0:09
21/2/2010

Nie zmieniłeś domyślnego hasła na domowym routerze? Chuck Norris mógł złożyć ci wizytę…

Chuck Norris zgaduje hasła

Botnet Chucka Norrisa nie wchodzi na modemy z półobrotu, ale próbuje odgadnąć hasło. Jeśli ktoś chce iść w jego ślady, polecamy publicznie dostępne listy domyślnych haseł do urządzeń sieciowych. Ale nawet silne hasło ci nie pomoże, jeśli masz router D-Linka — Norris da sobie z nim radę, bo potrafi skorzystać z opisywanej przez nas niedawno dziury w D-Linkach.

Po przejęciu kontroli nad urządzeniem, Chuck Norris blokuje dostęp administracyjny do routera i podmienia DNS-y (ataki phishing & pharming) oraz uczestniczy w atakach DDoS na inne maszyny w sieci. Botnet kontrolowany jest przez IRC. Malware wziął swoją nazwę od fragmentu tekstu umieszczonego w kodzie źródłowym “w imię Chucka Norrisa”.

Sposób na Chucka Norrisa

…to restart routera. Ponieważ Chuck Norris zagnieżdza się tylko w pamięci RAM routera, przysłowiowe “potknięcie się o kabel” wystarczy, żeby się go pozbyć.

Na atak botnetu narażone są wyłącznie modemy DSL, routery, access-pointy i zestawy telewizji satelitarnej, których właściciele nie wyłączyli możliwości zdalnej konfiguracji urządzenia (od strony WAN-u).

Jak widać, nawet sam Chuck Norris nie radzi sobie z zablokowanymi portami ;-)

Przeczytaj także:



15 komentarzy

Dodaj komentarz
  1. Buahahaha. Podajcie choc jeden model routera, ktory domyslnie ma uruchomiona zewnetrzna administracje.

  2. @mogg jeśli się nie mylę to D-Link DIR-300…
    Ale pewny w 100% nie jestem.

  3. No ja jak przeglądałem na Neostradzie, to z 60% success rate na domyślne hasła. Kiedyś nawet znalazłem jakiś monitoring szczecińskiej stacji benzynowej, bo ktoś miał dyndns w routerze skonfigurowany.

    Myślałem, co z tym da się zrobić – oprócz właśnie skierowania na własny (czytaj zpwnowany gdzie indziej) DNS – przekierować wszystkie ciekawe porty na jakąś maszynę w sieci lokalnej – zrobić z niej serwer – może można by luk w Sambie wówczas próbować (zmiana logowania do tepsy na BEZ_OCHRONY_, żeby portów nie blokowała). Można pozbierać loginy i hasła do neostrady – czy ktoś wie, czy można logować się do internetu na cudze konto? Można też pozbierać w celach badawczych hasła i nazwy punktów dostępowych wifi. Można nauczyć się pisać/modyfikować firmware, żeby jakieś ciekawsze operacje przez TCP/UDP/ICMP… robić. Można komuś coś złośliwie poprzestawiać, żeby po prostu nie działało.

    Właśnie tak się dziwiłem jak pisaliście o dziurawym Dlinku, jak tu wszystko w świecie konsumenckim jest dziurawe by default. ;)

    ps. a danych adresowych w dziurawym Internecie też na pęczki, więc nie macie, co tak tropić, czy to przelewy, czy moneybookers.

  4. @Piotr @mogg
    Potwierdzam. Jest to DIR-300.

  5. Niestety uzytkownicy ruterów sami musza regularnie sprawdzac, czy pojawiła sie juz nowa wersja firmware. W przeciwieństwie do dekoderów satelitarnych czy kablowych wiekszość ruterów nie potrafi sama aktualizowac softu. Trzeba więc tego pilnować a jesli widzimy, ze od dłuzszego czasu nie ma aktualizacji to znaczy, ze dany model rutera jest juz wycofany i producent przestał się nim zajmowac. moim zdaniem producenci powinni dac mozliwość ustawienia preferowanej godziny automatycznej aktualizacji (musi ona nastapic w momencie, gdy akceptujemy krótkotrwałe odłączenie od internetu np. w nocy gdy śpimy, albo gdy jestesmy w pracy poza domem). Innym wyjściem jest mechanizm przypominania o konieczności zmiany hasła i sprawdzania jego siły.

  6. mogg: “choc jeden” – http://seclists.org/bugtraq/2009/Jul/16

  7. wszystko fanie ale czemu chuck norris?

  8. I stało się, wreszcie znalazłem wytłumaczenie moich ostatnich problemów.
    Sytuacja wyglądała tak: dwa dni temu dostęp do sieci stał się problematyczny, połączenie się rozłączało etc. Mam dlinka, podobnie nazywa się sieć. Router automatycznie zmienil nazwe sieci bezprzewodowej na “Dlink”, zdjął hasło dostępowe do routera i upublicznił połączenie.

    Dobrze to wiedzieć ;) Bo to niezłe rozwiązanie. Nie traci się połączenia, tylko połączenie jest ułatwione brakiem hasła.

    Pozdr i dzięki za info.

  9. Proponuję zmienić soft na dd-wrt, bo np na dir-300 daje niezłego kopa.

  10. […] można oczywiście zmienić hasło (chociaż większość użytkowników, ku uciesze Chucka Norrisa zostawia domyślne hasła) — ale nawet po zmianie hasła, niektóre z routerów dalej pozwalają na dostęp do swoich […]

  11. hyh hyh pokazywałem podobne ataki na takie rtry jakiś czas temu ;)

    http://www.securityfocus.com/archive/1/503934
    http://www.securityfocus.com/archive/1/503946

    tyle że dostęp na roota, na OS routera.

    A co do defaultowych haseł to sprawa jest bajecznie prosta ;) w FF widze ze wisi zglaszany przeze mnie jakis czas temu bug: https://bugzilla.mozilla.org/show_bug.cgi?id=496365

    jesli zakodujemy default usera / hasło w formacie: |img src=http://defaultuser:defaultpassword@192.168.1.1/ | + request zmieniajacy konfig routera, bądź dostający się na OS, to można taki ruter przejąc zwykłym obrazkiem html ;)

  12. Ja mam DIR-300 i akurat miałem fabrycznie wyłączoną zdalną konfigurację. Jakaś odmienna wersja?

  13. […] zwana pharmingiem. Korzysta z niej nagminnie złośliwe oprogramowanie, a i my pisaliśmy o niej wiele […]

  14. Na pewno wszystkie regularnie aktualizowane Ovislink-i mają domyślnie ustawione podpięcie przez Telnet.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: