У одного знакомого однажды внезапно поменялось имя сети wi-fi и сбросились вводные роутера.
Ситуация конечно в разных аспектах знакомая, но.
После некоторых рассуждений на тему обычного сбоя или же целенаправленного взлома устройства/сети, возникли следующие вопросы.
- Допустим, это был не взлом, а просто какой-то сбой рутера и сброс настроек.
Если это так, тогда почему настройки не сбросились до дефолтных, и имя сети поменялось (на сочетание цифр) и хотя это так прям сразу не наводит на мысль о том что это мог быть взлом, но все же это не дефолтные настройки.
А вообще - может ли рутер сброситься до дефолтных настроек, но при этом, к примеру, имя сети wi-fi сбросится не до дефолтного, а на какое-то другое?
(рутер, кстати, новый)
Мог ли подобный сбой со странностями произойти после самообновления прошивки рутера?
Плюс ко всему, пароль сети - он не просто поменялся, его нет в настройках, - точнее он как-будто есть, потому что настроено wpa2, и пароль запрашивается, но в графе пароль пусто. Это как?
- Другое дело что, допустим, это был взлом.
Если это так, то хотелось бы понять, даже пробуя поставить себя на место того человека которому что-то нужно было от взлома рутера (сразу скажу что удаленное управление рутером в настройках было выключено) или взлома wi-fi - зачем было для достижения своих каких-то целей так себя утруждать меняя название и пароль сети и таким образом раскрывать свои действия, имея возможность остаться незамеченным?
Безусловно это хорошо для того кто это заметил, потому что об этом можно было и не узнать, точнее говоря, это не то что бы хорошо, но лучше уж так, чем даже не знать о взломе.
И все же интересно, почему так.
Или же тут просто вопрос в умениях того кто занимался взломом? И так случилось не из-за намеренного желания раскрывать свои действия, а потому что просто пришлось каким-то таким способом достичь желаемого и только поэтому не получилось остаться незамеченным?
Но тогда опять же что это за странность с паролем от wi-fi который больше не совпадал ни с прежде установленным ни с дефолтным, и тем не менее wpa2 было настроено и пароль запрашивался, но в настройках рутера в графе пароля было пусто и при изменении и сохранении настроек система просила задать пароль. Это как?
В Docsis логе накануне произошедшего вроде бы ничего необычного.
Сообщения подобного типа без указания времени:
- SW upgrade Failed before download -TFTP Max Retry Exceeded
- TLV-11 - unrecognized OID;
- DHCP WARNING - Non-critical field invalid in response
- DHCP FAILED - Discover sent, no offer received
- DHCP FAILED - Critical field invalid in response
- Honoring MDD; IP provisioning mode = IPv4
- SYNC Timing Synchronization failure - Failed to acquire QAM/QPSK symbol timing;
Как-то видел взломанный роутер. Это был Asus с открытым во внутреннюю сеть портом telnet. По telnet можно было авторизоваться с дефолтным паролем, смена пароля на веб-морду не затрагивала telnet.
Очевидно, кто-то в сети за роутером поймал вирусню, которая пролезла по телнету на роутер и подменила адреса DNS-серверов, раздаваемых по DHCP. Собственно, ко мне и обратились с проблемой, что вместо любимых сайтов открывается порнуха. Тут понятен и механизм атаки, и цель. Зачем менять имя беспроводной сети - сходу придумать не могу.
Могу посоветовать:
сбросить роутер на настройки по умолчанию
обновить прошивку до последней версии
отключить автоматическое обновление
поставить сложный пароль для администратора
отключить доступ извне
отключить доступ по telnet и ssh, если он есть
веб-морду перевесить с 80 порта на другой, если такая настройка есть.
Могу предположить:
это был взлом, целью которого подставить (взломать) кого то другого через твой роутер
Т.е. атакер знает wifi параметры сети к которой подключается атакуемый, но этот роутер достаточно защищен чтобы с его помощью сделать атаку MitM, поэтому он взламывает твой роутер (например в нем как то можно подменить прошивку или просто прописать iptables правила в ssh/telnet терминале, обычно из локальной сети он доступен без пароля или по известному), настроив другое значение wssid и пароль, которое ожидает атакуемое клиентское устройство (например чей то телефон), и уже этот атакуемый подключается через твое устройство и его подключение идет через твое устройство по правилам атакующего.
А то что атакующий за собой не прибрал, ну все совершают ошибки, почти наверняка это был готовый програмный комплекс (набор скриптов) которые делают все автоматически, и в конце он не сработал как надо и до конца за собой не подчистил
p.s. поищи по логам факт успешной заливки прошивки а не ошибки, но в принципе нет особой нужды менять прошивку у устройства
Спасибо за ответ.
Рутер конечно от провайдера, но ему не принадлежит. В настройках самообновление фирмача. Но даже если бы дело было в провайдере, который бы отвечал за обновления - мысль конечно интересная, что типо после их обновления случился сбой, - но таким же образом можно было бы предположить сбой/сброс и после самообновления рутера. Другой вопрос в том, что если сброс рутера произошел после сбоя при самообновления фирмача, мог ли рутер сброситься до дефолтных настроек, но при этом, к примеру, имя сети wi-fi сбросится не до дефолтного, а на какое-то другое? Ну конечно не что-то вроде "Privet_ot_buratino", тут все понятно было бы, а какой-то набор цифр в названии сети, это еще как-то вписывается в теорию сбоя, а не взлома.
Провайдер раскатал обновление, кому-то встало без проблем, у вас с ошибками. Случай не первый, и не последний, похожие тут обсуждались. Купите нормальный роутер и сами его администрируйте.
Простой
Средний
