Nový červ psyb0t napadá modemy a routery!

Daval jsem odkazy, kde je utok presne popsany ;) Pravda, je to anglicky :D

Ve zkratce- brutalforce dictionary utok na heslo. Napadnutelne jsou routery, ktere maji povoleny ssh nebo telnet pristup k systemu z venci, ovsem v popisu se uvadi ze se jsou zranitelne i ty, ktere maji povolene ssh ci telnet z vnitrni LAN a prevazne ty z default loginem. Zbytek utoku (doinstalace backdooru pomoci wget, pripojeni a rizeni pres IRC kanal utocnika) si doctete sami z popisu.

Botnet je v tuto chvili nejspis nevyuzivany. Prvni zminky o tomto utoku jsou z konce roku 2008, takze az tak aktualni to taky neni :)

A právě proto používám hesla typu 3JGrxtIv_WGAuQdJ

Dik, jdu to zkusit

Jak velká je šance prolomení takového 16-ti znakového hesla (3JGrxtIv_WGAuQdJ)? Podobné mám snad všude (e-mail, router, internetové obchody, apod.). Zajímalo by mě proto, jak obtížně se takové heslo dá prolomit?

To spocitas tazko, ale da sa aspon odhadnut. Na take heslo by si potreboval utok hrubou silou na vsetky male a velke pismena (26x2,) cisla (10) a specialne znaky (tusim 30.) To dava 92 znakov na "policko." Policok mas 16. Cize 92^16 moznosti. Ale nakolko nikto nevie, kolko znakove je tvoje heslo, musi ist pekne po poradi. Cize 92^1 pre jednoznakove plus 92^2 pre dvojznakove 92^3... atd. Vysledok dava pocet pokusov vyjadreny cislom "26 a 30 nul."

A ako zvlasny bonus potom este treba zaratat fakt, ze ssh na kazde neuspesne prihlasenie odpovie az po 3 sekundach. Cize by to trvalo "78 a 30 nul" sekund, cize trocha dlhsie, nez vecnost

Děkuji za vyčerpávající odpověď

Jenze ono to neni jen o heslu. Heslo muzes mit jake chces, ale kdyz ti ho ukradne z kompu nejaky malware, keylogger ci cokoliv a nekam jej odesle, je ti cele heslo nanic at je sebeslozitejsi.

Jednoduse velmi mala... Jestli se chces pobavit, zkus si WinRARem zaheslovat archiv a pak si treba ze stahuj.cz sezen nejaky "odheslovavac". Nechce se mi hledat a nevzpomenu si na jmeno, ale jeden z nich (byval freeware) umel jednoduchy brutalforce na takovy archiv. Definovala se delka hesla, pouzite znaky, zda je heslo i case sensitive, nebo jestli obsahuje cislice. Behem utoku zobrazoval cas, jak dlouho mu to bude trvat. Pak si muzes udelat malou predstavu. Pokud by se do toho plnou silou oprel cely botnet, nejspis ti driv pretizi router, nez ziskaji takoveto heslo.

Ses v bezpeci :) Kazdopadne uz jsem delsi dobu nevidel router s povolenym telnetem nebo ssh (resp.tyto masinky se u domacich uzivatelu v nasich koncinach snad ani nevyskytuji). To co se pouziva je web rozhranni, ktere neni timto utokem zneuzitelne.

No to ze webove rozhrani pro takovyto utok neni zneuzitelne neni pravda. Nekde v krabici mam asi 3 roky stary linksys 300N a kdesi v utilitach ma funkci ping na libovolnou adresu. Tam kdyz se napise ping, strednik (nejsem si jisty jestli presne takto) a jakykoliv prikaz, tak se tento prikaz provede. Tudiz lze spustit jakykoliv kod.

No, budiz, ale asi jste si neprecetl, ze utok je veden na port telnetu a ssh ne web rozhranni (80, 8080 apod.).

jen otázka: pokud mám změněné porty pro administraci, tak s tím takový vir počítá?

AMD64 fan; 64-bit lama; utf-8 fan & user; HTML format for docs fan;

1.) Nemá normální domácí uživatel většinou zakázaný přístup zvenku?

2.) Ten vir se tam nahraje jak? To by musel v podstatě přehrát na jiný/jeho firmware, ne?

Ad 1) jak které zařízení.

Ad 2) útok jde obvykle zkoušením defaultních jmen / hesel, případně brute force hádáním hesla do administrace a červ pak do zařízení nahraje upravený firmware.

Další otázka:

Když tedy červ nahraje do zařízení nový upravený firmware, tak se nemůže týkat všech zařízení, protože každé zařízení má různý firmware a červ musí zjistit, jaký tam je a podle toho nahrát adekvátní upravený balast, že? Ztrácí se tím záruka na přístroj?

Někdo sem hodil link s informací, že se zaměřuje na krabice od jistých firem.

Neztrácí, v nejhorším nahraješ defaultní firmware a jedeš dál.

To ale nemusí byť možné. Nahranie nového fw potrebuje funkčný predchádzajúci fw....

Jistě, červ pravděpodobně nemá zdroje všech možných firmwarů, aby mohl upravit každé zařízení. Na druhou stranu, stačí mu možnost vyexportovat konfiguraci a nahrát jakýkoli kompatibilní firmware, do kterého zapíše původní konfiguraci. Třeba v případě routerů od Linksysu má na výběr z hromady kompatibilních firmwarů. Navíc kdo a jak často do webadminu routeru leze, aby to odhalil? Pokud router "routuje", není důvod do něj lézt.

Na záruku by to vliv mít nemělo.

jen na to probůh tolik neupozorňujte, od koho pak budu sosat internet zadarmo

Tak by me zajimalo,jak se da zjistit, jestli mam uz router nakazenej nebo ne......

Čuchni si k němu.

Ale opatrně, je to nakažlivý!

Standardne byva administrace techto zarizeni zakazana z venkovni site. Tak hodne stesti

Kdyz je tam Linux, tak je to prece nezranitelny a absolutne bezpecny, to vam kazdej linuxak potvrdi

Hlavně, že widle sou bezpečný

http://www.novinky.cz/internet-a-pc/software/16... ...

Pravděpodobně jste nepochopil, že to z (ne)bezpečností OS jako takového nesouvisí. Že nějaky ovád je schopen mít na zařízení, na něž je možno přihlásit se ze sítě jméno/heslo admin/admin, admin/1234, apod., patří mu to.

kdyz tomu nerozumis, tak se neztrapnuj

To by snad melo problem resit, ne? Kdo z vas (nas) nastavuje router zvenku? Ja tedy vzdycky z vnitrni site, i kdyz uznavam ze asi v nekterych pripadech je i administrace z venku nutna..

No, týká se to převážně lidí, kteří mají hodně slabé (někdy i defaultní) heslo do administrace, takže ti asi přístup z venčí taky nezakážou. Když má někdo přihlašování admin/admin, tak je to prostě špatné ...

A není přístup zvenčí na většině routerů standardně zakázaný?

Btw nebylo by špatný udělat vir, který bude routery napad z vnitřní sítě - pokud už tedy v ní napadl nějaké stroje.

O2 defaultně má na všech tě stříbrnejch šmejdech admin/admin a přístup z venčí je defaultně povolený. Nemám ponětí jak to je teď, ale odhaduju, že pár tisíc těch stříbrných doma své místo má. Jeden čas jsem se bavil tim, že jsem skenoval veřejné adresy ve svém rozsahu a testoval 80 a 21 (nevim proč 21 to je FTP) port. Ty jsem potom zkoušel na admin/admin a přejmenovával SSID wifi sítí... Měl jsem někde list kde bylo cca 200 takto fungujících adres.

Pokud budou přístroje napadány ve velkým, myslím, že si s tím operátor nějak poradí a jako poslední, pokud doma má nějaký ajťák router, nebo modem, nepochybuji, že to má dobře zabazpečené. Já tomu moc nerozumím ale zabezpečené to mám relativně dobře. Modem v bridge modu, hned za tím MikroTik, a pak to jde do switche přes server na kterém běží FireHol, je sice otrava povolovat všechny služby, ale dá se to stihnout. Takže pokud se něco bude dít na modemu je mi to jedno, pokud bude fungovat. A pokud se něco bude dít doma na síti, tak to poznám.

...get a life dude, get a life...

vidíte to jak je ten Doggg strašně cool, protože používá zásadně cool výrazy, které neobsahují vůbec žádné informace, ale je to strašně mocinky cool, měli bychom mu poslat bonboniéru

Zato dvojitévéčtyřiredvězet těch informací podal celé desítky TB. A pokud neumíš cizí jazyky, tak si to nech přeložit.

Prosím o radu, zatím mám ten O2 modem Huawei v klasickém režimu, chtěl bych ho hodit do bridge módu. Jako router mám mikrotika. Poslal bys mi nějaký printscreen nastavení, jak to udělat? .. už jsem to zkoušel ale nechce to prolézt. e-mail: arnost649 ( a ) gmail.com

Mozna by stacilo jednou za mesic zmenit heslo a predpokladam, ze routery ukladajici sve nastaveni v textove nebo xml forme by mohly napadeni "nabonzovat". Kazdopadne by o tomhle mohlo zive prinest vice informaci, rad si poctu :)

Ono těch informací ani moc není,ta potvora byla objevena teprve nedávno

Hmm, nastesti se to tyka prevazne linksys a netgear routeru. Popis utoku na http://www.adam.com.au/bogaurd/... a dle http://www.irc-junkie.org/2009-03-22/psyb0t-a-steal... ... neni momentalne hrozba velka, rozsirovani botnetu bylo nejspis autory pozastaveno. Jeste ze jsem nemocny a mam tolik casu surfovat :D