• Странное "поведение" рутера. Что это было?

    @ewgenc
    Роутер случаем не провайдеру принадлежит? А то это может быть банальное обновление прошивки с его стороны.
    Ответ написан
    3 комментария
  • Странное "поведение" рутера. Что это было?

    @rPman
    Могу предположить:
    это был взлом, целью которого подставить (взломать) кого то другого через твой роутер

    Т.е. атакер знает wifi параметры сети к которой подключается атакуемый, но этот роутер достаточно защищен чтобы с его помощью сделать атаку MitM, поэтому он взламывает твой роутер (например в нем как то можно подменить прошивку или просто прописать iptables правила в ssh/telnet терминале, обычно из локальной сети он доступен без пароля или по известному), настроив другое значение wssid и пароль, которое ожидает атакуемое клиентское устройство (например чей то телефон), и уже этот атакуемый подключается через твое устройство и его подключение идет через твое устройство по правилам атакующего.

    А то что атакующий за собой не прибрал, ну все совершают ошибки, почти наверняка это был готовый програмный комплекс (набор скриптов) которые делают все автоматически, и в конце он не сработал как надо и до конца за собой не подчистил

    p.s. поищи по логам факт успешной заливки прошивки а не ошибки, но в принципе нет особой нужды менять прошивку у устройства
    Ответ написан
    1 комментарий
  • Странное "поведение" рутера. Что это было?

    paran0id
    @paran0id
    Умный, но ленивый
    Как-то видел взломанный роутер. Это был Asus с открытым во внутреннюю сеть портом telnet. По telnet можно было авторизоваться с дефолтным паролем, смена пароля на веб-морду не затрагивала telnet.

    Очевидно, кто-то в сети за роутером поймал вирусню, которая пролезла по телнету на роутер и подменила адреса DNS-серверов, раздаваемых по DHCP. Собственно, ко мне и обратились с проблемой, что вместо любимых сайтов открывается порнуха. Тут понятен и механизм атаки, и цель. Зачем менять имя беспроводной сети - сходу придумать не могу.

    Могу посоветовать:
    • сбросить роутер на настройки по умолчанию
    • обновить прошивку до последней версии
    • отключить автоматическое обновление
    • поставить сложный пароль для администратора
    • отключить доступ извне
    • отключить доступ по telnet и ssh, если он есть
    • веб-морду перевесить с 80 порта на другой, если такая настройка есть.

    Ответ написан
    1 комментарий