Sto cercando di proteggere il router di casa (DIR-655 h / w versione B1) di un membro della famiglia e voglio assicurarmi che non sia già stato compromesso. L'ho installato per loro qualche anno fa ma non ne ho avuto accesso fino a poco tempo fa.
Funziona bene per loro e non ci sono segni o tracce di malware su nessuno dei dispositivi (1 macchina Windows, 2 Mac e un paio di iPad e iPhone), ma il firmware non è stato aggiornato in tutte questa volta ed è stato più di 3 anni non aggiornato (l'ultima è 2.11 dall'8 / 14/2013) fino a quando non l'ho appena aggiornato. Inoltre, UPnP era abilitato e penso che questo modello avesse una vulnerabilità correlata a questo.
Quali sono i modi migliori per capire se il router è stato violato? Come posso ottenere l'accesso alla root shell come la persona che chiede questa domanda è stata eseguita in modo da poter verificare alcune delle stesse bandiere rosse?
Queste voci di registro attiravano la mia attenzione, ma potevano anche essere perfettamente normali:
HTTP listening on port 65530 <-- I know it needs a web server, but shouldn't that be listening on port 80?
read /var/tmp/hosts - 1 addresses
read /etc/hosts - 2 addresses
compile time options: IPv6 GNU-getopt no-MMU ISC-leasefile no-DOCTOR no-NOWILD no-DBus no-I18N TFTP
[ 37.400000] --- End Trap ---
[ 37.400000] CALL && CALLI on stack:
[ 37.400000] User Stack (fdpic):
[ 37.400000] Starting backtrace: PID 841 'miniupnpd'
[ 26.130000] br0: topology change detected, propagating
[ 23.820000] device ath0 entered promiscuous mode
[ 3.890000] All bugs added by David S. Miller '[email protected]'
[ 3.850000] 6 cmdlinepart partitions found on MTD device ubicom32_boot_flash
[ 3.730000] Serial: Ubicom32 mailbox serial driver. <-- There are no serial devices attached
[ 0.220000] SCSI subsystem initialized <-- SCSI? On a router?
PS Se faccio un reset di fabbrica su di esso, garantiresti che il router sia pulito?