Ubuntu Suomen keskustelualueet
Muut alueet => Yleistä keskustelua => Aiheen aloitti: Znake - 27.03.09 - klo:09.32
-
En huomannut kenenkään tästä vielä kirjoittaneen...
Kyseessähän siis on mato, joka hyökkää laajakaistamodeemeja vastaan ja Cert.fi:n mukaan saastuttaa nimenomaan sulautettuja Linux-käyttöjärjestelmiä.
http://www.tietokone.fi/uutta/uutinen.asp?news_id=37268
http://www.tietokone.fi/uutta/uutinen.asp?news_id=37302&tyyppi=1
http://www.cert.fi/tietoturvanyt/2009/03/ttn200903261122.html
-
Aika HC meininkiä jo tommoset modeemimadot :)
Eniten huvitti otsikko uutispalvelussa X, jonka nimeä en nyt muista:
"Mato hyökkää linux koneisiin", tai jotain muuta vastaavaa...ehkä HIEMAN huomiota haettu kyseisellä otsikolla :P
-
Ihme kyllä en ole vielä nähnyt postia jossa alettaisiin heti kettuilemaan Linuxin tietoturvallisuudesta...
Do not feed the trolls. ;)
-
Ihme kyllä en ole vielä nähnyt postia jossa alettaisiin heti kettuilemaan Linuxin tietoturvallisuudesta...
On niitä ollut... :D
Do not feed the trolls. ;)
Niinpä... (nimim. paraskin puhuja... :-[)
Eniten huvitti otsikko uutispalvelussa X, jonka nimeä en nyt muista:
"Mato hyökkää linux koneisiin", tai jotain muuta vastaavaa...ehkä HIEMAN huomiota haettu kyseisellä otsikolla :P
Juu tuota Itviikossa taisi olla jotain linux palvelimista... Otsikkona, mutta viestissä sitten puhuttiin reitittimistä ja sanottiin ettei kysessä ole aukko, vaan käyttäjän hölmöys. Jos ei käyttäisi sitä kauko-ohjausta ja/tai ainakin kunnollista salasanaa niin ei olisi ongelmia.
Itselläni ei ole tuossa D-Linkissä mitenkään erityisen hyvä salasana, mutta ainakaan siihen ei (pitäisi) pääse(/päästä) käsiksi lähiverkon ulkopuolelta (on pois päältä tuo ominaisuus). :)
Kaikenlisäksi tuo ei taida kuulua noihin, jotka voisi kaapata...vai?
Mistä muuten voi tarkistaa onko joku reititin kaapattu? Taitaa olla vähän vaikeaa...vai?
-
Mistä muuten voi tarkistaa onko joku reititin kaapattu? Taitaa olla vähän vaikeaa...vai?
Am I Vulnerable?
You are only vulnerable if:
Your device is a mipsel (MIPS running in little-endian mode, this is what the worm is compiled for) device.
Your device also has telnet, SSH or web-based interfaces available to the WAN, and
Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.
As such, 90% of the routers and modems participating in this botnet are participating due to user-error (the user themselves or otherwise). Unfortunately, it seems that some of the people covering this botnet do not understand this point, and it is making us look like a bunch of idiots.
Any device that meets the above criteria is vulnerable, including those built on custom firmware such as OpenWRT and DD-WRT. If the above criteria is not met, then the device is NOT vulnerable.
How can I tell if I have been infected?
Ports 22, 23 and 80 are blocked as part of the infection process (but NOT as part of the rootkit itself, running the rootkit itself will not alter your iptables configuration).
If these ports are blocked, you should perform a hard reset on your device, change the administrative passwords, and update to the latest firmware. These steps will remove the rootkit and ensure that your device is not reinfected.
Mun oma purkki on ihan perusasetuksilla, salasanan saatoin vaihtaa mutta en oo ihan varma. Taidan varmuuden vuoksi tarkastaa, että oon laittanu tarpeeks vaikean salasanan (tai siis ylipäätään vaihtanu sen oletuksesta :-[ ei voi muistaa :().
-
Mistäs tuo salasana laitetaan / vaihdetaan?
-
Mistäs tuo salasana laitetaan / vaihdetaan?
Verkkopäätteen hallinnasta, manuaali opastaa tunnuksen ja salasanan.
Selaimella seikkaillaan kyseiselle sivulle.
-
Mistäs tuo salasana laitetaan / vaihdetaan?
Modeemin manuaali käteen, selaimella manuaalissa löytyvään osoitteeseen, jossa kirjaudut sisään manuaalista löytyvällä tunnus-passu-yhdistelmällä ja sitten etsit sieltä sen salasanan vaihtamisen.
Mulla tuo osoite on 10.0.0.2, toisilla 192.168.jotain jne. Jos manuaalia ei löydy, surffaa se itsellesi valmistajan sivuilta merkin ja mallin perusteella.
-
Joo, kiitti.
Kävin Telewellin sivuilla ja siellä oli maininta ettei uhka koske heidän laitteitaan:
http://www.easytel.fi/
-
Onko kellään tarkempaa tietoa tästä cert.fi sivustolta löytyneestä tiedosta?
Tietoturva nyt!
26.3.2009
Laajakaistamodeemeissa pesivä verkkomato
Verkkomato liittää saastuneet modeemit bottiverkkoon
Tiettävästi ensimmäinen laajakaistamodeemeja vastaan hyökkäävä verkkomato on saavuttanut jalansijaa. Verkkomato pystyy toimimaan ainoastaan sellaisissa modeemeissa, joissa on sulautettu Linux-käyttöjärjestelmä. CERT-FI:n tietojen mukaan erityisesti BusyBox-ympäristöä käyttävät laitteet voivat olla verkkomadon kohteena. Kattavan laiteluettelon antaminen on vielä tässä vaiheessa mahdotonta.
Verkkomato käyttää leviämisessään hyväksi laajakaistamodeemin puutteellisesti suojattua hallintaliittymää. Tietojemme mukaan suurin osa tartunnasta saaneista modeemeista on ollut sellaisia, joissa hallintaliittymään on voinut kirjautua Internetistä käsin tehdasasetetuilla salasanoilla. Kirjautuminen on tapahtunut joko SSH-, telnet- tai HTTP-protokollaa käyttäen.
Päästyään kiinni hallintaliittymään verkkomato lataa modeemin muistiin ohjelman, jonka avulla modeemi liitetään osaksi hyökkääjän hallitsemaa bottiverkkoa. Viimeisten raporttien mukaan tässä ns. psyb0t-bottiverkossa on mukana jo yli 100 000 modeemia. CERT-FI:lle on raportoitu tapauksia myös Suomesta.
Tietojemme mukaan modeemeihin pesiytyvä verkkomato osaa kaapata modeemin läpi kulkevan salaamattoman verkkoliikenteen seasta tunnussanoja. Lisäksi hyökkääjä voi käyttää bottiverkkoa palvelunestohyökkäyksiin sekä tietomurtojen valmisteleluun ja suorittamiseen. Mikään ei kuitenkaan estäisi verkkomatoa ohjaamasta modeemin läpi kulkevaa verkkoliikennettä esimerkiksi hyökkääjän hallitsemalle palvelimelle.
CERT-FI suosittelee, että laajakaistamodeemin hallintaliittymä pidetään auki Internetiin päin vain pakottavista syistä. Pääsy hallintaliittymään voi olla hyvä estää myös langattoman lähiverkon puolelta, mikäli modeemi toimii langattoman lähiverkon tukiasemana. Lisäksi hallintaliittymän oletussalasanat tulee vaihtaa vaikeasti arvattaviksi. On myös hyvä tiedostaa, että modeemiin liitetyissä tietokoneissa toimivat virustorjunta- ja palomuurituotteet eivät pysty havaitsemaan tai estämään verkkomatoa.
Epäilyttävissä tapauksissa laajakaistamodeemi kannattaa hetkellisesti irrottaa sekä puhelinverkosta että verkkovirrasta. Modeemia ei tule liittää takaisin puhelinverkkoon ennen kuin hallintaliittymän salasana on vaihdettu ja asetukset on tarkistettu. Epäilys voi herätä, mikäli kaikki modeemiin langallisesti ja langattomasti kytketyt laitteet ovat sammutettu, mutta modeemin merkkivalot ilmoittavat jatkuvasta verkkoliikenteestä.
Tietojemme mukaan verkkomato ei selviä virtakatkoksesta, mutta täysi varmuus voidaan saavuttaa vain lataamalla modeemin ohjelmistoversio uudestaan. Samalla kannattaa tarkistaa jos tuotteelle on julkaistu päivitetyt ohjelmistoversiot.
-
Onko kellään tarkempaa tietoa tästä cert.fi sivustolta löytyneestä tiedosta?
Suomessa lienee suurin osa modemeista Telewellejä, niin minullakin.
"Uutisoitu Psyb0t-uhka
Kyseinen haavoittuvuus ei koske TeleWell laitteita, sillä oletuksena laitteissamme ei ole pääsyä Linux shelliin."
http://www.easytel.fi/
Ystävällisin terveisin Asmo Koskinen.
-
Mahtaakohan koskea Zyxelin motukoita?
-
Mahtaakohan koskea Zyxelin motukoita?
Riippuu millainen ja miten viritetty Linux siellä sisällä on. Minulla on sisäverkossa LAN/WLAN Linksys, jossa on DD-WRT/Linux. Riskinsä siinäkin on.
http://www.dd-wrt.com/dd-wrtv3/community/developmentnews/1-common/31-router-worm.html
Ystävällisin terveisin Asmo Koskinen.
-
Mun mielestä noi kaikenlaiset verkkopurnukat pitäs toimittaa niin, että factory default -asetuksilla mikään ei toimi minnekään. Samalla kun aktivoi esimerkiksi wlan-verkon, tai ssh-palvelun tai minkä hyvänsä niin softa pitäisi huolen siitä, että salasana on vaihdettu oletuksesta ja käyttäjälle on tehty selväksi palvelun aktivoinnin vaikutus tietoturvan kannalta.
Normaalikäyttäjän pitäs disabloida laitteestaan ainakin (listaa saa jatkaa)
* telnet
* ssh
* http (jos https on käytettävissä)
* kaikki pääsy Internetistä käsin
* upnp
* laitteen konfigurointi wlanin yli
Ja välttää näitä viimeiseen asti:
* avoin wlan
* wep-salaus
Ja WPA/WPA2-salauksessa suosia TKIP:n sijaan AES/CCMP:a.
Sekä vahvat salasanat joka väliin on tietysti A ja O.
-
Mahtaakohan koskea Zyxelin motukoita?
Riippuu millainen ja miten viritetty Linux siellä sisällä on. Minulla on sisäverkossa LAN/WLAN Linksys, jossa on DD-WRT/Linux. Riskinsä siinäkin on.
Ei sen kummempaa riskiä kuin missään muussakaan internettiin päin näkyvässä palvelussa. DD-WRT:n kohdalla riski voi toteutua jos ylläpitäjä on niin kädetön että ensimmäiseksi laittaa etähallintapalvelun(oletuksena ei näy) näkymään internettiin päin oletusportteihin ja toiseksi käyttää sanakirjasta tuttua salasanaa tai ei vaihda oletussanaa ollenkaan.
Juu, ei kai mikään laite tehdasasetuksilla syötä hallintapalveluja ulkoverkkoon (oletussalasanoilla). DD-WRT ei muistaakseni edes anna avata hallintaa ulkoverkkoon jos salasanaa ei vaihda. Kyllä vika on käyttäjässä jos sinne (tämä) mato ilmestyy.