Kirjoittaja Aihe: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato  (Luettu 6607 kertaa)

Znake

  • Käyttäjä
  • Viestejä: 91
    • Profiili
En huomannut kenenkään tästä vielä kirjoittaneen...

Kyseessähän siis on mato, joka hyökkää laajakaistamodeemeja vastaan ja Cert.fi:n mukaan saastuttaa nimenomaan sulautettuja Linux-käyttöjärjestelmiä.

http://www.tietokone.fi/uutta/uutinen.asp?news_id=37268
http://www.tietokone.fi/uutta/uutinen.asp?news_id=37302&tyyppi=1
http://www.cert.fi/tietoturvanyt/2009/03/ttn200903261122.html

Ilokaasu

  • Käyttäjä
  • Viestejä: 1547
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #1 : 27.03.09 - klo:13.29 »
Aika HC meininkiä jo tommoset modeemimadot :)

Eniten huvitti otsikko uutispalvelussa X, jonka nimeä en nyt muista:
"Mato hyökkää linux koneisiin", tai jotain muuta vastaavaa...ehkä HIEMAN huomiota haettu kyseisellä otsikolla :P

Mippe

  • Käyttäjä
  • Viestejä: 482
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #2 : 27.03.09 - klo:18.42 »
Ihme kyllä en ole vielä nähnyt postia jossa alettaisiin heti kettuilemaan Linuxin tietoturvallisuudesta...

Do not feed the trolls.  ;)
AMD Athlon 64 5600+ || ATI Radeon 3650 || 2x 500Gb SATA|| 4Gb RAM || High Definition Audio
Blogi

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #3 : 27.03.09 - klo:19.10 »
Ihme kyllä en ole vielä nähnyt postia jossa alettaisiin heti kettuilemaan Linuxin tietoturvallisuudesta...
On niitä ollut... :D

Do not feed the trolls.  ;)
Niinpä... (nimim. paraskin puhuja... :-[)

Eniten huvitti otsikko uutispalvelussa X, jonka nimeä en nyt muista:
"Mato hyökkää linux koneisiin", tai jotain muuta vastaavaa...ehkä HIEMAN huomiota haettu kyseisellä otsikolla :P

Juu tuota Itviikossa taisi olla jotain linux palvelimista... Otsikkona, mutta viestissä sitten puhuttiin reitittimistä ja sanottiin ettei kysessä ole aukko, vaan käyttäjän hölmöys. Jos ei käyttäisi sitä kauko-ohjausta ja/tai ainakin kunnollista salasanaa niin ei olisi ongelmia.

Itselläni ei ole tuossa D-Linkissä mitenkään erityisen hyvä salasana, mutta ainakaan siihen ei (pitäisi) pääse(/päästä) käsiksi lähiverkon ulkopuolelta (on pois päältä tuo ominaisuus). :)
Kaikenlisäksi tuo ei taida kuulua noihin, jotka voisi  kaapata...vai?

Mistä muuten voi tarkistaa onko joku reititin kaapattu? Taitaa olla vähän vaikeaa...vai?
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

masa

  • Käyttäjä
  • Viestejä: 494
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #4 : 27.03.09 - klo:19.58 »
Mistä muuten voi tarkistaa onko joku reititin kaapattu? Taitaa olla vähän vaikeaa...vai?

Lainaus käyttäjältä: author http://dronebl.org/blog/8
Am I Vulnerable?

You are only vulnerable if:

Your device is a mipsel (MIPS running in little-endian mode, this is what the worm is compiled for) device.
Your device also has telnet, SSH or web-based interfaces available to the WAN, and
Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.

As such, 90% of the routers and modems participating in this botnet are participating due to user-error (the user themselves or otherwise). Unfortunately, it seems that some of the people covering this botnet do not understand this point, and it is making us look like a bunch of idiots.

Any device that meets the above criteria is vulnerable, including those built on custom firmware such as OpenWRT and DD-WRT. If the above criteria is not met, then the device is NOT vulnerable.

How can I tell if I have been infected?

Ports 22, 23 and 80 are blocked as part of the infection process (but NOT as part of the rootkit itself, running the rootkit itself will not alter your iptables configuration).

If these ports are blocked, you should perform a hard reset on your device, change the administrative passwords, and update to the latest firmware. These steps will remove the rootkit and ensure that your device is not reinfected.

Mun oma purkki on ihan perusasetuksilla, salasanan saatoin vaihtaa mutta en oo ihan varma. Taidan varmuuden vuoksi tarkastaa, että oon laittanu tarpeeks vaikean salasanan (tai siis ylipäätään vaihtanu sen oletuksesta :-[ ei voi muistaa  :().
« Viimeksi muokattu: 27.03.09 - klo:20.02 kirjoittanut masa »
matti_mato

Kun pulma ratkeaa, lisääppä ekan viestin otsikkoon [RATKAISTU] :)

rale

  • Käyttäjä
  • Viestejä: 289
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #5 : 27.03.09 - klo:21.13 »
Mistäs tuo salasana laitetaan / vaihdetaan?

gdm

  • Sitä saa mitä tilaa...
  • Käyttäjä
  • Viestejä: 4363
    • Profiili
    • Keskustelualueiden säännöt
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #6 : 27.03.09 - klo:21.19 »
Mistäs tuo salasana laitetaan / vaihdetaan?

Verkkopäätteen hallinnasta, manuaali opastaa tunnuksen ja salasanan.
Selaimella seikkaillaan kyseiselle sivulle.
Lisää [Ratkaistu] aloitusviestiin jos ongelmasi selviää!
Saamasi tuki on ilmaista, joten älä vaadi tai uhkaile saadaksesi apua!

Ville Pöntinen

  • Käyttäjä
  • Viestejä: 2078
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #7 : 27.03.09 - klo:21.19 »
Mistäs tuo salasana laitetaan / vaihdetaan?

Modeemin manuaali käteen, selaimella manuaalissa löytyvään osoitteeseen, jossa kirjaudut sisään manuaalista löytyvällä tunnus-passu-yhdistelmällä ja sitten etsit sieltä sen salasanan vaihtamisen.

Mulla tuo osoite on 10.0.0.2, toisilla 192.168.jotain jne. Jos manuaalia ei löydy, surffaa se itsellesi valmistajan sivuilta merkin ja mallin perusteella.

rale

  • Käyttäjä
  • Viestejä: 289
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #8 : 27.03.09 - klo:22.12 »
Joo, kiitti.
Kävin Telewellin sivuilla ja siellä oli maininta ettei uhka koske heidän laitteitaan:
http://www.easytel.fi/

jaldemar

  • Käyttäjä
  • Viestejä: 288
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #9 : 31.03.09 - klo:15.08 »
Onko kellään tarkempaa tietoa tästä cert.fi sivustolta löytyneestä tiedosta?

Tietoturva nyt!

26.3.2009
Laajakaistamodeemeissa pesivä verkkomato

Verkkomato liittää saastuneet modeemit bottiverkkoon

Tiettävästi ensimmäinen laajakaistamodeemeja vastaan hyökkäävä verkkomato on saavuttanut jalansijaa. Verkkomato pystyy toimimaan ainoastaan sellaisissa modeemeissa, joissa on sulautettu Linux-käyttöjärjestelmä. CERT-FI:n tietojen mukaan erityisesti BusyBox-ympäristöä käyttävät laitteet voivat olla verkkomadon kohteena. Kattavan laiteluettelon antaminen on vielä tässä vaiheessa mahdotonta.

Verkkomato käyttää leviämisessään hyväksi laajakaistamodeemin puutteellisesti suojattua hallintaliittymää. Tietojemme mukaan suurin osa tartunnasta saaneista modeemeista on ollut sellaisia, joissa hallintaliittymään on voinut kirjautua Internetistä käsin tehdasasetetuilla salasanoilla. Kirjautuminen on tapahtunut joko SSH-, telnet- tai HTTP-protokollaa käyttäen.

Päästyään kiinni hallintaliittymään verkkomato lataa modeemin muistiin ohjelman, jonka avulla modeemi liitetään osaksi hyökkääjän hallitsemaa bottiverkkoa. Viimeisten raporttien mukaan tässä ns. psyb0t-bottiverkossa on mukana jo yli 100 000 modeemia. CERT-FI:lle on raportoitu tapauksia myös Suomesta.

Tietojemme mukaan modeemeihin pesiytyvä verkkomato osaa kaapata modeemin läpi kulkevan salaamattoman verkkoliikenteen seasta tunnussanoja. Lisäksi hyökkääjä voi käyttää bottiverkkoa palvelunestohyökkäyksiin sekä tietomurtojen valmisteleluun ja suorittamiseen. Mikään ei kuitenkaan estäisi verkkomatoa ohjaamasta modeemin läpi kulkevaa verkkoliikennettä esimerkiksi hyökkääjän hallitsemalle palvelimelle.

CERT-FI suosittelee, että laajakaistamodeemin hallintaliittymä pidetään auki Internetiin päin vain pakottavista syistä. Pääsy hallintaliittymään voi olla hyvä estää myös langattoman lähiverkon puolelta, mikäli modeemi toimii langattoman lähiverkon tukiasemana. Lisäksi hallintaliittymän oletussalasanat tulee vaihtaa vaikeasti arvattaviksi. On myös hyvä tiedostaa, että modeemiin liitetyissä tietokoneissa toimivat virustorjunta- ja palomuurituotteet eivät pysty havaitsemaan tai estämään verkkomatoa.

Epäilyttävissä tapauksissa laajakaistamodeemi kannattaa hetkellisesti irrottaa sekä puhelinverkosta että verkkovirrasta. Modeemia ei tule liittää takaisin puhelinverkkoon ennen kuin hallintaliittymän salasana on vaihdettu ja asetukset on tarkistettu. Epäilys voi herätä, mikäli kaikki modeemiin langallisesti ja langattomasti kytketyt laitteet ovat sammutettu, mutta modeemin merkkivalot ilmoittavat jatkuvasta verkkoliikenteestä.

Tietojemme mukaan verkkomato ei selviä virtakatkoksesta, mutta täysi varmuus voidaan saavuttaa vain lataamalla modeemin ohjelmistoversio uudestaan. Samalla kannattaa tarkistaa jos tuotteelle on julkaistu päivitetyt ohjelmistoversiot.

Asmo Koskinen

  • Käyttäjä
  • Viestejä: 4443
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #10 : 31.03.09 - klo:15.29 »
Onko kellään tarkempaa tietoa tästä cert.fi sivustolta löytyneestä tiedosta?

Suomessa lienee suurin osa modemeista Telewellejä, niin minullakin.

"Uutisoitu Psyb0t-uhka

Kyseinen haavoittuvuus ei koske TeleWell laitteita, sillä oletuksena laitteissamme ei ole pääsyä Linux shelliin."

http://www.easytel.fi/

Ystävällisin terveisin Asmo Koskinen.

eGetin

  • Käyttäjä
  • Viestejä: 1093
  • Milloin mitäkin
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #11 : 31.03.09 - klo:19.58 »
Mahtaakohan koskea Zyxelin motukoita?
Pöytäkone: Intel i7 920 | Asus P6X58D Premium | 12Gb DDR3 1600MHz | Asus Radeon HD 6950 1Gb | 60GB OCZ Vertex 2 SSD + 2TB WD Caviar Green + Samsung 830 120GB
HTPC: Intel C2D E4400 | Asus P5B | 4Gb DDR2 800MHz | Asus Geforce GT210 | 500GB WD Caviar GP
Kannettava: Asus Eee PC 1225B

Asmo Koskinen

  • Käyttäjä
  • Viestejä: 4443
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #12 : 31.03.09 - klo:20.04 »
Mahtaakohan koskea Zyxelin motukoita?

Riippuu millainen ja miten viritetty Linux siellä sisällä on. Minulla on sisäverkossa LAN/WLAN Linksys, jossa on DD-WRT/Linux. Riskinsä siinäkin on.

http://www.dd-wrt.com/dd-wrtv3/community/developmentnews/1-common/31-router-worm.html

Ystävällisin terveisin Asmo Koskinen.

jussike

  • Käyttäjä
  • Viestejä: 979
    • Profiili
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #13 : 31.03.09 - klo:23.05 »
Mun mielestä noi kaikenlaiset verkkopurnukat pitäs toimittaa niin, että factory default -asetuksilla mikään ei toimi minnekään. Samalla kun aktivoi esimerkiksi wlan-verkon, tai ssh-palvelun tai minkä hyvänsä niin softa pitäisi huolen siitä, että salasana on vaihdettu oletuksesta ja käyttäjälle on tehty selväksi palvelun aktivoinnin vaikutus tietoturvan kannalta.

Normaalikäyttäjän pitäs disabloida laitteestaan ainakin (listaa saa jatkaa)
* telnet
* ssh
* http (jos https on käytettävissä)
* kaikki pääsy Internetistä käsin
* upnp
* laitteen konfigurointi wlanin yli

Ja välttää näitä viimeiseen asti:
* avoin wlan
* wep-salaus

Ja WPA/WPA2-salauksessa suosia TKIP:n sijaan AES/CCMP:a.

Sekä vahvat salasanat joka väliin on tietysti A ja O.

kuutio

  • Vieras
Vs: Psyb0t: Laajakaista modeemeihin tarttuva verkkomato
« Vastaus #14 : 02.04.09 - klo:10.40 »
Mahtaakohan koskea Zyxelin motukoita?

Riippuu millainen ja miten viritetty Linux siellä sisällä on. Minulla on sisäverkossa LAN/WLAN Linksys, jossa on DD-WRT/Linux. Riskinsä siinäkin on.

Ei sen kummempaa riskiä kuin missään muussakaan internettiin päin näkyvässä palvelussa. DD-WRT:n kohdalla riski voi toteutua jos ylläpitäjä on niin kädetön että ensimmäiseksi laittaa etähallintapalvelun(oletuksena ei näy) näkymään internettiin päin oletusportteihin ja toiseksi käyttää sanakirjasta tuttua salasanaa tai ei vaihda oletussanaa ollenkaan.
Juu, ei kai mikään laite tehdasasetuksilla syötä hallintapalveluja ulkoverkkoon (oletussalasanoilla). DD-WRT ei muistaakseni edes anna avata hallintaa ulkoverkkoon jos salasanaa ei vaihda. Kyllä vika on käyttäjässä jos sinne (tämä) mato ilmestyy.