вірус модифікує прошивку в роутері

[andr1y 4]

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns  93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

[blackjack 250]

А може це не вірус і просто китайські роутери відвалюються?

[andr1y 4]

  В 15.05.2016 в 07:24, antilenin сказав:

А може це не вірус і просто китайські роутери відвалюються?

Причому тут китайські роутери ? Я ж написав - в різних абонентів на роутерах стає одинаковий мак і змінюються dns-и. Деякі роутери більше року встановлені і до цього працювали без проблем.

Відредаговано 2016-05-15 07:44:02 andr1y

[Kto To 602]

это ужасно 

[CCbIKATHO 4]

А что если стандартный пароль менять ? 

[Jeko 8]

Проходили это. Правда у нас шились tp-link tl-wr741nd какой-то кастомной сборкой openwrt. Лечится закрытием доступа к роутеру снаружи и сменой стандартного пароля.

[ilit 4]

было такое, пароль был не стандартный, но было включено удаленное управление. менялся ДНС в настройках. после отключения доступа к настройкам из инета - все прошло.

[zaborovsky 359]

если вы погуглите насчет роутеров Нетис, то найдете статью, где неписано про то, что у данного роутера по умолчанию открыто удаленное администрирование с wan-интерфейса и еще какие-то пакости.

 

 

upd: нашел  http://kyivstar-inet.com/threads/router-netis-naxodka-dlja-shpiona-ili-o-dyre-v-bezopasnosti-routera.4057/

[alsdfg 120]

Блин, ещё б тенду покупал эти юзеры(

[zaborovsky 359]

их не покупают, их провайдеры юзерам раздают

 

типа за 1 гривну

[lemosh 60]

в продолжении этого поста

вот еще одна из причин почему не хочу отказываться от РРРоЕ  . И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер

[John_Doe 301]

  В 15.05.2016 в 11:24, lemosh сказав:

в продолжении этого поста

вот еще одна из причин почему не хочу отказываться от РРРоЕ   . И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер

И чем вам PPPoE в данном случае помогает?Гораздо правильнее не заворачивать а раздавать свой днс(желательно два).

[Den_LocalNet 1 474]

  В 15.05.2016 в 11:24, lemosh сказав:

И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер

А владельцы смартов за такие дела с днс по шее не дают?

[lemosh 60]

  В 15.05.2016 в 15:22, Den_LocalNet сказав:

 

  В 15.05.2016 в 11:24, lemosh сказав:

И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер

А владельцы смартов за такие дела с днс по шее не дают?

 

там пара-несколько адресов в адрес-листе есть, которые пропускаю напрямую... как раз для владельцев смартов

[blackjack 250]

А унего нет владельцев смартов, либо он им приставки пуляет.

[lemosh 60]

  В 15.05.2016 в 17:33, antilenin сказав:

А унего нет владельцев смартов, либо он им приставки пуляет.

Есть, немного но есть. Проходили мы этот вопрос...

[DMiTRONiK 2]

  В 15.05.2016 в 07:00, andr1y сказав:

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns  93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Столкнулись с подобным, набралось пяток клиентов с данным маком, проблема как-то решается?

[lemosh 60]

  В 20.05.2016 в 08:05, DMiTRONiK сказав:

 

  В 15.05.2016 в 07:00, andr1y сказав:

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns  93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Столкнулись с подобным, набралось пяток клиентов с данным маком, проблема как-то решается?

 

а заводской пароль менять на другой не пробовали?

[DMiTRONiK 2]

 

 

  В 20.05.2016 в 14:17, lemosh сказав:

а заводской пароль менять на другой не пробовали?

 

Пока появились жалобы от клиентов и видим дубли маков, в руки еще не попали роутеры. 

[xstaz 0]

  В 15.05.2016 в 07:00, andr1y сказав:

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns  93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Какой-то странный у вас "вирус", гугл про него знает в единственном экземпляре и только по этому форуму. Самоделка против нетиса?

https://www.google.com.ua/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=%2204%3A8d%3A38%3A4b%3Ae3%3A2a%22

[vladok_sk 0]

И наши клиенты используют один и тот же MAC-адрес на порт WAN: 04:8d:38:4b:e3:2a. А маршрутизаторы не установили пароль. В Польше, команда также встречались: http://bit.ly/1WF0WJh. Похоже, что вирус, который настроить маршрутизатор без пароля.

[DMiTRONiK 2]

Клиент приносил роутер, действительно Netis WF2419R.
Доступ к администрированию через ван был запрещен.
На вэб изнутри пускает без пароля.
Прошивка древняя V1.7.25087 от 2014-6-12, на сайте уже есть 2 новее в описании одной за 2014-9-2 указано: "Improve security".

Обновили прошивку - проблемы больше нет.

[xstaz 0]

Пару дней назад лечил такой роутер. Клиент сказал, что компьютер только куплен и как бы система чистая. Но на самом деле в Хроме были обнаружены куски хлама от @mail.ru, лишний раз говорит о том, что залезла какая-то зараза. Поменял ему прошивку, поставил пароль. Сказал чтобы несколько дней его не трогал и просто работал. Через пару дней перезвонил узнать как дела: оказалось, что дня через три он всё таки залез с компьютера в роутер с моим паролем, эта зараза тут же ему подменила МАС и DNS. До этого, как отдал ему роутер, всё было нормально.
Так что снаружи никаких проблем у роутеров нет, проблема в отсутствии пароля по умолчанию. Плата за простоту настройки для ендюзеров.
Написали в службу поддержки, обещали подумать над тем чтобы ставить пароли, но не админ/админ, а что-то менее подбираемое.

[xstaz 0]

Да, знакомый провайдер (может быть тут он и писал выше, но ники разные с его обычным). Он предложил как временное решение заворачивать в сети все левые DNS на свои и разрешать к ним ещё гугловские.
Ну и выводить юзеру страницу, чтобы обратился в тех.суппорт (можно ещё напугать, что у него компьютер заражён).

[Den_LocalNet 1 474]

нашел у себя 3-х абонентов с этим маком. Пока не жаловались.