Per caso ho letto oggi di questa enorme vulnerabilità riguardante il mio router Dlink DIR-600. ( link )
Solo per curiosità su quello che avrei trovato, ho provato ad inviare alcuni comandi e ha funzionato anche al primo tentativo. Qualcosa come ls
o ifconfig
è stato divertente da vedere ... fino a quando ho provato il comando ps
che ha stampato quanto segue:
PID USER VSZ STAT COMMAND
1 0 592 S init
2 0 0 SW [kthreadd]
3 0 0 SW [ksoftirqd/0]
4 0 0 SW [events/0]
5 0 0 SW [khelper]
6 0 0 SW [async/mgr]
7 0 0 SW [sync_supers]
8 0 0 SW [bdi-default]
9 0 0 SW [kblockd/0]
10 0 0 SW [cfg80211]
11 0 0 SW [rpciod/0]
12 0 0 SW [kswapd0]
13 0 0 SW [aio/0]
14 0 0 SW [nfsiod]
15 0 0 SW [crypto/0]
21 0 0 SW [mtdblockd]
60 0 1368 S xmldb -n wrgn49_dlob_dir600b -t
61 0 888 S servd -d schedule_off
177 0 852 S logd -p notice
178 0 828 S klogd -p notice
185 0 852 S gpiod
453 0 996 S /var/run/fakedns --port=63481 --address=/#/1.33.203.3
490 0 872 S ddnsd
502 0 832 S telnetd -l /usr/sbin/login -u Alphanetworks:wrgn49_dl
510 0 592 S init
693 0 0 SW [RtmpCmdQTask]
700 0 1008 S hostapd /var/servd/hostapd-ra0.conf
701 0 852 S updatewifistats -i ra0 -x /phyinf:3 -r /runtime/phyin
723 0 836 S portt -c DNAT.PORTT
1127 0 988 S udhcpc -i eth2.2 -H dlinkrouter -p /var/servd/WAN-1-u
1656 0 852 S neaps -i br0 -c /var/run/neaps.conf
1665 0 828 S netbios -i br0 -r dlinkrouter
1666 0 844 S llmnresp -i br0 -r dlinkrouter
1683 0 1012 S udhcpd /var/servd/LAN-1-udhcpd.conf
1769 0 960 S lld2d -c /var/lld2d.conf br0 ra0
1853 0 1008 S proxyd -m 1.33.203.39 -f /var/run/proxyd.conf -u /var
1944 0 984 S dnsmasq -C /var/servd/DNS.conf
1973 0 1508 S httpd -f /var/run/httpd.conf
4379 0 968 S /usr/sbin/phpcgi /htdocs/web/command.php
4380 0 692 S sh -c ps >> /var/cmd.result
4381 0 592 R ps
Qui sono particolarmente preoccupato per il telnet server (pid 502), i fakedns (pid 453) e anche per la sfrontatezza del mio provider, fornendo un router che non è più aggiornato per vulnerabilità di sicurezza e prendendo i miei soldi per affittare quella casella a me ...
Quindi la prima cosa da fare era uccidere tutti quei processi sospetti ma, come previsto, dopo un riavvio della macchina tutto era come prima, attivo e funzionante. Ho controllato diversi file di configurazione standard ma sembravano normali ...
Quindi le mie domande sono ora: il mio router è seriamente compromesso? È sufficiente impedire l'avvio di tali processi? Ho dimenticato qualcosa? Anche questo "xmldb" (pid 60) mi sembra sospetto.