Как слить с зараженного роутера дамп прошивки?

Question

[Jeditobe]

Как слить с зараженного роутера дамп прошивки?
DSL-2600U

Роутер заражен какой-то заразой. Подменяет сертификаты для андрод телефонов по вай-фай. Хочется ее изучить. Как слить? Есть контроль над роутером, но разбирать и паять не могу.
SSH пароль не подходит почему-то, а в веб-интерфейс зайти могу

Answer 1

[MgmZog]

Вы наверно хотели сказать, что по telnet не заходит? Там вроде нет ssh. И в принципе даже если зайдете, там не шелл, а ограниченный список команд только доступен.
А через веб ее слить, нужно искать уязвимости по идее в интерфейсе. Самый простое решение все-таки снять флешку на программатор.

PS. А может сертификаты подменяет провайдер?

Comments

[Winner_DE]

Как варик может тупо в настройках роутера где то покапались?

[Jeditobe]

Провайдер Ростелеком, маловероятно, что он меняет сертификаты. Ради эксперимента, попросил друга проверить на своем оборудовании подключении.

Подменяются не только сертификаты, лезут банеры с порнухой и предлагается скачать вирусню. При переключении на 3G все сразу пропадает.

Именно ssh, специально включил в настройках и выбрал в putty ssh. Коннект есть, но пароль не подходит.

В настройках роутера в вебинтерфейсе все чики-пуки. Никаких левых настроек. Очевиден инжект руткита через уязвимость.

Answer 2

[Борис Беньковский]

Подменяет сертификаты только для одного типа устройств? как-то подозрительно все это. Быть может криво настроили сертификаты? Пробовали с тех же телефонов обойти этот роутер (другой роутер, 3g). Вот что знаю, так если сертификат указать без цепочки доверенных источников, то как раз андройды будут говорить, что не подтвержден сертификат, а ios и desktop норм (nginx.org/ru/docs/http/configuring_https_servers.html раздел цепочки сертификатов)

Comments

[Jeditobe]

Подменяются не только сертификаты, лезут банеры с порнухой и предлагается скачать вирусню. При переключении на 3G все сразу пропадает.

В настройках роутера в вебинтерфейсе все чики-пуки. Никаких левых настроек. Очевиден инжект руткита через уязвимость.

[solalex]

DNS сервера проверьте

Answer 3

[Виктор Савченко]

Слить харварно, разберите его, подключите jtag кабель и слейте дамп прямо с модуля памяти. Или через COM порт, пример похожей модели wierus.livejournal.com/3662.html

Это если у вас нет к нему доступа ни по telnet, ни по ssh

Comments

[Jeditobe]

telnet, ssh есть, но пароль почему-то не подходит, должен же совпадать с веб-интерфейсом?

Разбирать нет возможности.

[Виктор Савченко]

Jeditobe: Если он взломан то очевидно не все так просто. Если у вас в веьку есть доступ, так смените пароль оттуда, возможно телнет вообще отключен.