Jump to content

вірус модифікує прошивку в роутері


Recommended Posts

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns  93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Link to post
Share on other sites

А може це не вірус і просто китайські роутери відвалюються?

Причому тут китайські роутери ? Я ж написав - в різних абонентів на роутерах стає одинаковий мак і змінюються dns-и. Деякі роутери більше року встановлені і до цього працювали без проблем.

Edited by andr1y
Link to post
Share on other sites

Проходили это. Правда у нас шились tp-link tl-wr741nd какой-то кастомной сборкой openwrt. Лечится закрытием доступа к роутеру снаружи и сменой стандартного пароля.

Link to post
Share on other sites

было такое, пароль был не стандартный, но было включено удаленное управление. менялся ДНС в настройках. после отключения доступа к настройкам из инета - все прошло.

Link to post
Share on other sites

если вы погуглите насчет роутеров Нетис, то найдете статью, где неписано про то, что у данного роутера по умолчанию открыто удаленное администрирование с wan-интерфейса и еще какие-то пакости.

 

 

upd: нашел  http://kyivstar-inet.com/threads/router-netis-naxodka-dlja-shpiona-ili-o-dyre-v-bezopasnosti-routera.4057/

Link to post
Share on other sites

в продолжении этого поста

вот еще одна из причин почему не хочу отказываться от РРРоЕ  ;). И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер ;)

Link to post
Share on other sites

в продолжении этого поста

вот еще одна из причин почему не хочу отказываться от РРРоЕ   ;). И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер ;)

И чем вам PPPoE в данном случае помогает?Гораздо правильнее не заворачивать а раздавать свой днс(желательно два).

Link to post
Share on other sites

И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер ;)

А владельцы смартов за такие дела с днс по шее не дают?

Link to post
Share on other sites

 

И почему на NASе заворачиваю все клиентские запросы на порт 53(udp) на локальный DNS сервер ;)

А владельцы смартов за такие дела с днс по шее не дают?

 

там пара-несколько адресов в адрес-листе есть, которые пропускаю напрямую... как раз для владельцев смартов ;)

Link to post
Share on other sites

А унего нет владельцев смартов, либо он им приставки пуляет.

Есть, немного но есть. Проходили мы этот вопрос...

Link to post
Share on other sites

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns  93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Столкнулись с подобным, набралось пяток клиентов с данным маком, проблема как-то решается?

Link to post
Share on other sites

 

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns  93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Столкнулись с подобным, набралось пяток клиентов с данным маком, проблема как-то решается?

 

а заводской пароль менять на другой не пробовали?

Link to post
Share on other sites

 

 

а заводской пароль менять на другой не пробовали?
 

Пока появились жалобы от клиентов и видим дубли маков, в руки еще не попали роутеры. 

Link to post
Share on other sites

За останні кілька днів зустріли вже близько 10 випадків - вірус змінює прошивку в роутері - mac адрес ставить 04:8d:38:4b:e3:2a і dns  93.115.85.212.

Відповідно якщо в одному влані 2 таких пристрої з однаковими маками - починає у двох абонентів погано працювати інтернет.

Наразі всі роутери з якими це відбувається фірми NETIS.

Какой-то странный у вас "вирус", гугл про него знает в единственном экземпляре и только по этому форуму. Самоделка против нетиса? :)

https://www.google.com.ua/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8#q=%2204%3A8d%3A38%3A4b%3Ae3%3A2a%22

Link to post
Share on other sites
  • 3 weeks later...

И наши клиенты используют один и тот же MAC-адрес на порт WAN: 04:8d:38:4b:e3:2a. А маршрутизаторы не установили пароль. В Польше, команда также встречались: http://bit.ly/1WF0WJh. Похоже, что вирус, который настроить маршрутизатор без пароля.

Link to post
Share on other sites

Клиент приносил роутер, действительно Netis WF2419R.
Доступ к администрированию через ван был запрещен.
На вэб изнутри пускает без пароля.
Прошивка древняя V1.7.25087 от 2014-6-12, на сайте уже есть 2 новее в описании одной за 2014-9-2 указано: "Improve security".

Обновили прошивку - проблемы больше нет.

Link to post
Share on other sites

Пару дней назад лечил такой роутер. Клиент сказал, что компьютер только куплен и как бы система чистая. Но на самом деле в Хроме были обнаружены куски хлама от @mail.ru, лишний раз говорит о том, что залезла какая-то зараза. Поменял ему прошивку, поставил пароль. Сказал чтобы несколько дней его не трогал и просто работал. Через пару дней перезвонил узнать как дела: оказалось, что дня через три он всё таки залез с компьютера в роутер с моим паролем, эта зараза тут же ему подменила МАС и DNS. До этого, как отдал ему роутер, всё было нормально.
Так что снаружи никаких проблем у роутеров нет, проблема в отсутствии пароля по умолчанию. Плата за простоту настройки для ендюзеров.
Написали в службу поддержки, обещали подумать над тем чтобы ставить пароли, но не админ/админ, а что-то менее подбираемое.

Link to post
Share on other sites

Да, знакомый провайдер (может быть тут он и писал выше, но ники разные с его обычным). Он предложил как временное решение заворачивать в сети все левые DNS на свои и разрешать к ним ещё гугловские.
Ну и выводить юзеру страницу, чтобы обратился в тех.суппорт (можно ещё напугать, что у него компьютер заражён).

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By GekaPeka
      Ruijie Reyee RG-RAP2200 новая, цена 3600 грн
    • By tkachik
      Продам
      БУ Tl-wr740n.
      Стан на 4. 
      Роутери прошиті російськомовною прошивкою.
      ціна роутера без бп - 230 грн
      З бп - 260 грн
      Є знижка на опт
    • By GekaPeka
      MikroTik PowerBox Pro (RB960PGS-PB), новый, в упаковке. Цена: 2800 грн.
    • By Inna13
      Наша компанія має стаж роботи понад 15 років. У нас є дві форми оплати з ПДВ та ФОП, гарантія на товар. Займаємось продажем різного Wi-Fi обладнання: роутери, точки доступу, WI-FI антени. 
    • By tarantul13
      Продається маршрутизатор Juniper MX80 зі всіма ліцензіями. Працював в датацентрі. Замінився на інше обладнання. Все робоче - перевірено.
      Додаткові питання - пишіть. Можливо по перерахунку.
×
×
  • Create New...