Previous Entry Share Next Entry
2016-01

Нет слов, одни выражения

Появилось у меня давеча подозрение, что у меня малварь в сети поселилась. Ну это не то чтобы супер-неожиданно, виндовая сетка, туча машин и VM в разных локациях забриджена по L2, то-сё. Я хоть винду админить умею, но и особых иллюзий не испытываю - zero-day были, есть и будут.

Вижу лаги DNS резолва, лаги TCP коннектов - плавали, знаем. Потом и Гугл сказал, капчу свою показал. Ладно, вырубаем машины по одной, клонируем, выдерживаем три дня чтоб базы у антивируса обновились, сканируем. Нихуя. Сканил, сканил, врубал-вырубал, забил.

И вот, нашёл. Нашел случайно, игрался с nginx'ом и увидел СТРАННЫЕ запросы. С еще более странным source IP. Ну то есть нет такого IP в моей сетке!

Короче, да, есть малварь. Живёт в нескольких роутерах, куда спускаются хвосты VPN-ки. Апдейтов прошивок нет. Ну охуеть теперь, радость на новый год от Cisco и D-Link.

На секьюрити это не то чтобы повлияло, все важные места ходят в инет через отдельный VPN, но осадочек остался. Даже непонятно что делать, блин.

This entry was originally posted at http://wizzard.dreamwidth.org/411415.html. It has comment count unavailable comments. Please comment there using OpenID.

  • 1
(Deleted comment)
wizzard0 December 19th, 2014
Ну да. В прошивках нынче жить легче - антивируса там нет, апдейтят их редко, смотрят - ещё реже, ибо нечем.

Добро пожаловать в интернет вещей :-)

(Deleted comment)
(Deleted comment)
c_a_s_u_s December 19th, 2014
А поставить прошивку не от вендора, типа OpenWrt нельзя?

wizzard0 December 19th, 2014
Да можно... Только это не решает вопрос когда человек приконнектился из дому к рабочему впн, а у него дома тоже хрень.

worm_ii December 19th, 2014
Сначала мы наизусть знали всё наше железо.
Потом знали, как написать вирус.
Потом знали, как не подцепить вирус.
Потом думали, что знали набор правил, который, кажется, позволяет ничего серьёзного не подцепить.
Потом смирились с заразой, живущей на нашем железе, ну, если она не слишком опасная.
Теперь зараза побеждает уже самых упоротых, и только упоротейшие из упоротых ещё пытаются сопротивляться.
До зохвата всего мира осталось всего ничего. Mwa-ha-ha!

wizzard0 December 19th, 2014
Как-то так, да.

(Deleted comment)
wizzard0 December 19th, 2014
GET /HNAP1
GET /JNAP

но вообще там ничего даже анализировать не надо, нормальные роутеры сами по себе не ломятся в мир на порт 80

(Deleted comment)
(Deleted comment)
wizzard0 December 19th, 2014
на машинах - никакой. вирусы обновляются быстрее баз антивирусов, резидента держать бессмысленно, проще держать системы обновлёнными (но это предполагает в целом адекватных юзеров, которые не будут запускать экзешники из емейлов, конечно)

для карантинной VM надо в любом случае зоопарк держать, банального портабельного касперского/дрвеба/нода хватает, нам же даже лечить не надо, главное обнаружить

(Deleted comment)
mbr December 19th, 2014
Я подозреваю, это дыры openssl аукнулись.

Как упоротый красноглазик рекомендую, таки, microtik. Шустро, дешево и хороший саппорт с регулярными обновлениями.

Вот только чтобы это настроить под себя, пару вечеров я, таки, убил.

nponeccop December 19th, 2014
+1 насчёт микротика. Проблем оно особо не решает, но дёшево и классно. Там внутри даже в контейнере (!) OpenWRT штатно (!) запускается, если нужен кастомный софт.

По сути у них линейка отличающегося по процам-портам-периферии железа, с одной и той же прошивкой для софтроутера с поддержкой всего вплоть до BGP. И железо (немного) модульное - есть mini-PCI (или как-то так) слоты, USB-периферию некоторую держит и т д.

Ещё у меня положительный опыт с Драйтеками, но тоже исходя акорее из дешевизны. Если у микротика супершелл свой по SSH - то у Драйтеков традиционная веб-морда.

После этих обоих длинк ну совсем не интересен. Хотя может у них старшие модели есть, но железо уровня Dir-300 точно не стоит брать по сравнению с двумя опциями выше.

Edited at 2014-12-19 08:34 am (UTC)

beldmit December 19th, 2014
Спасибо. А то у меня похожие симптомы из дома.

happynewbear December 19th, 2014
А как простым людям посмотреть лаги DNS резолва и TCP коннектов? :)

wizzard0 December 19th, 2014
"интернет тормозит"

max630 December 19th, 2014
у меня, кстати, отваливался dns уже несколько раз. Но я никогда не перепрошивал рутера, да и тот не мой а провайдера (совмещённый с модемом)

wizzard0 December 19th, 2014
мож память утекает просто

metaclass December 19th, 2014
С аппаратным отладчиком и сериал консолью в рутер лезть?

fi_mihej December 19th, 2014
Вот будет веселее, когда следующий подцепленный тобой на реальную машину вирус (если в сети такие есть - если не все ОС под виртуалками седят) - засядет во флеше материнки, или hdd. Вот тогда выдерживай - не выдерживай, сканируй - не сканируй...

(Suspicious comment)
soonts December 19th, 2014
Да, современная винда существенно менее дырявая, чем всякие *nix.

metaclass December 19th, 2014
Тут у знакомых сисадминов возник вопрос - а почему ты сразу не воткнулся с сниффером в сеть и не посмотрел, кто там куда какие запросы осуществляет?

wizzard0 December 19th, 2014
Воткнулся, но сабж в локалку лезет крайне редко. Трафик между WAN интерфейсом роутера и миром.

А тут у провайдера инет моргнул, и я воткнул WAN порт в ноут, где 3G-модем есть.

nponeccop December 20th, 2014
Как я выяснил, обновлений прошивок нет на ftp.dlink.ru и аналогичных местах, но есть в

http://securityadvisories.dlink.com/security/

arkanoid December 21st, 2014
Понятно что делать: не пользоваться вендорскими говнопрошивками. Я первое что делаю -- сношу их к бениной матери.

aka_rider January 4th, 2015
Так-то оно так, но кастомные как правило не умеют аппаратный NAT.

livejournal January 29th, 2015
Здравствуйте! Ваша запись попала в топ-25 популярных записей LiveJournal для Украины. Подробнее о рейтинге читайте в Справке.

  • 1
?

Log in

No account? Create an account