Příspěvekod mpcz » 6 years ago
to Standula: to jsem udělal jako první. Nic. Bohužel, nevím, jestli to chrlení na port Winboxu 8291 je trvalé nebo si třeba vytváří pauzičky z důvodu maskování této činnosti a už se nesnaží infikovat další stroje. Dále nevím, co to je za "mód", když už ten dobrák RB zamkne. Ping na zařízení funguje normálně, provoz také není omezen, takže tuto eventuální činnost může provádět delší dobu bez povšimnutí. (Dokud někdo neudělá pokus o přihlášení).
No a teď ta důležitá věc: co s tím? Je možné, že útočník po nějaké době RB zase odemkne, kdosi tu psal, že se do něj nakonec dostal. Na to bych se ale moc nespoléhal. Tento RB je docela dobře přístupný, není problém hodit reset. Jenomže: je to dostačující? Někdo tu psal o dvou part., což by mohlo umožnit přežít reset, jenomže - umíme tuto variantu nějak spolehlivě detekovat? Ostatně ta detekce "čistého" stroje by se velice hodila. Ještě by bylo zajímavé podívat se, proč MKT vytvořil sám od sebe ten backup a hlavně, co v něm je. Je někde dešifrátor těch backupů?
Bohužel výrobce nic. Umí to někdo? Sice je to jen na základu dojmologie, ale pevně věřím, že to nemůže být zas tak velký problém. Vždyť i ta skrytá část i když není vidět, musí zabírat nějaké místo. Kde jsou ti odborníci na Linux? A kolega K3NY se svými cvičenými opicemi? Děkuji, mpcz, 1.jun.2018
0 x