Вирусописатели полюбили Linux
Специалисты по компьютерной безопасности из фирмы Incapsula обнаружили крупный ботнет, состоящий из 40 тыс. устройств под управлением Linux.
Расследование показало, что этими устройствами являются домашние и офисные точки доступа Wi-Fi. Их заражение стало возможным благодаря беспечности их владельцев, которые не удосужились поменять заводской административный пароль (admin, password и т.п.). Злоумышленники сканировали диапазоны IP-адресов, выявляли такие устройства и пробовали зайти по дефолтным паролям. Если вход удавался, прошивка устройства модифицировалась и девайс становился частью ботнета.
Затем сеть из протрояненных устройств использовалась для проведения DDoS-атак, слежки за корпоративным трафиком, для доступа к камерам наблюдения и для поиска других устройств для последующего инфицирования.
Конкретные модели и марки роутеров не назывались, но сообщается, что больше всего в ботнете продукции фирмы Ubiquiti.
Чтобы и ваш роутер не угнали, специалисты рекомендуют:
- смените заводской пароль;
- отключите функцию удаленного администрирования через Web.
Комментарии
pomodor
15 мая, 2015 - 00:36
Подтверждаю. Не знаю насчет включенной функции внешнего администрирования, не встречал. А вот дефолтные пароли практически у каждого. Подрубишься через WPS, зайдешь на 192.128.1.1, а там — dlink/admin или admin/admin. Всё, появляется доступ к кнопке «Обновить прошивку», а дальше можно делать что угодно. Да и без перепрошивки трафик легко угнать, настроив редирект на свой комп. Для коммерческой конторы такой угон грозит серьезными потерями.
Дисклеймер: выполнял такую работу по заданию самой фирмы. Аудит безопасности, типа. Заниматься такими вещами без предварительного письменного разрешения владельца точки категорически не рекомендую.
Platon
15 мая, 2015 - 09:30
Если с роутерами SOHO-сегмента все понятно, не сменил логин/пароль по умолчанию — сам виноват, а вот как быть с аппаратурой от провайдера — кабельные и оптоволоконные GPON терминалы у этих машинок логин/пароль не меняется(просто нет такой опции), более того удаленный доступ тоже не отключить — прошивка обновляется автоматически с центральной станции или там все защищено поставщиком услуг?
Чингачгук
15 мая, 2015 - 13:34
это дурь владельцев, при чём тут уязвимость операционной системы?
pomodor
15 мая, 2015 - 16:55
Вероятно, у Вас запотели очки?! Где там хоть слово про "уязвимость операционной системы"? ;)
Intercessio
15 мая, 2015 - 21:54
он просто уже давно знает ущербность ОС.
Одними сменами паролей на винде никак не
защитится. Усложнить взлом - да.
Чингачгук
17 мая, 2015 - 11:18
Зачем же так... Заголовок статьи четко указывает на ОС. Складывается впечатление, что вирусописатели стали успешно и с удовольствием "работать" именно с Linux. Если имелось что-то другое в виду, а по содержанию статьи именно это и получается, то формулировка заголовка по меньшей мере неудачна. Так что вопрос вполне корректен в контексте несоответствия заголовка и текста.
jtad
17 мая, 2015 - 12:56
"Заголовок статьи четко указывает на ОС"
ну потому что наверно нет рутера с виндовозной прошивкой :) , подавляющее большинство на линукс, если конечно производитель не изобрел что нибудь свое
происходит "благодаря беспечности их владельцев" это факт. Я знаю случаи когда даже админы со стажем так прокалывались. Рутеры не вечны, но и меняются не часто. При его смене некоторым автоматом кажется что все уже настроил.
pomodor
17 мая, 2015 - 23:22
Именно так и есть. С удовольствием пишут троянские прошивки под девайс с Линуксом. Это и есть программирование под Linux. Девочки, чего опять разнылись? Что опять не так?
Комментировать