@guest345234

Странное «поведение» рутера. Что это было?

У одного знакомого однажды внезапно поменялось имя сети wi-fi и сбросились вводные роутера.
Ситуация конечно в разных аспектах знакомая, но.

После некоторых рассуждений на тему обычного сбоя или же целенаправленного взлома устройства/сети, возникли следующие вопросы.

- Допустим, это был не взлом, а просто какой-то сбой рутера и сброс настроек.

Если это так, тогда почему настройки не сбросились до дефолтных, и имя сети поменялось (на сочетание цифр) и хотя это так прям сразу не наводит на мысль о том что это мог быть взлом, но все же это не дефолтные настройки.
А вообще - может ли рутер сброситься до дефолтных настроек, но при этом, к примеру, имя сети wi-fi сбросится не до дефолтного, а на какое-то другое?
(рутер, кстати, новый)
Мог ли подобный сбой со странностями произойти после самообновления прошивки рутера?

Плюс ко всему, пароль сети - он не просто поменялся, его нет в настройках, - точнее он как-будто есть, потому что настроено wpa2, и пароль запрашивается, но в графе пароль пусто. Это как?

- Другое дело что, допустим, это был взлом.

Если это так, то хотелось бы понять, даже пробуя поставить себя на место того человека которому что-то нужно было от взлома рутера (сразу скажу что удаленное управление рутером в настройках было выключено) или взлома wi-fi - зачем было для достижения своих каких-то целей так себя утруждать меняя название и пароль сети и таким образом раскрывать свои действия, имея возможность остаться незамеченным?
Безусловно это хорошо для того кто это заметил, потому что об этом можно было и не узнать, точнее говоря, это не то что бы хорошо, но лучше уж так, чем даже не знать о взломе.
И все же интересно, почему так.

Или же тут просто вопрос в умениях того кто занимался взломом? И так случилось не из-за намеренного желания раскрывать свои действия, а потому что просто пришлось каким-то таким способом достичь желаемого и только поэтому не получилось остаться незамеченным?

Но тогда опять же что это за странность с паролем от wi-fi который больше не совпадал ни с прежде установленным ни с дефолтным, и тем не менее wpa2 было настроено и пароль запрашивался, но в настройках рутера в графе пароля было пусто и при изменении и сохранении настроек система просила задать пароль. Это как?

В Docsis логе накануне произошедшего вроде бы ничего необычного.
Сообщения подобного типа без указания времени:

- SW upgrade Failed before download -TFTP Max Retry Exceeded

- TLV-11 - unrecognized OID;

- DHCP WARNING - Non-critical field invalid in response

- DHCP FAILED - Discover sent, no offer received

- DHCP FAILED - Critical field invalid in response

- Honoring MDD; IP provisioning mode = IPv4

- SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;
  • Вопрос задан
  • 211 просмотров
Пригласить эксперта
Ответы на вопрос 3
paran0id
@paran0id
Умный, но ленивый
Как-то видел взломанный роутер. Это был Asus с открытым во внутреннюю сеть портом telnet. По telnet можно было авторизоваться с дефолтным паролем, смена пароля на веб-морду не затрагивала telnet.

Очевидно, кто-то в сети за роутером поймал вирусню, которая пролезла по телнету на роутер и подменила адреса DNS-серверов, раздаваемых по DHCP. Собственно, ко мне и обратились с проблемой, что вместо любимых сайтов открывается порнуха. Тут понятен и механизм атаки, и цель. Зачем менять имя беспроводной сети - сходу придумать не могу.

Могу посоветовать:
  • сбросить роутер на настройки по умолчанию
  • обновить прошивку до последней версии
  • отключить автоматическое обновление
  • поставить сложный пароль для администратора
  • отключить доступ извне
  • отключить доступ по telnet и ssh, если он есть
  • веб-морду перевесить с 80 порта на другой, если такая настройка есть.

Ответ написан
@rPman
Могу предположить:
это был взлом, целью которого подставить (взломать) кого то другого через твой роутер

Т.е. атакер знает wifi параметры сети к которой подключается атакуемый, но этот роутер достаточно защищен чтобы с его помощью сделать атаку MitM, поэтому он взламывает твой роутер (например в нем как то можно подменить прошивку или просто прописать iptables правила в ssh/telnet терминале, обычно из локальной сети он доступен без пароля или по известному), настроив другое значение wssid и пароль, которое ожидает атакуемое клиентское устройство (например чей то телефон), и уже этот атакуемый подключается через твое устройство и его подключение идет через твое устройство по правилам атакующего.

А то что атакующий за собой не прибрал, ну все совершают ошибки, почти наверняка это был готовый програмный комплекс (набор скриптов) которые делают все автоматически, и в конце он не сработал как надо и до конца за собой не подчистил

p.s. поищи по логам факт успешной заливки прошивки а не ошибки, но в принципе нет особой нужды менять прошивку у устройства
Ответ написан
@ewgenc
Роутер случаем не провайдеру принадлежит? А то это может быть банальное обновление прошивки с его стороны.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы