Bezpečnostní chyba v AirOS

[petr]

Davide dejte si openwrt.org do firewallu a nechte si ukladat kdo se snazil pripojit. Bylo to vyse poradeno a je to ucinne reseni jak odhalis napadene jednotky driv nez lehnou.

Nikdo se nepřihlašuje. To právě udělá MF

[helapc]

MF po infikaci stahuje z download.openwrt.org

[mpcz]

Davide dejte si openwrt.org do firewallu a nechte si ukladat kdo se snazil pripojit. Bylo to vyse poradeno a je to ucinne reseni jak odhalis napadene jednotky driv nez lehnou.

Zdravím,
můžeš prosím to zadání do FW poněkud upřesnit? Zadává se to jako název nebo IP nebo je těch IP více? Ověřil to už někdo v praxi, že je to OK?
Děkuji, mpcz, 22/05/2016

[helapc]

Ve firwwallu musíš zakozovat ip 78.24.191.177 na daný stroj se nedostanou samozřejmě ani lidé s regulérními požadavky.

[kdavid]

Zdar panove,

openwrt.org mam uz tyden blokovane... v podstate od propuknuti maleru.

Je to asi tim casovacem, nastesti se jedna jen o cca 7 kusu.

Dik
Dave

[ludvik]

Problém je v tom, že za
a) existuje mutace, co to tahá odjinud ... kdybych si tak vzpomenul.
b) samozřejmě se myslí na firewallu před tím UBNT. On MF totiž firewall sám sobě upraví ...

c) dost úspěšné je zakázání SSH. Po napadení (vložení souborů s kódem a hesly) se totiž snaží spustit. A to už dírou webu nejde, použije na to právě SSH - proto si upravuje jméno a heslo. No a když mu SSH nejde, tak to prostě nedodělá. Stačí smáznout /etc/persistent/mf.tar (ani ukládat nejspíš není potřeba, protože to červ neudělal) a reboot.
d) proti současným mutacím stačí i změnit porty ssh, http a https.

Ve firwwallu musíš zakozovat ip 78.24.191.177 na daný stroj se nedostanou samozřejmě ani lidé s regulérními požadavky.

[helapc]

Není lepší zakázat Web, jak jsme již psal na začátku? SSH použije až když si tam nahraje klíč.

[aliney]

Ze by?
http://www.rozhlas.cz/zpravy/technika/_ ... i--1614224

[ludvik]

Ono bez toho webu je to dost bezzubé, to že se nedá nic kloudně nastavit ještě vem čert, ale i rychlý nákuk na informace o spoji je pak prostě opruz. A nejsem si jistý, že jde povolit web bez rebootu ... musel by být na to fígl, který neznám.

Není lepší zakázat Web, jak jsme již psal na začátku? SSH použije až když si tam nahraje klíč.

A i když si to tedy u infrastrukturních věcí představím a budu to tak používat ... u klientských věcí je to prostě nemožné. U domácích wifi routerů stoprocentně.

[honzam]

Mě pořád nejde do hlavy jak s tím souvisí openwrt.org? Ten vir tam je umístěnej aby se mohl šířit dál? Proč už ho dávno někdo z openwrt nesmazal/nezakázal? Že by úmysl?

[ludvik]

Přečti si o něm Součástí AirOS není nic, čím by dokázal přistoupit na web. Takže si sosá curl. A to kdyby smazali, tak jim zbytek světa dost vynadá

[honzam]

Přečti si o něm Součástí AirOS není nic, čím by dokázal přistoupit na web. Takže si sosá curl. A to kdyby smazali, tak jim zbytek světa dost vynadá

Myslel jsem tu část MF kdyby smazali z openwrt webu. Nemyslím mazat celý web openwrt ten je samozřejmě užitečný

[ludvik]

jenže mf.tar odtamtud netahá ... to by pak byla obrana asi poměrně hodně jednoduchá. Alespoň v první fázi.

[honzam]

jenže mf.tar odtamtud netahá ... to by pak byla obrana asi poměrně hodně jednoduchá. Alespoň v první fázi.

a 5.6.5 dělá to že zakazuje scripty aby se nedalo nic tahat a tím pádem nedal spustit vir? Jak scriptovat s verzí 5.6.5?

[ludvik]

nijak.