Внимание конкурс! на форуме codeby

Наш конкурс  - это возможность получить денежные призы, премиум доступ на форуме и скидку в нашем маркетплейсе

Сегодня обратились за помощью с интересной проблемой. Сразу несколько устройств в одной сети, подключённой по Wi-Fi, стали вместо загрузки страниц, показывать сайт с требованием заплатить куда-то 1000 рублей. Адрес сайта, на который происходило перенаправление, для вымогателей не новый — mvd.ru. Всё остальное также как обычно — ввести номер телефона, оплатить и т. д.

Интерес эта ситуация вызвала тем, что, как думалось, заражено одновременно несколько устройств сети — компьютер на Windows и пара адройд-устройств.

Это было интересно, так как вызвало вполне обоснованное предположение, что какой-то супер вирус не только проник, но и сумел инициировать заражение устройств другого класса.

Анализ было решено начать с компьютера. Антивирус ничего не находил. Файл hosts оказался пустым и это вызвало некоторое недоразумение — как, собственно, так? Хорошо, были проверены свойства сетевых адаптеров, а именно — записи DNS серверов. Они оказались пустыми.

Вернулись к мобильным гаджетам и воспользовались другим источником Интернета — никакого перенаправления на mvd.ru не было. Стало окончательно понятно, что дело в роутере.

Роутером оказался красавец ASUS RT-N66U с кастомной прошивкой — мощная штука, надо сказать. И хотя моделька уже несколько лет как не флагман, она может дать фору очень многих современным устройствам. Сразу же внимание было обращено на DNS сервера. Там были какие-то адреса (к сожалению, удалили не сохранив) — то ли от провайдера, то ли от злоумышленника. Их поменяли на привычные 8.8.8.8 и 8.8.4.4, сохранили, сбросили кэш DNS на компьютере:

Была обнаружена поднятая «левая» VPN сеть. Она также была отключена. А проблема никуда не исчезла. Скажу честно, в этом месте я крепко задумался. Была мысль опять вернуться к версии о «супер вирусе», но я решил поподробнее поизучать меню роутера.

И точно, во вкладке локальной сети также оказалось поле для DNS серверов, а в нём оказался IP адрес:



Очистка этой записи и сброс кэша DNS сразу вернули в чувство не только компьютер, но и мобильных младших братьев.

Что могут взять из моего роутера?

Резонный вопрос. Что там сделают, если получат к нему доступ? Украдут заводскую прошивку? На самом деле, получив доступ к роутеру злоумышленник сразу получает:

  • пароль Wi-Fi
  • возможность сбрасывать и менять настройки
  • возможность подключаться к локальной сети и использовать снифферы
  • предыдущий пункт приведёт к утрате паролей от различный сайтов.

Это вполне типичный список и все про него хорошо знают. Интересно новый вариант, который я открыл для себя сегодня — вымогательство денег. Представьте себе ситуацию, когда вирус заразил компьютер, компьютер отказывается показывать какую-либо страницу, кроме предложения перечислить деньги. Причём вирус настолько изощрённый, что его не видит ни один антивирус, что даже переустановка операционной системы не приносит результата. Именно такое ощущение может возникнуть у не слишком искушённых пользователей.

Для каких устройств нужно менять стандартные пароли?

Для всех! Для роутеров, для веб-камер, для телевизоров, файловых серверов. Для всех программ, к которым можно залогиниться по Интернету, в том числе, например, для MySQL.

Насколько трудно взломать роутер?

Если у вас стандартный пароль, то его и взламывать не нужно. Для всех моделей стандартные пароли давным-давно выложены в Интернете. Какова вероятность, что кто-то узнает что у меня роутер/веб-камера/файловый сервер? Как они узнают мой IP адрес? Вероятность намного выше, чем вы можете думать. Существуют специальные программы (та же самая Nmap), которые просты в использовании. И, поверьте мне, каждый день огромное количество людей проводят сканирования. Может быть, каждый день кто-то «шелестит» по вашим открытым портам своими сканерами. Зачем рисковать там, где можно совсем обходиться без риска? Меняйте стандартные пароли на свои для всех устройств, так или иначе подключённых к Интернету!


Спонсор публикаций HOSTLAND.RU

Hostland.RU уже более 10 лет является профессионалом в сфере предоставления виртуального хостинга и целого ряда сопутствующих услуг. Мы отвечаем за качество нашей работы.

Похожие темы

Как использовать сканер безопасности NMAP на Linux... Nmap — это бесплатная, с открытым исходным кодом утилита исследования сети и проведения аудита безопасности. Она широко используется в сообщес...
Защита с помощью пароля в Linux: файл /etc/shadow... Защита с помощью пароля на Linux Использование файла /etc/shadow Пароль в Linux системах, используемый для учётных записей, обычно доступен ...
Рекомендованные USB беспроводные карты для Kali Li... Эта статья является устаревшей, вместо неё рекомендуется материал "Лучшие совместимые с Kali Linux USB Wi-Fi адаптеры 2015". Не все Wi-Fi приёмники м...
ZMap или Как просканировать все IPv4 адреса мира з... ZMap — это быстрый сканер сети, созданный для исследования обширных подсетей Интернета. На обычном настольном компьютере с гигабитным каналом,...
Аргументы командной строки ZMap... Перейти к содержанию полного руководства пользователя ZMap на русском языке. Опции сканирования Сетевые настройки Опции исследования ...