Комментарии 3
Благодаря МГТС и его субподрядчикам (няз, именно на них валят ответственность), устанавливающим GPON с оборудованием ZTE, я успешно познал что такое Linux/Gafgyt, после того, как заказал «белый» IP. Заботливые китайцы оставили себе бекдор в роутере в виде открытого телнета с известным паролем. А при локализации, по всей видимости в недрах МГТС, там задачу несколько упростили, сменив китайский пароль к телнету на root/root. При чём самое интересное то, что через веб-интерфейс пароль не меняется, а после каждой перезагрузки настройки файрвола, которыми можно было прикрыть телнет, сбрасываются.
Обнаружил случайно, после того, как внезапно перестала отвечать веб-морда роутера. Далее после поднятия honeypot стало понятно почему такое было поведение, один из вариантов скрипта проникновения просто kill'ял всё что ни поподя.
В общем спасибо МГТС за весело проведённое время.
Обнаружил случайно, после того, как внезапно перестала отвечать веб-морда роутера. Далее после поднятия honeypot стало понятно почему такое было поведение, один из вариантов скрипта проникновения просто kill'ял всё что ни поподя.
В общем спасибо МГТС за весело проведённое время.
«Затем бот случайным образом подбирает адрес управляющего C&C-сервера из жестко зашитого списка IP-адресов»
Огласите весь список, пожалуйста.
Огласите весь список, пожалуйста.
А бывают ли инструменты для поиска подобной заразы? Вот есть у меня дома роутер на OpenWRT и пара одноплатников, как их можно проверить?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Злоумышленники используют бот Linux/Remaiten для компрометации embedded-устройств, часть 1