Злоумышленники специализируются на компрометации сетевых роутеров в Бразилии

    Недавно мы писали о масштабной DDoS-атаке, которая была организована ботнетом Mirai, состоящим из устройств т. н. Internet of Things (IoT). Кибератака была настолько мощной, что привела к сбоям в работе крупнейших интернет-сервисов. Между тем, Mirai имеет в своем арсенале всего лишь один способ компрометации роутеров — подбор стандартных паролей.

    Подобные кибератаки на роутеры наблюдались еще с 2012 г., однако, в связи со значительным увеличением количества работающих роутеров в последнее время, риск их компрометации резко возрастает. Учитывая, что многие из них до сих пор поставляются со стандартными паролями, можно лишь предполагать какой огромной можно создать бот-сеть из таких устройств.

    Вполне вероятно, что существуют различные группы злоумышленников, осуществляющие такие атаки. Тем не менее, способы атаки остаются прежними: они либо используют открытый доступ к маршрутизаторам из-за слабой аутентификации (имя пользователя и пароль по умолчанию) или уязвимости в их прошивках.

    В такой схеме атак злоумышленников интересует изменение конфигурации DNS, установка бэкдора для возможного удаленного управления роутером путем доступа к нему по его публичному IP-адресу, а также установка для него стандартного пароля с целью облегчить последующий доступ атакующим к самому устройству.

    Наблюдаемые нами атаки были результатом перенаправления пользователя с вредоносной страницы или рекламной сети на веб-страницу злоумышленников, на которой размещается вредоносный скрипт. После этого скрипт пытается использовать предопределенные комбинации имени пользователя и пароля на локальном IP-адресе для конкретных типов маршрутизаторов. Пользователи скомпрометированных роутеров в основном работают на веб-браузерах Firefox, Chrome или Opera. В таком случае веб-браузер Internet Explorer является более безопасным из-за того, что он не поддерживает нотацию «username:password@server», используемую скриптами злоумышленников. См. здесь.

    Злоумышленники используют атаку Cross-Site Request Forgery (CSRF) и атрибут style для инициирования атаки. В одном конкретном случае мы наблюдали атаку, которая была нацелена на конкретный модем бразильского провайдера, который поставляется со следующими учетными данными по умолчанию «Admin: gvt12345»:



    Что приводит к обмену следующими запросами.



    Другие злоумышленники получали доступ к роутеру через его внешний IP-адрес.



    По нему располагаются дальнейшие инструкции по «обновлению» следующей веб-страницы. Внешний IP-адрес роутера виден на этих страницах ниже.



    В другом сценарии атаки, злоумышленники используют протокол IPv6 и элемент IFRAME. При этом они применяют обфускацию текста запросов, что сбивает с толку не только аналитиков, но и систему обнаружения вторжений (IDS).



    Это приводит к генерации следующего трафика в Chrome.



    Еще одни злоумышленники скрывают свои скрипты с использованием AngularJS — специального фреймворка JavaScript. Они используют его плагины для шифрования и отображения фальшивой веб-страницы. Авторы разработали свой собственный плагин, который специализируется на загрузке конфигурационных файлов, основанный на их предположении о роутере, обмене ключами, расшифровке конфигурации и его исполнении.

    Ниже представлена часть исходных текстов AngularJS.



    На скриншоте взаимодействия ниже, запрос GET /api/lockLinkss отвечает за загрузку конфигурационного файла.



    Ниже представлена часть расшифрованного файла конфигурации.



    Начиная с сентября, ежедневное количество жертв таких атак достигло цифры в 1,800, причем большинство из них приходилось на Бразилию. Значительная часть этих DNS-адресов были активными. Тем не менее, некоторые из них не работали вообще, либо отображали стандартную приветственную веб-страницу. Несмотря на то, что трудно найти именно те веб-страницы, которые злоумышленники пытались использовать для подмены, нам удалось обнаружить их.

    В случае трансляции DNS по следующим адресам, нижеприведенные веб-страницы оказываются подменены.

    banco.bradesco
    142.4.201.184
    166.62.39.18
    167.114.109.18
    167.114.7.109
    185.125.4.181
    185.125.4.196
    185.125.4.244
    185.125.4.249
    185.125.4.250
    185.125.4.251
    216.245.222.105
    45.62.205.34
    63.143.36.91
    64.71.75.140
    74.63.196.126
    74.63.251.102

    santander.com.br
    158.69.213.186

    linkedin.com
    198.23.201.234

    Ниже представлен скриншот оригинального веб-сайта banco.bradesco, который был взят 2016-08-31.



    В случае использования вышеприведенного DNS, веб-страница banco.bradesco была заменена одним PNG изображением, при этом только поля ввода имени пользователя и пароля остаются рабочими.



    Ниже представлен скриншот фишинговой веб-страницы по состоянию на 2016-08-30 (DNS 142.4.201.184).



    Другой фишинговый сайт напоминает свою легитимную версию вполне правдиво. IP-адрес 23.3.13.59 является легитимным IP-адресом банка. Настоящий сайт «www.banco.bradesco.com.br» перенаправляется на «banco.bradesco», который также принадлежит банку, но его IP принадлежит уже злоумышленникам.



    Ниже представлен скриншот этой фишинговой веб-страницы по состоянию на 2016-08-31 (DNS 185.125.4.181). Также обратите внимание на то, что отсутствует favicon.ico, а флажок «запомнить меня» и кнопка «OK» поменялись местами.



    Заключение


    Вне зависимости от того, какую цель преследуют злоумышленники компрометацией роутера, т. е. заинтересованы ли они в организации простого фишинга или бэкдора для управления роутером, смысл остается один и заключается он в использовании слабых паролей учетных записей для доступа к роутеру. Кроме этого, злоумышленники могут использовать существующие многочисленные уязвимые типы роутеров. Такие уязвимости описаны по следующим ссылкам здесь и здесь. Тем не менее, наиболее распространенной целью злоумышленников при компрометации роутеров остается возможность подмены DNS.

    Безопасность роутеров приобретает все большее значение и организация фишинга злоумышленниками не единственная причина этому. Имея доступ к роутеру, злоумышленники могут успешно войти в домашнюю сеть и проверить ее на присутствие там других подключенных устройств. От умных телевизоров Smart TV до системы управления домом и умных холодильников. Существует множество IoT-устройств, которые могут быть подключены к роутеру и входить в домашнюю сеть.

    Кроме этого, сами IoT-устройства также могут быть уязвимы из-за установленных известных или слабых паролей. Пользователь может забыть изменить пароль, либо установить на устройство слабый пароль, подвергая устройство дополнительному риску.

    Рекомендации


    Следующие рекомендации помогут вам не стать жертвой подобных атак.

    • Измените ваш стандартный пароль роутера на более надежный.
    • Проверьте следующие настройки роутера: для страницы настроек DNS оптимальным выбором является 8.8.8.8 или 8.8.4.4, в противном случае следует обратиться за значением к своему провайдеру; отключите настройку удаленного управления роутером.
    • Проверьте наличие обновления для прошивки своего роутера.
    • Попробуйте поискать информацию о модели вашего роутера и присутствующих в нем уязвимостей.
    • Обратитесь к своему провайдеру за обновлением прошивки роутера или его замены.
    • Используйте плагин блокировки скриптов NoScript с включенной функцией ABE (Application Boundary Enforcer) в веб-браузере.
    • Регулярно проверяйте свой роутер на присутствием в нем уязвимостей.
    ESET NOD32
    0,00
    Компания
    Поделиться публикацией

    Похожие публикации

    Комментарии 14

      –1
      `8.8.8.8` — не собираюсь я свою историю посещений гуглу передавать!
        –1
        А кому ее лучше передать?
          0
          если бы только историю посещений.
          я давно обнаружил, что при использовании паблик днс-ов корпорации добра некоторые «нелегитимные» сайты становятся недоступны.
          в основном это варез и пиратские фильмы. т.е. гугл решает за нас, что нам смотреть, а что нет и это помимо цензуры роскомпозора.
          — вобщем только «свои» днс и никаких халявных «плюшек».
            0
            Можете привести пример? Хотелось бы сравнить с результатом для серверов от своего провайдера и от OpenNIC.
            0
            Кого посоветуете?
              +1
              Я себе выбрал пару серверов от сообщества OpenNIC. Можно выбрать ближайшие, а можно и по другим параметрам (по отсутствию логов, например). Все серверы предоставлены добровольцами.

              Либо поднять DNSCrypt (на роутере или локально). Там тоже серверы на любой вкус: от компаний (OpenDNS, Yandex) до обычных энтузиастов.
            0
            Когда я в своем роутере дописал логирование неудачных заходов в веб-интерфейс, года 3 назад, попытки подбора пароля случались очень редко, раз в неделю-две. И при переборе использовалось довольно мало логин-паролей (в основном самые стандартные типа admin:admin да admin:1234). Сейчас же такое случается минимум по 2-3 раза в день и это уже куча (20-50 комбинаций) попыток!

            например
            Oct 28 12:16:02 goahead[1226]: Access Denied — Requires User ID from 185.25.148.240:Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0
            Oct 28 12:16:52 goahead[1226]: Access Denied — Requires User ID from 185.49.14.190:Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0
            Oct 28 15:18:09 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:09 goahead[1226]: Access Denied — Requires Password from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:09 goahead[1226]: Access Denied — Wrong Password: admin-admin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:09 goahead[1226]: Access Denied — Wrong Password: admin-1234 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:10 goahead[1226]: Access Denied — Wrong Password: admin-password from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:10 goahead[1226]: Access Denied — Unknown User: Admin-Admin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:10 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:10 goahead[1226]: Access Denied — Unknown User: root- from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:10 goahead[1226]: Access Denied — Unknown User: root-admin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:11 goahead[1226]: Access Denied — Unknown User: root-admin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:11 goahead[1226]: Access Denied — Unknown User: root-root from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:11 goahead[1226]: Access Denied — Unknown User: root-public from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:11 goahead[1226]: Access Denied — Wrong Password: admin-nimda from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:11 goahead[1226]: Access Denied — Wrong Password: admin-adminadmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:12 goahead[1226]: Access Denied — Wrong Password: admin-gfhjkm from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:12 goahead[1226]: Access Denied — Wrong Password: admin-airlive from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:12 goahead[1226]: Access Denied — Unknown User: airlive-airlive from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:12 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:13 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:13 goahead[1226]: Access Denied — Unknown User: support- from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:13 goahead[1226]: Access Denied — Unknown User: support-support from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:13 goahead[1226]: Access Denied — Unknown User: super-super from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:13 goahead[1226]: Access Denied — Unknown User: super-APR@xuniL from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:14 goahead[1226]: Access Denied — Unknown User: super-APR@xuniL from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:14 goahead[1226]: Access Denied — Unknown User: super-zxcvbnm,./ from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:14 goahead[1226]: Access Denied — Wrong Password: admin-onlime from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:14 goahead[1226]: Access Denied — Unknown User: super-asong from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:14 goahead[1226]: Access Denied — Wrong Password: admin-mts from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:15 goahead[1226]: Access Denied — Unknown User: mts-mts from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:15 goahead[1226]: Access Denied — Unknown User: telecomadmin-admintelecom from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:15 goahead[1226]: Access Denied — Unknown User: mgts-mtsoao from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:15 goahead[1226]: Access Denied — Wrong Password: admin-Uq-4GIt3M from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:15 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:16 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:16 goahead[1226]: Access Denied — Unknown User: kyivstar-kyivstar from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:16 goahead[1226]: Access Denied — Wrong Password: admin-0508780503 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:16 goahead[1226]: Access Denied — Unknown User: telekom-telekom from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:16 goahead[1226]: Access Denied — Unknown User: superadmin-Is$uper@dmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-dPZb4GJTu9 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-2w4f6n8k from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-szt from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-radmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:17 goahead[1226]: Access Denied — Wrong Password: admin-RTadmin1979 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:18 goahead[1226]: Access Denied — Wrong Password: admin-RTadmin1979 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:18 goahead[1226]: Access Denied — Unknown User: engineer-amplifier from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:18 goahead[1226]: Access Denied — Wrong Password: admin-1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:18 goahead[1226]: Access Denied — Wrong Password: admin-123 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:18 goahead[1226]: Access Denied — Wrong Password: admin-0000 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:19 goahead[1226]: Access Denied — Wrong Password: admin-00000000 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:19 goahead[1226]: Access Denied — Wrong Password: admin-12345 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:19 goahead[1226]: Access Denied — Wrong Password: admin-123456 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:19 goahead[1226]: Access Denied — Wrong Password: admin-1234567 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-12345678 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-123456789 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-1234567890 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-qwerty from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:20 goahead[1226]: Access Denied — Wrong Password: admin-beeline from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-beeline from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-beeline2013 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-iyeh from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-ghbdtn from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:21 goahead[1226]: Access Denied — Wrong Password: admin-admin225 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:22 goahead[1226]: Access Denied — Wrong Password: admin-rombik1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:22 goahead[1226]: Access Denied — Wrong Password: admin-ho4uku6at from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:22 goahead[1226]: Access Denied — Wrong Password: admin-juklop from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:22 goahead[1226]: Access Denied — Wrong Password: admin-free from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:23 goahead[1226]: Access Denied — Wrong Password: admin-inet from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:23 goahead[1226]: Access Denied — Wrong Password: admin-internet from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:23 goahead[1226]: Access Denied — Wrong Password: admin-asus from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:23 goahead[1226]: Access Denied — Wrong Password: admin-root from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:24 goahead[1226]: Access Denied — Wrong Password: admin-ADMIN from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:24 goahead[1226]: Access Denied — Wrong Password: admin-adsl from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:24 goahead[1226]: Access Denied — Wrong Password: admin-adslroot from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:24 goahead[1226]: Access Denied — Wrong Password: admin-adsladmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:25 goahead[1226]: Access Denied — Wrong Password: admin-Ferum from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:25 goahead[1226]: Access Denied — Wrong Password: admin-Ferrum from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:25 goahead[1226]: Access Denied — Wrong Password: admin-FERUM from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:26 goahead[1226]: Access Denied — Wrong Password: admin-FERRUM from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:26 goahead[1226]: Access Denied — Wrong Password: admin-Kendalf9 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:26 goahead[1226]: Access Denied — Wrong Password: admin-263297 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:26 goahead[1226]: Access Denied — Wrong Password: admin-590152 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-21232 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-adn8pzszk from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-amvqnekk from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-biyshs9eq from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:27 goahead[1226]: Access Denied — Wrong Password: admin-e2b81d_1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-e2b81d_1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-Dkdk8e89 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-flvbyctnb from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-qweasdOP from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:28 goahead[1226]: Access Denied — Wrong Password: admin-EbS2P8 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:29 goahead[1226]: Access Denied — Wrong Password: admin-FhF8WS from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:29 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:29 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:29 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo2 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo3 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfo4 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoVPN from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoSIP from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:30 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoN1 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:31 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoN2 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:31 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoN3 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:31 goahead[1226]: Access Denied — Wrong Password: admin-ZmqVfoN4 from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:31 goahead[1226]: Access Denied — Wrong Password: admin-9f4r5r79// from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:32 goahead[1226]: Access Denied — Wrong Password: admin-airocon from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:32 goahead[1226]: Access Denied — Wrong Password: admin-zyxel from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:32 goahead[1226]: Access Denied — Unknown User: adsl-realtek from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:32 goahead[1226]: Access Denied — Unknown User: osteam-5up from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:33 goahead[1226]: Access Denied — Unknown User: root-toor from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:33 goahead[1226]: Access Denied — Unknown User: ZXDSL-ZXDSL from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:33 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:34 goahead[1226]: Access Denied — Unknown User: Cisco-Cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:34 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:34 goahead[1226]: Access Denied — Unknown User: cisco-cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:35 goahead[1226]: Access Denied — Unknown User: cisco-cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:35 goahead[1226]: Access Denied — Wrong Password: admin-default from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:35 goahead[1226]: Access Denied — Wrong Password: admin-cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:35 goahead[1226]: Access Denied — Wrong Password: admin-changeme from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:35 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:36 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:37 goahead[1226]: Access Denied — Unknown User: enable-cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:37 goahead[1226]: Access Denied — Unknown User: pnadmin-pnadmin from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:37 goahead[1226]: Access Denied — Unknown User: root-attack from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:37 goahead[1226]: Access Denied — Unknown User: root-Cisco from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:38 goahead[1226]: Access Denied — Unknown User: user- from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:38 goahead[1226]: Access Denied — Unknown User: user-user from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 15:18:38 goahead[1226]: Access Denied — Requires User ID from 185.153.198.238:Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
            Oct 28 16:18:14 goahead[1226]: Access Denied — Requires User ID from 163.172.67.30:curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2

              0
              Такая же проблема возникла, но где-то год назад. На роутере имеется встроенная защита («называется защита от сканирования портов и атак DoS», по умолчанию включена), пришлось отключить иначе скорость проседала раза в 3. Видать не справляется желека (
              –1
              Разве авторизация в маршрутизаторе не выключена по умолчанию на WAN-порту? IPv6, вроде бы, тоже отключается производителями в заводских настройках. Если это так, то трудно понять, что делает атаки маршрутизаторов столь популярными.
                0
                Если я уже авторизирован в веб интерфейсе, то гет запросы будут работать? Если да, то проблема тут не только в паролях.
                  0
                  Имел в виду гет-запросы, влияющие на изменение настроек.
                  0
                  Как я понимаю, ещё одним вариантом защиты от такой атаки может быть смена IP-адреса роутера на отличный от стандартных, по которым и идёт перебор в коде страницы.
                    0
                    Зачем?
                    В абсолютном большинстве случаев ip роутера — это default gateway.
                    Неужели этот адрес из кода страницы не выцепить?
                      0
                      Не панацея, если в Gateway прописан адрес роутера.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое