Il mio router dlink sembra essere compromesso

5

Per caso ho letto oggi di questa enorme vulnerabilità riguardante il mio router Dlink DIR-600. ( link )
Solo per curiosità su quello che avrei trovato, ho provato ad inviare alcuni comandi e ha funzionato anche al primo tentativo. Qualcosa come ls o ifconfig è stato divertente da vedere ... fino a quando ho provato il comando ps che ha stampato quanto segue:

PID USER       VSZ STAT COMMAND
    1 0          592 S    init                
    2 0            0 SW   [kthreadd]
    3 0            0 SW   [ksoftirqd/0]
    4 0            0 SW   [events/0]
    5 0            0 SW   [khelper]
    6 0            0 SW   [async/mgr]
    7 0            0 SW   [sync_supers]
    8 0            0 SW   [bdi-default]
    9 0            0 SW   [kblockd/0]
   10 0            0 SW   [cfg80211]
   11 0            0 SW   [rpciod/0]
   12 0            0 SW   [kswapd0]
   13 0            0 SW   [aio/0]
   14 0            0 SW   [nfsiod]
   15 0            0 SW   [crypto/0]
   21 0            0 SW   [mtdblockd]
   60 0         1368 S    xmldb -n wrgn49_dlob_dir600b -t 
   61 0          888 S    servd -d schedule_off 
  177 0          852 S    logd -p notice 
  178 0          828 S    klogd -p notice 
  185 0          852 S    gpiod 
  453 0          996 S    /var/run/fakedns --port=63481 --address=/#/1.33.203.3
  490 0          872 S    ddnsd 
  502 0          832 S    telnetd -l /usr/sbin/login -u Alphanetworks:wrgn49_dl      
  510 0          592 S    init                
  693 0            0 SW   [RtmpCmdQTask]
  700 0         1008 S    hostapd /var/servd/hostapd-ra0.conf 
  701 0          852 S    updatewifistats -i ra0 -x /phyinf:3 -r /runtime/phyin
  723 0          836 S    portt -c DNAT.PORTT 
 1127 0          988 S    udhcpc -i eth2.2 -H dlinkrouter -p /var/servd/WAN-1-u
 1656 0          852 S    neaps -i br0 -c /var/run/neaps.conf 
 1665 0          828 S    netbios -i br0 -r dlinkrouter 
 1666 0          844 S    llmnresp -i br0 -r dlinkrouter 
 1683 0         1012 S    udhcpd /var/servd/LAN-1-udhcpd.conf 
 1769 0          960 S    lld2d -c /var/lld2d.conf br0 ra0 
 1853 0         1008 S    proxyd -m 1.33.203.39 -f /var/run/proxyd.conf -u /var
 1944 0          984 S    dnsmasq -C /var/servd/DNS.conf 
 1973 0         1508 S    httpd -f /var/run/httpd.conf 
 4379 0          968 S    /usr/sbin/phpcgi /htdocs/web/command.php 
 4380 0          692 S    sh -c ps >> /var/cmd.result 
 4381 0          592 R    ps 

Qui sono particolarmente preoccupato per il telnet server (pid 502), i fakedns (pid 453) e anche per la sfrontatezza del mio provider, fornendo un router che non è più aggiornato per vulnerabilità di sicurezza e prendendo i miei soldi per affittare quella casella a me ...
Quindi la prima cosa da fare era uccidere tutti quei processi sospetti ma, come previsto, dopo un riavvio della macchina tutto era come prima, attivo e funzionante. Ho controllato diversi file di configurazione standard ma sembravano normali ...

Quindi le mie domande sono ora: il mio router è seriamente compromesso? È sufficiente impedire l'avvio di tali processi? Ho dimenticato qualcosa? Anche questo "xmldb" (pid 60) mi sembra sospetto.

    
posta fab 10.09.2015 - 21:36
fonte

1 risposta

2

Quando esegui ps, l'output è l'elenco dei processi in esecuzione corrente. A volte questo elencherà il processo includendo gli argomenti della riga di comando usati per avviare il processo. Ecco alcuni comandi potenzialmente pericolosi dall'output:

  453 0          996 S    /var/run/fakedns --port=63481 --address=/#/1.33.203.3
  502 0          832 S    telnetd -l /usr/sbin/login -u Alphanetworks:wrgn49_dl       
 1127 0          988 S    udhcpc -i eth2.2 -H dlinkrouter -p /var/servd/WAN-1-u
 1853 0         1008 S    proxyd -m 1.33.203.39 -f /var/run/proxyd.conf -u /var
 1944 0          984 S    dnsmasq -C /var/servd/DNS.conf 
 4379 0          968 S    /usr/sbin/phpcgi /htdocs/web/command.php 
 4380 0          692 S    sh -c ps >> /var/cmd.result 
  • Vedo fakedns sta puntando tutte le tue richieste DNS a 1.33.203.3.
  • Telnet che accetta connessioni solo da Alphanetworks.
  • Sembra che il tuo traffico sia indirizzato a 1.33.203.39 (non è possibile trovare alcuna documentazione sul flag -m).
  • Hai una pagina php in esecuzione sotto il nome "command.php". Ti suggerisco di verificare il codice sorgente in quel file.
  • L'output di 'ps' viene aggiunto a cmd.result (che potrebbe essere stato tu).

In una nota probabilmente correlata, una ricerca su google per "proxyd -m" restituisce questo elenco .

Se qualcuno di tutto questo ti sembra phishing, ti suggerisco di ripristinare il dispositivo in fabbrica. Se non ci sono patch disponibili per il tuo dispositivo, vedi se puoi caricare qualsiasi firmware open source (come OpenWRT) e confermare l'hash dell'immagine quando lo scarichi.

    
risposta data 10.09.2015 - 23:35
fonte

Leggi altre domande sui tag