вірус модифікує прошивку в роутері

andr1y · 2016-05-15 07:00:45

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns 93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

blackjack · 2016-05-15 07:24:25

А може це не вірус і просто китайські роутери відвалюються?

andr1y · 2016-05-15 07:43:26

А може це не вірус і просто китайські роутери відвалюються?

Причому тут китайські роутери ? Я ж написав - в різних абонентів на роутерах стає одинаковий мак і змінюються dns-и. Деякі роутери більше року встановлені і до цього працювали без проблем.

Edited 2016-05-15 07:44:02 by andr1y

Kto To · 2016-05-15 08:00:31

это ужасно

CCbIKATHO · 2016-05-15 08:38:36

А что если стандартный пароль менять ?

Jeko · 2016-05-15 08:52:31

Проходили это. Правда у нас шились tp-link tl-wr741nd какой-то кастомной сборкой openwrt. Лечится закрытием доступа к роутеру снаружи и сменой стандартного пароля.

ilit · 2016-05-15 08:54:20

было такое, пароль был не стандартный, но было включено удаленное управление. менялся ДНС в настройках. после отключения доступа к настройкам из инета - все прошло.

zaborovsky · 2016-05-15 09:34:14

если вы погуглите насчет роутеров Нетис, то найдете статью, где неписано про то, что у данного роутера по умолчанию открыто удаленное администрирование с wan-интерфейса и еще какие-то пакости.

upd: нашел http://kyivstar-inet.com/threads/router-netis-naxodka-dlja-shpiona-ili-o-dyre-v-bezopasnosti-routera.4057/

alsdfg · 2016-05-15 10:06:28

Блин, ещё б тенду покупал эти юзеры(

zaborovsky · 2016-05-15 10:12:46

их не покупают, их провайдеры юзерам раздают

типа за 1 гривну

lemosh · 2016-05-15 11:24:08

в продолжении этого поста

вот еще одна из причин почему не хочу отказываться от РРРоЕ . И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер

John_Doe · 2016-05-15 15:19:22

в продолжении этого поста

вот еще одна из причин почему не хочу отказываться от РРРоЕ . И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер

И чем вам PPPoE в данном случае помогает?Гораздо правильнее не заворачивать а раздавать свой днс(желательно два).

Den_LocalNet · 2016-05-15 15:22:59

И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер

А владельцы смартов за такие дела с днс по шее не дают?

lemosh · 2016-05-15 17:33:09

И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер

А владельцы смартов за такие дела с днс по шее не дают?

там пара-несколько адресов в адрес-листе есть, которые пропускаю напрямую... как раз для владельцев смартов

blackjack · 2016-05-15 17:33:14

А унего нет владельцев смартов, либо он им приставки пуляет.

lemosh · 2016-05-15 17:34:32

А унего нет владельцев смартов, либо он им приставки пуляет.

Есть, немного но есть. Проходили мы этот вопрос...

DMiTRONiK · 2016-05-20 08:05:00

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns 93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Столкнулись с подобным, набралось пяток клиентов с данным маком, проблема как-то решается?

lemosh · 2016-05-20 14:17:10

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns 93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Столкнулись с подобным, набралось пяток клиентов с данным маком, проблема как-то решается?

а заводской пароль менять на другой не пробовали?

DMiTRONiK · 2016-05-20 14:19:15

а заводской пароль менять на другой не пробовали?

Пока появились жалобы от клиентов и видим дубли маков, в руки еще не попали роутеры.

xstaz · 2016-05-23 09:54:26

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns 93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Какой-то странный у вас "вирус", гугл про него знает в единственном экземпляре и только по этому форуму. Самоделка против нетиса?

https://www.google.com.ua/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=%2204%3A8d%3A38%3A4b%3Ae3%3A2a%22

vladok_sk · 2016-06-08 16:32:18

И наши клиенты используют один и тот же MAC-адрес на порт WAN: 04:8d:38:4b:e3:2a. А маршрутизаторы не установили пароль. В Польше, команда также встречались: http://bit.ly/1WF0WJh. Похоже, что вирус, который настроить маршрутизатор без пароля.

DMiTRONiK · 2016-06-09 06:38:38

Клиент приносил роутер, действительно Netis WF2419R.
Доступ к администрированию через ван был запрещен.
На вэб изнутри пускает без пароля.
Прошивка древняя V1.7.25087 от 2014-6-12, на сайте уже есть 2 новее в описании одной за 2014-9-2 указано: "Improve security".

Обновили прошивку - проблемы больше нет.

xstaz · 2016-06-15 11:51:59

Пару дней назад лечил такой роутер. Клиент сказал, что компьютер только куплен и как бы система чистая. Но на самом деле в Хроме были обнаружены куски хлама от @mail.ru, лишний раз говорит о том, что залезла какая-то зараза. Поменял ему прошивку, поставил пароль. Сказал чтобы несколько дней его не трогал и просто работал. Через пару дней перезвонил узнать как дела: оказалось, что дня через три он всё таки залез с компьютера в роутер с моим паролем, эта зараза тут же ему подменила МАС и DNS. До этого, как отдал ему роутер, всё было нормально.
Так что снаружи никаких проблем у роутеров нет, проблема в отсутствии пароля по умолчанию. Плата за простоту настройки для ендюзеров.
Написали в службу поддержки, обещали подумать над тем чтобы ставить пароли, но не админ/админ, а что-то менее подбираемое.

xstaz · 2016-06-15 11:55:02

Да, знакомый провайдер (может быть тут он и писал выше, но ники разные с его обычным). Он предложил как временное решение заворачивать в сети все левые DNS на свои и разрешать к ним ещё гугловские.
Ну и выводить юзеру страницу, чтобы обратился в тех.суппорт (можно ещё напугать, что у него компьютер заражён).

Den_LocalNet · 2016-06-15 13:44:17

нашел у себя 3-х абонентов с этим маком. Пока не жаловались.

Sign In

вірус модифікує прошивку в роутері

Recommended Posts

andr1y 4

Link to post

Share on other sites

blackjack 250

Link to post

Share on other sites

andr1y 4

Link to post

Share on other sites

Kto To 602

Link to post

Share on other sites

CCbIKATHO 4

Link to post

Share on other sites

Jeko 8

Link to post

Share on other sites

ilit 4

Link to post

Share on other sites

zaborovsky 359

Link to post

Share on other sites

alsdfg 120

Link to post

Share on other sites

zaborovsky 359

Link to post

Share on other sites

lemosh 60

Link to post

Share on other sites

John_Doe 301

Link to post

Share on other sites

Den_LocalNet 1,474

Link to post

Share on other sites

lemosh 60

Link to post

Share on other sites

blackjack 250

Link to post

Share on other sites

lemosh 60

Link to post

Share on other sites

DMiTRONiK 2

Link to post

Share on other sites

lemosh 60

Link to post

Share on other sites

DMiTRONiK 2

Link to post

Share on other sites

xstaz 0

Link to post

Share on other sites

vladok_sk 0

Link to post

Share on other sites

DMiTRONiK 2

Link to post

Share on other sites

xstaz 0

Link to post

Share on other sites

xstaz 0

Link to post

Share on other sites

Den_LocalNet 1,474

Link to post

Share on other sites

Create an account or sign in to comment

Create an account