN - тут вказано, що управління можливо тільки по кабелю живлення, а не з WAN - інтернету. Чи не розслабляємося - все віруси живуть в ПК і будуть довбати саме з цих IP.
Submit - коли все введено тиснемо цю кнопку. В кінці налаштувань не забудьте перезавантажити роутер з поточними параметрами. Тоді вони відразу набудуть чинності.
4. Знов за рибу гроші! Вкладка Security. Якщо галочок немає, то дозволено віддалений доступ з інету по БУДЬ протоколу. Або по всім відразу. Я заборонив контролювати мій роутер з WAN (читай з інтернету) по всіх протоколах.
Вкладка Port Mapping. Ця штука потрібна для віддаленого доступу крізь роутер до, наприклад, домашньої веб камері. Наприклад, Ви хочете дозволити друзям подивитися "очима" цієї веб камери. Якщо таких планів немає - вимикайте цю функцію. Зрозуміло, на різних роутерах меню відрізняється, але суть не змінюється.
І ще момент - ЗАБУДЬТЕ про торрент трекер. Чому? Та тому, що стоячи на роздачі або закінчуючи по торрент протоколу файл, всім учасникам цієї роздачі відомо ВСЕ, що необхідно для злому Вашого ПК !!!! А саме:
- Ваш поточний IP.
- Тип Вашої операційної системи (Windows, Linux).
- Тип програми, використовуваної для закачування (uTorrent, BitTorrentі т.д.).
- Мало того, деякі навіть не спромагаються оновити свій торрент завантажувач і хакерам і всім бажаючим ясно видно, що наприклад в мережі хтось помагає застарілий uTorrent, уразливості якого вже відомі всім.
Ці дані чітко видно в меню ... самої програми торрент завантажувача. Таким чином, включивши торрент клієнт, і завантажуючи великий файл, Ви дуже сильно ризикуєте - чітко видно, який IP і яким чином слід зламувати. Але є невеликий фінт, який дозволяє обдурити хакерів. Поки що він діє. Встановіть собі програму Virtualboxі встановіть в неї операційну систему Ubuntu. Завантажуючи файли за допомогою Убунту встановленої в віртуальну машину Ви обманюєте хакерів - на Вашому IP видно Лінукс програма. І якщо закачування триває більше години, швидше за все Вас встигнуть «помітити» і атакувати. Деякі хакери спеціально стоять на роздачах великих файлів, чекаючи таким чином жертв. Але навіть якщо злом і станеться, то зламають ту систему, яка завантажувала файл - Убунту. А Ваша основна система (Windows) залишиться ціла ... Детальніше в моїй статті Скриня Пандори.
Окремо відзначу, що виявивши IP роутера, хакери починають сканувати його з тим, щоб знайти доступ до зашифрованого паролю і потім захопити контроль, використовуючи викрадений пароль. Так що, не залишайте роутер включеним, якщо зараз не потрібен доступ в інтернет.
АЛЕ !!! Навіть якщо завантажити використовуючи віртуальну машину, почнуть довбати Ваш роутер. Тут допоможе його відключення і повторне включення в процесі і ГОЛОВНЕ після закінчення завантаження торрента - провайдер видасть після перезапуску роутера новий динамічний IP і хакерам лише залишиться гадати, на якому тепер Ви адресу перебуваєте. І Ваш роутер теж ... Зрозуміло, на роздачах Ви не залишитеся - після закінчення завантаження слід відразу вимкнути програму торрент завантажувач, а ПІСЛЯ цього вимкнути і включити роутер.
І взагалі
НЕ ТРИМАЄТЕ роутер включення без ПОТРЕБИ! Не пускайте до свого майна мелкопакостних хакерів зайвий раз ... Не забувайте чистити роутер кожен раз, коли швидкість інтернет з'єднання необгрунтовано падає. Обережність не зашкодить ...
Ну все. Тепер можна взяти заводську інструкцію до Вашого роутера і вказати виданий інтернет провайдером логін і пароль. Зазвичай це робиться на вкладці WAN settings. Тепер Вашим роутером управляти через інтернет не вийде. По крайней мере, поки що.
Якщо система таки була заражена, варто подумати про повне очищення не тільки диска С, але і всіх запасів музики та інших файлів.
Як домашньому користувачеві дізнатися, чи заражений його роутер?Головне питання - як налаштувати домашній роутер безпечним чином?
Початку?
А ось як бути з тим, що заражений комп'ютер буде намагатися зламати роутер з боку, з якої не передбачений захист?
Звідки на ПК вірус / троян?
Як домашньому користувачеві дізнатися, чи заражений його роутер?
Головне питання - як налаштувати домашній роутер безпечним чином?
І доведеться щодня смикатися - вже підібрали чи ще ні?
Чому?