Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2014-05-21 16:17:11
marduk666 - 
Użytkownik
- marduk666
- Użytkownik
- Zarejestrowany: 2012-12-19
Wirus routera
Jakiś czas temu chciałem dodatkowo zabezpieczyć sieć, dodałem firewalla
Kod:
iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
+
Kod:
net.ipv4.ip_forward = 1 net.ipv4.ip_dynaddr = 1 net.ipv4.conf.default.rp_filter = 2 net.ipv4.conf.all.rp_filter = 2 net.ipv4.conf.all.arp_ignore = 1 net.ipv4.icmp_echo_ignore_all = 1 net.ipv4.tcp_window_scaling = 1 net.ipv4.ip_default_ttl = 128 net.ipv4.tcp_tw_recycle=1 net.ipv4.tcp_tw_reuse=1 net.ipv4.tcp_syncookies = 1 net.netfilter.nf_conntrack_tcp_timeout_established = 1800 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 1 net.ipv4.conf.default.secure_redirects = 1 net.ipv4.icmp_echo_ignore_broadcasts = 1 net.ipv4.ip_local_port_range = 32768 61569 net.ipv4.conf.net.arp_ignore = 0 net.ipv6.conf.all.disable_ipv6 = 0 net.ipv6.conf.default.disable_ipv6 = 0 net.ipv6.conf.lo.disable_ipv6 = 0 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.default.accept_source_route = 0 net.ipv4.tcp_syncookies = 1 net.ipv4.neigh.default.base_reachable_time = 86400 net.ipv4.neigh.default.gc_stale_time = 86400 net.ipv4.tcp_no_metrics_save = 1 net.ipv4.tcp_moderate_rcvbuf = 1 net.core.netdev_max_backlog = 2500 net.core.rmem_default = 524288 net.core.wmem_default = 524288 net.ipv4.tcp_wmem = 4096 87380 524288 net.ipv4.tcp_rmem = 4096 87380 524288 net.ipv4.tcp_mem = 524288 524288 524288 net.core.rmem_max = 524288 net.core.wmem_max = 524288 net.ipv4.neigh.default.gc_thresh1 = 4096 net.ipv4.neigh.default.gc_thresh2 = 8192 net.ipv4.neigh.default.gc_thresh3 = 16384 net.ipv4.tcp_rfc1337 = 1 net.ipv4.ip_no_pmtu_disc = 0 net.ipv4.tcp_sack = 1 net.ipv4.tcp_fack = 1 net.ipv4.tcp_window_scaling = 1 net.ipv4.tcp_timestamps = 1 net.ipv4.tcp_ecn = 0
Od użytkownika Jacekalex.
Mimo tych zabezpieczeń dzisiaj mam wirusa na routerze.
Nie działa strona google.pl oraz kilka innych, wyświetla się tylko komunikat "WARNING! Your Flash Player may be out of date. Please update to continue", po wciśięciu OK, przechodzi do tej strony [img]http://i60.tinypic.com/5u495u.png[/img]
Cytat z innej strony
"Bierze się stąd że wasze routery zostały zaatakowane przez wirusa. Podmienia on adresy DNS i wywala wszędzie rzekomą aktualizację flasha. Jednak zamiast pobrać aktualizację w rzeczywistości zapewne link prowadzi do downloadu jakiegoś syfu od toolbara do ciężkiego szajsu który może narobić kuku."
Jak na przyszłość zabezpieczyć się przed czymś takim ?
Zaraz zresetuję router i mam nadzieję, że będzie ok.
Offline
#2 2014-05-21 16:33:26
morfik - Cenzor wirtualnego świata
#3 2014-05-21 16:33:49
uzytkownikubunt - Zbanowany
- uzytkownikubunt
- Zbanowany
- Zarejestrowany: 2012-04-25
Re: Wirus routera
774
Ostatnio edytowany przez uzytkownikubunt (2016-12-01 00:52:14)
Offline
#4 2014-05-21 16:52:24
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Wirus routera
to co to za ruter i jaki system jest na nim jak mi wiadomo na typowo ruterowych systemach jak openwrt, gargoyle czy ddwrt iptables jest zoptymalizowane i odpowiednio ustawione, że żadne gówno nie ma szans się tam zagnieździć a takie rzeczy jak blokowanie odpowiedzi na ping, przekierowanie portów, dostęp zdalny itp można nawet sobie spokojnie ustawić w gui
Ostatnio edytowany przez menel (2014-05-21 16:54:57)
Offline
#5 2014-05-21 16:55:53
marduk666 - Użytkownik
- marduk666
- Użytkownik
- Zarejestrowany: 2012-12-19
Re: Wirus routera
Wystarczyło zresetowanie routera, na stronie tp-linka najnowszy firewall jest z 2010 roku, model tp-link td-w8901g
Ostatnio edytowany przez marduk666 (2014-05-21 17:05:06)
Offline
#6 2014-05-21 16:56:46
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Wirus routera
a jaki system tam masz na nim?
Ostatnio edytowany przez menel (2014-05-21 16:58:59)
Offline
#7 2014-05-21 17:03:26
marduk666 - Użytkownik
- marduk666
- Użytkownik
- Zarejestrowany: 2012-12-19
Re: Wirus routera
http://www.tp-link.com/lk/products/details/?model=TD-W8901G#spec
Jak dokładnie to sprawdzić ?
Ostatnio edytowany przez marduk666 (2014-05-21 17:12:26)
Offline
#8 2014-05-21 17:13:27
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Wirus routera
Polecam to zmienić czym szybciej tym lepiej..Raz, że to dziurawe jak sito a nawet bardziej, dwa, że prosto z backdorami od Chińczyków trzy, bardziej dziurawego systemu na rutery nie ma, wystarczy poprzeglądać przykładowo niebezpiecznika;)
na dobry początek:
http://eko.one.pl/
Ostatnio edytowany przez menel (2014-05-21 17:17:46)
Offline
#9 2014-05-21 17:56:33
morfik - Cenzor wirtualnego świata
#10 2014-05-21 18:10:25
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Wirus routera
ogólnie używać firmwara od tp-linka to jak bawić się nitrogliceryną, szczególnie, że ostanio głośno było o tej firmie, oczywiście rutery tej firmy są bardzo dobre o ile chodzą na linuksie;)
Offline
#11 2014-05-21 18:49:02
marduk666 - Użytkownik
- marduk666
- Użytkownik
- Zarejestrowany: 2012-12-19
Re: Wirus routera
Dzięki, jednak nie mogę znaleźć oprogramowania do swojego modelu, http://wiki.openwrt.org/toh/tp-link/start
Offline
#12 2014-05-21 19:29:22
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Wirus routera
jakiś ciężki przypadek rutera masz, musisz poszukać czy w ogóle jest możliwość wgrania na niego linuksa, najlepiej wbij na forum
http://eko.one.pl/forum/
tam już na wszystko dostaniesz odpowiedź czy się da coś z tym zrobić;)
@edit
z tego co przeglądałem to o openwrt/gargoyle możesz zapomnieć niestety, pozostaje sprawdzić jeszcze dd-wrt i tomato, jak pisałem spytaj najlepiej na eko.one tam będą wiedzieli na bank czy jest jakakolwiek możliwość zmiany...
Ostatnio edytowany przez menel (2014-05-21 19:36:57)
Offline
#13 2014-05-21 20:05:54
marduk666 - Użytkownik
- marduk666
- Użytkownik
- Zarejestrowany: 2012-12-19
Re: Wirus routera
Ok, dzięki.
A jeszcze na przyszłość, za jakiś czas będę kupował router, jaki możesz polecić, w miarę tani i dobry ?
Offline
#14 2014-05-21 20:12:44
menel - Użytkownik
- menel
- Użytkownik
- Zarejestrowany: 2013-11-02
Re: Wirus routera
a to już zależy czego potrzebujesz ruter ruterowi nie równy;) ale z firm śmiało tp-linki mogę polecić oczywiście te które mają możliwość wgrania linuksa (większość ma)
Ostatnio edytowany przez menel (2014-05-21 20:13:48)
Offline
#15 2014-05-21 20:27:09
marduk666 - Użytkownik
- marduk666
- Użytkownik
- Zarejestrowany: 2012-12-19
Re: Wirus routera
Rozumiem, jakiś najprostszy, do sieci domowej, chętnie bym zmienił, żeby właśnie pobawić się oprogramowaniem ;)
Możliwe, że uda mi się tanio kupić model TD-W8960N, jest dostępne openwrt trunk
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00014 | SET CHARSET latin2 |
| 0.00005 | SET NAMES latin2 |
| 0.00172 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.118.200.86' WHERE u.id=1 |
| 0.00308 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.118.200.86', 1713621505) |
| 0.00105 | SELECT * FROM punbb_online WHERE logged<1713621205 |
| 0.00115 | DELETE FROM punbb_online WHERE ident='18.217.92.102' |
| 0.01302 | DELETE FROM punbb_online WHERE ident='54.36.148.120' |
| 0.00089 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25858 AND t.moved_to IS NULL |
| 0.00012 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00385 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25858 ORDER BY p.id LIMIT 0,25 |
| 0.00103 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25858 |
| Total query time: 0.0261 s | |